Seksjon for informasjonssikkerhet Difi etablerte i 2013/2014 et kompetansemiljø for informasjonssikkerhet som skal: Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen. Tiltak 0.5 i handlingsplanen til Nasjonal strategi for informasjonssikkerhet. infosikkerhet@difi.no http://infosikkerhet.difi.no
Handlingsplan for informasjonssikkerhet i statsforvaltningen (utkast)
eforvaltningsforskriften 15 Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Internkontrollen bør være en integrert del av virksomhetens helhetlige styringssystem. Det organet departementet peker ut skal gi anbefalinger på området. Omfang og innretning på internkontrollen skal være tilpasset risiko
Difis veiledningsmateriell (1) internkontroll.infosikkerhet.difi.no Sentrale delmål: - Avmystifisere styringssystem for informasjonssikkerhet (ISMS) - Forklare «Internkontroll i praksis informasjonssikkerhet» - Basert på ISO/IEC 27001 - Dekke all informasjonsbehandling - med utgangspunkt i eforvaltningsforskriften - sikre inkludering av annet relevant regelverk
Difis veiledningsmateriell (2) Tydeliggjøre de sentrale prosessene i internkontroll/styringssystem Forklare innhold i prosesser og aktiviteter Gi råd rundt organisering og gjennomføring Eksempler og maler Synliggjøre tilsvarende i andres veiledninger
Hvorfor et elæringsprogram rettet bare mot ledere?
One size does not fit all Ledelsen Brukerne (interne) Brukerne (eksterne) Forankring Leverandører Driftsteknikere Utviklere
produsere kurs etablere en plattform etablere et fagmiljø
E-læringstilbudet I dag Å starte i staten Sats Snakk om utvikling Får Walter lov? Helt sjef! Kommer våren 2015 Innsyn Finn veien Er det sikkert? Kommer i 2016 Klart språk Offentlige anskaffelser og anskaffelsesprosessen Den vanskelige samtalen
Fokus i programmet Lederansvar Positivitet Lønnsomhet Mer enn konfidensialitet
Modulene i programmet Informasjonssikkerhet lønner seg Jobb smart med informasjonssikkerhet God virksomhetsstyring Tonen på toppen Digitalisering og sikkerhet ditt ansvar i digitaliseringsprosjekter Informasjonssikkerhet gir muligheter
Målgruppe Veiledningsmateriellet er primært rettet mot informasjonssikkerhetsansvarlige
Informasjonssikkerhet i korte trekk Alle virksomheter skal nå noen mål For å få til dette informasjonsbehandling Hvordan vet vi at informasjonsbehandlingen og tilhørende IKT-systemer er innrettet slik at vi når målene? Hvordan vet vi at vi etterlever lover og regler? Tiltakene er risikobasert Det må være riktig balanse mellom konfidensialitet, integritet og tilgjengelighet
Informasjonssikkerhet lønner seg Modul 1 film 1
Jobb smart med informasjonssikkerhet
Internkontroll i offentlige virksomheter Overordnede føringer: Økonomireglementet i staten Kommuneloven Samtidig: Andre lover og regler gir noen rammer - Ingen fasit på hvordan man innordner internkontrollen
Internkontroll på informasjonssikkerhetsområdet må tilpasses virksomhetens øvrige internkontroll Prosesser og aktiviteter bør gjenbrukes Bør integreres med virksomhetens årshjul Organisering av infosikkerhetsarbeidet
God virksomhetsstyring
Tonen på toppen
Sikkerhetskultur og tonen på toppen God informasjonssikkerhet betinger god sikkerhetskultur Ansatte og brukere må forstå hvorfor det er viktig med god informasjonssikkerhet Hva ledelsen sier (og ikke minst hva de gjør) er avgjørende for kulturen i organisasjonen Hvis ikke lederen går foran, hvorfor skal de ansatte gjøre det?
Hva skjer hvis det svakeste leddet befinner seg på toppen?
Tonen på toppen
Digitalisering og sikkerhet Informasjonssikkerhet omhandler all form for informasjonsbehandling Særlig tydelig i digitaliseringsprosjekter
Digitalisering og sikkerhet
Sett inn film med HC
Informasjonssikkerhet gir muligheter Oppsummeringsmodul Sett inn video modul 6 (introduksjonen til modul 6) Lederne skal i grunn ikke lære noe nytt Oppsummering poengterer at god informasjonssikkerhet gir muligheter
Kontaktinformasjon infosikkerhet@difi.no http://infosikkerhet.difi.no http://internkontroll.infosikkerhet.difi.no