Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Like dokumenter
Kommunikasjon med ledelsen hva kan Difi bidra med?

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Informasjonssikkerhet er et lederansvar. Topplederen er øverste ansvarlig for at virksomheten har et velfungerende system for

Grunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Aggregering av risiko - behov og utfordringer i risikostyringen

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Oversikt. Remi Longva

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Internkontroll i praksis (styringssystem/isms)

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Grunnleggende innføring Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Seksjon for informasjonssikkerhet

Sikkert nok - Informasjonssikkerhet som strategi

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Spørreundersøkelse om informasjonssikkerhet

Raskere digitalisering med god sikkerhet. Evry

Risikovurdering - sett fra ISO og informasjonssikkerhet

Strategi for Informasjonssikkerhet

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Difis veiledningsmateriell, ISO og Normen

Anbefalte delaktiviteter og dokumentasjon

Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15.

Anbefalte delaktiviteter og dokumentasjon Støttedokument

Retningslinje for risikostyring for informasjonssikkerhet

Få oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Styringssystem i et rettslig perspektiv

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Styringssystem for informasjonssikkerhet et topplederansvar

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Nytt veiledningsmateriell om internkontroll - lanseringsseminar 23. mai Direktoratet for økonomistyring

NIFS 16. desember 2015

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Krav til informasjonssikkerhet i nytt personvernregelverk

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Kommunens Internkontroll

Øyvind Grinde, seksjonssjef

Barne- og likestillingsdepartementet

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Standarder for risikostyring av informasjonssikkerhet

Politikk for informasjonssikkerhet

Veiledning- policy for internkontroll

Jorunn Bødtker Norsk Arkivråds seminar 20. mars 2018

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Noen aktuelle tema for personvernombud i finans

HVORDAN FORANKRE ARBEIDET MED «ORDEN I EGET HUS» OG HVORDAN I PRAKSIS GJENNOMFØRE DET I KOMMUNENE?

Arbeidet med informasjonssikkerhet i statsforvaltningen

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Informasjonssikkerhet

Policy for Antihvitvask

Brudd på personopplysningssikkerheten

Kort om internkontroll for deg som er leder

Fylkesmannen i Buskerud 22. august Risikostyring i statlige virksomheter. Direktør Marianne Andreassen

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Ledelsesprinsipper i nye Stavanger kommune

Avito Bridging the gap

Regelverk. Endringer i regelverk for digital forvaltning

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Samarbeidsforum internkontroll

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Ny styringsmodell for informasjonssikkerhet og personvern

Avvik og uønskede hendelser

Styringssystem for informasjonssikkerhet

Hva er et styringssystem?

Risikovurdering for folk og ledere Normkonferansen 2018

Sammenligning av ledelsesstandarder for risiko

Innherred samkommune. Levanger kommunes tiltak til kravene i Personopplysningsloven. Orientering ved Personvernombudet. 1www.innherred-samkommune.

Sentrale krav til IKT-anskaffelser. Gardermoen, 16. januar 2014 Kristian Bergem, Difi

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Skate-sak 22/2018 Difis anbefaling til KMD - Nasjonal prioritering og finansiering tverrgående løsninger. Skate Knut Bjørgaas Difi

Revisjon av anbefalte standarder for styringssystem for informasjonssikkerhet

Informasjonsmøte Samarbeidsforum internkontroll

Internkontroll og informasjonssikkerhet lover og standarder

Regelverk for digital kommunikasjon i og med forvaltningen

Risikobasert etterlevelse av pvf

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Personopplysninger og opplæring i kriminalomsorgen

Orientering om plan for internkontroll for informasjonssikkerhet

Personvern - sjekkliste for databehandleravtale

Byrådssak 1383 /15. Ny strategi for informasjonssikkerhet ESARK

Styret finner vedlagte rammeverk for et helhetlig kvalitetssystem som interessant.

Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde

Risikobasert arbeid med personvern

Policy for informasjonssikkerhet og personvern i Sbanken ASA

OPPDRAGET I KOMMUNELOVEN HVORDAN KAN DET TOLKES?

Digitaliseringsstrategi

Transkript:

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet Oppdatert: 7.6.2017

Internkontroll i praksis - informasjonssikkerhet Som toppleder er du ansvarlig for at din virksomhet har velfungerende styring og kontroll. Det gjelder også på informasjonssikkerhetsområdet. Her er en enkel oversikt med sjekkliste som forteller hva internkontroll er og hva du som toppleder må gjøre. Intern styring og kontroll internkontroll er aktiviteter som hjelper deg å nå virksomhetens mål. Ditt ansvar er å etablere og følge opp et system av aktiviteter, slik at du kan ha tillit til at ledere på alle nivå håndterer risiko innen sine ansvarsområder i samsvar med dine føringer. Slik får alle ledere tilstrekkelig sikkerhet for at dere når virksomhetens mål. 1. Hvordan få til internkontroll for informasjonssikkerhet? 1.1 Analyse av status og plan for etablering eller forbedring Dersom du er usikker på kvalitet og etterlevelse i dagens internkontroll, bør du få gjennomført en analyse av status. Analysen bør vurdere status opp mot pålagt og anbefalt innhold i internkontrollarbeid. Difi anbefaler offentlige virksomheter å vurdere status på deres internkontroll opp mot anbefalingene i vårt veiledningsmateriell "Internkontroll i praksis - informasjonssikkerhet". En slik vurdering tilsvarer «benchmarking». Difis veiledning har hjelpemidler til å gjennomføre dette. Slik får virksomhetsledelsen vite hvor deres virksomhet er i forhold til det som er anbefalt. Det gir et godt grunnlag for å akseptere status eller å få laget en plan for å etablere eller forbedre internkontrollen. 1.2 Tydelige føringer for aktivitetene Fundamentet i internkontrollen er overordnede styrende dokumenter besluttet av dere i virksomhetsledelsen. Dokumentene må være klare på hvilke aktiviteter som skal gjennomføres i internkontrollarbeidet og hvem i virksomheten som har ansvar for hva. Dokumentene må også gi tydelige føringer for innholdet i aktivitetene. Utforming av de overordnede styrende dokumentene er en av etableringsaktivitetene man gjennomfører når man skal etablere eller forbedre internkontrollen. Internkontroll = intern styring og kontroll For at internkontrollen skal fungere må alle ansatte utføre de systematiske aktivitetene de er pålagt i de styrende dokumentene etterleve og følge opp de prosedyrer, krav, tekniske tiltak og andre sikkerhetstiltak som blir etablert og justert gjennom de systematiske aktivitetene og etableringsaktivitetene 1.3 En ledelse som bryr seg En avgjørende faktor for en velfungerende internkontroll er en ledelse som bryr seg. Det gjelder ledere på alle nivå. Lederne må selv forstå hva internkontroll og informasjonssikkerhet handler om, og dere må kommunisere viktigheten ofte og tydelig, og prioritere arbeidet i budsjett og ressursdiskusjoner. 1

Dere må også selv gjennomføre deres del av internkontrollaktivitetene og etterleve de sikkerhetstiltak som blir etablert. Hvorfor skal de ansatte bry seg om internkontroll og informasjonssikkerhet dersom ledelsen ikke bryr seg? 1.4 Fagansvarlig informasjonssikkerhet som rådgiver og pådriver Det er viktig for en velfungerende internkontroll at dere har, eller tidlig får på plass, en fagansvarlig informasjonssikkerhet eller lignende rolle. De viktigste oppgavene til denne rollen er å støtte virksomhetsledelsen i arbeidet med informasjonssikkerhet være en ressursperson, pådriver og tilrettelegger for etablering og gjennomføring av virksomhetens samlede internkontroll innen informasjonssikkerhet Det er viktig at vedkommende har tilstrekkelige ressurser, kompetanse og personlige egenskaper til å kunne utføre disse oppgavene. 2. Internkontroll, risiko og informasjonssikkerhet 2.1 Internkontroll er risikostyring i hele virksomheten De ulike aktivitetene i internkontrollen utføres systematisk av en rekke aktører rundt om i hele virksomheten. Aktørene skal identifisere, vurdere, håndtere og følge opp risikoer ved alt virksomheten driver med. Risikoer kan endre seg over tid, så aktivitetene må gjentas jevnlig. De ansatte må ha klare roller og ansvar i internkontrollarbeidet. Lederne i linjen vil alltid ha et hovedansvar. Det er de som har ansvar for arbeidsoppgaver og mål, og dermed risikoene i virksomheten. Fellesfunksjoner gir støtte: de som leverer sikkerhetstiltak (IT-drift, bygningsansvarlig mv), de som veileder i vurderinger av risiko, og en fagansvarlig som følger opp helheten. De syv områdene med systematiske aktiviteter i Difis forklaringsmodell for internkontroll. De ulike aktivitetene skal utføres av ulike aktører rundt om i virksomheten 2.2 Risiko handler om mulige konsekvenser mulige avvik fra mål Risiko er kombinasjonen av mulige konsekvenser og tilhørende sannsynligheter for hendelser som kan inntreffe, eller valg som blir gjort. Vi sier at denne kombinasjonen uttrykker størrelsen på en risiko. 2

Konsekvensene er i realiteten avvik fra mål de resultatene vi ønsker å nå. Indirekte uttrykker derfor risikoer mulige målavvik og tilhørende sannsynligheter. For å få gode risikovurderinger grupperer man ofte målene i målområder, for eksempel tjenestenivå, økonomi, personvern og HMS. Disse benyttes i risikovurderingene som konsekvenskategorier. Størrelsen på risikoene kan da vurderes og uttrykkes innen ulike kategorier. Risikoer må reduseres, aksepteres eller håndteres på annen måte. Det må skje som en del av internkontrollen i samsvar med virksomhetsledelsens føringer i de overordnede styrende dokumentene. 2.3 Informasjonssikkerhet er en del av den samlede internkontrollen Informasjonssikkerhet handler om å ivareta nødvendig konfidensialitet, integritet og tilgjengelighet på informasjonen som behandles; konfidensialitet o at informasjon ikke blir kjent for uvedkommende integritet o at informasjon ikke blir endret utilsiktet eller av uvedkommende tilgjengelighet o at informasjon er tilgjengelig ved behov Brudd på en av disse er brudd på informasjonssikkerheten. 2.4 Konsekvenser ved brudd på informasjonssikkerheten Brudd på informasjonssikkerheten kan få konsekvenser for både virksomheten selv, innbyggerne og andre offentlige og private virksomheter. Det kan for eksempel medføre feil beslutninger brudd på rettigheter og rettssikkerhet omdømmetap og økonomiske tap for innbyggere, næringsliv og virksomheten selv ødeleggende livssituasjon effektivitetstap for virksomheten selv og andre tap av liv og helse Informasjonsbehandling, informasjonssikkerhet og mulige konsekvenser ved brudd på informasjonssikkerheten angår alle arbeidsoppgaver og mål i virksomheten. Derfor er det spesielt viktig at virksomheten har tilfredsstillende internkontroll på informasjonssikkerhetsområdet. 3. Krav og anbefalinger 3.1 Basere seg på anerkjente standarder Internkontroll er ikke bare viktig for god virksomhetsstyring. Det er også pålagt i regelverket. Kravene er strengere på informasjonssikkerhetsområdet enn for internkontroll generelt. Internkontrollen på informasjonssikkerhetsområdet skal i henhold til eforvaltningsforskriften 15 være basert på anerkjente standarder. Standarden ISO/IEC 27001 er den anbefalte anerkjente standarden for offentlige virksomheter. Difis veiledningsmateriell "Internkontroll i praksis - informasjonssikkerhet" er basert på og konkretiserer denne standarden, og dekker det Difi anser som de viktigste kravene. 3

Det er i offentlig sektor anbefalt å benytte Difis veiledningsmateriell for å tilfredsstille kravene i eforvaltningsforskriften 15 som referanse og støtte ved analyse av status, og ved etablering og forbedring av internkontroll på informasjonssikkerhetsområdet. 3.2 Difis veiledningsmateriell har konkrete anbefalinger, eksempler og støttemateriell Difis veiledningsmateriell har konkrete anbefalinger om hvilke aktiviteter som bør inngå i internkontrollen, hvem som bør ha ansvar for hva, hvordan føringer for risikohåndtering og aksept av risiko bør utformes samt hvilke aktiviteter som er sentrale ved etablering og forbedring. Materiellet har eksempler på overordnede styrende dokumenter, maler og støttedokument. Eksemplene viser også hvordan man på en enkel måte kan inkludere andre områder enn informasjonssikkerhet. Da får virksomheten en helhetlig internkontroll. Difis forslag kan tilpasses andre tilnærminger til internkontroll. Systematikken og den helhetlige virksomhetstilnærmingen i Difis veiledning bør alltid ivaretas for området informasjonssikkerhet. Hele veiledningsmateriellet fra Difi er nettbasert og tilgjengelig på internkontroll.infosikkerhet.difi.no 4. Sjekkliste for toppledere 1. Har din virksomhet en systematisk internkontroll som dekker informasjonssikkerhetsområdet? 2. Har virksomhetsledelsen gitt klare krav og føringer for roller og ansvar og innhold i de systematiske aktivitetene i internkontrollarbeidet? 3. Dekker kravene og føringene alle organisatoriske enheter i virksomheten? 4. Er kravene og føringene basert på anerkjente standarder på informasjonssikkerhetsområdet eller på Difis veiledningsmateriell? 5. Gir kravene og føringene et godt grunnlag for at risikoer blir identifisert og håndtert rundt om i hele virksomheten? 6. Gir kravene og føringene et godt grunnlag for at virksomhetens samlede mål blir nådd rundt om i hele virksomheten? 7. Følger du og dine ledere systematisk opp at internkontrollaktivitetene blir utført rundt om i hele virksomheten i samsvar med krav og føringer? Ja Nei Vet ikke Dersom du som toppleder er usikker, eller svarer nei, på noen av spørsmålene over, bør du få gjennomført en analyse av status (jf. pkt. 1.2). Når analysen foreligger bør du ved behov få laget en plan for etablering eller forbedring av internkontrollen og få gjennomført planen. Fagansvarlig informasjonssikkerhet bør være en ressursperson, pådriver og tilrettelegger. Difis veiledningsmateriell har konkrete anbefalinger, eksempler og støttemateriell. 4

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding