EDB Business Partner. Sikkerhetskontroller / -revisjoner



Like dokumenter
ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Hva er et styringssystem?

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Sikkerhetsledelse fra en toppleders ståsted - Erfaringer fra DSS

Internkontroll og informasjonssikkerhet lover og standarder

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers Tlf.

Etablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard

Hvordan påvirker et varsel om tilsyn interne prioriteringer?

Erfaringer med innføring av styringssystemer

Økonomidirektør og sjefssamling 2015

NKRF Årsmøte 2009 Revisors vurdering av internkontroll

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

NS-ISO 38500:2008 Virksomhetens styring og kontroll av IT. IKT seminar August Nilssen Prosjektleder IKT Standard Norge

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Samfunnsansvar og helhetlig virksomhetsstyring i Flytoget

Hva er risikostyring?

Risikobildet - forvaltningsområder. Fornyet risikogjennomgang høsten 2010, med utgangspunkt i gjennomførte risikovurderinger i 2008 og 2009.

ISO27001 som del av forvaltningen

OPPDRAGET I KOMMUNELOVEN HVORDAN KAN DET TOLKES?

Revisjon av IT-sikkerhetshåndboka

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Gode råd til sikkerhetsansvarlige

Schlumberger Norge AS Tilsynserfaring

Internkontroll for arkiv den nye arkivplanen?

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Sykehuset Innlandet HF Styremøte SAK NR HELHETLIG PLAN FOR VIRKSOMHETSSTYRING Forslag til VEDTAK:

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Sikkerhetsstyring for mindre virksomheter. Morgenmøte 24. november 2011

Erfaringer fra tilsyn. Helge Rager Furuseth Nasjonal sikkerhetsmyndighet

Helseforetakenes senter for pasientreiser ANS 1/2016

Kapittel 1 Forankring av IT-ansvar Kapittel 2 Oppgaver og ansvar i foretakets ledelseshierarki

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

HAR VI GOD NOK KONTROLL? NYE GREP OM SIKKERHETSLEDELSE

Utkast instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Sykehuset Telemark HF Revisjonsplan 2012 og oppsummering interim November 2012

Fra sikkerhetsledelse til handling ambisjoner og forventninger

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

EuroSOX og Ny forskrift for risikostyring og internkontroll

Hva kjennetegner god Risikostyring?

Sammenligning av ledelsesstandarder for risiko

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Slikt kan du starte med internkontroll for arkiv i din virksomhet. Kristine Brorson

Slikt kan du starte med internkontroll for arkiv

Tilsyn - samfunnets risikostyring

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

Internkontroll i praksis (styringssystem/isms)

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Instruks for konsernrevisjonen Helse Sør-Øst

Ny styringsmodell for informasjonssikkerhet og personvern

Styret Helsetjenestens driftsorganisasjon for nødnett HF 10.juni BESØKSADRESSE: POSTADRESSE: Tlf: Org.nr.

NS-EN Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester

Styrende dokumenter og informasjonssikkerhet - erfaringer fra Hydro

Integrering av IT i virksomhetens helhetlige risikostyring

Grønt sykehus grønn standard

Ledelsens gjennomgåelse Anne Grændsen Norsk akkreditering / Grændsen consulting

Norsox. Dokumentets to deler

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

EU Direktivene 43 og 46 /2006 EuroSox Nye påbud fra sommeren 2008 Er du beredt?

Betryggende kontroll Internkontrollen til rådmannen

Retningslinje for risikostyring for informasjonssikkerhet

Årsrapport 2014 Internrevisjon Pasientreiser ANS

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Personvern - sjekkliste for databehandleravtale

Styring av risiko og samfunnsansvar i Asker kommune

Et revisjonsblikk på internkontroll

Gode råd til sikkerhetsansvarlige

Erfaringer med innføring av styringssystemer

KJAPPE, BILLIGE SKYTJENESTER MEN HAR DU KONTROLL?

Styret Helsetjenestens driftsorganisasjon for nødnett HF 31.August BESØKSADRESSE: POSTADRESSE: Tlf: Org.nr.

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Seksjon for informasjonssikkerhet

HMS PLAN 2015 BERGEN VANN

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

Samarbeidsforum internkontroll

Revisjonsplan 2012 Internrevisjon Pasientreiser ANS

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

Styringssystem basert på ISO 27001

Retningslinje for Sikkerhetsstyring og leverandørstyring innen Sikkerhetsstyring

Rammeverk for risikostyring i Helse Midt-Norge

Sikkert nok - Informasjonssikkerhet som strategi

Informasjonssikkerhet En tilnærming

ISO 22301:2012 en introduksjon Årsmøte og seminar 12 Jun 2012 Arnfinn Roland

Styringssystem i et rettslig perspektiv

Virksomhetsstyring i Bane NOR SF

SUHS konferansen Infomasjonssikkerhetsspor (CSO)

Oslo universitetssykehus HF

Ansvar og organisering

Saksframlegg Referanse

Avito Bridging the gap

PLAN FOR FORVALTNINGSREVISJON

Aggregering av risiko - behov og utfordringer i risikostyringen

Veiledning- policy for internkontroll

Signe Astrup Arnesen Sikkerhetsdirektør Avinor. Vegtilsynets konferanse om sikkerhetsstyring 13. Juni 2013

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring

Sikkerhetsforum 2018

Transkript:

EDB Business Partner Sikkerhetskontroller / -revisjoner

Varedeklarasjon Grunnlag for kontroller (revisjoner) Prosess og metodikk Rapportering Oppfølgning av avvik EDB Business Partner > slide 2

Corporate Governance Virksomhetsstyring etablering og iverksetting av interne regler, rutiner og prosesser. virksomhetsstyringen bygger på ekstern lovgiving og interne regelverk som skal etterleves i alle ledd av organisasjonen. virksomhetens styringsstruktur er dels fastlagt av lovverk som regulerer virksomheten og dels interne strukturer, organer og prosedyrer. EDB Business Partner > slide 3

Styringssystem for informasjonssikkerhet (ISMS) i EDB Styring Styring av av informasjonssikkerhet informasjonssikkerhet Forankring Forankring i toppledelsen i toppledelsen Kommunisert Kommunisert informasjonssikkerhetspolicy informasjonssikkerhetspolicy ogogretningslinjer retningslinjer Ansvarliggjøring Ansvarliggjøring i organisasjonen i organisasjonen Strategisk Strategisk plan plan Omfang Omfang -Aktiva -Aktiva Mål: Mål: - Sannsynlighet - Sannsynlighet - - Konsekvens Konsekvens Identifisere Identifisere risikoer risikoer Identifisere Identifisere risikoer risikoer Eierskap Eierskap Vurdere Vurdere risikoer risikoer Sannsynlighet/ Sannsynlighet/ Konsekvens Konsekvens Klassifisering Klassifisering Prioritering Prioritering Tiltak Tiltak og og ansvar ansvar Foreslå Foreslå tiltak tiltak Kost/nytte Kost/nytte Ansvar Ansvar Tiltaksplan Tiltaksplan Overvåke, Overvåke, vedlikeholde vedlikeholde og og forbedre forbedre Overvåkning Overvåkning av av risikobildet risikobildet Oppfølging Oppfølging og og kontroll kontroll Rapportering Rapportering EDB Business Partner > slide 4

Security Management Process En integrert del av EDBs Styringssystem Risikovurdering IS-policy Informasjonssikkerhetshåndboken (ISH) Security Management Policystyring Sikkerhetsrammeverk Sikkerhetsmålinger (Audits) Sikkerhetskontroller (Audits) EDB Business Partner > slide 5

"Security Management" prosess Styre, kontrollere og forbedre EDBs informasjonssikkerhet. Bidra til at EDBs krav til informasjonssikkerhet ivaretas i våre forretningsprosesser og IT-løsninger. Dette oppnås blant annet ved å: Sette krav til informasjonssikkerheten i EDB gjennom policy og sikkerhetskrav Måle utvalgte parametere som over tid kan si oss noe om utviklingen i det generelle sikkerhetsnivået Kontrollere at fastsatte krav blir overholdt Security Management Policystyring Sikkerhetsrammeverk Sikkerhetsmålinger (Audits) Sikkerhetskontroller (Audits) EDB Business Partner > slide 6

Sikkerhetskontroller i EDB Sikkerhet Sikre at sikkerhetsnivået er i henhold til avtale ISO 27001 sertifisert Etablert sikkerhetsstyring i alle ledd Fysisk/logisk/organisatorisk sikkerhet Definerte sikkerhetstjenester Det Norske Veritas Interne revisjoner Eksterne revisjoner Sikkerhetskontroller Risikohåndtering ITIL-baserte driftsprosesser NS ISO 9001:2001-sertifisert Revisjon Sikre at kvalitet og sikkerhet i driftsleveransene er i henhold til avtale og best practice Kvalitet Sikre at driftskvalitet er i henhold til avtale EDB Business Partner > slide 7

Input til sikkerhetskontroll Sikkerhetsstandarden ISO27001 ISH (Sikkerhetshåndboken) Lover / forskrifter POL (Behandlingsansvarlig / Databehandler) Sarbanes-Oxley Act (SOA/SOX) Regnskapsloven, åndsverksloven, arkivloven, med mer. Løsnings- / kundespesifikke krav PCI DSS IKT-forskriften Sarbanes-Oxley Act (SOA/SOX) Risikobilde (Risikoregisteret) Planlagt revisjon av sikkerhetsrammeverket Signifikante endringer i EDBs forretningsvirksomhet Tips fra medarbeidere (følger opp mottatte tips ang. sårbarheter i EDB) EDBs Informasjonssikkerhetspolicy EDB Informasjonssikkerhetshåndbok EDB Informasjonssikkerhetshåndbok Løsnings- og kundespesifikke Løsnings- og kundespesifikke retningslinjer og prosedyrer retningslinjer og prosedyrer EDB Business Partner > slide 8

Sikkerhetskontroll Planlegge, utføre og følge opp sikkerhetskontroller verifisere etterlevelse av sikkerhetskrav i Informasjonssikkerhetshåndbok for EDB identifisere svakheter som ikke er dekket av eksisterende sikkerhetsrammeverk. Beskriver EDBs prosess for egenkontroll på dette området samt oppfølging av avvik og risiko som avdekkes i kontrollrapporter (sikkerhetstester) EDB mottar fra andre parter. EDB Business Partner > slide 9

Kontrollplan Kontrollplan utarbeides årlig Fokusområder Type kontroller (systemer / type systemer) Kundeleveranser Plattformer IP telefoni Fysisk sikkerhet Internetteksponerte løsninger Eventuelt andre kontroller Oppdateres ved behov Ansvarlig Sikkerhetssjef EDB Business Partner > slide 10

EDBs Sikkerhetshåndbok - kontrollområder EDBs Sikkerhetshåndbok EDB Business Partner > slide 11

Kontrollrapport Utarbeides av Sikkerhetskontrollør Kvalitetssikres Hensiktsmessig utført iht. kontrollplan Korrekthet Godkjennes Seksjon Sikkerhetsledelse EDB Business Partner > slide 12

Registrering / godkjenning av plan Sikkerhetskontrollen registreres i Revisjonsdatabasen; Avvik og observasjoner registreres for oppfølging og rapportering; Ansvarlige ledere for kontrollert område informeres om kontrollrapporten; avvik og observasjoner for sitt område. Ansvarlig leder levere en plan med tiltak for lukking av avvik; Plan for lukking av avvik godkjennes Sikkerhetssjef (Sikkerhetsledelse) EDB Business Partner > slide 13

Oppfølging Avvik og observasjoner Risikostyringsprosessen EDB Business Partner > slide 14

EDB Business Partner > slide 15

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding