Erfaringer fra tilsyn Helge Rager Furuseth Nasjonal sikkerhetsmyndighet 1
Mål for NSMs tilsyn Pådriver for bedret sikkerhetstilstand Kontrollere overholdelse av plikter Bidra til å finne forbedringspunkter Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 2
NSMs tilsyn kort fortalt Myndighetsutøvelse gjennomføres iht. forvaltningslovens bestemmelser Systemrettet gjennomføres iht. standard for systemrevisjoner Overordnet Samordnet styring Virksomhetsorientert Risikobasert Tema Tilsyn = kontroll + reaksjon Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 3
Antall tilsyn siden 2009 114 gjennomførte tilsyn 86 tilsyn i sivil sektor 28 tilsyn i militær sektor Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 4
Tilsyn fordelt på sektor Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 5
Tilsyn 2014 26 virksomheter 13 temaer Dokumentbaserte tilsyn Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 6
Sårbarheter hos virksomheter (2011-2013) innen sikkerhetsstyring Avvik angitt i % 30 25 20 15 10 5 0 Lederforankring og risikostyring Sikkerhetsfaglig kompetanse og instrukser Sikkerhetsorganisering - roller og ansvar Sårbarhetskategorier Oppfølging av sikkerhetsarbeidet Rapportering og håndtering sikkerhetshendelser Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 7
Lederforankring og risikostyring eksempler fra tilsyn Virksomheten hadde ikke gjennomført risikovurdering med beslutning om tiltak for å redusere risiko gjennomført øvelser Sikkerhetsorganisasjonen hadde ikke tilgang til/stor avstand til ledelsen Ledelse Avdeling Avdeling Avdeling Sikker- Lederen hadde ikke avsatt nødvendige ressurser for å ivareta sikkerhetstjenesten het Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 8
Sikkerhetsfaglig kompetanse og instrukser eksempler fra tilsyn Virksomheten manglet Oversikt over sikkerhetsfaglig kompetanse i virksomheten Rutiner som sikrer at sikkerhetsfaglig kompetanse utvikles og vedlikeholdes Virksomheten kunne ikke legge fram Instruks for ledelsens evaluering Instruks for risikohåndtering Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 9
Sikkerhetsorganisasjon roller og ansvar eksempler fra tilsyn Instrukser for sikkerhetsleder og datasikkerhetsleder anga ikke krav til kompetanse Manglende stillingsinstrukser for sikkerhetspersonell Uklare rapporteringslinjer i sikkerhetsorganisasjonen Mangelfull ivaretakelse av sikkerheten når personell fratrer Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 10
Oppfølging av sikkerhetsarbeidet eksempler fra tilsyn Resultatet av interne sikkerhetsrevisjoner var ikke dokumentert Virksomheten hadde ikke dokumentert resultatene av ledelsens evaluering Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 11
Rapportering og håndtering av hendelser eksempler fra tilsyn Manglende håndtering av sikkerhetstruende hendelser Gradert informasjon (KONFIDENSIELL) ble funnet på ugradert IKT-system KONFIDENSIELL PC ble oppbevart utenfor beskyttet område, ikke nedlåst Manglende register over sikkerhetstruende hendelser Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 12
Grep virksomhetene bør gjøre Sette mål for og etablere rutiner for sikkerhetsarbeidet Gjør verdi-, sårbarhets- og trusselvurderinger Prioritere og styre eget sikkerhetsarbeid Søk relevant sikkerhetsfaglig kompetanse Årlige revidere egen sikkerhetstilstand og forbedre denne Lukke avvik som følge av gjennomførte tilsyn Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 13
Konklusjon Virksomhetene er sårbare NSMs tilsyn skal bidra til forbedring Sett sikkerhet på agendaen Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 14
Spørsmål? Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 15