Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro



Like dokumenter
ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

EDB Business Partner. Sikkerhetskontroller / -revisjoner

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring

SIKRING i et helhetsperspektiv

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

NS-ISO 38500:2008 Virksomhetens styring og kontroll av IT. IKT seminar August Nilssen Prosjektleder IKT Standard Norge

Revisjon av IT-sikkerhetshåndboka

SIKRING i et helhetsperspektiv

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Erfaringer fra en Prosjektleder som fikk «overflow»

Aggregering av risiko - behov og utfordringer i risikostyringen

Internkontroll i praksis (styringssystem/isms)

Policy for informasjonssikkerhet og personvern i Sbanken ASA

)R8XWIRUGULQJHULQQHQ,7VLNNHUKHW. Ketil Stølen SINTEF 6. mars 2003

Informasjonssikkerhet En tilnærming

Styringssystem basert på ISO 27001

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Komposisjon av risikomodeller:

Retningslinje for risikostyring for informasjonssikkerhet

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

En oversikt over forskjellige aspekter ved sikkerhetspolicyer

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Følger sikkerhet med i digitaliseringen?

Styringssystem for informasjonssikkerhet i Arbeidstilsynet

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Difis veiledningsmateriell, ISO og Normen

Sikkert nok - Informasjonssikkerhet som strategi

Referansemodell for arkiv

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Cyberspace og implikasjoner for sikkerhet

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Frokostseminar ISO serien Hva kan den brukes til i Norge?

Guri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET

Grunnleggende datakommunikasjon sikker datakommunikasjon fra offentlige nettsteder

Internkontroll og informasjonssikkerhet lover og standarder

Fjernet all beskrivelse av sikkerhetsklarering og adgangskontroll. Dette er nå beskrevet i en ny prosedyre L-238

Valid for Organization:

Hva er et styringssystem?

IT Governance virksomhetsutvikling og innovasjon uten å miste kontroll (compliance)

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Overordnet IT beredskapsplan

Leverandøren en god venn i sikkerhetsnøden?

ISOs styringssystemstandarder et verktøy for forenkling

Nytt fra sekretariatet

Konsulenter i Argon - Rådgiver, prosjektleder, kvalitetssikrer

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

5. desember Vanlige problemer og utfordringer i møtet med helhetlig risikostyring. Agenda

Kapittel 1 Forankring av IT-ansvar Kapittel 2 Oppgaver og ansvar i foretakets ledelseshierarki

NS-EN Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester

STRATEGISK PLAN

Kunde og BI leverandør hånd i hånd - eller..? Anders Hernæs / ah@ravnorge.no Lars- Roar Masdal / lrm@ravnorge.no

Ulike konsernmodeller hvordan organisere HMS-aktiviteter

Noark-evaluering og NOU og så da? IKA Trøndelag kontaktkonferanse 9. mai 2019 Fagdirektør Kjetil Reithaug Forvaltning, Dokumentasjonsforvaltning

Skytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE

Oppdrag gitt i foretaksmøte 31. mai Foreløpig rapport om gjennomføring av oppdraget

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Sikkerhetspolicies i utviklingsprosjekter

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

Visjon. Tenner for livet. Virksomhetsidé

Referansearkitektur sikkerhet

Norsox. Dokumentets to deler

Innebygd informasjonssikkerhet hvordan ivareta sikkerhet i prosjekter?

Retningslinjer for scenariobasert trusseldokumentasjon, erfaringer fra praksis

FORENKLING OG FOKUSERING

Revisjonsutvalg i mindre banker

Presentasjon Test. Møte med Systemleverandører 5.desember 2014

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Hva kjennetegner god Risikostyring?

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Slik kan du styrke sikkerhetskulturen med kommunikasjon

Model Driven Architecture (MDA) Interpretasjon og kritikk

Jernbaneverkets erfaringer med implementering av RAMS

Kommunereformarbeid. Kommunikasjonsplan som del av en god prosess Deloitte AS

Kommunens Internkontroll

Informasjonssikkerhet og digitalisering

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Informasjonssikkerhet? - vi er da politiet!

Lovhjemmel. Internkontrollforskriften 1: Internkontrollforskriften 5:

Norm for informasjonssikkerhet i helsesektoren

Strategi for Informasjonssikkerhet

Fra sikkerhetsledelse til handling ambisjoner og forventninger

Rapport Revisjon forskning Revmatismesykehuset AS

Hva, Hvorfor og litt om Hvordan

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo

Accenture Technology Consulting. Hva skal til for å lykkes med IT Governance? Roger Østvold Leder for Accenture IT Strategi og Transformasjon

Opplæring Content Workbench og overgang fra prosjekt til driftsfase

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

GDPR i praksis, sett fra en teknisk bedömmer. Anders Bergman IT-bedömmer NA og SWEDAC Greenfinger AB

Seksjon for informasjonssikkerhet

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet

Standarder for risikostyring av informasjonssikkerhet

Topplederens kunnskap og engasjement

IKT-revisjon som del av internrevisjonen

Risikoanalysemetodikk

RISIKOVILLIG, ELLER? mnemonic Risk Services Frokostseminar,

Måling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,

UTS Operativ Sikkerhet - felles løft

Transkript:

Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro Sintef-seminar 22.november 2006 Hege Jacobsen Hydro IS Partner, Norsk Hydro 2006-11-20

Innhold Hydros organisasjon Målene for informasjonssikkerhet Ulike formål med styrende dokumenter Krav til policies for at de skal fungere Lærdom og anbefalinger Date: 2006-11-20 Page: 2

Hydros organisasjon Date: 2006-11-20 Page: 3

Hydros organisasjon fra et IS/IT-perspektiv Corporate Information Systems staff (Hydro CIO) O&E IS (O&E CIO) HAL IS (HAL CIO) Hydro IS Partner Andre IT-leverandører Lokalt IS-personnel Lokalt IS-personnel Lokalt IS-personnel Date: 2006-11-20 Page: 4

Hovedmål for arbeidet med informasjonssikkerhet Beskytte Hydros informasjonsverdier Tilgjengelighet Konfidensialitet Integritet Stanse kjente trusler og eliminere sårbarheter Finne et riktig nivå for informasjonssikkerhetstiltak Skape de riktige holdninger og ryggmargsreflekser IMPACT LIKELIHOOD Date: 2006-11-20 Page: 5

Mekanismer i arbeidet med informasjonssikkerhet Standarder og styrende dokumenter Bevisstgjøringskampanjer Risikoanalyser Kontroller og revisjoner Sikkerhetstjenester fra tjenesteleverandører Hendelseshåndtering Date: 2006-11-20 Page: 6

Mekanismer i arbeidet med informasjonssikkerhet Standarder og styrende dokumenter Bevisstgjøringskampanjer Risikoanalyser Kontroller og revisjoner Sikkerhetstjenester fra tjenesteleverandører Hendelseshåndtering Date: 2006-11-20 Page: 7

Styrende dokumenter for informasjonssikkerhet Corporate directive for Information systems Føringer og målsetninger, organisering Corporate procedure Information security Viktige prinsipper, roller og ansvar Hydros minstekrav for informasjonssikkerhet (Information security standard) Spesifikke policies - Internet and E-mail use policy - Information user standard - Password synchronization and single sign-on Hydro IS architecture standard Krav knyttet til spesifikke systemer Relaterte styrende dokumenter - Corporate directive for Health, Security, Safety and Environment - Corporate directive for Risk Management - Corporate procedure for - Sarbanes-Oxley act - Hydro IS Partner Management Systems Manual Date: 2006-11-20 Page: 8

Ulike målgrupper IS-stab Styrende dokumenter Strategi Kontroll Design Testing Prosesser Kritikalitet Sårbarhetsanalyse Oppdragsansvarlig Risikoanalytiker Tjenesteleverandør Kvalitetskontroll Oppfølging Konsernledelse Informasjonseier Prosjektleder Teamleder Internrevisjon Forretningsrisiko Krav til leverandør og prosjektleder Sikring av ressurser Definere kritikalitet Sluttbruker Linjeleder Oppførsel og bruk av systemer Rutiner Oppfølging Forretningsområde Date: 2006-11-20 Page: 9

Målsetninger for styrende dokumenter Gi mandat og ansvar til ledere på ulikt nivå Gi kriterier for interne revisjoner og kvalitetskontroller Stille relevante krav til implementasjon og drift av IT-systemer Gi kunnskap om risikabel og riktig oppførsel Skape riktig forståelse og bevissthet om informasjonssikkerhet Date: 2006-11-20 Page: 10

Styrende dokumenter må altså være Presise og utvetydige formelt sett Ikke være generelle, men gi praktisk informasjon Gi klart formulerte krav knyttet til IT-faglige problemstillinger og trusler Virke relevante med lett forståelig argumentasjon Være komplette Være kortfattet Være teknisk korrekte, men forståelige av alle Uforenlige krav? Date: 2006-11-20 Page: 11

Utfordringer Brukere kjenner ikke til policy-krav eller forstår dem ikke Brukere respekterer ikke policy-krav Policy-krav er for generelle, ikke tilpasset hver enkelt forretningsprosess og informasjonssystem Policy-krav blir sett på som kontraproduktive av linjen Linjen ser ikke sammenheng mellom egne interesser og policy-krav Med andre ord policies blir pynt og papir? Date: 2006-11-20 Page: 12

Lærdom i Hydro Forenkling - innhold, språk og struktur - Hydro er nå i ferd med å foreta en forenkling av sine policy-dokument Styrende dokumenter må ikke inneholde mer enn man er villige til å stille organisasjonen til ansvar for - Styrende dokumenter må klart formulere de enkelte aktørers ansvar - Ansvar må plasseres hos linjen - Følge opp med revisjoner og kontroller Hensiktsmessig balanse mellom absolutte og kontekstuelle krav - Risikoanalyser verktøy til å stille riktige krav til informasjonssikring - Mer fokus på riktige prosesser enn på bastante krav Styrende dokumenter kan ikke stå alene - Må følges opp av mer pedagogisk materiale rettet mot sluttbrukere - Må følges opp av kampanjer og kurs Date: 2006-11-20 Page: 13

Informasjonssikkerhet må henge sammen med andre ledelsesprosesser - Enterprise risk management - knytte IT/IS til forretningsmessig risiko - Beslutningsprosesser informasjonssikkerhet - Kvalitetssystemer IT-aktører må være en fokusert målgruppe - Prosjektledere, teamledere, leverandører er endringsagenter på dette området - Krav til IT-leverandører må bakes inn i service-avtaler (SLA) - IT-leverandørens egne kvalitetssystemer og interne kultur av sentral betydning - Oversettingen av policy-krav til praktiske løsninger ikke triviell overlat ikke dette til teknikerne alene! Ha fokus på sikkerhetspolicy-krav i systemutvikling - Krav om risikoanalyser ved nye systemer og ved endringer i systemer eller bruksområder Resultat policies blir et redskap for proaktivitet og kontroll! Date: 2006-11-20 Page: 14

Spørsmål og kommentarer? Date: 2006-11-20 Page: 15

Date: 2006-11-20 Page: 16

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding