Erfaringer fra tilsyn. Helge Rager Furuseth Nasjonal sikkerhetsmyndighet



Like dokumenter
Sikkerhet og informasjonssystemer

Nasjonal sikkerhetsmyndighet

Rapport om sikkerhetstilstanden 2009

Vår ref.: 16/ Postadresse: 1478 LØRENSKOG Telefon: Sak 100/16 Oppfølging av sikkerhetsloven ved Akershus universitetssykehus HF

NSMs Risikovurdering 2006

NASJONAL SIKKERHETSMYNDIGHET

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

RHF og HF omfattes av sikkerhetsloven

Nasjonal sikkerhetsmyndighet

Brukermanual for Blancco Data Cleaner+ 4.5

Veileder i sikkerhetsstyring. Versjon: 1

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Sikre samfunnsverdier et samspill mellom virksomhetene og NSM

Risiko og sårbarhet knyttet til internkontroll. Charlotte Stokstad seniorrådgiver i Statens helsetilsyn 11. februar 2014

Direktiv Krav til sikkerhetsstyring i Forsvaret

Nasjonal sikkerhetsmyndighet

Brukerinstruks. OntrackEraser Versjon 3.0. Ibas AS

Rapportering av sikkerhetstruende hendelser til NSM

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Policy for Antihvitvask

Veileder for tilsyn med forebyggende sikkerhetsarbeid. Versjon: 1

Fylkesmannen som regional beredskapsaktør forventninger jf. ny instruks

EDB Business Partner. Sikkerhetskontroller / -revisjoner

Spørreundersøkelse om informasjonssikkerhet

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring

Sikkerhetshendelse hos Kartverket i Oppfølging på kort og lang sikt. Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019

Veileder for virksomheters håndtering av uønskede hendelser. Versjon: 1

Etablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard

Rapporteringsskjema for kryptoinstallasjon

Nasjonal sikkerhetsmyndighet

Hovedinstruks for Nasjonal sikkerhetsmyndighet

Verdivurdering også for næringslivet! NSR Sikkerhetskonferansen 2009 Dagfinn Buset Seksjon for analyse og tilsyn Nasjonal sikkerhetsmyndighet

Fra sikkerhetsledelse til handling ambisjoner og forventninger

Fylkesmannens samfunnssikkerhetsinstruks. (19. juni 2015)

Cisco Systems Norway AS Philip Pedersens vei Lysaker Lysaker, 28. september 2018

Forslag til forskrift om endringer i forskrift om personellsikkerhet og forskrift om sikkerhetsgraderte anskaffelser

STRATEGI FOR INFORMASJONSSIKKERHET FOR POLITIET

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

NOTAT SAMMENDRAG. Høringsuttalelse om nye forskrifter til ny sikkerhetslov. Nye forskrifter til lov om nasjonal sikkerhet (sikkerhetsloven) Åpen

Motiv: Oslofjorden Foto: Vann- og avløpsetaten. Informasjon om sikkerhetsgraderte anskaffelser

Mål og forventninger til beredskapen i Østfold. Trond Rønningen assisterende fylkesmann

Erfaringer fra terroranslaget 22. juli

Objektsikkerhet endringer i sikkerhetsloven

Direktør Marianne Andreassen

Ny styringsmodell for informasjonssikkerhet og personvern

Direktiv for utøvelse av helse, miljø og sikkerhet (HMS) under operativ virksomhet mv i Forsvaret

Retningslinje for Sikkerhetsstyring og leverandørstyring innen Sikkerhetsstyring

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

Sikkerhetsmessig verdivurdering

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Museene i Sør- Trøndelag AS sin museumsbanedrift ved Thamshavnbanen. Dokumentgjennomgang TILSYNSRAPPORT. Rapport nr 17-10

Forvaltningsrevisjon IKT sikkerhet og drift 2017

HAR VI GOD NOK KONTROLL? NYE GREP OM SIKKERHETSLEDELSE

NASJONAL SIKKERHETSMYNDIGHET. Veilederen setter sikkerhetsrevisjoner i sammenheng med styringssystemet for sikkerhet VEILEDER SIKKERHETSREVISJON

Aggregering av risiko - behov og utfordringer i risikostyringen

Ny forskrift om krav til kvalitetsforbedring i helse- og omsorgstjenesten

Sikkerhetsloven og kommunen - noen refleksjoner og erfaringer

Internkontroll og informasjonssikkerhet lover og standarder

Sammenligning av ledelsesstandarder for risiko

DIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING

Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4

Bane NOR SF. TILSYNSRAPPORT NR Tilsynsmøte om oppfølging av interne revisjoner

Kan du holde på en hemmelighet?

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Tilsyn - samfunnets risikostyring

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Databehandleravtale for NLF-medlemmer

Sikkerhetsstyringssystem for taubaner og fornøyelsesinnretninger

naiiiti OSLO POLITIDISTRIKT

Hovedinstruks for økonomiforvaltningen og virksomhetsstyringen av direktoratet Sivil klareringsmyndighet

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

Sikkerhetsorganisering og sikkerhetsgradering i kommunene. Knut Bakstad, Sikkerhetsleder hos FMTL

Heretter heter vi Fylkesmannen

Risikoforståelse. Cyberspace en arena for krig og krim. Geir A Samuelsen Direktør - Nasjonal sikkerhetsmyndighet, NSM

Mål- og resultatstyring og risikostyring i staten (det offentlige)

Sikkerhetsledelse fra en toppleders ståsted - Erfaringer fra DSS

IKT-sårbarhetsbildet Hvor trykker sikkerhetsskoen. Sjefingeniør Jørgen Botnan Nasjonal sikkerhetsmyndighet

Risikostyring & internkontroll med fokus på verdiskaping for selskapet VFF Complianceseminar 24. november 2016

UNINETT-konferansen 2017

Styring og ledelse. 10.nov 2018 Fylkeslege Anne-Sofie Syvertsen 1

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

Tilleggsendringer i sif i kursiv. Selve begrepene i 1-3 første ledd og overskriftene står imidlertid i kursiv i gjeldende rett.

Internkontroll i Bergen kommune. Liv Røssland Byråd for finans, eiendom og eierskap

Justis- og beredskapsdepartementet (JD) viser til Forsvarsdepartementets brev om ovennevnte av med vedlegg.

Retningslinje for risikostyring for informasjonssikkerhet

Forventninger til HMS-system og etterlevelse

Vår digitale hverdag Et risikobilde i endring

Revisjonsplan 2012 Internrevisjon Pasientreiser ANS

Rapport fra tilsyn med samfunnssikkerhet og beredskap i Strand kommune 28. april 2014

Forskrift om objektsikkerhet

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Nasjonal sikkerhetsmyndighet

Endelig kontrollrapport

Vesterålsprosjektet. Kort innledning. Erfaringsseminar, Fylkesmannen i Nordland, 21. oktober 2015

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Enhetlighet og felles forståelse. Et trygt og robust samfunn - der alle tar ansvar

Studieplan 2015/2016

Praktisk HMS-risikostyring når tid og økonomi er fast.

Transkript:

Erfaringer fra tilsyn Helge Rager Furuseth Nasjonal sikkerhetsmyndighet 1

Mål for NSMs tilsyn Pådriver for bedret sikkerhetstilstand Kontrollere overholdelse av plikter Bidra til å finne forbedringspunkter Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 2

NSMs tilsyn kort fortalt Myndighetsutøvelse gjennomføres iht. forvaltningslovens bestemmelser Systemrettet gjennomføres iht. standard for systemrevisjoner Overordnet Samordnet styring Virksomhetsorientert Risikobasert Tema Tilsyn = kontroll + reaksjon Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 3

Antall tilsyn siden 2009 114 gjennomførte tilsyn 86 tilsyn i sivil sektor 28 tilsyn i militær sektor Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 4

Tilsyn fordelt på sektor Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 5

Tilsyn 2014 26 virksomheter 13 temaer Dokumentbaserte tilsyn Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 6

Sårbarheter hos virksomheter (2011-2013) innen sikkerhetsstyring Avvik angitt i % 30 25 20 15 10 5 0 Lederforankring og risikostyring Sikkerhetsfaglig kompetanse og instrukser Sikkerhetsorganisering - roller og ansvar Sårbarhetskategorier Oppfølging av sikkerhetsarbeidet Rapportering og håndtering sikkerhetshendelser Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 7

Lederforankring og risikostyring eksempler fra tilsyn Virksomheten hadde ikke gjennomført risikovurdering med beslutning om tiltak for å redusere risiko gjennomført øvelser Sikkerhetsorganisasjonen hadde ikke tilgang til/stor avstand til ledelsen Ledelse Avdeling Avdeling Avdeling Sikker- Lederen hadde ikke avsatt nødvendige ressurser for å ivareta sikkerhetstjenesten het Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 8

Sikkerhetsfaglig kompetanse og instrukser eksempler fra tilsyn Virksomheten manglet Oversikt over sikkerhetsfaglig kompetanse i virksomheten Rutiner som sikrer at sikkerhetsfaglig kompetanse utvikles og vedlikeholdes Virksomheten kunne ikke legge fram Instruks for ledelsens evaluering Instruks for risikohåndtering Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 9

Sikkerhetsorganisasjon roller og ansvar eksempler fra tilsyn Instrukser for sikkerhetsleder og datasikkerhetsleder anga ikke krav til kompetanse Manglende stillingsinstrukser for sikkerhetspersonell Uklare rapporteringslinjer i sikkerhetsorganisasjonen Mangelfull ivaretakelse av sikkerheten når personell fratrer Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 10

Oppfølging av sikkerhetsarbeidet eksempler fra tilsyn Resultatet av interne sikkerhetsrevisjoner var ikke dokumentert Virksomheten hadde ikke dokumentert resultatene av ledelsens evaluering Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 11

Rapportering og håndtering av hendelser eksempler fra tilsyn Manglende håndtering av sikkerhetstruende hendelser Gradert informasjon (KONFIDENSIELL) ble funnet på ugradert IKT-system KONFIDENSIELL PC ble oppbevart utenfor beskyttet område, ikke nedlåst Manglende register over sikkerhetstruende hendelser Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 12

Grep virksomhetene bør gjøre Sette mål for og etablere rutiner for sikkerhetsarbeidet Gjør verdi-, sårbarhets- og trusselvurderinger Prioritere og styre eget sikkerhetsarbeid Søk relevant sikkerhetsfaglig kompetanse Årlige revidere egen sikkerhetstilstand og forbedre denne Lukke avvik som følge av gjennomførte tilsyn Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 13

Konklusjon Virksomhetene er sårbare NSMs tilsyn skal bidra til forbedring Sett sikkerhet på agendaen Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 14

Spørsmål? Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 15

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding