Øyvind Grinde, seksjonssjef

Like dokumenter
NIFS 16. desember 2015

Internkontroll i praksis (styringssystem/isms)

Få oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Sikkert nok - Informasjonssikkerhet som strategi

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Aggregering av risiko - behov og utfordringer i risikostyringen

Raskere digitalisering med god sikkerhet. Evry

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Risikobasert arbeid med personvern

Difis veiledningsmateriell, ISO og Normen

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

COMMISSION IMPLEMENTING DECISION (EU) 2015/1506 of 8 September 2015 laying down specifications relating to formats of advanced electronic signatures

NIFS Nettverk for Informasjonssikkerhet Tema: Forberedelser til sikkerhetsmåneden. Barbro Lugnfors Seksjon for informasjonssikkerhet 22.mai.

Spørreundersøkelse om informasjonssikkerhet

eidas sikker digitalisering av Europa

Risikovurdering - sett fra ISO og informasjonssikkerhet

Kommunikasjon med ledelsen hva kan Difi bidra med?

Oversikt. Remi Longva

Grunnleggende innføring Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

COMMISSION IMPLEMENTING DECISION (EU) 2015/1984 of 3 November 2015 defining the circumstances, formats and procedures of notification pursuant to

Grunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Anbefalte delaktiviteter og dokumentasjon

eidas ny lov om tillitstjenester og e-id-rammeverket revideres: Hva betyr dette for helsesektoren? Normkonferansen Jon B.

Notat. Til Dato Saksnr. Nærings- og fiskeridepartementet / Direktorat for e-helse Mona Holsve Ofigsbø Christine Bergland

Planlegging av øvelser

Anbefalte delaktiviteter og dokumentasjon Støttedokument

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet

Digital Agenda for Norge

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

Møte i nettverk for informasjonssikkerhet - NIFS

NIFS Nettverk for Informasjonssikkerhet Tema: Øvelse. Barbro Lugnfors Seksjon for informasjonssikkerhet

Risikobasert etterlevelse av pvf

Elektronisk signatur, sertifikater og tilhørende tjenester begrepsavklaringer mv

Høring - Anbefalt standard for transportsikring av epost

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Nye felles løsninger for eid i offentlig sektor

Tilsiktede uønskede handlinger

Høringsuttalelse Gjennomføring av EUs forordning om elektronisk identifisering (eid) og tillitstjenester

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Måling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Internkontroll og informasjonssikkerhet lover og standarder

Styring av risiko og samfunnsansvar i Asker kommune

Revisjon av IT-sikkerhetshåndboka

Standardiseringsrådet 17.3

Kapittel 1 Hva er datasikkerhet? Dagens situasjon Datasikkerhet Ledelse... 27

Standarder for risikostyring av informasjonssikkerhet

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4

Styringssystem for informasjonssikkerhet et topplederansvar

Retningslinje for risikostyring for informasjonssikkerhet

INTERNKONTROLL INFORMASJONSSIKKERHET, GDPR OG INFORMASJONSFORVALTNING I NVE

Lokalt beredskapsarbeid fra et nasjonalt perspektiv

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Case: Behov, risikovurderinger, informasjonssikkerhet

Orientering om plan for internkontroll for informasjonssikkerhet

Vedlegg B: Behandling i Standardiseringsrådet, DANE

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Fagkurs for kommuner Arbeid med informasjonssikkerhet i egen virksomhet (45 minutter)

COMMISSION IMPLEMENTING REGULATION (EU) 2015/1501 of 8 September 2015 on the interoperability framework pursuant to Article 12(8) of Regulation (EU)

Informasjonssikkerhet er et lederansvar. Topplederen er øverste ansvarlig for at virksomheten har et velfungerende system for

Hva sammenlikner vi med? Historien Mulighetene Forventningene

Veileder - Tillitstjenester i Norge

Nasjonal sikkerhetsinfrastruktur for helse- og omsorgssektoren (NSI) Tilgang til helseopplysninger på tvers av virksomhetsgrenser Forstudie 2012/13

Anvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt

Måling av informasjonssikkerhet ISO/IEC 27004:2016. Håkon Styri Seniorrådgiver Oslo,

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Nye personvernregler

Seksjon for informasjonssikkerhet

Planlegging av sikkerhetsmåneden i SSB. Tore Eig, sikkerhetsrådgiver

Policy for Antihvitvask

Nye personvernregler

Internkontroll for arkiv den nye arkivplanen?

Krav til informasjonssikkerhet i nytt personvernregelverk

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Høringssvar - Europakommisjonens forslag til forordning om eid og e-signatur m.m.

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter

NKRF Årsmøte 2009 Revisors vurdering av internkontroll

Høringssvar - Endringer i eforvaltningsforskriften - Digital kommunikasjon som hovedregel

Digital kommunikasjon som hovedregel. Hva betyr dette for forvaltningen.

Revisjon av ISO 14001

Veiledning om skytjenester

ELEKTRONISK SIGNERING

Styringssystem i et rettslig perspektiv

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Difi bidrar til å digitalisere Norge. BankID - dagen 2017 Torgeir Strypet, avdelingsdirektør Difi

Ny sikkerhetslov og forskrifter

Transkript:

Lyntale Informasjonssikkerhet en nøkkel til resultater og kontinuerlig forbedring Øyvind Grinde, seksjonssjef

Brukerreise

Helsekort for gravide

Navnevalg

Foreldrepenger Behandlingstid Digital Agenda Offentlig sektor spør deg ikke på nytt om noe den vet. Du trenger ikke søke om noe du har rett til. Hvis offentlig sektor trenger informasjon fra deg, skal du kunne gi den digitalt. Du får svar digitalt. Du får umiddelbart svar hvis det ikke er behov for bruk av skjønn.

infosikkerhet@difi.no infosikkerhet.difi.no internkontroll.infosikkerhet.difi.no

Lyntale NIFS Svanhild Gundersen

NIFS - Nettverk for informasjonssikkerhet

Målgruppe Sikkerhetsansvarlige i offentlige virksomheter Formål Dele erfaringer 5 møter i året

E-post: infosikkerhet@difi.no Møteplan 2016/vår 2017 23. november Informasjonssikkerhet ved anskaffelse av skytjenester 15. februar Tema ikke fastsatt 5. april Øvelse 31. mai Sikkerhetsmåneden

infosikkerhet@difi.no infosikkerhet.difi.no internkontroll.infosikkerhet.difi.no

Lyntale Internkontroll i praksis - informasjonssikkerhet Barbro Lugnfors

Internkontroll i praksis - informasjonssikkerhet

Standarden ISO/IEC 27001 og Difis veiledningsmateriell ISO/IEC 27001 er anbefalt standard å basere seg på stiller overordnede krav til hva man skal ha og hva man skal gjøre i et sertifisert «system» for styring og kontroll innen informasjonssikkerhet Difis veiledningsmateriell har en pragmatisk og behovsorientert tilnærming til standarden fokus på tilstrekkelig styring og kontroll (ikke sertifisering) baserer seg på standarden dekker det Difi anser som de viktigste kravene konkretiserer hvordan disse kravene kan implementeres og etterleves

Systematiske aktiviteter

Nettbasert veiledningsmateriell Hjelp og støtte Hovedaktiviteter og delaktiviteter Beskrivelser

http://internkontroll.infosikkerhet.difi.no

Ledelsens styring og oppfølging - «Hjernen» i internkontrollen

Risikovurdering - «Hjertet» i internkontrollen

Risikohåndtering - «Hendene» i internkontrollen

Overvåking og hendelseshåndtering - «Vakta» i internkontrollen

Måling, evaluering og revisjon - «Kontrolløren» i internkontrollen

Kompetanse- og kulturutvikling - «Læreren» i internkontrollen

Kommunikasjon - «Limet» i internkontrollen

Internkontroll i praksis - informasjonssikkerhet

Difis tilbud Nettbasert veileder 2-dagers innføringskurs For fagansvarlig informasjonssikkerhet som lederstøtte og pådrivere Arbeidsseminar Utforme overordnede styrende dokumenter Etablere fellessikring og tilleggssikring Foranalyser før risikovurdering Rådgivningsmøter med virksomheter Ut fra kapasitet

infosikkerhet@difi.no infosikkerhet.difi.no internkontroll.infosikkerhet.difi.no

Lyntale Dilemmatrening som verktøy i opplæring Britt Eva Bjerkvik Haaland

Dilemmatrening informasjonssikkerhet Britt Eva Haaland

Hvorfor laget vi dilemmatrening

Fleksibelt Virksomheten Målgruppen Tidsbruk Gir eierskap til problemstillingene Overførbar kunnskap Engasjerer Kan utvides og oppdateres Refleksjon kan føre til adferdsendring

Perspektiver

infosikkerhet@difi.no infosikkerhet.difi.no internkontroll.infosikkerhet.difi.no

Lyntale Få oversikt og prioriter før risikovurderinger Jan Sørgård

Risikovurdering Få oversikt og prioritere Planlegge risikovurderinger Gjennomføre risikovurderinger

Delaktiviteten Få oversikt og prioritere Foranalyse Gruppere og dele Vurdere behov for risikovurderinger Oversikt: Gjennomførte risikovurderinger

Delaktiviteten Få oversikt og prioritere Foranalyse Gruppere og dele Vurdere behov for risikovurderinger Oversikt: Gjennomførte risikovurderinger Foranalyse Identifisere arbeidsoppgaver Identifisere informasjonstyper, system mv. Finn potensielt konsekvensnivå: oppgaver og system Overordnet vurdering: trusler, farer, sårbarheter Oppsummering: obs-områder

Identifiser - arbeidsoppgaver Kjerneoppgaver (kjerneprosesser): Tilsyn Veiledning Tilskuddsforvaltning Planarbeid Undersøkelser Kunnskapsforvaltning Oppfølging av ekspertgrupper Øvrig saksbehandling

Identifiser informasjonstyper mv.

Potensielt konsekvensnivå - arbeidsoppgaver og IKT-system

Foranalyse - Trusler Lignende skjema for farer og sårbarheter

Foranalyse Refleksjon og oppsummering Refleksjon over foranalysen Oppsummere spesielle obs-områder

Delaktiviteten Få oversikt og prioritere Foranalyse Gruppere og dele Vurdere behov for risikovurderinger Oversikt: Gjennomførte risikovurderinger

Gruppere og dele Med støtte i foranalysen: Grupper oppgaver og system i større «områder» homogene og enkle arbeidsoppgaver likt konsekvens- og trusselnivå gode rutiner profesjonelle systemer høy kompetanse Skill ut i egne «områder» Komplekse eller kritiske enheter, arbeidsoppgaver, prosjekt, IKT-system eller deler av ovennevnt

Vurdere behov for risikovurderinger Overordnet Hvor usikker er jeg på om risikoene kan aksepteres? En enkel kvalitativ og skjønnsmessig vurdering lav, moderat og høy usikkerhet Basert på noen enkle støttespørsmål Et sett beslutningskriterier Ut fra usikkerhetsnivå og potensielt konsekvensnivå plasserer «områdene» fra forrige trinn i prioriteringsgrupper for risikovurderinger

Delaktiviteten Få oversikt og prioritere Foranalyse Gruppere og dele Vurdere behov for risikovurderinger Oversikt: Gjennomførte risikovurderinger

Få oversikt og prioritere Suksesskriterium Prosessleder Minimum ved første gangs gjennomføring Godt forarbeid Strukturert ledelse av arbeidet Hensiktsmessige maler / støtteverktøy Enkle eksempler kommer snart fra Difi i oppdatert versjon Det gjør også arbeidsseminar for prosessledere

infosikkerhet@difi.no infosikkerhet.difi.no internkontroll.infosikkerhet.difi.no

Lyntale eidas - nye regler om e-id og signaturer Jon Berge Holden

Hva er eidas? Forordning (EU) 910/2014 Regulation on electronic identification and trust services for electronic transactions in the internal market Todelt Gir regler for gjensidig anerkjennelse av e-id og signaturer i offentlig sector, kap II + artikler 27, 37 Etablerer rammer for tillitstjenester, inkl. sertifikattjenester, kap III Erstatter e-signaturdirektivet 11.02.2016 IDentitet 2016

Regler om e-id Definerer tre eidas sikkerhetsnivåer for eid, art 8 og 2015/1502 HIGH, SUBSTANTIAL, LOW Utgpkt: Nivå 4 HIGH, Nivå 3 SUBSTANTIAL Selvdeklarasjonsordning Medlemslandene melder inn aktuelle e-id-løsninger, med angivelse av nivå(er) Anerkjennelsesplikt hvis et av de to øverste nivåer brukes i tjenesten Plikten gjelder autentisering med innmeldt e-id Personen identifiseres med navn, fødselsdato, identifikator Vilkår for å få ytelser og tilgang til tjenester påvirkes ikke 11.02.2016 IDentitet 2016

Regler om e-signaturer Nye definisjoner E-segl, avansert e-segl, kvalifisert e-segl, art 3 nr 25-27 Omtrent som før: Definisjon av signatur, avansert signatur, kvalifisert signatur Rettsvirkninger av signaturer, jf. art 25: Alle elektroniske signaturer skal kunne føres for retten - at den er elektronisk eller typen signatur skal ikke i seg selv være avvisningsgrunn Kvalifiserte signaturer skal alltid oppfylle formkrav til signatur Nytt for forvaltningen Hvis avansert eller kvalifisert signatur/segl kreves, Anerkjennelsesplikt også for signaturer i XAdES, PAdES eller CAdES, jf. art 27 og 37 Anerkjennelsesplikt for andre formater, hvis medlemsstaten tilbyr valideringsmulighet, jf. art 27 og 37 11.02.2016 IDentitet 2016

Hva betyr dette for forvaltningen? Nye muligheter Flere personer med e-id et europeisk marked Sikkerhetskrav må stilles som før Effektiv, enkel, sikker kommunikasjon, jf. efvf 1 Risiko for sikkerhetsbrudd skal være akseptabel, jf. efvf 15 m.m. Risikovurdering Ta utgangspunkt i hendelser (tvister) Juster for motivasjon, sårbarhet, trusselaktører Ta hensyn til sidevirkninger

Spørsmål? infosikkerhet@difi.no 11.02.2016 IDentitet 2016

infosikkerhet@difi.no infosikkerhet.difi.no internkontroll.infosikkerhet.difi.no

Lyntale Å øve på informasjonssikkerhet Håkon Styri

Øvelser Beredskapsøvelse gjennomføres minst en gang per år 33,3 prosent i 2016 (SSB, Bruk av IKT i staten) Flere må øve, minst en gang i året Planlegg flere mindre IKT-øvelser hvert år Knytt evaluering av øvelsene til internkontroll for informasjonssikkerhet for å sikre at øvelsene kan bidra til forbedring. Dato

Øvelser og styringssystem Risikovurdering Evaluering Etablering av sikkerhetstiltak Hendelser Øvelser Testing 2016-10-19

Øvelser og styringssystem (2) 2016-10-18

Ressurser DSB NUSB kurs i øvelsesplanlegging MSB (Sverige) - Öva enkelt! (2016) Difi Veileder i planlegging og gjennomføring av IKT-øvelser (2015) 2016-10-19

infosikkerhet@difi.no infosikkerhet.difi.no internkontroll.infosikkerhet.difi.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding