Sekretariat for informasjonssikkerhet i UHsektoren Rolf Sture Normann
UH-sektorens sekretariat for informasjonssikkerhet Opprettet på oppdrag av KD i 2012/2013 Bakgrunnen er Riksrevisjonens kritikk av sektorens ivaretagelse av informasjonssikkerhet Skal støtte UH-sektoren i arbeidet med informasjonssikkerhet De nasjonale retningslinjene for informasjonssikkerhet legges til grunn for sekretariatets arbeid Nevnt i tiltaksplanen til de nasjonale retningslinjene for informasjonssikkerhet (pkt. 1.4) 24. november 2015 SLIDE 2
Oppgaver/mandat Styringssystem for informasjonssikkerhet (ledelsessystem) ROS, Risiko og sårbarhetsvurderinger Sikkerhetsrevisjoner (ståstedsanalyse, etterlevelse) Kontinuitetsplanlegging IKT (business impact analysis) Utarbeidelse av sikkerhetspolicyer og retningslinjer Kultur og holdningsskapende arbeide (sikkerhetsmåneden) Rådgivere for UH sektoren Sikkerhetsforum 24. november 2015 SLIDE 3
Forum Årlig sikkerhetsforum Eget spor på SUHS konferansen UNINETT-konferansen Faggruppen JUS&Sikkerhet Senter for rettsinformatikk, UiO Difi, NIFS ISF/ISACA/DND Standardiseringsarbeide (ISO) i Norge 24. november 2015 SLIDE 4
Internasjonalt samarbeide Geant ISM-SIG (Special interest group) Information security management Nordisk samarbeide gjennom NorduNET Geant TF CSIRT (CERT) ISACA 24. november 2015 SLIDE 5
Informasjonssikkerhet Konfidensialitet Integritet Tilgjengelighet 24. november 2015 SLIDE 6
Et anliggende for ITavdelingen? IT avdelingen tilrettelegger for at informasjonen kan behandles (lagres, overføres, endres, deles) Brukerne tar egne valg/handlinger de kan påvirke informasjonsbehandlingen direkte Informasjonssikkerhet handler veldig mye om sluttbrukeren (kompetanse, holdninger, kultur) Regulatorisk Topplederansvar 24. november 2015 SLIDE 7
Styringssystem for informasjonssikkerhet Personopplysningsloven Planlagte og systematiske tiltak eforvaltningsforskriften Styring og kontroll med informasjonssikkerheten Tildelingsbrevet Rapportere på styringssystem for informasjonssikkerhet Oppnå tilfredsstillende informasjonssikkerhet 24. november 2015 SLIDE 9
Prosjekt Styringssystem for IS i UH Følgeforskning Følge UNINETTs arbeide og kartlegge utfordringer og behov Hva trenger de hjelp til Hvilke utfordringer møter man i «planlagt og systematisk arbeide» Hvilke virkemiddelbruk fungerer Rammeverk for styring og kontroll tilpasset UH 24. november 2015 SLIDE 10
Rapporten «Styring av informasjonssikkerhet i universiteter og høyskoler» http://complexserien.net/content/201404-styring-av-informasjonssikkerheten-i-universiteterog-h%c3%b8yskoler 24. november 2015 SLIDE 11
COSO vs styringssystem for IS 24. november 2015 SLIDE 12
Gjennomførende Styringssystem Styrende Kontrollerende SCOPE STRATEGI ORGANISERING AKSEPT KRITERIER MÅL Sikkerhetsrevisjoner Risikovurdering Tiltak/SOA Avvik Risikohåndtering Status på ROS, opplæring kartlegging etc Opplæring Årsrapport/underlag LG Kurs Kartlegging av informasjon KRAV/Rutiner Årsplan for CISO ROS Revisjoner Sikkerhetskultur Håndtere avvik Kontinuerlig forbedring Gjennomgang av avvik/ hendelser Beslutninger/tiltak Ledelsens gjennomgang Planlagte aktiviteter Forbedring 24. november 2015 SLIDE 13
Rammeverk og informasjon 24. november 2015 SLIDE 14
Andre tjenester Kurs i informasjonssikkerhet for ledere Kurs i Risiko og sårbarhetsvurderinger Kurs i innføring av styringssystem for informasjonssikkerhet Støtte til etablering av databehandleravtaler Generell råd/veiledning 24. november 2015 SLIDE 15
Sekretariatet pr. 01.11.2015 Rolf Sture Normann Øivind Høiem Tommy Tranvik Vi benytter også ressurser fra vår CERT Per Arne Enstad (CERT) Øyvind Eilertsen (CERT) Tor Gjerde (CERT) 24. november 2015 SLIDE 16
Spørsmål? 24. november SLIDE 2015 17