NS-ISO 38500:2008 Virksomhetens styring og kontroll av IT. IKT seminar August Nilssen Prosjektleder IKT Standard Norge

Like dokumenter
Berit Sørset, Norsk Industri Guri Kjørven, Standard Norge NS-ISO LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK

Norsox. Dokumentets to deler

Ny styringsmodell for informasjonssikkerhet og personvern

Guri Kjørven, Standard Norge NS-ISO LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK

NS-EN Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester

Revisjon av styring og kontroll

Sammenligning av ledelsesstandarder for risiko

EU Direktivene 43 og 46 /2006 EuroSox Nye påbud fra sommeren 2008 Er du beredt?

NOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet.

EDB Business Partner. Sikkerhetskontroller / -revisjoner

Accenture Technology Consulting. Hva skal til for å lykkes med IT Governance? Roger Østvold Leder for Accenture IT Strategi og Transformasjon

Informasjon til styret ved Medisinsk fakultet tirsdag 19. mai 2015.

IT I PRAKSIS!!!!! IT i praksis 20XX

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Kapittel 1 Forankring av IT-ansvar Kapittel 2 Oppgaver og ansvar i foretakets ledelseshierarki

Årsrapport 2014 Internrevisjon Pasientreiser ANS

Sikkerhetsforum 2018

Aggregering av risiko - behov og utfordringer i risikostyringen

Policy for Eierstyring og Selskapsledelse

IT Governance virksomhetsutvikling og innovasjon uten å miste kontroll (compliance)

Transportkonferansen Ledelsessystemer, ISO-sertifisering

Trondheim, SEMINAR: TA GREP OM ENERGIEN MED NS-EN ISO 50001:2018

Vedlegg til styresak Program for standardisering og IKT-infrastrukturmodernisering (STIM) Styringsdokument v. 0.90

1. FORMÅL 2. PROFESJONELT GRUNNLAG

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Etiske retningslinjer

Guri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET

Grønt sykehus grønn standard

Etiske retningslinjer pr

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Hvorfor må man skjønne virksomheten for å være en god arkivar? Kristine Synnøve Brorson

Hvordan ha orden på internkontrollen?

Prosedyre for interne undersøkelser av hendelser

LEVERANDØRENS SAMFUNNSANSVAR Page 1 of 5 VEDLEGG LEVERANDØRENS SAMFUNNSANSVAR

Styremøte 15. juni 2016 i Sørlandet sykehus HF. Styresak

NKRF Årsmøte 2009 Revisors vurdering av internkontroll

Veiledning- policy for internkontroll

ISO som del av vårt styringssystem. Ernst Ole Solem Kvalitetssjef og beredskapsleder Asker kommune

SINTEF Materialer og kjemi Slik skaper vi resultater

Vedlegg 2 til styresak Program for standardisering og IKT-infrastrukturmodernisering (STIM) Styringsdokument v. 0.5

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt

Strategi og virksomhetsstyring. Jan Ove Akerjordet Thomas Sellevoll Skattedirektoratet/Strategiteamet

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Egenevaluering av internkontrollen

Sykehuset Innlandet HF Styremøte SAK NR HELHETLIG PLAN FOR VIRKSOMHETSSTYRING Forslag til VEDTAK:

Konsernretningslinje - Hvitvasking, terrorfinansiering og sanksjoner

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Tilhører prosjekt: A3 Virksomhetsstyring, økonomi og eierskap / A3.16 Helhetlig virksomhetsstyring A Interkontroll (inkludert risikostyring)

Organisasjonsjustering hos USIT

Godkjent av: Styret. direktør. Dokumentnavn: Instruks for administrerende. 16. juni direktør. 1. Formål

Regler for arbeid i standardiseringskomiteer i Standard Norge

Pfizers Internasjonale Forretningsprinsipper for Forebygging av Bestikkelser og Korrupsjon

Policy for Eierstyring og Selskapsledelse

Standarder for risikostyring av informasjonssikkerhet

Utfordringer og muligheter KVALITETSDAGENE

Digitalt førstevalg. Digitalt førstevalg i Finnmark. - Hvordan gjør vi det i praksis? Aleksander Øines Leder IKT Alta kommune

strategi for PDMT

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

Etiske retningslinjer i Vigo IKS

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 16/01/13

Handlingsplan tilknyttet revisjonsrapport «analyse av manglende avtalelojalitet ved kjøp av behandlingshjelpemidler»

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?

Organisering av kvalitetsutvalg og pasientsikkerhetsutvalg

Fra sikkerhetsledelse til handling ambisjoner og forventninger

Daglig leder er ansvarlig for drift av stiftelsen, koordinering av de ulike prosjekter og stiftelsens kontaktperson. Daglig leder utpekes av styret.

Fra innkjøpsstrategi til handling et rammeverk som sikrer effektiv og vellykket gjennomføring

Veiledning om samfunnsansvar NS-ISO 26000

Strategiplan

Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro

Retningslinje for Sikkerhetsstyring og leverandørstyring innen Sikkerhetsstyring

Internkontroll i Gjerdrum kommune

Strategisk styring og organisasjonsutvikling

Endringsoppgave: Dokument for virksomhetsstyring av Radiologisk avdeling, SiV HF. Nasjonalt topplederprogram. Lene Aa Hoffstad

Gjelder fra: Godkjent av: Camilla Bjørn

Instruks for styret. Sykehuspartner HF

Hvordan styre frie institusjoner. Målstyring i universitets- og høyskolesektoren

Nytt veiledningsmateriell om internkontroll - lanseringsseminar 23. mai Direktoratet for økonomistyring

«Fra stykkevis til helt»

Eierstyring og selskapsledelse

Risikobildet - forvaltningsområder. Fornyet risikogjennomgang høsten 2010, med utgangspunkt i gjennomførte risikovurderinger i 2008 og 2009.

Guideline. HMS Policy

Standard hva er nå det?

Instruks for administrerende direktør Helse Nord IKT HF

Prinsipper for virksomhetsstyring i Oslo kommune

Årsrapport Internrevisjon. Rektoratmøte 22. februar 2018 Styremøte 13. mars 2018 Jørgen Bock Avdelingsdirektør intern revisjon

Universitets- og høgskolekommunen Trondheim

Møte på Nasjonal arena for samhandling med fag- og interesseorganisasjoner

Retningslinjer for håndtering av konflikter mellom arbeidstakere i Troms fylkeskommune

Økonomistyring i virksomheten

VEDLEGG D ADMINISTRATIVE BESTEMMELSER

Forskrift om ledelse og kvalitetsforbedring i helse og omsorgstjenesten

Kommunens administrative styringsmodell

Arkivplan som verktøy for internkontroll i kommunene

Miljøledelse 2018, Knut Jonassen. Miljøledelse I SMÅ VIRKSOMHETER NYE ISO 14005

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers Tlf.

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Retningslinje for Risikostyring trafikksikkerhet innen Sikkerhetsstyring

RETNINGSLINJER FOR ARBEID I NEKs NORMKOMITEER

Transkript:

NS-ISO 38500:2008 Virksomhetens styring og kontroll av IT IKT seminar 2011-02-17 August Nilssen Prosjektleder IKT Standard Norge

NS-ISO 38500:2008 Tittel: Virksomhetens styring og kontroll av IT Corporate governance of information technology Fastsatt som Norsk Standard pr. august 2010. ISO har pr september 2010 påbegynt revisjon av standarden. Den norske oversettelsen av standarden blir ikke publisert før den reviderte ISO standarden foreligger.

Generelt Målsettingen med denne standarden er å gi et rammeverk med prinsipper som ledere kan bruke når de evaluerer, styrer og monitorerer bruken av informasjonsteknologi (IT) i virksomheten. Denne standarden gir et rammeverk for effektiv styring av IT med sikte på å hjelpe de på øverste nivå i virksomheten med å forstå og oppfylle sine juridiske, forskriftsmessige og etiske forpliktelser ved bruk av IT. Rammeverket omfatter definisjoner, prinsipper og en modell.

Generelt Standarden kan brukes av alle virksomheter, fra de aller minste til den aller største, uavhengig av mål, utforming og eierstruktur. Standarden er også ment å skulle informere og veilede de som er involvert i å utforme og iverksette et ledelsessystem som består av policyer, prosesser og strukturer som støtter virksomhetsstyringen.

Generelt Denne standarden gir veiledende prinsipper for ledere i alle typer virksomheter (inklusive eiere, styremedlemmer, ledere, partnere, toppledere eller lignende) for effektiv, målrettet og akseptabel bruk av informasjonsteknologi (IT) i sine virksomheter. Denne standarden gjelder for styring av ledelsesprosesser (og beslutninger) relatert til informasjons- og kommunikasjonstjenester som brukes i en virksomhet. Disse prosessene kan bli kontrollert av interne IT-spesialister eller eksterne tjenesteleverandører, eller av forretningsenheter i virksomheten.

Generelt Denne standarden fastsetter prinsipper for effektiv, målrettet og akseptabel bruk av IT. Ved at virksomhetene følger disse prinsippene, vil dette bistå ledere i å balansere risikoer, samt stimulere muligheter som forekommer gjennom bruken av IT. Denne standarden fastsetter en modell for styring av IT. Faren for at ledere ikke overholder sine forpliktelser reduseres gjennom å følge modellen og bruke prinsippene på riktig måte. Denne standarden etablerer et begrepsapparat for styring av IT

Definisjoner, eksempler fra standarden 1.6.2 Virksomhetsstyring Det regimet som virksomheter styres og kontrolleres ut fra. 1.6.3 Virksomhetsstyring av IT Det regimet som den nåværende og framtidige bruken av IT er styrt og kontrollert etter. Overordnet styring av IT innebærer å evaluere og styre bruk av IT for å støtte virksomheten, samt å overvåke bruken for å gjennomføre realiseringen av planer. Dette inkluderer strategi og policy for bruk av IT i organisasjonen.

Definisjoner, eksempler 1.6.5 Leder Medlem av styrende organer i en virksomhet. Inkluderer eiere, styremedlemmer, partnere, toppledere eller lignende, samt tjenestepersonell som er autorisert gjennom lovgivning eller forskrifter (ref. nasjonalt forord). 1.6.9 Ledelse Regimet av kontroller og prosesser som er nødvendig, for å oppnå de strategiske målene som virksomhetens styrende organer har fastsatt. Ledelse er underlagt policy og føringer gitt gjennom kravene til virksomhetsstyring.

RAMMEVERK FOR GOD VIRKSOMHETSSTYRING AV IT 2.1 Prinsipper Dette avsnittet angir seks prinsipper for god virksomhetsstyring av IT

Ansvar 2.1.1 Prinsipp 1: Ansvar Enkeltpersoner og grupper i virksomheten forstår og aksepterer sitt ansvar når det gjelder både tilbud av og etterspørsel etter IT De som har handlingsansvar skal også ha myndighet til å utføre disse handlingene.

Strategi 2.1.2 Prinsipp 2: Strategi Virksomhetens forretningsstrategi tar hensyn til mulighetene ved nåværende og framtidig IT, og de strategiske planene for IT tilfredsstiller de nåværende og framtidige behovene i forretningsstrategien.

Anskaffelser 2.1.3 Prinsipp 3: Anskaffelser Anskaffelse av IT gjøres med utgangspunkt i en hensiktsmessig og fortløpende analyse, og med klar og åpen beslutningstaking. Det er en hensiktsmessig balanse mellom fordelene, mulighetene, kostnadene og risikoene, både på kort og på lang sikt.

Leveranse 2.1.4 Prinsipp 4: Leveranse IT er formålstjenlig når det gjelder å støtte virksomheten, ved å levere de tjenestene og tjenestenivåene og den tjenestekvaliteten som kreves for å imøtekomme nåværende og framtidige forretningsbehov.

Etterlevelse 2.1.5 Prinsipp 5: Etterlevelse IT overholder all lovgivning og forskrifter. Policyer og praksis er klart definert, implementert og håndhevet.

Menneskelig atferd 2.1.6 Prinsipp 6: Menneskelig atferd IT-policyer, -praksis og -beslutninger må ta hensyn til menneskelig atferd og behov, inklusive nåværende og framtidige behov til menneskene i prosessen

Styringsmodell 2.2 Styringsmodell Virksomhetens ledelse bør styre og kontrollere IT basert på tre hovedoppgaver: a) evaluere den nåværende og framtidige bruken av IT b) styre utarbeidelse og implementering av planer og policyer og sørge for at bruken av IT oppfyller forretningsmessige mål c) overvåke etterlevelse av policyer, og leveranse i henhold til planene

Styringsmodell

VEILEDNING FOR VIRKSOMHETSSTYRING AV IT 3.2 Prinsipp 1: Ansvar Evaluere Styre Overvåke

NS-ISO 38500:2008 Kjøpes hos Standard Online www.standard.no Norsk tittel, engelsk tekst. For mer informasjon om innhold: Kontakt: August Nilssen/Standard Norge ani@standard.no Mobil: 90140566

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding