Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Like dokumenter
Sikkert nok - Informasjonssikkerhet som strategi

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Internkontroll i praksis (styringssystem/isms)

Difis veiledningsmateriell, ISO og Normen

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Seksjon for informasjonssikkerhet

Aggregering av risiko - behov og utfordringer i risikostyringen

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Styringssystem for informasjonssikkerhet et topplederansvar

Få oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet

Øyvind Grinde, seksjonssjef

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Styringssystem for informasjonssikkerhet

Risikovurdering - sett fra ISO og informasjonssikkerhet

Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15.

Spørreundersøkelse om informasjonssikkerhet

Jorunn Bødtker Norsk Arkivråds seminar 20. mars 2018

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Styringssystem i et rettslig perspektiv

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Grunnleggende innføring Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Raskere digitalisering med god sikkerhet. Evry

NIFS 16. desember 2015

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

Kommunikasjon med ledelsen hva kan Difi bidra med?

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

Grunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Strategi for Informasjonssikkerhet

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Oversikt. Remi Longva

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

Internkontroll og informasjonssikkerhet lover og standarder

Sikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Regelverk for digital kommunikasjon i og med forvaltningen

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Standarder for risikostyring av informasjonssikkerhet

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Hva er et styringssystem?

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter

Risikobasert arbeid med personvern

Styringssystem for informasjonssikkerhet Erfaringer med og anbefalinger om standardene ISO og ISO Rapport 2012:15 ISSN

Personvern - sjekkliste for databehandleravtale

Arbeidet med informasjonssikkerhet i statsforvaltningen

Barne- og likestillingsdepartementet

Utredning av standarder for styring av informasjonssikkerhet

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden

Oppfølging av informasjonssikkerheten i UH-sektoren

Anbefalte delaktiviteter og dokumentasjon Støttedokument

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Anbefalte delaktiviteter og dokumentasjon

Revisjon av anbefalte standarder for styringssystem for informasjonssikkerhet

Informasjonsforvaltning et rettslig perspektiv. Jon Holden

Landbruks- og matdepartementet

Krav til informasjonssikkerhet. DRI1010 forelesning Jon B. Holden

Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4

Myk eller sterk IT-styring? I dag og fremover!

Statsbudsjettet 2016 tildelingsbrev Rikskonsertene

Direktoratet for forvaltning og ikt Besøksadresse Oslo: Besøksadresse Leikanger: Postboks 1382 Vika Oslo

Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

ISO27001 som del av forvaltningen

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Måling av informasjonssikkerhet ISO/IEC 27004:2016. Håkon Styri Seniorrådgiver Oslo,

Revisjon av IT-sikkerhetshåndboka

Referansearkitektur sikkerhet

Politikk for informasjonssikkerhet

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

NS-EN Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Byrådssak 1383 /15. Ny strategi for informasjonssikkerhet ESARK

Fra sikkerhetsledelse til handling ambisjoner og forventninger

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers Tlf.

Revisjon av informasjonssikkerhet

Internkontroll for arkiv den nye arkivplanen?

Foretakets navn : Dato: Underskrift :

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Standardiseringsrådsmøte #4 i November 2015

Regnskapsførervirksomheten skal ved forespørsel få fremlagt dokumentasjon på dette.

Veilederen må oppheves og erstattes av et mer helhetlig og hensiktsmessig rammeverk for å operasjonalisere instruksen.

NIFS Nettverk for Informasjonssikkerhet Tema: Forberedelser til sikkerhetsmåneden. Barbro Lugnfors Seksjon for informasjonssikkerhet 22.mai.

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Veileder i kompetanse- og kulturutvikling innen informasjonssikkerhet

Guri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET

Veiledning- policy for internkontroll

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Gode råd til sikkerhetsansvarlige

Forslag til nye regler om elektronisk kommunikasjon med og i offentlig forvaltning

Revisjonsrapport for 2017 om styringssystem for informasjonssikkerhet i Fylkesnemndene for barnevern og sosiale saker

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Transkript:

Internkontroll/styringssystem i praksis informasjonssikkerhet Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Hva er informasjonssikkerhet?

CIA

Seksjon for informasjonssikkerhet Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen.

Hvor trykker informasjonssikkerhetsskoen?

Utfordringer

Behov

Avlive tre myter

Myte 1 Påstand: «Internkontroll» og «styringssystem for informasjonssikkerhet» er forskjellige ting Svar: Nei, ikke når begge betyr «intern styring og kontroll»

Myte 2 Påstand: Informasjonssikkerhet = hindre uautorisert innsyn Svar: Nei, informasjonssikkerhet handler om tilstrekkelige og balansert sikring av konfidensialitet, integritet og tilgjengelighet for å nå virksomhetens mål og å etterleve lover og regler

Hvorfor har vi bremser på en bil? For å kunne stoppe? For å kunne kjøre raskt, effektivt og målretta? Gode bremser gjør det mulig å kjøre raskt til målet, bremse ned når en bør og stoppe når en må Hensiktsmessige sikringstiltak er en muliggjører Uhensiktsmessige sikringstiltak irriterer, hemmer, blir undergravd og gir økt risiko

Myte 3 Påstand: Informasjonssikkerhet = IKT-sikkerhet Svar: Nei, informasjonssikkerhet inkluderer både muntlighet, papirbruk, IKT mv. i all formidling, behandling og lagring av informasjon

Krav og anbefalinger

eforvaltningsforskriften endret februar 2014 (Forskrift om elektronisk kommunikasjon med og i forvaltningen) Bl.a. tydeliggjort kravene til informasjonssikkerhet Kapittel 3 Styring og kontroll med informasjonssikkerheten 15 Internkontroll på informasjonssikkerhetsområdet

eforvaltningsforskriften Utdrag ny 15 (endret 13). Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Internkontrollen bør være en integrert del av virksomhetens helhetlige styringssystem. Det organet departementet peker ut skal gi anbefalinger på området. Omfang og innretning på internkontrollen skal være tilpasset risiko..

Videre anbefalinger fra Difi (Referansekatalogen ver. 4.1) Det er anbefalt å basere seg på ISO/IEC 27001:2013 ved etablering av internkontroll/styringssystem på informasjonssikkerhetsområdet. Det er anbefalt å støtte seg på ISO/ IEC 27002:2013 i implementeringen av relevante tiltak

Difis veiledningsmateriell - Avmystifisere styringssystem for informasjonssikkerhet (ISMS) - Internkontroll i praksis informasjonssikkerhet

Difis nye veiledningsmateriell (1) Tydeliggjøre de sentrale prosessene i internkontroll/styringssystem Forklare innhold i prosesser og aktiviteter Gi råd rundt organisering og gjennomføring Eksempler og maler Synliggjøre tilsvarende i andres veiledninger

Difis nye veiledningsmateriell (2) Nettbasert Flere iterasjoner og betaversjoner Kommentarfunksjon på de fleste sider En stor og bred referansegruppe for alle interesserte Egen referansegruppe for andre veiledningsaktører

Hva er hovedprosessene i internkontrollen/styringssystemet? Ledelsens gjennomgang og utforming av føringer Informasjon og kommunikasjon Risikostyring (risikovurdering og risikohåndtering) Tiltaksetablering og vedlikehold Kompetanse- og kulturutvikling Overvåking og hendelseshåndtering Måling, evaluering og revisjon

Hovedprosessene i internkontrollen/styringssystemet

Betaversjon 1.0 Publisert 28.5.2014 internkontroll.infosikkerhet.difi.no

Innholdet i veiledningsmateriellet

Ledelsens gjennomgang og utforming av føringer Informasjonssikkerhet? Tonen på toppen Strategiutforming generelt Mål og strategi informasjonssikkerhet Retningslinje risikostyring (kalibrering) Retningslinje internkontroll Plan for bedre internkontroll Årlige føringer Periodisk gjennomgang

Hjernen i internkontrollen

Risikostyring Hva er risiko? Organisere risikostyring Risikovurdering Risikohåndtering Videre råd

Hjertet i internkontrollen

Tiltaksetablering og vedlikehold Systemrettede tiltak Informasjonssikkerhetstiltak Ulike detaljeringsnivå Flere trinn og aktører Etablering og vedlikehold Tiltaksbanken fra ISO 27001/27002 Få oversikt eksisterende tiltak Mer veiledning?

Hendene i internkontrollen

Kompetanse- og kulturutvikling Kunnskap Bevisstgjøring Ferdigheter og øving Kompetanseplaner Kulturutvikling

Læreren i internkontrollen

Overvåking og hendelseshåndtering Overvåking Hendelseshåndtering

Vakta i internkontrollen

Måling, evaluering og revisjon Testing ved tiltaksetablering Beslutningsgrunnlag for risikoeiere og ledelsen Driftsoppfølging og SLA Grunnlag for ledelsens gjennomgang Evalueringer Intern revisjon

Kontrolløren i internkontrollen

Informasjon og kommunikasjon Struktur Innhold og format Kommunikasjon Retningslinje

Limet i internkontrollen

Oppsummering Tre myter avlivet

Internkontroll - informasjonssikkerhet

Internkontroll - informasjonssikkerhet

Internkontroll - informasjonssikkerhet

Internkontroll - informasjonssikkerhet

Kontaktinformasjon infosikkerhet@difi.no infosikkerhet.difi.no Veiledningsmateriellet Internkontroll.infosikkerhet.difi.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding