Internkontroll i praksis (styringssystem/isms) Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Bakgrunn, innhold og status Jan Sørgård, seniorrådgiver Difi
2010-2011 - Tilstanden er ikke god nok Mange offentlige virksomheter mangler tilstrekkelig styring og kontroll med informasjonssikkerheten Jf. Riksrevisjonens rapporter og uttalelser Datatilsynets årsmeldinger og uttalelser NSMs årsmeldinger og uttalelser
2012-2013 Digitaliseringsrundskriv pkt. 1.7, Anbefalinger i Referansekatalogen pkt. 2.16, Nasjonal strategi inf.sikkerhet, Difi-rapport 2012:15
Fra Difis undersøkelse (Difi-rapport 2012:15) Mange ansatte var forvirret over alle de ulike styringssystemene, og lederne jobbet veldig med å få kontroll og oversikt over disse
Begrepsflora eller begrepskaos? internal control intern kontroll styring og kontroll internkontroll internkontrollsystem management system styringsystem ledelsessystem kvalitetssystem. Og hva er forskjellen på a control en kontroll et tiltak et sikringstiltak. Ulike fagmiljø har ulike begrep på i hovedsak det samme Vårt råd: Vær pragmatisk!
Hvorfor infosikkerhet? Nå våre primære mål Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte IKT
Hvorfor infosikkerhet? Nå våre primære mål Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte IKT Understøtte Informasjonssikkerhet -tiltak for sikring av tilgjengelighet, integritet, konfidensialitet på informasjon
Hvorfor infosikkerhet og internkontroll? Nå våre primære mål Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte IKT Treffer eller bommer vi? Informasjonssikkerhet -tiltak for sikring av tilgjengelighet, integritet, konfidensialitet på informasjon
Hvorfor infosikkerhet og internkontroll? Nå våre primære mål Målorientert Være effektive Etterleve lover og regler Informasjonsbehandling Kjerneaktivitet eller kritisk støtte Risikobasert IKT Understøtte Balansert Informasjonssikkerhet -tiltak for sikring av tilgjengelighet, integritet, konfidensialitet på informasjon
Det handler om intern styring og kontroll (internkontroll) Er et topplederansvar Er et mellomlederansvar Alle ansatte har et delansvar
eforvaltningsforskriften endret februar 2014 (Forskrift om elektronisk kommunikasjon med og i forvaltningen) Bl.a. tydeliggjort kravene til informasjonssikkerhet Kapittel 3 Styring og kontroll med informasjonssikkerheten 15 Internkontroll på informasjonssikkerhetsområdet
eforvaltningsforskriften Utdrag ny 15 (endret 13). Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. internkontrollen skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks. Internkontrollen bør være en integrert del av virksomhetens helhetlige styringssystem. Omfang og innretning på internkontrollen skal være tilpasset risiko..
Videre anbefalinger fra Difi (Referansekatalogen ver. 4.1) Det er anbefalt å basere seg på ISO/IEC 27001:2013 ved etablering av internkontroll/styringssystem på informasjonssikkerhetsområdet Det er anbefalt å støtte seg på ISO/ IEC 27002:2013 i implementeringen av relevante tiltak
Struktur på krav i ISO/IEC 27001:2013 Kontekst (rammevilkår/forutsetninger) Lederskap Planlegging Støtte/support Drift Vurdere ytelse Forbedring
Difis veiledningsmateriell internkontroll.infosikkerhet.difi.no Sentrale delmål: - Avmystifisere styringssystem for informasjonssikkerhet (ISMS) - Internkontroll i praksis - informasjonssikkerhet - Basert på ISO/IEC 27001 - Dekke all informasjonsbehandling - utgangspunkt i eforvaltningsforskriften - vektlegge inkludering av relevante krav i annet regelverk
Høyremeny «Nyttig»
Hovedaktivitetene i internkontrollen/styringssystemet
Ledelsens styring og oppfølging Ledelsens styring og oppfølging Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dok Ledelsens gjennomgang Styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Delaktiviteter i den rekkefølge de er naturlige ved innføring av internkontroll / styringssystem
Ledelsens styring og oppfølging Ledelsens styring og oppfølging Godt å vite Hvorfor infosikkerhet? Tonen på toppen Støtte til ledelsen Krav og anbefalinger Analyse av status Planlegge internkontroll Overordnede styrende dok Ledelsens gjennomgang Styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap
Ledelsens styring og oppfølging Ledelsens styring og oppfølging Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dokument Ledelsens gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Ved etablering/behov
Ledelsens styring og oppfølging Ledelsens styring og oppfølging Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dokument Policy for infosikkerhet Retningslinje roller, ansvar, myndighet Retningslinje risikostyring Ledelsens gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Ved etablering/behov Ved etablering/stor endring/svakheter
Ledelsens styring og oppfølging Delaktiviteter Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dokument Ledelsens gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Ved etablering/behov Ved etablering/stor endring/svakheter Kjerneaktivitetene minst årlig
Ledelsens styring og oppfølging Delaktiviteter Godt å vite Analyse av status Planlegge internkontroll Overordnede styrende dokument Ledelsens gjennomgang Utforme styringsparametere og krav Godkjenne risikohåndtering Krise og beredskap Bakgrunnskunnskap Ved etablering/behov Ved etablering/stor endring/svakheter Kjerneaktivitetene minst årlig Ved behov
Hjernen i internkontrollen
Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Felles grunnlag Linje- og prosjektledere Systemeiere Leverandører infrastruktur Ekspertvurderingen Bakgrunnskunnskap Delaktiviteter - organisatorisk oppdeling av risikovurderingene
Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Hva er risiko? Ulike metoder Ulike nivå Kritikalitet og verdi Trusler, farer og sårbarheter Sannsynlighet Konsekvens Felles grunnlag Linje- og prosjektledere Systemeiere Leverandører infrastruktur Ekspertvurderingen Bakgrunnskunnskap
Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Felles grunnlag Statusrapport «Trender i risikobildet nasjonalt» Statusrapport «Sikkerhetshendelser hos oss og i sektor» Linje- og prosjektledere Systemeiere Leverandører infrastruktur Ekspertvurderingen
Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Felles grunnlag Linje- og prosjektledere (fokus: informasjon og «brukerrisikoer») Vernerunde infosikkerhet (enkel sjekkliste) Foranalyse (Spørsmålsliste - info, kritikalitet, trusler og sårbarheter) Risikovurdering (fra enkel Hendelsesbank tilpasset «brukerrisikoer») Systemeiere Leverandører infrastruktur Ekspertvurderingen
Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Felles grunnlag Linje- og prosjektledere (fokus: informasjon og «brukerrisikoer») Systemeiere (fokus: «systemrisikoer») Foranalyse - forvaltning (Spørsmålsliste - info, kritikalitet, trusler og sårbarheter) Risikovurdering - forvaltning (fra enkel Hendelsesbank tilpasset «risikoer i IKT-system» Anskaffelser og utvikling Tilleggsfokus (?) Leverandører infrastruktur Ekspertvurderingen
Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Felles grunnlag Linje- og prosjektledere (fokus: informasjon og «brukerrisikoer») Systemeiere (fokus: «systemrisikoer») Leverandører infrastruktur (fokus: krav og «infrastrukturrisikoer») Oppdeling ulike fokusområder i infrastrukturen (?) Foranalyse (Spørsmålsliste? krav, trusler og sårbarheter) Risikovurdering (hendelsesmodellering?) Ekspertvurderingen
Risikovurdering (Utkast betaversjon 3.0) Risikovurdering Godt å vite Felles grunnlag Linje- og prosjektledere (fokus: informasjon og «brukerrisikoer») Systemeiere (fokus: «systemrisikoer») Leverandører infrastruktur (fokus: krav og «infrastrukturrisikoer») Ekspertvurderingen (fokus: det spesielt kritiske) Avansert - ofte kompetanse- og ressurskrevende metode Eks: Octave, Octave Allegro, NIST 800-30, ISO 27005, ISO 31010-metoder eller «ekspertens metode» For de få og svært kritiske systemene/tjenestene og deres infrastruktur Evt. behov avdekkes i foranalysen eller risikovurderingen til systemeiere
Hjertet i internkontrollen
Risikohåndtering (Utkast betaversjon 4.0) Godt å vite (foreløpig) Hovedalternativer akseptere, unngå, overføre, endre Tiltakskategorier pedagogiske, organisatoriske, administrative, tekniske, fysiske Ulike detaljeringsnivå og aktører Etablering og vedlikehold Tiltaksbank Eksisterende tiltak
Risikohåndtering (Utkast betaversjon 4.0) Delaktiviteter (foreløpig) Utkast risikohåndteringsplan Fellestiltak (på alle plan) Systemspesifikke tiltak (i IKT-system) Prosesspesifikke tiltak (i linjer og prosjekt) Godkjenne og finansiere prosjekt/tiltak jf. ledelsens styring og oppfølging Revidere risikohåndteringsplan og akseptere restrisiko Gjennomføre risikoreduserende prosjekt/oppgaver Implementere sikringstiltak Følge opp og godkjenne implementering Etterleve sikringstiltak
Hendene i internkontrollen
Kompetanse- og kulturutvikling (Ferdigstilles i betaversjon 5.0) Kunnskap Bevisstgjøring Ferdigheter og øving Kulturutvikling sjekklister prosedyrer kurs kompetanseplaner kulturutviklingstiltak
Læreren i internkontrollen
Overvåking og hendelseshåndtering (Ferdigstilles i betaversjon 5.0) Overvåking Hendelseshåndtering
Vakta i internkontrollen
Måling, evaluering og revisjon (Ferdigstilles i betaversjon 6.0) Målinger ved tiltaksetablering Målinger for risikoeiere Målinger for ledelsen Større evalueringer Intern revisjon
Kontrolløren i internkontrollen
Kommunikasjon (Ferdigstilles i betaversjon 6.0) Dokumenter struktur innhold og format Tydelige kommunikasjonskrav og -linjer Etablere og følge retningslinjer
Limet i internkontrollen
Internkontroll i praksis - informasjonssikkerhet
Internkontroll i praksis - informasjonssikkerhet
Fremdriftsplan Difis veiledningsmateriell 28.05.2014 Betaversjon 1.0 Grunnleggende informasjon på alle hovedaktiviteter. 01.09.2014 Betaversjon 2.0 Utdypninger av «Ledelsens styring og oppfølging» + justeringer av betaversjon 1.0 for øvrig 3.10.2014 Betaversjon 2.1 Innføring av tre nivå på informasjonen i venstremeny 28.11.2014 Betaversjon 3.0 Utdypninger av «Risikovurdering» + justeringer
Fremdriftsplan Difis veiledningsmateriell 27.02.2015 Betaversjon 4.0 Utdypninger av «Risikohåndtering» + justeringer 27.03.2015 Betaversjon 5.0 Utdypninger av "Overvåking og hendelseshåndtering" og «Kompetanse- og kulturutvikling» + justeringer 30.04.2015 Betaversjon 6.0 Utdypninger av «Måling, evaluering og revisjon» og «Kommunikasjon» + justeringer 15.06.2015 Godkjent versjon 1.0
Internkontroll informasjonssikkerhet Er et systematisk arbeid for å håndtere risiko Er en forutsetning for en kontrollert og effektiv digitalisering og informasjonsbehandling Gir ledelsen og virksomheten for øvrig styringsmulighet når vi må få opp farten
Internkontroll i praksis - informasjonssikkerhet
Kontakt oss infosikkerhet@difi.no http://infosikkerhet.difi.no Veiledningsmateriellet: Internkontroll.infosikkerhet.difi.no