Sikkert nok - Informasjonssikkerhet som strategi

Like dokumenter
Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Internkontroll i praksis (styringssystem/isms)

Difis veiledningsmateriell, ISO og Normen

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Seksjon for informasjonssikkerhet

Aggregering av risiko - behov og utfordringer i risikostyringen

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Styringssystem for informasjonssikkerhet et topplederansvar

Få oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling

Øyvind Grinde, seksjonssjef

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Risikovurdering - sett fra ISO og informasjonssikkerhet

Styringssystem for informasjonssikkerhet

Spørreundersøkelse om informasjonssikkerhet

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet

Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15.

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Jorunn Bødtker Norsk Arkivråds seminar 20. mars 2018

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Styringssystem i et rettslig perspektiv

Grunnleggende innføring Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

NIFS 16. desember 2015

Personvern - sjekkliste for databehandleravtale

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

Grunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Raskere digitalisering med god sikkerhet. Evry

Gode råd til sikkerhetsansvarlige

Kommunikasjon med ledelsen hva kan Difi bidra med?

Oversikt. Remi Longva

Risikobasert arbeid med personvern

Oppfølging av informasjonssikkerheten i UH-sektoren

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Strategi for Informasjonssikkerhet

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter

Internkontroll og informasjonssikkerhet lover og standarder

Myk eller sterk IT-styring? I dag og fremover!

Gode råd til sikkerhetsansvarlige

Regelverk for digital kommunikasjon i og med forvaltningen

Hva er et styringssystem?

Sikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013

Standarder for risikostyring av informasjonssikkerhet

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Revisjon av IT-sikkerhetshåndboka

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Barne- og likestillingsdepartementet

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4

NS-EN Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester

Styringssystem for informasjonssikkerhet Erfaringer med og anbefalinger om standardene ISO og ISO Rapport 2012:15 ISSN

Arbeidet med informasjonssikkerhet i statsforvaltningen

Direktoratet for forvaltning og ikt Besøksadresse Oslo: Besøksadresse Leikanger: Postboks 1382 Vika Oslo

Utredning av standarder for styring av informasjonssikkerhet

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden

Statsbudsjettet 2016 tildelingsbrev Rikskonsertene

Digital pasientsikkerhet, Normen og litt velferdsteknologi. Stavanger 4. juni 2019 Aasta Margrethe Hetland

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

Politikk for informasjonssikkerhet

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Statlig IKT-politikk en oversikt. Endre Grøtnes Difi, avdeling for digital strategi og samordning

Informasjonsforvaltning et rettslig perspektiv. Jon Holden

Referansearkitektur sikkerhet

Informasjonssikkerhet - konsernprosedyre

Landbruks- og matdepartementet

Høringssvar - Langsiktig strategi for Altinn

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

Grunnleggende datakommunikasjon sikker datakommunikasjon fra offentlige nettsteder

Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Byrådssak 1383 /15. Ny strategi for informasjonssikkerhet ESARK

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Guri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Anbefalte delaktiviteter og dokumentasjon Støttedokument

Anbefalte delaktiviteter og dokumentasjon

Revisjon av anbefalte standarder for styringssystem for informasjonssikkerhet

Regnskapsførervirksomheten skal ved forespørsel få fremlagt dokumentasjon på dette.

ISO27001 som del av forvaltningen

Krav til informasjonssikkerhet i nytt personvernregelverk

Krav til informasjonssikkerhet. DRI1010 forelesning Jon B. Holden

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Sikkerhet og personvern i skole og klasserom

Status personvern Hedmark og Oppland fylkeskommuner

Veilederen må oppheves og erstattes av et mer helhetlig og hensiktsmessig rammeverk for å operasjonalisere instruksen.

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Fra sikkerhetsledelse til handling ambisjoner og forventninger

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Etablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard

Transkript:

Sikkert nok - Informasjonssikkerhet som strategi Lillian Røstad Seksjonssjef Jan Sørgård Seniorrådgiver Digitaliseringskonferansen 6. juni 2014

C IA

Nasjonal strategi for informasjonssikkerhet 2003 2007 2012

Hvorfor er sikkerhet viktig for Norge? Alle aktører er kjent med risikobildet, og sikrer sine systemer og nett i henhold til dette. Myndighetene legger aktivt til rette for at den nasjonale IKT-infrastrukturen er godt sikret, gjennom rett organisering, tilstrekkelig ressursbruk, gode rammevilkår og effektive tiltak. Private og offentlige virksomheter bygger sikkerhet og robusthet inn i sin informasjonsinfrastruktur for å sikre egen virksomhet og for å beskytte sine kunder og brukere. Den enkelte tar et selvstendig initiativ for å beskytte sin identitet, sitt eget personvern og sine egne økonomiske verdier på nett.

Seksjon for informasjonssikkerhet Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen.

Hvor trykker informasjonssikkerhetsskoen?

Utfordringer

Ledelsen Brukerne (interne) Brukerne (eksterne) Forankring Leverandører Driftsteknikere Utviklere

Behov

Internkontroll & styringssystem i praksis

Avlive tre myter

Myte 1 Påstand: «Internkontroll» og «styringssystem for informasjonssikkerhet» er forskjellige ting Svar: Nei, ikke når begge betyr «intern styring og kontroll»

Myte 2 Påstand: Informasjonssikkerhet = hindre uautorisert innsyn Svar: Nei, informasjonssikkerhet handler om tilstrekkelige og balansert sikring av konfidensialitet, integritet og tilgjengelighet for å nå virksomhetens mål og å etterleve lover og regler

Hvorfor har vi bremser på en bil? For å kunne stoppe? For å kunne kjøre raskt, effektivt og målretta? Gode bremser gjør det mulig å kjøre raskt til målet, bremse ned når en bør og stoppe når en må Hensiktsmessige sikringstiltak er en muliggjører Uhensiktsmessige sikringstiltak irriterer, hemmer, blir undergravd og gir økt risiko

Myte 3 Påstand: Informasjonssikkerhet = IKT-sikkerhet Svar: Nei, informasjonssikkerhet inkluderer både muntlighet, papirbruk, IKT mv. i all formidling, behandling og lagring av informasjon

Krav og anbefalinger

eforvaltningsforskriften endret februar 2014 (Forskrift om elektronisk kommunikasjon med og i forvaltningen) Bl.a. tydeliggjort kravene til informasjonssikkerhet Kapittel 3 Styring og kontroll med informasjonssikkerheten 15 Internkontroll på informasjonssikkerhetsområdet

eforvaltningsforskriften Utdrag ny 15 (endret 13). Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Internkontrollen bør være en integrert del av virksomhetens helhetlige styringssystem. Det organet departementet peker ut skal gi anbefalinger på området. Omfang og innretning på internkontrollen skal være tilpasset risiko..

Videre anbefalinger fra Difi (Referansekatalogen ver. 4.1) Det er anbefalt å basere seg på ISO/IEC 27001:2013 ved etablering av internkontroll/styringssystem på informasjonssikkerhetsområdet Det er anbefalt å støtte seg på ISO/ IEC 27002:2013 i implementeringen av relevante tiltak

Difis veiledningsmateriell - Avmystifisere styringssystem for informasjonssikkerhet (ISMS) - Internkontroll i praksis informasjonssikkerhet

Difis nye veiledningsmateriell (1) Tydeliggjøre de sentrale prosessene i internkontroll/styringssystem Forklare innhold i prosesser og aktiviteter Gi råd rundt organisering og gjennomføring Eksempler og maler Synliggjøre tilsvarende i andres veiledninger

Difis nye veiledningsmateriell (2) Nettbasert Flere iterasjoner og betaversjoner Kommentarfunksjon på de fleste sider En stor og bred referansegruppe for alle interesserte Egen referansegruppe for andre veiledningsaktører

Hva er hovedprosessene i internkontrollen/styringssystemet? Ledelsens gjennomgang og utforming av føringer Informasjon og kommunikasjon Risikostyring (risikovurdering og risikohåndtering) Tiltaksetablering og vedlikehold Kompetanse- og kulturutvikling Overvåking og hendelseshåndtering Måling, evaluering og revisjon

Hovedprosessene i internkontrollen/styringssystemet

Betaversjon 1.0 Publisert 28.5.2014 internkontroll.infosikkerhet.difi.no

Innholdet i veiledningsmateriellet

Ledelsens gjennomgang og utforming av føringer Informasjonssikkerhet? Tonen på toppen Strategiutforming generelt Mål og strategi informasjonssikkerhet Retningslinje risikostyring (kalibrering) Retningslinje internkontroll Plan for bedre internkontroll Årlige føringer (styringsparametere) Periodisk gjennomgang

Hjernen i internkontrollen

Risikostyring Hva er risiko? Organisere risikostyring Risikovurdering Risikohåndtering Videre råd

Hjertet i internkontrollen

Tiltaksetablering og vedlikehold Systemrettede tiltak Informasjonssikkerhetstiltak Ulike detaljeringsnivå Flere trinn og aktører Etablering og vedlikehold Tiltaksbanken fra ISO 27001/27002 Få oversikt eksisterende tiltak Mer veiledning?

Hendene i internkontrollen

Kompetanse- og kulturutvikling Kunnskap Bevisstgjøring Ferdigheter og øving Kompetanseplaner Kulturutvikling

Læreren i internkontrollen

Overvåking og hendelseshåndtering Overvåking Hendelseshåndtering

Vakta i internkontrollen

Måling, evaluering og revisjon Testing ved tiltaksetablering Beslutningsgrunnlag for risikoeiere og ledelsen Driftsoppfølging og SLA Grunnlag for ledelsens gjennomgang Evalueringer Intern revisjon

Kontrolløren i internkontrollen

Informasjon og kommunikasjon Struktur Innhold og format Kommunikasjon Retningslinje

Limet i internkontrollen

Oppsummering: Tre myter avlivet

Internkontroll - informasjonssikkerhet

Internkontroll - informasjonssikkerhet

Internkontroll - informasjonssikkerhet

Internkontroll - informasjonssikkerhet

Kontakt oss infosikkerhet@difi.no http://infosikkerhet.difi.no Veiledningsmateriellet: Internkontroll.infosikkerhet.difi.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding