Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Like dokumenter
RiskManager Avvikshåndtering. Kurshefte for meldere

Internkontroll og informasjonssikkerhet lover og standarder

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Hva er et styringssystem?

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Etablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard

RiskManager Avvikshåndtering Kurshefte for behandlere

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Sikkerhetsstyring for mindre virksomheter. Morgenmøte 24. november 2011

Endelig kontrollrapport

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Retningslinje for risikostyring for informasjonssikkerhet

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring

Endelig kontrollrapport

Revisjon av informasjonssikkerhet

Bilag 14 Databehandleravtale

Aggregering av risiko - behov og utfordringer i risikostyringen

Kan du legge personopplysninger i skyen?

KF Brukerkonferanse 2013

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Fagkurs for kommuner Arbeid med informasjonssikkerhet i egen virksomhet (45 minutter)

Styringssystem i et rettslig perspektiv

Kommunens Internkontroll

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

VIRKE. 12. mars 2015

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

Guri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET

Botnane Bedriftsutvikling AS

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Ledelsens gjennomgåelse Anne Grændsen Norsk akkreditering / Grændsen consulting

IKT & LEDELSE - 8/

OVERSIKT SIKKERHETSARBEIDET I UDI

Databehandleravtale for NLF-medlemmer

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Endelig kontrollrapport

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

Hva er risikostyring?

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Internkontroll i praksis (styringssystem/isms)

IKT-sikkerhet og sårbarhet i Risør kommune

Endelig kontrollrapport

Endelig kontrollrapport

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Risikoanalysemetodikk

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Endelig kontrollrapport

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Styringsdokument for personvern, informasjonssikkerhet og beredskap

Databehandleravtale etter personopplysningsloven

Endelig kontrollrapport

Difis veiledningsmateriell, ISO og Normen

Styringssystem for informasjonssikkerhet et topplederansvar

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Databehandleravtale. Denne avtalen er inngått mellom

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Behandles av utvalg: Møtedato Utvalgssaksnr. Bystyret /10

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Interne revisjoner et sentralt ledelsesverktøy i forbedringsarbeid. Erfaringer etter utføring av mere enn 200 HMS revisjoner

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Risiko og sårbarhetsanalyser

Ledelse og kvalitetsforbedring. Forskrift om ledelse og kvalitetsforbedring i helse- og omsorgssektoren

GDPR ny personvernforordning. Styring via godt arbeid med informasjonssikkerhet

RiskManager fremtidens kvalitetssystem

Endelig Kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Avvikshåndtering og egenkontroll

Prosedyre for personvern

Standarder for risikostyring av informasjonssikkerhet

Slikt kan du starte med internkontroll for arkiv i din virksomhet. Kristine Brorson

NS-EN Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester

Slikt kan du starte med internkontroll for arkiv

Risiko og sårbarhet knyttet til internkontroll. Charlotte Stokstad seniorrådgiver i Statens helsetilsyn 11. februar 2014

Transkript:

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet

Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre sikringstiltak Følge opp hvor godt de fungerer Iverksette, vedlikeholde og forbedre tiltakene som resultat av oppfølging.

Om Digital Kvalitet AS Etablert 2001 Digital Kvalitet AS er lokalisert i Ålesund Leverer i hovedsak til kommuner og andre statlige virksomheter RiskManager Kvalitetssystem: 3 hovedmoduler (dokumentstyring, avvikshåndtering og risikovurdering

RiskManager styringssystem for informasjonssikkerhet (ISMS) Systemet er utviklet for å gi støtte til virksomheten i arbeidet med å etablere system for informasjonssikkerhet og følge opp informasjonssikkerheten. Systemet støtter en prosessbasert tilnærming for å etablere, iverksette, forvalte, overvåke vedlikeholde og forbedre virksomhetens ISMS.

PDCA-modellen Planlegge Utføre Kontrollere Forbedre (Plan, Do, Check, Act).

Planlegge (Plan) Planleggingsfasen benyttes til å sikre at rammene og omfanget for informasjonssikkerhet blir riktig etablert, sikkerhetsrisiko blir vurdert og plan for håndtering av risiko er utarbeidet. Systemet er systematisert og tilpasset i henhold til ISO 27002, og systemet tilpasses og utformes i tråd med krav og forventinger til virksomheten.

Styringssystem for informasjonssikkerhet Beskriver av organisasjonen, systemet og beslutter omfanget og ramme, strategisk og organisatorisk

Sikkerhetspolicy Det skal utarbeides en sikkerhetspolicy som er i overenstemmelse med virksomhetens krav og relevante lover og forskrifter. En viktig del av sikkerhetsarbeidet er å fastsette mål og strategier for sikkerhet innen virksomheten. Disse skal godkjennes av behandlingsansvarlig/ databehandlingsansvarlig, og også være kjent for øvrige medarbeidere.

Organisering av informasjonssikkerheten Ledelsen i virksomheten har ansvar for å etablere og opprettholde tilfredsstillende informasjonssikkerhet. Øverste leder har behandlingsansvaret/databehandlingsansvaret. Den som har det øverste ansvaret for informasjonssikkerheten, kan overføre oppgaver til egne ansatte eller eksterne. Uansett om oppgaver er delegert eller ikke, ligger det juridiske ansvaret hos behandlingsansvarlig/databehandlingsansvarlig. I systemet er det tilrettelagt for registrering av ansvarlige, roller, rollebeskrivelser etc.

Oversikt over aktiva Før arbeidet med risikovurderinger starter må alle informasjonsaktiva identifiseres. Denne oversikten danner grunnlag for utarbeidelse av sikkerhetsmål og strategier, og benyttes som grunnlag ved risikovurdering. I vår løsning har vi tilrettelagt for leverandører og samarbeidspartnere, datasystem med angivelse av kritikalitet og oversikt over hvilke personopplysninger/gradert informasjon som behandles i virksomheten.

Andre aktiva Andre aktiva kan være databaser, datafiler, systemdokumentasjon, brukermanualer, opplæringsmateriellet, kontrakter og avtaler etc.

Risikostyring og risikohåndtering Arbeidet starter med å identifisere hvilke objekt/aktiva som skal risiko vurderes og dokumentasjonen og arbeide gjort under oversikt aktiva danner grunnlaget for arbeidet. Risikovurdering er en samlet prosess som består av planlegging, risikoanalyse og risikoevaluering. Dette innebærer å identifisere farer og uønskede hendelser, analysere og evaluere risiko og å identifisere tiltak som kan redusere risikoen.

Modul for Risikovurdering Modulen for risikovurdering tar deg på en enkel og pedagogisk måte igjennom hele risikovurderingsprosessen. Programmet hjelper deg med å etablere akseptkriteriene, planlegge og gjennomføre risikoanalysen samt risikovurderingen. Hvilke risikoområder en ønsker, tilpasses endelig i samarbeid med den enkelte kunde.

Akseptabel risiko - lav Sannsynlighet Svært sannsynlig / Vanlig Middels risiko Middels til høy Høy risiko Høy risiko Meget sannsynlig Lav til middels Middels risiko Middels til høy Høy risiko Sannsynlig Lav risiko Lav til middels Middels risiko Middels til høy Lite sannsynlig Lav risiko Lav risiko Lav til middels Middels risiko Konsekvens Mindre / Ufarlig Middels / Farlig Kritisk / Omfattende Katastrofal

Utføre-fasen (Do) Utføre-fasen benyttes til å iverksette beslutningene som er tatt, og etablere styringssystemet slik det ble besluttet i planleggingsfasen. I denne fasen har virksomheten fokus på å fremskaffe tilstrekkelige ressurser for å kunne etterleve beslutt policy. En har også ansvar for at medarbeidere og samarbeidspartnere har tilstrekkelig kunnskap, så det bør etableres program for opplæring og bevisstgjøring, og dette må følges kontinuerlig opp. Dersom det er behov for spesiell sikkerhetsopplæring skal også dette tas stilling til og besluttes. Det utarbeides og implementeres rutiner for de ulike sikkerhetstiltakene som skal iverksettes, og dokumenteres i RiskManager.

Personalsikkerhet Opplæring og bevisstgjøring av de ansatte er av vesentlig betydning for å sikre forsvarlig håndtering av beskyttelsesverdig informasjon i det daglige arbeidet. Virksomheten skal iverksette tiltak som ivaretar behov for opplæring. Alle som gis tilgang til og/eller drifter informasjonssystemene og tilhørende informasjon skal ha tilstrekkelig kunnskap til å utnytte systemene for sin rolle og til å ivareta informasjonssikkerheten. Kompetansebygging må skje kontinuerlig og være tilpasset de ulike roller og brukergrupper. Særskilte opplæringstiltak må vurderes for nyansatte og ved endringer i informasjonssystemene eller i behandlingen av sensitive personopplysninger.

Kontroller (Check) Kontroll fasen brukes til å forsterke, korrigere og forbedre de sikkerhetstiltak som er iverksatt. Gjennomgangene kan utføres så ofte man vil utfra hva som er mest hensiktsmessig ut fra situasjonen. Det er bl.a behov for periodiske gjennomganger for å sikre at styringssystemet når sine mål.

Samsvarsvurdering Målet er å unngå brudd på lover, vedtekter, forskrifter eller kontraktsmessige forpliktelser, og eventuelle krav til sikring(iso 27002). Utforming, drift, bruk og administrasjon av informasjonssystemer kan i noen tilfeller være underlagt lovbestemt, forskriftsmessige og kontraktsfestede krav til sikring. Hvordan dette praktisk gjennomføres må besluttes i den enkelte virksomhet. Det kan implementeres som en del av overordnet sikkerhetsrevisjon, eller tase i forbindelse med revisjon av de enkelte prosedyrer/rutiner eller gjennomføring av risikovurderinger.

Forbedre (Act) Forbedre fasen har fokus på å respondere når det har oppstått sikkerhetsfeil (avvik eller uønsket hendelse), og korrigerende og forbyggende tiltak iverksettes og implementeres.

Modul for avviksbehandling. RiskManager har egen modul for avviksbehandling. Denne modulen har meget god støtte i å melde og å følge opp avvik. Teknologien i systemet håndterer ulike tilganger for et stort antall medarbeidere, enten de skal melde avvik og kunne følge sine egne meldinger, om de er ansvarlig for å behandle avvik, om de har behov for en mer overordnet tilgang, om de er fagansvarlige for et avviksområde (f. eks HMS ansvarlig) eller full admintilgang. Systemet har god støtte for varsling i mail underveis, både til Behandler og Melder. Arbeidsflyten i avvikssystemet tilpasses alltid organisasjonen. Det defineres Behandlere på ulike enheter og for ulike avviksområder. Dette sikrer at de meldte avvikene automatisk går til riktig Behandler. På behandlingssiden av avvikshåndteringen kan avviket når som helst overføres til annen Behandler, og tiltak kan overføres/omfordeles ved behov.

Modul for avviksbehandling. Navn på bruker og e-post blir hentet direkte fra AD. Dersom brukeren ikke har e-post konto i virksomheten kan de eventuelt skrive inn privat e-post adressen selv. Språk settes i brukerprofilen, kan velge mellom norsk og engelsk Ønskes en varsle på e-post når det skjer endringer i avviksbehandlingen, eller en selv tar ansvar for å følge med endringer varslet i innboks. Hvilke startsiden en ønsker kan velges av den enkelte bruker. En velger om en ønsker innboks eller side for å melde avvik som startside. Dersom en er behandler eller har en annen overordnet rolle kan det være fornuftig å ha innboks som åpningsbilde.

Behandler får e-post og går til innboks i avviksmodulen: E-post meldinger

Behandler får e-post og går til innboks i avviksmodulen: E-post meldinger

Modul for avviksbehandling. Godkjenn for behandling Behandler kan starte avviksbehandlingen evt. overføre det til en annen behandler. Send tilbake til melder Avviksbehandler kan be om at melder fyller ut mer opplysninger (eller lignende). Systemet krever at behandler skriver en begrunnelse til avviksmelderen. Meld for annen enhet/område Avviket er meldt på feil enhet eller på feil avviksområde Avvis avviket Behandler avviser at dette er et avvik. Systemet krever at behandler skriver en begrunnelse til avviksmelderen.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding