Erfaringer med innføring av styringssystemer

Like dokumenter
Erfaringer med innføring av styringssystemer

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers Tlf.

Hva er et styringssystem?

Etablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard

Standarder for informasjonssikkerhet Rune Ask

Berit Sørset, Norsk Industri Guri Kjørven, Standard Norge NS-ISO LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK

ISO-standarderfor informasjonssikkerhet

ISOs styringssystemstandarder et verktøy for forenkling

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Guri Kjørven, Standard Norge NS-ISO LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK

Standarder for risikostyring av informasjonssikkerhet

Forelesning 5: Ledelse av informasjonssikkerhet, Menneskelige faktorer for info-sikkerhet

EDB Business Partner. Sikkerhetskontroller / -revisjoner

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Internkontroll i praksis (styringssystem/isms)

Måling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,

Informasjonssikkerhet En tilnærming

Måling av informasjonssikkerhet ISO/IEC 27004:2016. Håkon Styri Seniorrådgiver Oslo,

Internkontroll og informasjonssikkerhet lover og standarder

ISMS for Offentlig sektor Dataforum

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

Styringssystem basert på ISO 27001

Transportkonferansen Ledelsessystemer, ISO-sertifisering

Revisjon av IT-sikkerhetshåndboka

RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar,

Trondheim, SEMINAR: TA GREP OM ENERGIEN MED NS-EN ISO 50001:2018

Standarder for Asset management ISO 55000/55001/55002

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

Revisjon av ISO 14001

Veileder for virksomheter som skal gå fra ISO/IEC 27001:2005 til ISO/IEC 27001:2013

ISO 22301:2012 en introduksjon Årsmøte og seminar 12 Jun 2012 Arnfinn Roland

ISO serien Asset management

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

ISO27001 som del av forvaltningen

Difis veiledningsmateriell, ISO og Normen

Rune Ask. og er i dag en av de ledende innen organisatorisk sikkerhet.

Sikkerhetsledelse fra en toppleders ståsted - Erfaringer fra DSS

Sikkerhetsledelse et løpende og langsiktig arbeid. - Som ikke alltid gir raske resultater

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring

De tre sikkerhetsfaktorene. IT-sikkerhetsledelse og -krav. Hva er informasjonssikkerhet? Geir Ove Rosvold AITeL/HiST

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Neste generasjon ISO standarder ISO 9001

Guri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET

Difi Informasjonssikkerhet 12. april 2012 Implementering av Styringssystem for informasjonssikkerhet. Øivind Nyseth

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Integrert styringssystem

NS-EN ISO/IEC

Helseforetakenes senter for pasientreiser ANS 1/2016

Årsrapport 2014 Internrevisjon Pasientreiser ANS

NS-EN Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016

Sikkert nok - Informasjonssikkerhet som strategi

Sikkerhetsstyring for mindre virksomheter. Morgenmøte 24. november 2011

PEFC FM: Kjøp og salg av tømmer, skogbehandling, avvirkning, skogbruksplanlegging og utmarkstjenester

Saksframlegg Referanse

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Standarder for - styringssystemer - arbeidsmiljø Prosjektleder Guri Kjørven Standard Norge

Oversikt over standarder for. Kvalitetsstyring

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Oversikt over standarder for. risikoanalyse, risikovurdering og risikostyring

Måling av informasjonssikkerhet i norske virksomheter

ISO 41001:2018 «Den nye læreboka for FM» Pro-FM. Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning

ISO/DIS 45001, INNHOLD OG STRUKTUR. Berit Sørset, komiteleder, Norsk Industri

Grønt sykehus grønn standard

PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK

Hvordan komme i gang med å etablere et styringssystem etter ISO 14001?

1. Styringssystemet for informasjonssikkerhet

Hva kjennetegner god Risikostyring?

Common Safety Methods

Innføring av kvalitet/hms/miljøsystemer raskt, effektivt og i fellesskap?

Direktiv Krav til sikkerhetsstyring i Forsvaret

Internasjonal standardisering. Erlend Øverby

Hvordan oppdatere fra gammel til ny standard i bedriften?

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

IT Service Management - ITIL v3. Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no

Endringer i ISO-standarder

Oversikt over standarder for. Kvalitetsstyring

Styresak GÅR TIL: FORETAK: Styremedlemmer Helse Stavanger HF

DE VIKTIGSTE ENDRINGENE I NYE ISO 9001:2015 OG ISO 14001:2015

Spørreundersøkelse om informasjonssikkerhet

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt

Styringssystem for informasjonssikkerhet et topplederansvar

EBL konferanse 11.mars 2009

Det 7. norske arkivmøtet Informasjonssikkerhet i endringsprosesser. 6. April 2016

Grønne energikommuner Hva kan vi bidra med?

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Sammenligning av ledelsesstandarder for risiko

Kiwa Inspecta. Kiwa Inspecta. Trust Quality Progress

Styret Pasientreiser HF 07/06/2017. Forslag til vedtak: 1. Styret tar fremlagt sak om miljøarbeid i Pasientreiser HF til etterretning.

ISO standard for vurderingssprosesser

Transkript:

Erfaringer med innføring av styringssystemer Kåre Presttun kaare@mnemonic.no

Kåre Presttun Sivilingeniør fra NTH 1979 Jobbet med sikkerhet siden våren 1980 Har jobbet mye med standardisering Medlem av Standard Norges referansegruppe mot ISO/IEC JTC1/SC27 Jobbet som konsulent i mnemonic siden mai 2004

mnemonic as Etablert sommeren 2000 av 4 grundere Omsetning 2013: 264 MNOK Ca. 120 medarbeidere Firmasertifiseringer ISO/IEC 27001-sertifisert (siden 2005, NS/BS 7799) ISO 9001-sertifisert Miljøfyrtårn-sertifisering se http://www.miljofyrtarn.no PCI DSS Qualified Security Assessor (QSA) PCI DSS Approved Scanning Vendor (ASV) PCI DSS Payment Application QSA PCI Forensic Investigator (PFI)

Historien 1992 A Code of Practice for Information Security Management, DTI

Bakgrunn Vi er et sikkerhetsfirma Det var en del interne diskusjoner om vi skulle gå i gang Vi så i forespørsler (særlig fra offentlig) der de ba oss redegjøre for internt sikkerhetsarbeid i tilbud Vi bestemte til slutt at å bli ISO/IEC 27001-sertifisert vill gjøre det enkelt å vise til sertifisering i tilbud (NS/BS 7799) I tillegg mente vi det ville være en fordel i markedet å være sertifisert

Implementering Laget høsten 2004 en prosjektgruppe bestående av: Meg som prosjektleder Styreleder Administrerende direktør Sikkerhetsleder Interndrift + andre ved behov

Risikoanalyse Vi vurderte flere: OCTAVE OCTAVE-S AS/NZS 4360:2004 NIST Special Publication 800-30-2002 Endte opp med OCTAVE Nå bruker vi: ISO/IEC 27005:2008 OCTAVE Allegro (to typer Assets: Information, Container) NIST Special Publication 800-30-2012 er også meget bra

OCTAVE Er ganske omfattende Har gode arbeidsskjema for hele prosessen Er laget for å utføres i arbeidsgrupper Hos oss var det prosjektgruppa som ble arbeidsgruppe med ekstra medlemmer avhengig av tema Var grundig og brukte flere måneder på prosessen

Policy Det ble utarbeidet en overordnet sikkerhetspolicy En halv A4-side Overordnede føringer på sikkerhetsarbeidet Overordnede føringer på risikoappetitt

Risikoappetitt Grunnlaget for risikostyring ligger i etablerte retningslinjer for hva som aksepteres av risiko. I mnemonic aksepterer vi en risiko dersom den medfører: 1. høy nytteverdi for mnemonic 2. og at eventuelle skader kan rettes opp/repareres med rimelig kost og innen rimelig tid 3. og at det finnes mekanismer for deteksjon av skaden eller sikkerhetsbruddet

Statement of Applicability Basert på policy og risikoanalyse ble SoA laget SoA tar utgangspunkt i ISO 27001 Annex A som er basert ISO/IEC 27002 Alle punkter i Annex A som skal med skal begrunnes Alle punkter i Annex A som ikke skal med skal begrunnes En kan ta med andre ting enn det som er i Annex A (begrunnes i risikoanalyse) SoA er basisen for det videre arbeidet

Eksempel som ikke er i Annex A Personellsikkerhet Hvis mer enn 2/3 av en avdeling skal reise så skal reisen foretas med to forskjellige transporter Hvis mer enn 1/3 av mnemonic skal reise så skal reisen foretas med to forskjellige transporter

Arbeidet videre Basert på SoA pluss det vi hadde fra før ble: Detaljerte policyer utarbeidet Prosedyrer utarbeidet Tiltak implementert Katastrofeplan utarbeidet og implementert Så var det på tide å ringe Veritas Mai 2005 var vi sertifisert etter NS/BS 7799 (tok ca. 7 mnd.) Resertifisering i 2006 var etter ISO/IEC 27001:2005

Erfaringer Nyttig i forbindelse med tilbudsarbeid og kontrakter Det var et løft å få det på plass Det er ikke så mye arbeid å vedlikeholde Det er ikke noe tungrodd for medarbeiderne Forbedres hele tiden med tilbakemeldinger fra DNV Erfaringen er så positiv at vi bestemte oss for ISO 9001 også Nytt løft våren 2014 med ISO/IEC 27001:2013 og integrering med ISO 9001

2005 -> 2013 Endret struktur med felles struktur for alle ISOs ledelsessystemstandarder Risikostyring kommer i alle ledelsessystemstandarder Det er mange ledelsessystemstandarder i ISO (ca. 15) De mest kjente: 9000-familien kvalitet (9001 ny versjon i 2015) 14000-familien miljø 20121 bærekraftig arrangement/begivenhet 22000 matsikkerhet 27001 informasjonssikkerhet 50001 energi

2005 -> 2013 PDCA (Plan-Do-Check-Act)-modell er tatt bort kontinuerlig forbedring er fortsatt et krav Referanser er tatt bort og flyttet til ISO/IEC 27000 (oversettes) ISMS skal ikke være løsrevet men integrert i øvrige virksomhetsprosesser «asset owner» er erstattet med «risk owner» den eller de som er ansvarlige for å godkjenne tiltaksplanen samt akseptere gjenværende risiko Valgte tiltak skal sammenlignes med vedlegg A for å kontrollere at ingen relevante tiltak er utelatt. «Statement of Applicability» (SoA), der nødvendige sikringstiltak skal begrunnes og sikringstiltak i vedlegg A som er utelatt skal begrunnes.

2005 -> 2013 For risikovurderinger benyttes nå samme terminologi og vokabular som ISO 31000. Man skal identifisere risiko på bakgrunn av sannsynlighets- og konsekvensvurderinger. SP 800-30 gjør forskjell på «adversarial risk» og «nonadversarial risk». Den første bygger på intensjon og evne, den andre på sannsynlighet. I OCTAVE Allegro kommer sannsynlighet inn i bildet i siste trinn når en lager risikohåndteringsplanen. Begge har detaljerte arbeids-ark som leder deg gjennom hele prosessen.

2005 -> 2013 For å kunne gjennomføre måling og overvåking av informasjonssikkerheten, samt effektiviteten til styringssystemet, skal man først identifisere hvilke parametere man trenger. Deretter må man vurdere hva, når og hvordan en skal måle, samt hvem som skal gjennomføre målingene. Det har kommet inn et nytt krav om at man skal kunne dokumentere at de korrigerende tiltakene man har iverksatt faktisk fungerer som forutsatt. Kravet til kontinuerlig forbedring dekker nå også styringssystemets egnethet og tilstrekkelighet

Hjelpestandarder ISO/IEC 27000:2014 Information security management systems - Overview and vocabulary ISO/IEC 27002:2013 Code of practice for information security controls ISO/IEC 27003:2010 Information security management system implementation guidance ISO/IEC 27004:2009 Information security management Measurement ISO/IEC 27005:2011 Information security risk management ISO/IEC 27007:2011 Guidelines for information security management systems auditing ISO/IEC TR 27008:2011 Guidelines for auditors on information security management systems controls

Spørsmål?

2026 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding