Etablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard

Like dokumenter
SPKs virksomhetsstyringspraksis Veien fra virksomhetsidé til fokusert statusrapportering

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Erfaringer med innføring av styringssystemer

EDB Business Partner. Sikkerhetskontroller / -revisjoner

Internkontroll og informasjonssikkerhet lover og standarder

Hva er et styringssystem?

Erfaringer med innføring av styringssystemer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Sikkerhetsstyring for mindre virksomheter. Morgenmøte 24. november 2011

Difi Informasjonssikkerhet 12. april 2012 Implementering av Styringssystem for informasjonssikkerhet. Øivind Nyseth

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Sikkerhetsledelse et løpende og langsiktig arbeid. - Som ikke alltid gir raske resultater

Internkontroll i Gjerdrum kommune

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

Sammenligning av ledelsesstandarder for risiko

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

Ledelsens gjennomgåelse Anne Grændsen Norsk akkreditering / Grændsen consulting

Slik kan du styrke sikkerhetskulturen med kommunikasjon

Erfaringer fra tilsyn. Helge Rager Furuseth Nasjonal sikkerhetsmyndighet

Referansearkitektur sikkerhet

5. desember Vanlige problemer og utfordringer i møtet med helhetlig risikostyring. Agenda

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Direktiv Krav til sikkerhetsstyring i Forsvaret

Handlingsplan etter forvaltningsrevisjon fra EY november 2016 sak 33/16

Sikkert nok - Informasjonssikkerhet som strategi

UNINETT-konferansen 2017

Styret Helsetjenestens driftsorganisasjon for nødnett HF 31.August BESØKSADRESSE: POSTADRESSE: Tlf: Org.nr.

Virksomhetsstyring i Bane NOR SF

Aggregering av risiko - behov og utfordringer i risikostyringen

Risikoer og tiltaksarbeid i Sykehusinnkjøp HF 2018

Sikkerhetsforum 2018

Transportkonferansen Ledelsessystemer, ISO-sertifisering

Veiledning- policy for internkontroll

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Sikkerhetsledelse fra en toppleders ståsted - Erfaringer fra DSS

Informasjonssikkerhet i UH-sektoren

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

RA Consulting. Din partner i HMS og kvalitetsarbeid

Styring av risiko og samfunnsansvar i Asker kommune

Måling av informasjonssikkerhet i norske virksomheter

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?

Vedlegg 1 til retningslinje Norsk olje og gass anbefalte retningslinjer for felles modell for arbeidstillatelser.

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Samfunnsansvar og helhetlig virksomhetsstyring i Flytoget

Hvordan ha orden på internkontrollen?

Saksframlegg Referanse

Erfaringer fra NIRF`s kvalitetskontroll

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Forskrift ledelse og kvalitetsforbedring i helse- og omsorgstjenesten

Kapittel 1 Forankring av IT-ansvar Kapittel 2 Oppgaver og ansvar i foretakets ledelseshierarki

Styringssystem basert på ISO 27001

Revisjon av informasjonssikkerhet

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers Tlf.

Internkontroll for arkiv den nye arkivplanen?

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

Internkontroll i praksis (styringssystem/isms)

Guri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET

HELSE MIDT-NORGE RHELSEFORETAK STYRET

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring

ISO27001 som del av forvaltningen

Hva er risikostyring?

Klarspråkledelse Hva skal til for å lykkes med

ISO 22301:2012 en introduksjon Årsmøte og seminar 12 Jun 2012 Arnfinn Roland

Revisjon av ISO 14001

Risiko og sårbarhet knyttet til internkontroll. Charlotte Stokstad seniorrådgiver i Statens helsetilsyn 11. februar 2014

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring

Slikt kan du starte med internkontroll for arkiv i din virksomhet. Kristine Brorson

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Slikt kan du starte med internkontroll for arkiv

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

Berit Sørset, Norsk Industri Guri Kjørven, Standard Norge NS-ISO LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK

Styringssystem for informasjonssikkerhet et topplederansvar

Difis veiledningsmateriell, ISO og Normen

Sykehuset Innlandet HF Styremøte SAK NR HELHETLIG PLAN FOR VIRKSOMHETSSTYRING Forslag til VEDTAK:

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Forbedret økonomistyring ved sykehuset

Fjord1 sitt arbeid med sikkerhet

Informasjonssikkerhetsstyring

HAR VI GOD NOK KONTROLL? NYE GREP OM SIKKERHETSLEDELSE

Fra risikoanalyse til risikostyring: Er risikomatrisen et tilstrekkelig verktøy?

OVERSIKT SIKKERHETSARBEIDET I UDI

Endelig kontrollrapport

Interne revisjoner NORSK AKKREDITERING TRYGGHET OG ANERKJENNELSE

Vår ref.: 16/ Postadresse: 1478 LØRENSKOG Telefon: Sak 100/16 Oppfølging av sikkerhetsloven ved Akershus universitetssykehus HF

Kunstner: Oddmund Mikkelsen

PERFORMANCE MANAGEMENT-SYSTEM

NS-EN Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Hvordan sikre seg at man gjør det man skal?

Hvordan påvirker et varsel om tilsyn interne prioriteringer?

Fagkurs for kommuner Arbeid med informasjonssikkerhet i egen virksomhet (45 minutter)

Informasjonssikkerhet i Norge digitalt Teknologiforum

Koordinatorskolen. Risiko og risikoforståelse

STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET

Samarbeidsforum internkontroll

Policy for Antihvitvask

HELSE MIDT-NORGE RHF STYRET. Sak 22/11 Oppfølging og risikovurdering av eiers samlede styringsbudskap 2011

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Transkript:

Etablering av et ISMS Vi er i gang i SPK Gunilla Fagerberg Grimsgaard

Agenda Hvem er statens pensjonskasse? Hvordan har SPKs organisert sikkerhetsarbeidet? Prosesser for å ivareta ISMS Rapporteringsstruktur Erfaringer og konklusjoner ccc ccc ccc ccc ccc ccc

Hvem er Statens pensjonskasse? 360 mrd kr,- i opptjente forpliktelser 19,8 mrd kr,- i pensjonsutbetalinger 970.000 medlemmer 40.000 lånekunder 5 mrd kr,- i aktiv forvaltning Perform 1 mrd kr,- Over 1600 kunder (org. og foretak)

Vi har jobbet med ISMS siden 2009 Hvor var SPK i 2009? Fokus på IT-sikkerhet Fragmentert sikkerhetsdokumentasjon Lite kontinuitet i sikkerhetsarbeidet Hvor er SPK nå? Det er fokus på informasjonssikkerhet og sikkerhet som en helhet IT er kun et element i helheten Forankring i TLG overordnet risikovurdering Sikkerhetsleder sitter i TLG Jobber kontinuerlig med sikkerhet i SPK

Styringssystem for informasjonssikkerhet Interessenter Plan Etablere ISMS Interessenter Act Vedlikeholde og forbedre ISMS Implementere og betjene ISMS Do Krav og forventninger til informasjonssikkerhet Kontrollere og gjennomgå ISMS Check Styrt informasjonssikkerhet Hentet fra ISO/ IEC 27001: 2005

Ansvarsdeling ifm risikostyring TLG besluttende Sikkerhetsrådet Kontroll og oppfølging Linjen utførende

Sikkerhetsorganiseringen i SPK (III)

Mandat SPKs sikkerhetsråd skal være ansvarlig for: omforming av overordnede føringer og krav kontinuerlig oversikt over sikkerhetstilstanden ivaretakelse og kontinuerlig forbedring av ISMS rådgivning ifm utarbeidelse og implementering av tiltak sikring av nødvendig kompetanse innen ISMS

Prosesser ifm sikkerhetsarbeidet TLG Sikkerhetsleder Linjen Overordnet policy Måleparametere Sikkerhetspolicy Overordnede retningslinjer for sikkerhet Sikkerhetsmål Risikovurdering Sikkerhetspraksis Operative retningslinjer for sikkerhet Planer for risikohåndtering Detaljerte risikovurderinger Gjennomføring av tiltak Rapportering Krav og føringer Kontroll og oppfølging Utførende SOA * : Statement of Applicability, ref. ISO/ IEC 27001:2005

Dokumentstruktur Krav og føringer fra toppledelsen: Sikkerhetspolicy Overordnede retningslinjer for sikkerhet Retningslinjer fra sikkerhetsrådet Operative retningslinjer for sikkerhet Tiltak etablert i linjen Prosedyrer Rutiner Tekniske sikringstiltak

sikkerhet@spk.no

Hendelsesoppfølging i SPK

Styringssystem for sikkerhet: er i ferd med å etablere aktivitetshjul 11. Ledelsens årlige gjennomgang 1. Revidere sikkerhetspolitikken 2. Revidere verdioversikten 10. Revisjon av styringssystemet 3. Gjennomføre overordnet risikovurdering 9. Oppfølging av tiltaksplaner 4. Revidere overordnede retningslinjer for sikkerhet 8. Gjennomføre tiltaksplaner 5. Revidere operative retningslinjer for sikkerhet 7. Formell risikoakseptanse 6. Gjennomføre detaljerte risikovurderinger

Prosesser ifm sikkerhetsarbeidet Her bruker vi Corporater til å følge opp risikobildet, og rapportere på oppgaver som gjennomføres i Jira.

Prosess eier team/portefølje (alle prosesser) Investerings portefølje ((IA) alle prosesser) Linje portefølje IT forretnings team/portefølje ( alle prosesser)) Organisering av operativ oppfølging SPK er strukturert i et hierarki, og en matrise organisasjon. På kryss av dette går det aktivitets porteføljer. Administrasjon- og støtteområder (FO'er) Forretningsområder (FO'er) Organisasjonskart (horisontalt) KOM HRO VSO ITO KMO FPO PEO KFO Prosess- / porteføljekart (vertikalt) POP prosessen POP - VSO POP - ITO POP - KMO POP - FPO KMD prosessen KMD - ITO KMD - KMO FPO - FPO PEP prosessen PEP - VSO PEP - ITO PEP - KMO PEP - PEO FPX prosessen FPX - KOM FPX - HRO FPX - VSO FPX - ITO FPX - KMO FPX - FPO FPX- PEO FPX - KFO Linje prosesser Øvrige prosjekter og prosesser ikke innlemmet i PPF Perform prosesser Performs "systemmessig nedslagsfelt"

Sikkerhets rådets porteføljer Overordnet risikovurdering og detaljert risikovurdering gjennomført i prosessene SPKs risikofaktorer evalueres iht. portefølje Porteføljeleder følger opp håndteringen og effekten av risikoreduserende tiltak

Sikkerhets portefølje oppfølging Hver portefølje har et eget omr. som er spesifisert slik at dette kun vil inneholde de risiko faktorene, tiltakene, SOA punktene, og etter hvert som vi får dette på plass KPIene som påvirker ansvars spennet til denne porteføljen,

Strategiske mål risikofaktorer Alle identifiserte risikofaktorer prioriteres iht. sannsynlighet og konsekvens Risikofaktorer revurderes to ganger i året

Erfaringer og konklusjoner

utfordringer Det har vært vanskelig å avgrense vårt arbeid mot intern kontroll Det har tatt lang tid å komme i gang med risikovurdering av prosesser Lavt akseptansenivå for enkelt risikoer mange røde felt i risikoanalysen vanskelig å prioritere tiltakene

Positive erfaringer Høy fokus på sikkerhet og sikkerhetsrådets arbeid i TLG og hos direktør Sikkerhetsleder sitter i TLG Hjelp av konsulent med å holde koken i en hektisk hverdag

Konklusjon Må avsette tid til risikoarbeidet Kompetansehevende tiltak mot nøkkelpersoner i organisasjonen er viktig Viktig med engasjement i sikkerhetsarbeidet

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding