Difis veiledningsmateriell, ISO 27001 og Normen Jan Sørgård, seniorrådgiver Difi Jan Gunnar Broch, seniorrådgiver Helsedirektoratet
Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering og ledelse Oslo 240 ansatte Leikanger Utreder og analyserer Utvikler og forvalter fellesløsninger Rådgiver, pådriver og samordner m.m
Difis rolle og mandat informasjonssikkerhet Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen. Være en pådriver på etater/staten når det gjelder å bedre informasjonssikkerheten Gi anbefalinger til stat og kommune (forvaltningsorgan) om internkontroll på informasjonssikkerhetsområdet (jf. eforvaltningsforskriften 15) 10-12 personer i seksjon for infosikkerhet
Norm for informasjonssikkerhet i helse og omsorgssektoren Et omforent sett av adferdsregler og tiltak Besluttet og forvaltet av sektoren, forankret i EU-direktiv 46/95 artikkel 27 POL 42, 6 Arbeidet startet opp i 2003, versjon 1 klar i 2006, versjon 4 i 2014 www.normen.no
Styringssystem for informasjonssikkerhet for all informasjonsbehandling i offentlig sektor - bakgrunn
2010-2011 - Tilstanden er ikke god nok Mange offentlige virksomheter mangler tilstrekkelig styring og kontroll med informasjonssikkerheten Jf. Riksrevisjonens rapporter og uttalelser Datatilsynets årsmeldinger og uttalelser NSMs årsmeldinger og uttalelser
2012-2013 Digitaliseringsrundskriv pkt. 1.7, Anbefalinger i Referansekatalogen pkt. 2.16, Nasjonal strategi inf.sikkerhet, Difi-rapport 2012:15
Internkontroll, styringssystem m.v. - begrepsflora eller begrepskaos? internal control intern kontroll styring og kontroll internkontroll internkontrollsystem management system styringsystem ledelsessystem kvalitetssystem. Og hva er forskjellen på a control en kontroll et tiltak et sikringstiltak. Ulike fagmiljø har ulike begrep på i hovedsak det samme Vårt råd: Vær pragmatisk!
Hvorfor infosikkerhet? Nå våre primære mål Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte IKT
Hvorfor infosikkerhet? Nå våre primære mål Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte IKT Understøtte Informasjonssikkerhet -tiltak for sikring av tilgjengelighet, integritet, konfidensialitet på informasjon
Hvorfor infosikkerhet og internkontroll? Nå våre primære mål Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte IKT Treffer eller bommer vi? Informasjonssikkerhet -tiltak for sikring av tilgjengelighet, integritet, konfidensialitet på informasjon
Hvorfor infosikkerhet og internkontroll? Nå våre primære mål Målorientert Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte Risikobasert IKT Understøtte Balansert Informasjonssikkerhet -tiltak for sikring av tilgjengelighet, integritet, konfidensialitet på informasjon
Tilpasset risiko = forholdsmessige sikringskrav Tilpasset risiko Jf. eforvaltningsforskriften 15 Omfang og innretning på internkontrollen skal være tilpasset risiko Gjelder både internkontrollsystemet og sikringstiltakene Forholdsmessige sikringskrav Jf. personopplysningsforskriften 2-1 der det for å hindre fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet er nødvendig å sikre KIT skal tiltakene stå i forhold til sannsynligheten for og konsekvens av sikkerhetsbrudd
Norm for informasjonssikkerhet i helse- og omsorgssektoren Styringsgruppens mandat Nytt mandat vedtatt juni 2013 Styringsgruppens overordnede mål for Norm for informasjonssikkerhet helse-, omsorgs- og sosialsektoren (Normen) er god og sikker informasjonsbehandling. Normen skal, innenfor lovverkets rammer, søke en balansert tilnærming til konfidensialitet, tilgjengelighet, integritet og kvalitet. Normen skal bidra til å understøtte gode helsetjenester, god pasientsikkerhet, de ansattes personvern, og en aktiv pasientrolle.
Nasjonale innsatsområder for e-helse Én innbygger én journal Styring, koordinering og prioritering Innbyggertjenester Helsepersonelltjenester Styrings- og kunnskapsgrunnlag Personvern og informasjonssikkerhet Standarder, terminologi og kodeverk Forskning, innovasjon og kompetanse IKT-infrastruktur og felleskomponenter
Sikkerhet, robusthet og personvern
Forventninger til offentlig sektor Resultatkrav Bedre måloppnåelse primære mål Digitalt førstevalg Effektivisering Ta ut gevinstpotensialet i ny teknologi Frigi ressurser til primære mål Investering Interkontroll informasjonssikkerhet Nye teknologiske løsninger Nye arbeidsmåter 7.10.2014
Hvorfor har vi bremser på en bil? For å kunne stoppe? For å kunne kjøre raskt, effektivt og målretta? Gode bremser gjør det mulig å kjøre raskt til målet, bremse ned når en bør og stoppe når en må Hensiktsmessige sikringstiltak er en muliggjører Uhensiktsmessige sikringstiltak irriterer, hemmer, blir undergravd og gir økt risiko
eforvaltningsforskriften endret februar 2014 (Forskrift om elektronisk kommunikasjon med og i forvaltningen) Bl.a. tydeliggjort kravene til informasjonssikkerhet Kapittel 3 Styring og kontroll med informasjonssikkerheten 15 Internkontroll på informasjonssikkerhetsområdet NB! Forskriften gjelder statlige virksomheter, fylkeskommuner, kommuner, helseforetak og andre forvaltningsorgan
eforvaltningsforskriften Utdrag ny 15 (endret 13). Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. internkontrollen skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks. Internkontrollen bør være en integrert del av virksomhetens helhetlige styringssystem. Omfang og innretning på internkontrollen skal være tilpasset risiko..
Videre anbefalinger fra Difi (Referansekatalogen ver. 4.1) Det er anbefalt å basere seg på ISO/IEC 27001:2013 ved etablering av internkontroll/styringssystem på informasjonssikkerhetsområdet Det er anbefalt å støtte seg på ISO/ IEC 27002:2013 i implementeringen av relevante tiltak
Struktur og krav (overordnet) i ISO/IEC 27001:2013 Kontekst (rammevilkår/forutsetninger) forstå og tydeliggjøre kontekst, forstå interessentenes behov og forventninger, definere omfang av styringssystemet Lederskap utøve lederskap og engasjement, utforme policy, klargjøre roller og ansvar Planlegging klargjøre hvordan risiko og muligheter skal analyseres og håndteres, klargjøre informasjonssikkerhetsmål og hvordan disse skal nås Støtte/support sikre tilstrekkelig ressurser, kompetanse, bevissthet, kommunikasjon, dokumentasjon
Struktur og krav (overordnet) i ISO/IEC 27001:2013 Drift etablering og drift av nødvendige prosesser, vurdere og håndtere risikoer Vurdere ytelse overvåking, måling, analyse, evaluering, intern revisjon, ledelsens gjennomgang Forbedring avvikshåndtering, kontinuerlig forbedring
ISO 27001 og Normen Bygger på samme opprinnelse Har mange av de samme hovedelementene ISO 27001 har litt større vekt på enkelte ting som måling og evaluering Normen vektlegger det spesifikke for helse Tilgangsstyring Pasientens rettigheter mv. Normen dekker både offentlige og private virksomheter
Utfordringer ved å basere seg på ISO/IEC 27001:2013 alene Fremdeles krevende å etablere internkontroll/styringssystem infosikkerhet Hvilke prosesser/aktiviteter må/bør etableres? Hvordan kan/bør de implementeres og fungere? Relasjonen/sammenhengen til andre internkontroll-/styringssystem? Difis vurdering: Standarden må suppleres med praktisk rettet veiledningsmateriell
Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Sentrale delmål: - Avmystifisere styringssystem for informasjonssikkerhet (ISMS) - Internkontroll i praksis - informasjonssikkerhet - Basert på ISO/IEC 27001 - Dekke all informasjonsbehandling (eforvaltningsforskriften)
Difis nye veiledningsmateriell Nettbasert Flere iterasjoner og betaversjoner Kommentarfunksjon på de fleste sider En stor og bred referansegruppe for alle interesserte Egen referansegruppe for andre veiledningsaktører
Høyremeny «Nyttig»
Hovedaktivitetene i internkontrollen/styringssystemet
Normen «Virksomhetens ledelse skal etablere et styringssystem for informasjonssikkerhet som en del av virksomhetens internkontrollsystem.» (Normen) «Ledelsens gjennomgang må sees i sammenheng med økonomi- og virksomhetsplanleggingen da beslutningene kan få økonomiske konsekvenser» (Normen) Normen Styrende del Gjennomførende del Kontrollerende del
Normen og Difis veiledning Styrende Gjennomførende Kontrollerende
Ledelsens styring og oppfølging Godt å vite Hvorfor infosikkerhet? Tonen på toppen Støtte til ledelsen Krav og anbefalinger
Ledelsens styring og oppfølging Delaktiviteter Analyse av status Plan for bedre internkontroll Overordnede styrende dokument Ledelsens årlige gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Ved etablering/behov
Ledelsens styring og oppfølging Delaktiviteter Analyse av status Plan for bedre internkontroll Overordnede styrende dokument Policy for informasjonssikkerhet Retningslinje for roller, myndighet og ansvar Retningslinje for risikostyring (risikovurdering og risikohåndtering) Ledelsens årlige gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Ved etablering/behov Ved etablering/stor endring/svakheter
Ledelsens styring og oppfølging Delaktiviteter Analyse av status Plan for bedre internkontroll Overordnede styrende dokument Ledelsens årlige gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Ved etablering/behov Ved etablering/stor endring/svakheter Årlig kjerneaktivitetene Ved behov
Hjernen i internkontrollen
Risikovurdering Godt å vite (foreløpig) Hva er risiko? Ulike metoder Kritikalitet og verdi Nivå (linje- og prosjektleder, systemeier, leverandør infrastruktur) Trusler, farer og sårbarheter Sannsynlighet Konsekvens
Risikovurdering Delaktiviteter (foreløpig) Risikovurdering på prosesser/oppgaver linje- og prosjektleder Risikovurdering på IT-system/digitale tjenester Systemeier Risikovurdering på infrastruktur/teknisk plattform Leverandør infrastruktur
Hjertet i internkontrollen
Risikohåndtering Godt å vite (foreløpig) Hovedalternativer akseptere, unngå, overføre, endre Tiltakskategorier pedagogiske, organisatoriske, administrative, tekniske, fysiske) Ulike detaljeringsnivå og aktører Etablering og vedlikehold Tiltaksbank Andre tiltak Eksisterende tiltak
Risikohåndtering Delaktiviteter (foreløpig) Risikohåndteringsplan Fellestiltak Systemspesifikke tiltak Prosesspesifikke tiltak Gjennomføre risikoreduserende prosjekt/oppgaver Implementere sikringstiltak Godkjenne implementering Etterleve sikringstiltak
Hendene i internkontrollen
Kompetanse- og kulturutvikling Kunnskap Bevisstgjøring Ferdigheter og øving Kompetanseplaner Kulturutvikling
Læreren i internkontrollen
Overvåking og hendelseshåndtering Overvåking Hendelseshåndtering
Vakta i internkontrollen
Måling, evaluering og revisjon Målinger ved tiltaksetablering Målinger for risikoeiere Målinger for ledelsen Større evalueringer Intern revisjon
Kontrolløren i internkontrollen
Kommunikasjon Dokumenter struktur innhold og format Tydelige kommunikasjonskrav og -linjer Etablere og følge retningslinjer
Limet i internkontrollen
Internkontroll i praksis - informasjonssikkerhet
Internkontroll i praksis - informasjonssikkerhet
Fremdriftsplan Difis veiledningsmateriell 28.05.2014 Betaversjon 1.0 Grunnleggende informasjon på alle hovedaktiviteter. 01.09.2014 Betaversjon 2.0 Utdypninger av «Ledelsens styring og oppfølging» + justeringer av betaversjon 1.0 for øvrig 3.10.2014 Betaversjon 2.1 Innføring av tre nivå på informasjonen i venstremeny 28.11.2014 Betaversjon 3.0 Utdypninger av «Risikovurdering» + justeringer
Fremdriftsplan Difis veiledningsmateriell 27.02.2015 Betaversjon 4.0 Utdypninger av «Risikohåndtering» + justeringer 27.03.2015 Betaversjon 5.0 Utdypninger av "Overvåking og hendelseshåndtering" og «Kompetanse- og kulturutvikling» + justeringer 30.04.2015 Betaversjon 6.0 Utdypninger av «Måling, evaluering og revisjon» + justeringer 15.06.2015 Godkjent versjon 1.0
Internkontroll i praksis - informasjonssikkerhet
eforvaltningsforskriften, Difis veiledningsmateriell og Normen eforvaltningsforskriften og Difis veiledningsmateriell Gjelder all informasjonsbehandling i virksomhetene «internkontrollen skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks.» Personopplysningsloven og forskriften Gjelder behandling av personopplysninger Normen En avtale som skal etterleves slik som lover og forskrifter (for de den gjelder) Stiller spesifikke krav til behandling av helseopplysninger og til andre personopplysninger helsepersonell får vite
Internkontroll informasjonssikkerhet Er et systematisk arbeid for å håndtere risiko Er en forutsetning for en kontrollert og effektiv digitalisering og informasjonsbehandling Gir ledelsen og virksomheten for øvrig styringsmulighet når vi må få opp farten
Normen og Difis veiledning - basert på ISO/IEC 27001 Styrende Gjennomførende Kontrollerende
Kontakt Difi infosikkerhet@difi.no http://infosikkerhet.difi.no Veiledningsmateriellet: Internkontroll.infosikkerhet.difi.no