Revisjon av informasjonssikkerhet

Like dokumenter
Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Erfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen

Olje- og energidepartementet

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Forvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter. Prosjektplan/engagement letter

Styresak /4 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for Dokument 3:2 ( ), informasjon

Retningslinje for risikostyring for informasjonssikkerhet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Internkontroll og avvikshåndtering

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Informasjonssikkerhet i UH-sektoren

Samlet bevilgning. neste år Utgifter Inntekter

3.1 Prosedyremal. Omfang

Hva er et styringssystem?

Internkontroll og informasjonssikkerhet lover og standarder

Ny styringsmodell for informasjonssikkerhet og personvern

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF

Styringssystem i et rettslig perspektiv

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Avvikshåndtering og egenkontroll

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden

Internkontroll i Gjerdrum kommune

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers Tlf.

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Standarder for risikostyring av informasjonssikkerhet

Forvaltningsrevisjon Bergen kommune Internkontroll i Byrådsavdeling for finans, eiendom og eierskap. Prosjektplan/engagement letter

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø,

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Policy for personvern

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

Revisjon av IT-sikkerhetshåndboka

Nærings- og handelsdepartementet

Sikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Rutinebeskrivelse for regnskapsføring i Olje- og energidepartementet. Instruks

Veiledning- policy for internkontroll

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Akkrediteringsdagen Vanlige avvik hos akkrediterte systemsertifiseringsorganer NORSK AKKREDITERING TRYGGHET OG ANERKJENNELSE

Nærings- og fiskeridepartementet

1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Teknisk kontrollorgan. SINTEF IKT, Senter for jernbanesertifisering TILSYNSRAPPORT

Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Revisjonsrapport for 2017 om styringssystem for informasjonssikkerhet i Arbeidstilsynet

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Sikkerhetsforum 2018

Orientering fra Riksrevisjonen på UH-sektorens økonomiseminar 2017 Bernt Nordmark og Thorgunn Nordstrand

NKRF Årsmøte 2009 Revisors vurdering av internkontroll

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

Status Riksrevisjonens undersøkelser om helseforetakenes ivaretakelse av elektroniske pasientjournaler (EPJ) vedlegg til styresak

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Prinsipper for virksomhetsstyring i Oslo kommune

Årsrapport 2014 Internrevisjon Pasientreiser ANS

3) Personregister Registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen.

Praktisk it-revisjon for regnskapsrevisor i regnskapsbekreftelsen

Informasjonssikkerhetsprinsipper

Fra sikkerhetsledelse til handling ambisjoner og forventninger

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Nettverk for virksomhetsstyring. Møte 6. juni 2014

NOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet.

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Fiskeri- og kystdepartementet

Veileder og verktøy for internkontroll i offentlige anskaffelser. Mona Stormo Andersen Seniorrådgiver Mobil:

HOVEDINSTRUKS TIL FINANSTILSYNET OM ØKONOMISTYRING I FINANSTILSYNET Fastsatt av Finansdepartementet 19. november 2014

Barne- og likestillingsdepartementet

Overordnet IT beredskapsplan

Politikk for informasjonssikkerhet

Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Fra frisk BRIS til MOTVIND - Revisjon av en IT-anskaffelse i Trondheim kommune

VI BYGGER NORGE MED IT.

Kommunens Internkontroll

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Norsox. Dokumentets to deler

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

Difis veiledningsmateriell, ISO og Normen

Saksframlegg. Saksgang: Styret Sykehuspartner HF 7. februar 2018 SAK NR OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31.

Policy for Antihvitvask

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Fra avsluttende revisjonsbrev til revisjonsberetninger -

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Instruks (utkast) for Internrevisjonen Helse Sør-Øst

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Styringssystem for informasjonssikkerhet

Klima- og miljødepartementet

Miljøhåndbok NS-EN ISO 14001:2015

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Helseforetakenes senter for pasientreiser ANS 1/2016

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Agenda. IT i Oslo kommune. IT-revisjon i regnskapsrevisjonen. IT-revisjon i forvaltningsrevisjonen. Oslo kommune Kommunerevisjonen

Transkript:

Revisjon av informasjonssikkerhet Frode Ikdahl Andreas Førde Oslo 14. juni 2012

2

Oversikt Rammeverk og standarder IKT-profil Revisjon av informasjonssikkerhet 2009 (Dok.1 2010-2011) Revisjon av informasjonssikkerhet knyttet til personopplysningsloven 2010 (Dok.1 2011-2012) Oppsummering 3

Rammeverk og standarder Organisasjonsnivå Eiere/ Departement Virksomhetsstyring Coso Virksomhetsledelse IT-ledelse IT-ansatte IKTprofil Ledelse av ITIL IT-tjenester IT Governance Cobit Beste praksis/ ISO/ IEC 27001/27002 standarder Aktiviteter Operasjonelt Styring Overvåkning 4

Internasjonale revisjonsstandarder ISSAI-rammeverket implementert. Gjennom risikovurderingshandlinger skal revisor opparbeide seg en forståelse av enheten og dens omgivelser, herunder intern kontroll. Revisor skal opparbeide seg en forståelse for de delene av informasjonssystemet som er relevante og prosedyrene innen IT-systemer. Revisor skal opparbeide seg en forståelse for enhetens kontrollaktiviteter og hvordan enheten har håndtert risikoer som følge av bruk av IT. 5

IKT-profil 1. IT-miljøets betydning for virksomhetens primærog sekundæroppgaver 2. Organisering og oppgaver 3. Infrastruktur, systemer og applikasjoner 4. Informasjonssikkerhetskriterier 5. Sentrale dokumenter, rutiner og internkontroll 6. Oppsummering 7. Risikovurdering og videre løp 8. Tidligere IT-revisjoner 6

Revisjon av informasjonssikkerhet 2009 Revisjonskriterier: Reglement for og bestemmelser om økonomistyring i staten Nasjonale retningslinjer for å styrke informasjonssikkerheten 2007-2010 ISO/ IEC 27001 og 27002 Internasjonale standarder for informasjonssikkerhet 7

Revisjonsprogrammet - virksomhet Revisjonsprogram NS-ISO/IEC 27002 (deler av kapitlene) Nasjonale retningslinjer Identifisere og klassifisere Kapittel 7 Pkt 3.3 Risikovurderinger Kapittel 4 Pkt 3.4 Organisering Kapittel 5, 6 og 8 Pkt 3.5 Beskyttelse Kapittel 9, 10, 11, 12 og 14 Pkt 3.1 Informasjonssikkerhetsbrudd Kapittel 13 Pkt 3.6 8

Identifisering og klassifisering av informasjon og informasjonssystemer Departement: Få hadde besluttet en felles tilnærming på sektornivå eller stilt krav til virksomhetene Virksomhet: Ca 40 % hadde ikke identifisert sine viktigste aktiva Over 50 % hadde ikke et system for å klassifisere informasjon og informasjonssystemer

Risikoanalyser Departement: 6 hadde ikke stilt krav til underliggende virksomheter om gjennomføring av risikoanalyser som omfatter samfunns- eller virksomhetskritisk ikt-infrastruktur Virksomhet: Ca 70 % hadde utarbeidet risikoanalyser Halvparten manglet imidlertid risikoanalyser som omfattet de viktigste aktivaene i virksomhetene Halvparten manglet rutiner for jevnlig oppdatering av risikoanalyser 10

Organisering - kunnskapsbygging Departement: 50 % hadde ikke stilt krav til underliggende virksomheter om å gjennomføre tiltak for å øke bevisstheten og kompetansen om informasjonssikkerhet Virksomhet: Ca 60 % hadde opplæring og/eller løpende tiltak for bevisstgjøring innen informasjonssikkerhet i egen organisasjon Opplæring og bevisstgjøring av eksterne brukere er svakere enn for egne ansatte 11

Organisering videre Virksomhet: Over 80 % hadde utarbeidet en sikkerhetspolicy eller tilsvarende dokument 75 % hadde etablert en egen sikkerhetsorganisasjon 12

Beskyttelse Departement: Få har stilt krav til beskyttelse av kritisk iktinfrastruktur 13

Beskyttelse - administrasjon av tilganger Virksomhet: De fleste hadde skriftlige rutiner for administrasjon av tilganger Halvparten hadde imidlertid ikke skriftelige rutiner for tildeling av utvidede rettigheter Ca 80 % hadde svakheter i dokumentasjon av at faktiske tilganger var i samsvar med autoriserte tilganger 14

Beskyttelse - logging og overvåkning Virksomhet: Revisjonen viste en gjennomgående svakhet på området logging og overvåkning Bruker og systemadministrators aktiviteter blir i liten grad logget eller fulgt opp 15

Beskyttelse - kontinuitetsplanlegging Virksomhet: Ca 80% hadde enten en kontinuitetsplan eller en prosess for kontinuitetsplanlegging De fleste kontinuitetsplaner var imidlertid ikke oppdaterte Omtrent halvparten manglet oversikt over hvilke systemer som skal prioriteres i en avbruddssituasjon Kun 3 hadde gjennomført øvelser i kontinuitetsplanen 16

Beskyttelse - fysisk sikkerhet Virksomhet: Revisjonen viste at de fleste datarom var sikret mot fysiske farer 17

Informasjonssikkerhetsbrudd Departement: Få hadde gitt føringer for rapportering av sikkerhetshendelser til fagdepartementet og til relevante sektormyndigheter Virksomhet: Ca 60 % hadde etablert rutiner for å rapportere og håndtere sikkerhetsbrudd. Omtrent halvparten hadde imidlertid ikke konkretisert hvilke typer hendelser som skal loggføres og rapporteres 18

Bruk av standarder for informasjonssikkerhet Departement: Få hadde stilt krav til underliggende virksomheter om å ta i bruk standarder for informasjonssikkerhet 19

Dokument 1 (2010 2011) 11 departementer har vesentlige mangler i sin styring av underlagte virksomheters informasjonssikkerhet 10 virksomheter har fått revisjonsbrev med merknader knyttet til vesentlige mangler ved informasjonssikkerheten FAD har samordningsansvaret for IKT-politikken, og revisjonen peker på mangler i departementets oppfølging av dette ansvaret 20

Revisjon av informasjonssikkerhet 2010 Revisjon av utvalgte virksomheter på UHsektoren Videreføring av revisjonen for 2009, men med større vekt på personopplysningsloven Vurderingsgrunnlag bl.a. ISO/IEC 27002 21

Funn: Identifisere aktiva Utfordrende å holde oversikt sentralt over hvilke systemer som forvalter personopplysninger (både sensitive og ikkesensitive) Prosjektleder synes å ha oversikt for egne prosjekter, men det fremgår ikke av sentrale føringer hvilke rutiner eller prosedyrer som skal være styrende for dette 22

Funn: Risiko- og sårbarhetsanalyser Liten grad av systematiserte ROS-analyser på overordnet nivå, men for enkelte forskningsprosjekter var det gjort slike vurderinger Foreligger ikke føringer fra ledelsen, og mye av arbeidet delegeres til avdeling, fakultet eller den enkelte prosjektleder 23

Funn: Sikkerhetspolicy Det var utarbeidet sikkerhetspolicyer, men det var svakheter i implementeringen 24

Funn: Informasjonssikkerhetsbrudd Manglende rutiner eller prosedyrer for hvordan brudd skal behandles Medfører økt sannsynlighet for at alvorlige hendelser ikke rapporteres og at korrigerende tiltak ikke blir iverksatt 25

Funn: Håndtering av personopplysninger i utvalgte prosjekter Fullmakter og ansvar er delegert til de enkelte prosjektledere, uten at det er etablert tilfredsstillende internkontrollsystemer Det eksisterer ikke systemer som fanger opp brudd f.eks. pga. mangelfull kunnskap og forståelse hos prosjektleder 26

Dokument 1 (2011-2012) Forholdene ble tatt opp Dokument 1, der det blant annet ble stilt spørsmål ved om KD har sikret seg at personopplysninger som virksomhetene innhenter og benytter, behandles på en tilfredsstillende måte 27

Avslutningsvis Oppfølging av revisjonsfunn fra sikkerhetsrevisjonen i 2009 viser økt fokus på området i forvaltningen. Sikkerhet er ikke et produkt, men en prosess. Det som blir målt blir gjort. 28

Spørsmål 29

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding