Internkontroll i praksis (styringssystem/isms)

Like dokumenter
Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Difis veiledningsmateriell, ISO og Normen

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Sikkert nok - Informasjonssikkerhet som strategi

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Seksjon for informasjonssikkerhet

Styringssystem for informasjonssikkerhet et topplederansvar

Aggregering av risiko - behov og utfordringer i risikostyringen

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Styringssystem for informasjonssikkerhet

Få oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling

Øyvind Grinde, seksjonssjef

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Oversikt. Remi Longva

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Grunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Hva er et styringssystem?

Spørreundersøkelse om informasjonssikkerhet

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Styringssystem i et rettslig perspektiv

Kommunikasjon med ledelsen hva kan Difi bidra med?

NIFS 16. desember 2015

Risikovurdering - sett fra ISO og informasjonssikkerhet

Grunnleggende innføring Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Revisjon av IT-sikkerhetshåndboka

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Anbefalte delaktiviteter og dokumentasjon

Standarder for risikostyring av informasjonssikkerhet

Internkontroll og informasjonssikkerhet lover og standarder

Anbefalte delaktiviteter og dokumentasjon Støttedokument

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Strategi for Informasjonssikkerhet

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Sikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013

Guri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET

Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15.

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Retningslinje for risikostyring for informasjonssikkerhet

Jorunn Bødtker Norsk Arkivråds seminar 20. mars 2018

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

Ny styringsmodell for informasjonssikkerhet og personvern

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

NS-EN Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester

Raskere digitalisering med god sikkerhet. Evry

Byrådssak 1383 /15. Ny strategi for informasjonssikkerhet ESARK

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Informasjonssikkerhet - konsernprosedyre

Oppfølging av informasjonssikkerheten i UH-sektoren

Styringssystem for informasjonssikkerhet Erfaringer med og anbefalinger om standardene ISO og ISO Rapport 2012:15 ISSN

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter

Internkontroll for arkiv den nye arkivplanen?

Fra sikkerhetsledelse til handling ambisjoner og forventninger

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

SUHS konferansen Infomasjonssikkerhetsspor (CSO)

Risiko og sårbarhet knyttet til internkontroll. Charlotte Stokstad seniorrådgiver i Statens helsetilsyn 11. februar 2014

Revisjon av anbefalte standarder for styringssystem for informasjonssikkerhet

Erfaringer med innføring av styringssystemer

Risikobasert arbeid med personvern

Avito Bridging the gap

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Utredning av standarder for styring av informasjonssikkerhet

Transportkonferansen Ledelsessystemer, ISO-sertifisering

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

GDPR ny personvernforordning. Styring via godt arbeid med informasjonssikkerhet

Arbeidet med informasjonssikkerhet i statsforvaltningen

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4

Saksframlegg Referanse

Sikkerhetsforum 2018

ISO27001 som del av forvaltningen

Politikk for informasjonssikkerhet

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

Digital pasientsikkerhet, Normen og litt velferdsteknologi. Stavanger 4. juni 2019 Aasta Margrethe Hetland

Utkast instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Måling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,

EDB Business Partner. Sikkerhetskontroller / -revisjoner

Berit Sørset, Norsk Industri Guri Kjørven, Standard Norge NS-ISO LEDELSESSYSTEMER FOR ARBEIDSMILJØ KRAV OG VEILEDNING OM BRUK

Et revisjonsblikk på internkontroll

Ny sikkerhetslov og forskrifter

Revisjonsrapport for 2017 om styringssystem for informasjonssikkerhet i Arbeidstilsynet

DIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING

1. Kort forklaring av felles risikovurderingsmetodikk Oppsummering av risikovurderingene... 2

Rapport Revisjon forskning Revmatismesykehuset AS

Kapittel 1 Hva er datasikkerhet? Dagens situasjon Datasikkerhet Ledelse... 27

Internkontroll i Gjerdrum kommune

Personvern - sjekkliste for databehandleravtale

Hva er sikkerhet for deg?

Transkript:

Internkontroll i praksis (styringssystem/isms) Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi

2010-2011 - Tilstanden er ikke god nok Mange offentlige virksomheter mangler tilstrekkelig styring og kontroll med informasjonssikkerheten Jf. Riksrevisjonens rapporter og uttalelser Datatilsynets årsmeldinger og uttalelser NSMs årsmeldinger og uttalelser

2012-2013 Digitaliseringsrundskriv pkt. 1.7, Anbefalinger i Referansekatalogen pkt. 2.16, Nasjonal strategi inf.sikkerhet, Difi-rapport 2012:15

Fra Difis undersøkelse (Difi-rapport 2012:15) Mange ansatte var forvirret over alle de ulike styringssystemene, og lederne jobbet veldig med å få kontroll og oversikt over disse

Begrepsflora eller begrepskaos? internal control intern kontroll styring og kontroll internkontroll internkontrollsystem management system styringsystem ledelsessystem kvalitetssystem. Og hva er forskjellen på a control en kontroll et tiltak et sikringstiltak. Ulike fagmiljø har ulike begrep på i hovedsak det samme Vårt råd: Vær pragmatisk!

Hvorfor infosikkerhet? Nå våre primære mål Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte IKT

Hvorfor infosikkerhet? Nå våre primære mål Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte IKT Understøtte Informasjonssikkerhet -tiltak for sikring av tilgjengelighet, integritet, konfidensialitet på informasjon

Hvorfor infosikkerhet og internkontroll? Nå våre primære mål Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte IKT Treffer eller bommer vi? Informasjonssikkerhet -tiltak for sikring av tilgjengelighet, integritet, konfidensialitet på informasjon

Hvorfor infosikkerhet og internkontroll? Nå våre primære mål Målorientert Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte Risikobasert IKT Understøtte Balansert Informasjonssikkerhet -tiltak for sikring av tilgjengelighet, integritet, konfidensialitet på informasjon

Det handler om intern styring og kontroll (internkontroll) Er et topplederansvar Er et mellomlederansvar Alle ansatte har et delansvar

eforvaltningsforskriften endret februar 2014 (Forskrift om elektronisk kommunikasjon med og i forvaltningen) Bl.a. tydeliggjort kravene til informasjonssikkerhet Kapittel 3 Styring og kontroll med informasjonssikkerheten 15 Internkontroll på informasjonssikkerhetsområdet

eforvaltningsforskriften Utdrag ny 15 (endret 13). Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. internkontrollen skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks. Internkontrollen bør være en integrert del av virksomhetens helhetlige styringssystem. Omfang og innretning på internkontrollen skal være tilpasset risiko..

Videre anbefalinger fra Difi (Referansekatalogen ver. 4.1) Det er anbefalt å basere seg på ISO/IEC 27001:2013 ved etablering av internkontroll/styringssystem på informasjonssikkerhetsområdet Det er anbefalt å støtte seg på ISO/ IEC 27002:2013 i implementeringen av relevante tiltak

Struktur på krav i ISO/IEC 27001:2013 Kontekst (rammevilkår/forutsetninger) Lederskap Planlegging Støtte/support Drift Vurdere ytelse Forbedring

Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Sentrale delmål: - Avmystifisere styringssystem for informasjonssikkerhet (ISMS) - Internkontroll i praksis - informasjonssikkerhet - Basert på ISO/IEC 27001 - Dekke all informasjonsbehandling - utgangspunkt i eforvaltningsforskriften - vektlegge inkludering av relevante krav i annet regelverk

Høyremeny «Nyttig»

Hovedaktivitetene i internkontrollen/styringssystemet

Ledelsens styring og oppfølging Ledelsens styring og oppfølging Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dok Ledelsens gjennomgang Styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Delaktiviteter i den rekkefølge de er naturlige ved innføring av internkontroll / styringssystem

Ledelsens styring og oppfølging Ledelsens styring og oppfølging Godt å vite Hvorfor infosikkerhet? Tonen på toppen Støtte til ledelsen Krav og anbefalinger Analyse av status Planlegge internkontroll Overordnede styrende dok Ledelsens gjennomgang Styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap

Ledelsens styring og oppfølging Ledelsens styring og oppfølging Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dokument Ledelsens gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Ved etablering/behov

Ledelsens styring og oppfølging Ledelsens styring og oppfølging Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dokument Policy for infosikkerhet Retningslinje roller, ansvar, myndighet Retningslinje risikostyring Ledelsens gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Ved etablering/behov Ved etablering/stor endring/svakheter

Ledelsens styring og oppfølging Delaktiviteter Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dokument Ledelsens gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Ved etablering/behov Ved etablering/stor endring/svakheter Kjerneaktivitetene minst årlig

Ledelsens styring og oppfølging Delaktiviteter Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dokument Ledelsens gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Ved etablering/behov Ved etablering/stor endring/svakheter Kjerneaktivitetene minst årlig Ved behov

Hjernen i internkontrollen

Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Felles grunnlag Linje- og prosjektledere Systemeiere Leverandører infrastruktur Ekspertvurderingen Bakgrunnskunnskap Delaktiviteter - organisatorisk oppdeling av risikovurderingene

Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Hva er risiko? Ulike metoder Ulike nivå Kritikalitet og verdi Trusler, farer og sårbarheter Sannsynlighet Konsekvens Felles grunnlag Linje- og prosjektledere Systemeiere Leverandører infrastruktur Ekspertvurderingen Bakgrunnskunnskap

Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Felles grunnlag Statusrapport «Trender i risikobildet nasjonalt» Statusrapport «Sikkerhetshendelser hos oss og i sektor» Linje- og prosjektledere Systemeiere Leverandører infrastruktur Ekspertvurderingen

Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Felles grunnlag Linje- og prosjektledere (fokus: informasjon og «brukerrisikoer») Vernerunde infosikkerhet (enkel sjekkliste) Foranalyse (Spørsmålsliste - info, kritikalitet, trusler og sårbarheter) Risikovurdering (fra enkel Hendelsesbank tilpasset «brukerrisikoer») Systemeiere Leverandører infrastruktur Ekspertvurderingen

Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Felles grunnlag Linje- og prosjektledere (fokus: informasjon og «brukerrisikoer») Systemeiere (fokus: «systemrisikoer») Foranalyse - forvaltning (Spørsmålsliste - info, kritikalitet, trusler og sårbarheter) Risikovurdering - forvaltning (fra enkel Hendelsesbank tilpasset «risikoer i IKT-system» Anskaffelser og utvikling Tilleggsfokus (?) Leverandører infrastruktur Ekspertvurderingen

Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Felles grunnlag Linje- og prosjektledere (fokus: informasjon og «brukerrisikoer») Systemeiere (fokus: «systemrisikoer») Leverandører infrastruktur (fokus: krav og «infrastrukturrisikoer») Oppdeling ulike fokusområder i infrastrukturen (?) Foranalyse (Spørsmålsliste? krav, trusler og sårbarheter) Risikovurdering (hendelsesmodellering?) Ekspertvurderingen

Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Felles grunnlag Linje- og prosjektledere (fokus: informasjon og «brukerrisikoer») Systemeiere (fokus: «systemrisikoer») Leverandører infrastruktur (fokus: krav og «infrastrukturrisikoer») Ekspertvurderingen (fokus: det spesielt kritiske) Avansert - ofte kompetanse- og ressurskrevende metode Eks: Octave, Octave Allegro, NIST 800-30, ISO 27005, ISO 31010-metoder eller «ekspertens metode» For de få og svært kritiske systemene/tjenestene og deres infrastruktur Evt. behov avdekkes i foranalysen eller risikovurderingen til systemeiere

Hjertet i internkontrollen

Risikohåndtering (Utkast betaversjon 4.0) Godt å vite (foreløpig) Hovedalternativer akseptere, unngå, overføre, endre Tiltakskategorier pedagogiske, organisatoriske, administrative, tekniske, fysiske Ulike detaljeringsnivå og aktører Etablering og vedlikehold Tiltaksbank Eksisterende tiltak

Risikohåndtering (Utkast betaversjon 4.0) Delaktiviteter (foreløpig) Utkast risikohåndteringsplan Fellestiltak (på alle plan) Systemspesifikke tiltak (i IKT-system) Prosesspesifikke tiltak (i linjer og prosjekt) Godkjenne og finansiere prosjekt/tiltak jf. ledelsens styring og oppfølging Revidere risikohåndteringsplan og akseptere restrisiko Gjennomføre risikoreduserende prosjekt/oppgaver Implementere sikringstiltak Følge opp og godkjenne implementering Etterleve sikringstiltak

Hendene i internkontrollen

Kompetanse- og kulturutvikling (Ferdigstilles i betaversjon 5.0) Kunnskap Bevisstgjøring Ferdigheter og øving Kulturutvikling sjekklister prosedyrer kurs kompetanseplaner kulturutviklingstiltak

Læreren i internkontrollen

Overvåking og hendelseshåndtering (Ferdigstilles i betaversjon 5.0) Overvåking Hendelseshåndtering

Vakta i internkontrollen

Måling, evaluering og revisjon (Ferdigstilles i betaversjon 6.0) Målinger ved tiltaksetablering Målinger for risikoeiere Målinger for ledelsen Større evalueringer Intern revisjon

Kontrolløren i internkontrollen

Kommunikasjon (Ferdigstilles i betaversjon 6.0) Dokumenter struktur innhold og format Tydelige kommunikasjonskrav og -linjer Etablere og følge retningslinjer

Limet i internkontrollen

Internkontroll i praksis - informasjonssikkerhet

Internkontroll i praksis - informasjonssikkerhet

Fremdriftsplan Difis veiledningsmateriell 28.05.2014 Betaversjon 1.0 Grunnleggende informasjon på alle hovedaktiviteter. 01.09.2014 Betaversjon 2.0 Utdypninger av «Ledelsens styring og oppfølging» + justeringer av betaversjon 1.0 for øvrig 3.10.2014 Betaversjon 2.1 Innføring av tre nivå på informasjonen i venstremeny 28.11.2014 Betaversjon 3.0 Utdypninger av «Risikovurdering» + justeringer

Fremdriftsplan Difis veiledningsmateriell 27.02.2015 Betaversjon 4.0 Utdypninger av «Risikohåndtering» + justeringer 27.03.2015 Betaversjon 5.0 Utdypninger av "Overvåking og hendelseshåndtering" og «Kompetanse- og kulturutvikling» + justeringer 30.04.2015 Betaversjon 6.0 Utdypninger av «Måling, evaluering og revisjon» og «Kommunikasjon» + justeringer 15.06.2015 Godkjent versjon 1.0

Internkontroll informasjonssikkerhet Er et systematisk arbeid for å håndtere risiko Er en forutsetning for en kontrollert og effektiv digitalisering og informasjonsbehandling Gir ledelsen og virksomheten for øvrig styringsmulighet når vi må få opp farten

Internkontroll i praksis - informasjonssikkerhet

Kontakt oss infosikkerhet@difi.no http://infosikkerhet.difi.no Veiledningsmateriellet: Internkontroll.infosikkerhet.difi.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding