Etablering av et ISMS Vi er i gang i SPK Gunilla Fagerberg Grimsgaard
Agenda Hvem er statens pensjonskasse? Hvordan har SPKs organisert sikkerhetsarbeidet? Prosesser for å ivareta ISMS Rapporteringsstruktur Erfaringer og konklusjoner ccc ccc ccc ccc ccc ccc
Hvem er Statens pensjonskasse? 360 mrd kr,- i opptjente forpliktelser 19,8 mrd kr,- i pensjonsutbetalinger 970.000 medlemmer 40.000 lånekunder 5 mrd kr,- i aktiv forvaltning Perform 1 mrd kr,- Over 1600 kunder (org. og foretak)
Vi har jobbet med ISMS siden 2009 Hvor var SPK i 2009? Fokus på IT-sikkerhet Fragmentert sikkerhetsdokumentasjon Lite kontinuitet i sikkerhetsarbeidet Hvor er SPK nå? Det er fokus på informasjonssikkerhet og sikkerhet som en helhet IT er kun et element i helheten Forankring i TLG overordnet risikovurdering Sikkerhetsleder sitter i TLG Jobber kontinuerlig med sikkerhet i SPK
Styringssystem for informasjonssikkerhet Interessenter Plan Etablere ISMS Interessenter Act Vedlikeholde og forbedre ISMS Implementere og betjene ISMS Do Krav og forventninger til informasjonssikkerhet Kontrollere og gjennomgå ISMS Check Styrt informasjonssikkerhet Hentet fra ISO/ IEC 27001: 2005
Ansvarsdeling ifm risikostyring TLG besluttende Sikkerhetsrådet Kontroll og oppfølging Linjen utførende
Sikkerhetsorganiseringen i SPK (III)
Mandat SPKs sikkerhetsråd skal være ansvarlig for: omforming av overordnede føringer og krav kontinuerlig oversikt over sikkerhetstilstanden ivaretakelse og kontinuerlig forbedring av ISMS rådgivning ifm utarbeidelse og implementering av tiltak sikring av nødvendig kompetanse innen ISMS
Prosesser ifm sikkerhetsarbeidet TLG Sikkerhetsleder Linjen Overordnet policy Måleparametere Sikkerhetspolicy Overordnede retningslinjer for sikkerhet Sikkerhetsmål Risikovurdering Sikkerhetspraksis Operative retningslinjer for sikkerhet Planer for risikohåndtering Detaljerte risikovurderinger Gjennomføring av tiltak Rapportering Krav og føringer Kontroll og oppfølging Utførende SOA * : Statement of Applicability, ref. ISO/ IEC 27001:2005
Dokumentstruktur Krav og føringer fra toppledelsen: Sikkerhetspolicy Overordnede retningslinjer for sikkerhet Retningslinjer fra sikkerhetsrådet Operative retningslinjer for sikkerhet Tiltak etablert i linjen Prosedyrer Rutiner Tekniske sikringstiltak
sikkerhet@spk.no
Hendelsesoppfølging i SPK
Styringssystem for sikkerhet: er i ferd med å etablere aktivitetshjul 11. Ledelsens årlige gjennomgang 1. Revidere sikkerhetspolitikken 2. Revidere verdioversikten 10. Revisjon av styringssystemet 3. Gjennomføre overordnet risikovurdering 9. Oppfølging av tiltaksplaner 4. Revidere overordnede retningslinjer for sikkerhet 8. Gjennomføre tiltaksplaner 5. Revidere operative retningslinjer for sikkerhet 7. Formell risikoakseptanse 6. Gjennomføre detaljerte risikovurderinger
Prosesser ifm sikkerhetsarbeidet Her bruker vi Corporater til å følge opp risikobildet, og rapportere på oppgaver som gjennomføres i Jira.
Prosess eier team/portefølje (alle prosesser) Investerings portefølje ((IA) alle prosesser) Linje portefølje IT forretnings team/portefølje ( alle prosesser)) Organisering av operativ oppfølging SPK er strukturert i et hierarki, og en matrise organisasjon. På kryss av dette går det aktivitets porteføljer. Administrasjon- og støtteområder (FO'er) Forretningsområder (FO'er) Organisasjonskart (horisontalt) KOM HRO VSO ITO KMO FPO PEO KFO Prosess- / porteføljekart (vertikalt) POP prosessen POP - VSO POP - ITO POP - KMO POP - FPO KMD prosessen KMD - ITO KMD - KMO FPO - FPO PEP prosessen PEP - VSO PEP - ITO PEP - KMO PEP - PEO FPX prosessen FPX - KOM FPX - HRO FPX - VSO FPX - ITO FPX - KMO FPX - FPO FPX- PEO FPX - KFO Linje prosesser Øvrige prosjekter og prosesser ikke innlemmet i PPF Perform prosesser Performs "systemmessig nedslagsfelt"
Sikkerhets rådets porteføljer Overordnet risikovurdering og detaljert risikovurdering gjennomført i prosessene SPKs risikofaktorer evalueres iht. portefølje Porteføljeleder følger opp håndteringen og effekten av risikoreduserende tiltak
Sikkerhets portefølje oppfølging Hver portefølje har et eget omr. som er spesifisert slik at dette kun vil inneholde de risiko faktorene, tiltakene, SOA punktene, og etter hvert som vi får dette på plass KPIene som påvirker ansvars spennet til denne porteføljen,
Strategiske mål risikofaktorer Alle identifiserte risikofaktorer prioriteres iht. sannsynlighet og konsekvens Risikofaktorer revurderes to ganger i året
Erfaringer og konklusjoner
utfordringer Det har vært vanskelig å avgrense vårt arbeid mot intern kontroll Det har tatt lang tid å komme i gang med risikovurdering av prosesser Lavt akseptansenivå for enkelt risikoer mange røde felt i risikoanalysen vanskelig å prioritere tiltakene
Positive erfaringer Høy fokus på sikkerhet og sikkerhetsrådets arbeid i TLG og hos direktør Sikkerhetsleder sitter i TLG Hjelp av konsulent med å holde koken i en hektisk hverdag
Konklusjon Må avsette tid til risikoarbeidet Kompetansehevende tiltak mot nøkkelpersoner i organisasjonen er viktig Viktig med engasjement i sikkerhetsarbeidet