Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

Like dokumenter
Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Oversikt. Remi Longva

Anbefalte delaktiviteter og dokumentasjon

Grunnleggende innføring Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Anbefalte delaktiviteter og dokumentasjon Støttedokument

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Få oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling

Internkontroll i praksis (styringssystem/isms)

Spørreundersøkelse om informasjonssikkerhet

Kommunikasjon med ledelsen hva kan Difi bidra med?

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Internkontroll og informasjonssikkerhet lover og standarder

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet

Difis veiledningsmateriell, ISO og Normen

Styringssystem i et rettslig perspektiv

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

NIFS 16. desember 2015

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Orientering om plan for internkontroll for informasjonssikkerhet

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4

Hva er et styringssystem?

Politikk for informasjonssikkerhet

Sikkert nok - Informasjonssikkerhet som strategi

Kan du legge personopplysninger i skyen?

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Årsrapport 2014 Internrevisjon Pasientreiser ANS

Egenevaluering av internkontrollen

Retningslinje for risikostyring for informasjonssikkerhet

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

Revisjon av informasjonssikkerhet

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Erfaringer fra revisjon av informasjonssikkerhet i statsforvaltningen

Internkontroll for arkiv den nye arkivplanen?

1. FORMÅL 2. PROFESJONELT GRUNNLAG

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Forventninger til HMS-system og etterlevelse

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Risikovurdering - sett fra ISO og informasjonssikkerhet

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Grunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

NASJONAL SIKKERHETSMYNDIGHET

Invitasjon til dialogkonferanse. Helhetlig digitalt ledelsesverktøy

Digitalisering i skolen Hva skal til for å lykkes? Workshop Harald Torbjørnsen 2017

ephorte: 2018/61949 Overlevert: OPPSUMMERING AV KARTLEGGING INTERNKONTROLL I MATTILSYNET, 2.LINJE

NS-EN Ledelsessystemer for kvalitet - NS-EN ISO 9001 for helseog omsorgstjenester

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Ny forskrift om krav til kvalitetsforbedring i helse- og omsorgstjenesten

Øyvind Grinde, seksjonssjef

Nye personvernregler

Arbeidet med informasjonssikkerhet i statsforvaltningen

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Årsrapport 2011 Internrevisjon Pasientreiser ANS

Helseforetakenes senter for pasientreiser ANS 1/2016

Databehandleravtaler. Tommy Tranvik Unit

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

DATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

UTFORDRINGER INTERNKONTROLL INTERNKONTROLL SOM SVAR KONTROLLKOMPONENTER KONTROLLMÅLSETTING. INTERNKONTROLL- FORSKRIFTEN (Helse og sosial)

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Informasjonssikkerhet i forordningen

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Saksframlegg Referanse

KF Brukerkonferanse 2013

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016

Endelig kontrollrapport

Aggregering av risiko - behov og utfordringer i risikostyringen

Saksframlegg. Ark.: 040 &58 Lnr.: 4970/17 Arkivsaksnr.: 16/1701-4

Ansvar og organisering

Årsrapport 2016 Internrevisjon Helseforetakenes senter for pasientreiser ANS

INNHOLD 1. HMS-MÅLSETTING 2. HMS-HÅNDBOK 3. ORGANISASJONSPLAN 4. LEDEROPPLÆRING (HMS-KURS) 5. OPPLÆRING AV ANSATTE OG VERNEOMBUD

Styret Helse Sør-Øst RHF 14. desember 2017

Veilederen må oppheves og erstattes av et mer helhetlig og hensiktsmessig rammeverk for å operasjonalisere instruksen.

EuroSOX og Ny forskrift for risikostyring og internkontroll

Angående overlapp mellom styrets rolle og adm. dir. sin rolle

Raskere digitalisering med god sikkerhet. Evry

Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt

Saksframlegg Referanse

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Erfaringer fra tilsyn. Helge Rager Furuseth Nasjonal sikkerhetsmyndighet

Revisjonsplan Konsernrevisjonen Helse Sør-Øst

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Innføring av ny personvernforordning (GDPR) på universitetet

Orientering fra Riksrevisjonen på UH-sektorens økonomiseminar 2017 Bernt Nordmark og Thorgunn Nordstrand

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

HVEM ER JEG OG HVOR «BOR» JEG?

Kommunens Internkontroll

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Utkast instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Transkript:

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon Workshop Måling av informasjonssikkerhet 30.10.2017

Internkontroll i praksis - informasjonssikkerhet

Instrukser og rutiner Avtaler Retningslinje for fysisk sikkerhet Tilgangsstyring IT-systemer Sikkerhetskopiering og gjenoppretting Osv osv osv Tilleggssikring Fellessikring

«Styringstiltak» ISO 27001 Tiltaksbanker «Sikkerhetsstiltak» ISO 27002 Annex A (i ISO 27001) «Normen» kap. 5 + faktaark NIST SP 800-53 SoGP NSM anbefalinger Osv osv osv

«Styringstiltak» Tiltaksbanker «Sikkerhetsstiltak» ISO 27002 Annex A (i ISO 27001) «Normen» kap. 5 + faktaark NIST SP 800-53 SoGP NSM anbefalinger Osv osv osv

Måling, evaluering og revisjon - «Kontrolløren» i internkontrollen

Måling, evaluering og revisjon Delaktiviteter Vurdere status på eget ansvarsområde Måle tilstanden på definerte indikatorer Gjennomføre evalueringer Gjennomføre internrevisjon

Måling, evaluering og revisjon Noe er viktig å få gjennomført systematisk hos mange i virksomheten Vurdere status på eget ansvarsområde Noe er i hovedsak styrt av behov og beslutninger fra virksomhetsledelsen gjennomgang Måle tilstanden på definerte indikatorer Gjennomføre evalueringer Gjennomføre internrevisjon Gjennomføre evalueringer kan også være: Krav fra departement Regelverkskrav om «systemrevisjoner» e.l.

Delaktiviteten Vurdere status på eget ansvarsområde Hvem skal gjøre det? ledere som delegerer og skal følge opp gjennom linjen risikoeiere og systemeiere fellessystem tiltaksleverandører ansvarlige for tjenestenivåavtaler eller andre avtaler ansvarlige for egne deler av internkontrollaktivitetene, som f.eks. hendelseshåndteringssystemet og internrevisjon

Delaktiviteten Vurdere status på eget ansvarsområde Statusvurderingen skal omfatte vurderinger av om man selv, egne ansatte og leverandører følger gjeldende lov- og regelverk gjennomfører internkontrollaktivitetene slik man er pålagt etablerer og følger opp vedtatte eller avtalte sikkerhetstiltak etterlever gjeldende sikkerhetstiltak

Vurdere status på eget ansvarsområde Eksempler - ansvarlige og vurderinger Ledere som delegerer Blir pålagte oppgaver faktisk utført av de under meg? Risikoeiere og systemeier fellessystem Er kvalitetene på våre foranalyser gode nok? Blir risikovurderinger og forslag til håndtering fulgt opp? Blir godkjente forslag til håndtering fulgt opp? Blir vi informert ved informasjonssikkerhetsbrudd som angår oss? Har vi tilfredsstillende hedelseshåndtering hos oss? Tiltaksleverandører Er avtalte tiltak implementert? Blir implementerte tiltak gjennomført / fulgt opp som avtalt? Fungerer tiltakene som forutsatt / avtalt?

Vurdere status på eget ansvarsområde Forslag til gjennomføring Vurdere egen tillit til at status er tilfredsstillende Lav, moderat, høy Kan være forskjellig for ulike deler av ansvarsområdet Gjennomføre undersøkelser ved lav/moderat tillit Enkle kan man gjøre selv Tidkrevende eller metodisk og teknisk kompliserte, kan man engasjere noen til Rapportere avvik Dersom det er krav om det Forbedre systematisk Slik at ting fungerer og tilliten økes til et tilfredsstillende nivå Dokumentere vurdering og undersøkelser Kort notat

Delaktiviteten Måle tilstanden på definerte indikatorer Gjennomføres dersom virksomhetsledelsen vil følge sikkerhetstilstanden over tid Etablere et system med relevante måleindikatorer krav til systematisk måling og rapportering

Måle tilstanden på definerte indikatorer Eksempler - aktuelle områder og indikatorer (informasjonssikkerhet) Konfidensialitet Klager Innbrudd - fysisk i kontor, arkiv - digitalt generelt, i sosialsystem Holdning hos ansatte Integritet Klager Innbrudd - fysisk i kontor, arkiv - digitalt generelt, i tilskuddssystem Holdning hos ansatte Tilgjengelighet Nedetid på ulike digitale systemer Opplevelse av nedetid - hos ansatte - hos eksterne brukere Opplevelse av hvor lett det er å gjøre jobben med god nok kvalitet

Delaktiviteten Gjennomføre evalueringer Oftest bestilt av virksomhetsledelsen Kan også gjennomføres / bestilles av risikoeiere og systemeiere fellessystem Bakgrunn En overordnet risikovurdering Usikkerhet om viktige deler i internkontrollen fungerer godt nok Pålegg fra departement Pålegg fra regelverk (f.eks. «sikkerhetsrevisjoner») m.m. Kan utføres av både interne og eksterne fagmiljø Kompetanse, ressurser og behov for uavhengighet påvirker valget

Delaktiviteten Gjennomføre internrevisjon Bestilt av virksomhetsledelsen Formål: Få en formell vurdering av om virksomheten følger bestemte krav om kravene er implementert og vedlikeholdt på en formåls- og kostnadseffektiv måte Kravene kan være virksomhetens egne retningslinjer kravene i ISO/IEC 27001 bestemte lovkrav kombinasjoner

Evalueringer og internrevisjon Virksomhetsledelsen bør systematisk vurdere behovet og ved behov sørge for gjennomføring Naturlig vurderingspunkt er Virksomhetsledelsens gjennomgang Risikoeiere og systemeiere fellessystem Må være oppmerksom på krav om «sikkerhetsrevisjoner» o.l., og følge opp slike på hensiktsmessig måte Med stort ansvarsområde og stor usikkerhet kan ordinære evalueringer være aktuelt for dem også

Kurs og arbeidsseminarer Internkontroll i praksis - Informasjonssikkerhet Innføringskurs: 9.-10. november Arbeidsseminarer: 20. november Utforme overordnede styrende dokumenter 21. november Fellessikring og tilleggssikring 22. november Få oversikt og prioritere før risikovurderinger

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding