INFORMASJONSSIKKERHETSPOLICY. Geir Tutturen IT-leder, UMB

Like dokumenter
Informasjonssikkerhet i UH-sektoren

Veileder for sentral risiko- og sa rbarhetsvurdering (ROS) av et felles system i UH-sektoren

UNINETT-konferansen 2017

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Da Datatilsynet kom. En skrekkhistorie? UNINETT 2006, Ålesund Jan Erik Frantsvåg, Universitetet i Tromsø

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Riksrevisjonen om kvalitet

Drift og vedlikeholdskontrakter med funksjonsansvar i Norge nye krav til KS systemer og planer

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

PRAKTISK ARBEID MED RUTINER. Normkonferansen Scandic Ørnen, 15. oktober 2015

Resultater fra Gigacampus kartlegging

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Sikkerhetsforum 2018

Revisjon av informasjonssikkerhet

Fra sikkerhetsledelse til handling ambisjoner og forventninger

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Møteinnkalling Møteprotokoll

Hva vil vi egentlig måles på? - et moderne arkivtilsyn

Erfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS)

Retningslinjer for Søgne kommunes tilstedeværelse i sosiale medier:

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

SUHS konferansen Infomasjonssikkerhetsspor (CSO)

Box: erfaringer med UNINETTs første internasjonale skytjeneste. Jan Meijer, UNINETT

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Innledning Workshop NOKIOS Avdelingsdirektør Arne Lunde

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Full kontroll? Hva er folk bekymret for, og har de opplevd å miste kontroll over egne personopplysninger?

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

DIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING

Full kontroll? - Hva er folk bekymret for og har de opplevd å miste kontroll over egne personopplysninger?

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

BIBSYS kommunikasjonsstrategi

Endelig kontrollrapport

Førstelinjeforum IKT 2015

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Sikkerhetsforum i UH sektoren

Hva betyr nasjonal IKTstrategi. 20. okt 2016 Tord Tjeldnes IT direktør UiA

MØTEPROTOKOLL Ski kontrollutvalg

Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

Risikovurdering av Public 360

Oppfølging av rapporten fra Aagedalsutvalget hva skjer nå. v/kjell Bernstrøm Økonomidirektør UiB og medlem av UHR s administrasjonsutvalg

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Holbergs gate 1 / 0166 Oslo T: E: W: Høringsuttalelse Høring - Rapport Kunnskapssektoren sett utenfra

Programmandat. Versjon Program for administrativ forbedring og digitalisering

Froland kommune Kontrollutvalget

Vi vil ut I skyen hva gjør vi? Tilgangsstyring. Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi

Risikoanalyse i arkivarbeidet Ta sjansen?

Dokumenter: a) Saksframlegg b) Vedlegg - Brev fra Riksarkivet Pålegg om utbedringer etter dokumentbasert tilsyn

Høgskolen i Telemark Styret

Styringssystem i et rettslig perspektiv

Vedr. informasjonssikkerheten i ISY ProAktiv og Norconsults håndtering av saken

Instruks. Informasjon- og datasikkerhet Instruks for faggruppe ikt. Gjelder for: Alle ansatte. Vedtatt av: Rådmannen

Vurdering av internrevisjon i DFØ. Topplederseminar 8. mars Direktør Øystein Børmer

Erfaringer fra etableringen av institusjonsvise sikkerhetsteam

Norsk Skogsertifisering

Styresak /4 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for Dokument 3:2 ( ), informasjon

Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Hvilke utfordringer har offentlig sektor når det gjelder elektronisk samhandling?

FUNDRAISING VED UMB RAPPORT FRA MULIGHETSSTUDIE (BRAKELEYRAPPORTEN), 1. gangs behandling.

Fagkurs for kommuner Arbeid med informasjonssikkerhet i egen virksomhet (45 minutter)

Det vil også være mulig å la seg registrere med opplysningen Har ingen verv eller økonomiske interesser.

Endelig kontrollrapport

Fleksible og fremtidsrettede it-løsninger for Moss Kommune. Veien til nettskyen Terje Jensen, sikkerhetsansvarlig Moss kommune

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

kontrollsekretær E-post: Dir.tlf Mobil

Nytt fra sekretariatet

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Standarder for risikostyring av informasjonssikkerhet

INFORMASJONSSKRIV 01/2012 ENGASJEMENTSBREV

Styret Helse Sør-Øst RHF 16. november 2017

Dette supplerende tildelingsbrevet er utarbeidet i dialog med Difi og inneholder følgende:

LILLESAND KOMMUNE KONTROLLUTVALGET

OVERSIKT SIKKERHETSARBEIDET I UDI

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Databehandleravtale. Denne avtalen er inngått mellom

Vår referanse (bes oppgitt ved svar)

Implementering av det nye personvernregelverket ved UiB

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

ecampus Norge en moderne infrastruktur for forskning, undervisning og formidling

Saksframlegg Referanse

Deres referanse Vår referanse Dato / /EOL

Perspektiver og planer ved Universitetet i Oslo

Vår ref.: 17/ Postadresse: 1478 LØRENSKOG Telefon:

Prosjektmandat for SAK-innkjøp

Status på oppfølging av anbefalinger i revisjonsrapporten "Kjøp av konsulent- tjenester i Hedmark fylkeskommune"

KF Brukerkonferanse 2013

Sikkerhet og personvern i skole og klasserom

KONTROLLUTVALGET I KVITSØY KOMMUNE PROTOKOLL

Revisjonen er gjennomført, hva nå? IT direktør Marina Daidian

Status personvern Hedmark og Oppland fylkeskommuner

Kontrollutvalget Vang kommune

Transkript:

Geir Tutturen IT-leder, UMB

- TRENGER VI DET? Et noe ledende spørsmål fra arrangøren. Krav om styringsdokumenter mht informasjonssikkerhet: Personopplysningsloven 13 og 14 Personopplysningsforskriften 2 og 3 Spørsmålet blir dermed: Trenger vi assistanse via GigaCampus-programmet? Det kan være stor forskjell på UH-institusjonene mht status for denne type styringsdokumenter. Noen vil komme godt i mål på egen hånd Relativt mange vil kunne ha god nytte av drahjelp 2

UMBs erfaringer midtveis i prosessen Kortfattet historikk: Initiativ fra IT-siden for å delta i GigaCampussikkerhetsprosessen tidlig i 2008 Litt tung start mht motivering av resten av organisasjonen i prinsippet positive, men vanskelig å finne plass i kalenderen Noe uventet drahjelp fra ulike tilsyn som viste interesse for oss: Datatilsynet gjorde en del funn (de kom før GigaCampus-møtet) RiksRevisjonen de ville lage en IKT-profil (de drøyde sitt besøk til etter GigaCampus-møtet) Gjennomførte GigaCampus-møtet med stort engasjement 3

UMBs erfaring med Datatilsynet Datatilsynet skrev et brev og spurte om informasjon om UMBs informasjonssystem UMB skrev et brev og forklarte litt om organisasjon og ulike informasjonssystemer Datatilsynet kom på besøk Datatilsynet gjorde en del funn Datatilsynet skrev et brev og varslet et vedtak UMB skrev et brev og varslet en rekke konkrete tiltak, blant annet med henvisning til GigaCampus-prosessen UMBs brev gjorde ikke inntrykk på Datatilsynet. Datatilsynet skrev et brev med vedtak, og gav UMB en frist til å ha styringsdokumenter på plass 4

UMBs erfaring med RiksRevisjonen Riksrevisjonen skrev et brev og varslet om at de ville lage en IKT-profil av UMB, og ba derfor om dokumentasjon. UMB sammenfattet de ba om og sendte inn. UMB påpekte at vi var i gang med egen revisjon, og at det kunne være muligheter for et visst sammenfall. RR så også dette mønsteret og utsatte sitt besøk til de hadde fått rapporten fra GC-revisjonen gt1 På møtet med RR gav de uttrykk for at også de var i utvikling mht sine IKT-profiler, og at GC-rapporten gikk dypere en det RR tok sikte på. Avslutningsvis sa RR at de ikke kom til å forfølge funn som ikke var deres egne. UMBs ledere merket seg dette med interesse. 5

Slide 5 gt1 epost Geir Tutturen; 02.03.2009

Erfaringer med GC-revisjonen Kartleggingsmøte God tilstedeværelse av ledere og fagfolk. Mye fokus på styringsdokumenter, og det var den delen som hadde det bredeste engasjementet Relativt samstemt stemning på møtet Rapporten Gjenspeilet det som ble sagt og diskutert på møtet Fikk likevel litt blandet mottagelse. IT-avdelingen og toppledelse tok rapporten til etterretning dvs den var som forventet Øvrige avdelinger hadde noe flere motreaksjoner Tendens til å henge seg opp skrivefeil, etc 7

Foreløpige erfaringer med policyarbeidet Arbeidsseminar gjennomført Litt redusert deltagelse pga uheldig timing i forhold til vinterferie. Dvs primært IT-folk tilstede foruten toppleder Mye fokus på sikkerhetsorganisasjon Også mye fokus på IKT-reglement / datadisiplinerklæring Policydokument og dokumentbase Nyttig med dokumentportefølje som gjør at man rakst etablere påkrevde styringsdokumenter Prosessen drives primært av IT og toppledelse Noe utfordring med aksepten av dokumentene og deres forankring i øvrige berørte avdelinger. Avstøtningstendenser 8

Observasjoner og vurderinger UH-kultur vs ISO-kultur? Prosessen så langt har etterlatt et inntrykk av GCsikkerhetsarbeidet er innleid, og i mindre grad tatt utgangspunkt i den akademiske kulturen. UH-institusjoner sidestilles med forsikringsselskaper og banker. Litt overraskende, men kanskje riktig? Villet kursendring? Har vi hatt en prosess? 9

Overraskelser Kontrakter med tredjepart Nyttig med bevisstgjøring og profesjonalisering Likevel interessant at kontraktene med UNINETT FAS får strykkarakter av UNINETTs egen revisjonsprosess. IKT-reglement Forslaget til IKT-reglement/datadisiplinerklæring er veldig annerledes enn UNINETTs forslag til Felles IKTreglement for UH-sektoren fra 2004 Inntrykket var at fellesreglementet fra 2004 ikke var kjent for revisorene. Datadisiplinerklæringen er kortere, og derfor oversiktlig Den behandler likevel ikke en del tema som er viktige i akademisk sektor, slik som eiendomsrett til data. 10

Anbefalinger og potensiale Forankring Forankring i ledelsen er viktig, men det er også viktig med forankring mot resten av organisasjonen. Informasjonssikkerhet angår flere avdelinger, og må ikke bare bli en IT-greie. Deler av dokumentasjonen kan med fordel bli ITnøytral, samt at informasjonssikkerhet må kunne innpasses i et samlet sikkerhetshåndteringssystem Utrede tema med aktualitet i UH-sektoren Eiendomsrett til data (e-post, hjemmeområder mm) Håndtering av bærbare PCer / PDA Håndtering av nettsamfunn og nye kommunikasjonsformer 11

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding