Fra sikkerhetsledelse til handling ambisjoner og forventninger

Like dokumenter
Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Oppfølging av informasjonssikkerheten i UH-sektoren

Ny styringsmodell for informasjonssikkerhet og personvern

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Sikkerhetsforum 2018

Kunnskapsdepartementets styringsmodell for informasjonssikkerhet i høyere utdanning og forskning

Strategisk styring av universitets- og høyskolesektoren. Ekspedisjonssjef Toril Johansson DFØs styringskonferanse 22. januar 2014

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

STYRINGSDOKUMENTASJON FOR UH SIKKERHETSSATSNING

IKT-strategi for UH-sektoren

Programmandat. Versjon Program for administrativ forbedring og digitalisering

Økonomiseminar Digitalisering

Behandlet dato Behandlet av Utarbeidet av

Riksrevisjonen og UH-sektoren - viktige saker og forventninger. Riksrevisor Per-Kristian Foss, Kunnskapsdepartementets styreseminar

DIREKTORATET FOR IKT OG FELLESTJENESTER I HØYERE UTDANNING OG FORSKNING

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Statsbudsjettet for 2018, kap. 280 post 51 - Tildelingsbrev til

Statlige universiteter og høyskoler

Hvordan styre frie institusjoner. Målstyring i universitets- og høyskolesektoren

Innledning Workshop NOKIOS Avdelingsdirektør Arne Lunde

Velkommen v/tina Lingjærde

Veileder for sentral risiko- og sa rbarhetsvurdering (ROS) av et felles system i UH-sektoren

Sikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

SUHS konferansen Infomasjonssikkerhetsspor (CSO)

Statlig IKT-politikk en oversikt. Endre Grøtnes Difi, avdeling for digital strategi og samordning

UNINETT-konferansen 2017

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Difi. Digitalisering av offentlig sektor. Offentlig sektor er ikke en enhet

Digitalisering av offentlig sektor

Omtalen omfatter ikke datarapportering til DBH, herunder Selskapsdatabasen.

Nærings- og fiskeridepartementet

Digitaliseringsstrategi for Buskerud fylkeskommune. Revidert

Barne- og likestillingsdepartementet

S T Y R E S A K # 48/15 STYREMØTET DEN ETATSTYRING 2015 TILBAKEMELDING TIL KUNST- OG DESIGNHØGSKOLEN I BERGEN

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Kunnskapsdepartementets Tilstandsrapport hvordan brukes dataene i etatsstyringen?

Informasjonssikkerhet er et lederansvar. Topplederen er øverste ansvarlig for at virksomheten har et velfungerende system for

NOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet.

Aggregering av risiko - behov og utfordringer i risikostyringen

Møte med seksjonssjefene 10. januar Årsplan 2017 til 2019

Internkontroll i praksis (styringssystem/isms)

Difis veiledningsmateriell, ISO og Normen

Universitetet i Stavanger. V-sak US 89/19 Politikk for informasjonssikkerhet og personvern. Styret ved Universitetet i Stavanger

DET KONGELIGE KUNNSKAPSDEPARTEMENT

IT strategi for Universitet i Stavanger

Digitaliseringsstrategi for Buskerud fylkeskommune Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Digitaliseringsstrategi

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter

Statsbudsjettet for 2015 Tildelingsbrev for Nasjonalt organ for kvalitet i utdanning (NOKUT)

STATSBUDSJETTET 2019 TILDELINGSBREV TIL NORGES FORSKNINGSRÅD

Organisering av IKT i UH sektoren. IT-konferansen UIO

Styring og samordning av IKT i offentlig sektor

Olje- og energidepartementet

Robusthet i kraft, ekom, informasjon og velferdsteknologi i Agder.

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

TILDELINGSBREV TIL BARNEOMBUDET

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

I Beretning om revisjonen av statsregnskapet og regnskapet for administrasjonen av Svalbard

Gevinster av sterkere IKT-styring

Tilbakemelding fra tilsyn med Universitetet i Oslo (UiO) sitt arbeid med samfunnssikkerhet og beredskap

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Styringssystem for informasjonssikkerhet et topplederansvar

Ny sektorovergripende føringer - hva skjer?

Informasjonssikkerhet i Norge digitalt Teknologiforum

Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU

Statsbudsjettet 2016 tildelingsbrev Rikskonsertene

Systematisk kvalitetsarbeid i høyere utdanning. Hege Brodahl, seksjonssjef

Førstelinjeforum IKT 2015

Omtalen omfatter ikke datarapportering til DBH, herunder Selskapsdatabasen.

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø,

HOVEDINSTRUKS TIL FINANSTILSYNET OM ØKONOMISTYRING I FINANSTILSYNET Fastsatt av Finansdepartementet 19. november 2014

Revisjon av styring og kontroll

TILDELINGSBREV TIL LIKESTILLINGS- OG DISKRIMINERINGSOMBUDET

Sikkerhetsforum i UH sektoren

TILDELINGSBREV TIL SEKRETARIATET FOR DISKRIMINERINGSNEMNDA

Styresak /4 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for Dokument 3:2 ( ), informasjon

Regjeringens digitaliseringsstrategi for offentlig sektor. Marit Mellingen NOKIOS 23.Oktober 2018

Styringssystem i et rettslig perspektiv

Riksrevisjonen medspiller eller motstander? SSØs kundeforum 2011

Stortinget vedtok 9. desember 2015 Kulturdepartementets budsjett for 2016.

Etatsstyring Tilbakemelding til Universitetet i Agder

S T Y R E S A K # 33/13 STYREMØTET DEN

Holbergs gate 1 / 0166 Oslo T: E: W: Høringsuttalelse Høring - Rapport Kunnskapssektoren sett utenfra

MEDLEMSMØTE I NETTVERK STATLIG SEKTOR GEVINSTREALISERING OG INTERNREVISORS ROLLE. DFØ 21. april 2017

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Ny organisering av Unit fra

Fagfornyelsen og revisjon av læreplanverket: Hvor er digital kompetanse i fremtidens skole?

Digitaliseringsstrategi

Strategi for Informasjonssikkerhet

Digitaliseringsstrategi

Status regnskapskvalitet

Veiledning- policy for internkontroll

Revisjon av informasjonssikkerhet

EDB Business Partner. Sikkerhetskontroller / -revisjoner

Difis prosjekt for deling av data

Oppfølgingspunkter Tilbakemeldinger fra KD Oppfølging i SH. utvikle virksomhetsmål og styringsparameter som er målbare og realistiske.

Transkript:

Fra sikkerhetsledelse til handling ambisjoner og forventninger Gustav Birkeland, seniorrådgiver UNINET-konferansen, 22.11.2017, sesjon 4

Forventninger Statlige universiteter og høyskoler skal etterleve de nasjonale og sektorielle kravene til informasjonssikkerhet

Ambisjoner Statlige universiteter og høyskoler skal se en strategisk egeninteresse i å strekke seg lenger enn de nasjonale og sektorielle minstekravene til informasjonssikkerhet fordi dette er et fundament for digitaliseringen av den enkelte virksomhet og en forutsetning for overordnet måloppnåelse.

Digitaliseringsstrategi for universitets- og høyskolesektoren: 5.4.10 En målrettet styrking av informasjonssikkerheten (Forventninger) " har overordnet ansvar for informasjonssikkerheten i UH-sektoren og vil fortsette å stille tydelige krav til institusjonene, og følge opp disse kravene gjennom styring og tilsyn. Disse kravene bygger på nasjonale regler og føringer og må forstås som minstekrav til informasjonssikkerhet.

Digitaliseringsstrategi for universitets- og høyskolesektoren: 5.4.10 En målrettet styrking av informasjonssikkerheten (Ambisjoner) Departementet legger vekt på at UH-institusjonene har et bevisst forhold til informasjonssikkerheten som en kritisk suksessfaktor for egne digitaliseringsstrategier og strategiske satsinger. Universitetene og høyskolene er kunnskapsvirksomheter hvor forvaltning og foredling av informasjon/data er en del av kjernevirksomheten. Å videreutvikle denne kjernevirksomheten gjennom en strategisk satsing på digitalisering innebærer også at institusjonene må ha et aktivt forhold til styringen av informasjonssikkerheten, og ha en egen strategisk interesse i å løfte denne høyere enn de nasjonale minstekravene."

Forventninger: Dette er noe dere skal gjøre Minstekrav som er like for alle statlig virksomheter. Disse følger av regelverk og av instrukser gitt i rundskriv og tildelingsbrev Eksempler er: Følge kravene i digitaliseringsrundskrivet Etterleve eforvaltningsforskriftens 15 Ha beredskapsplaner Gjennomføre øvelser Det er ikke et målbilde, men en 'baseline'

Forventninger: Kravene er helt klare og kommuniseres i alle kanaler Lover Forskrifter Rundskriv Strategier Handlingsplaner Tildelingsbrev Etatsstyringsmøter med påfølgende skriftlig tilbakemelding Tilsyn med påfølgende skriftlig tilbakemelding Revisjon

Riksrevisjonens Dokument 1 (2017-2018): Svakheter ved informasjonssikkerhet i statlige virksomheter Riksrevisjonen har over flere år tatt opp vesentlige svakheter ved styringssystemer for informasjonssikkerhet i en rekke statlige virksomheter. Revisjonen for 2016 viser at dette fortsatt er et område med utfordringer, selv for store og dataintensive statlige virksomheter. Flere forhold er tatt opp med respektive virksomheter, mens svakheter ved informasjonssikkerheten i Oljedirektoratet, Statens Vegvesen og Skattedirektoratet er vurdert som vesentlige og derfor omtalt særskilt i Dokument 1 del II under det respektive departement.

Riksrevisjonens Dokument 1 (2017-2018): Svakheter ved informasjonssikkerhet i statlige virksomheter Riksrevisjonen har over flere år tatt opp vesentlige svakheter ved styringssystemer for informasjonssikkerhet i en rekke statlige virksomheter. Revisjonen for 2016 viser at dette fortsatt er et område med utfordringer, selv for store og dataintensive statlige virksomheter. Flere forhold er tatt opp med respektive virksomheter, mens svakheter ved informasjonssikkerheten i Oljedirektoratet, Statens Vegvesen og Skattedirektoratet er vurdert som vesentlige og derfor omtalt særskilt i Dokument 1 del II under det respektive departement. Kunne dette vært oss?

Riksrevisjonens Dokument 1 (2017-2018): Svakheter ved informasjonssikkerhet i statlige virksomheter Ledelsen har ansvaret for informasjonssikkerheten i virksomheten. Styringssystemet skal være et verktøy for ledelsen til å oppnå et tilfredsstillende sikkerhetsnivå. Vesentlige forbedringer i informasjonssikkerheten krever kompetanse og et vedvarende systematisk arbeid i virksomhetene. Departementene har et særlig ansvar for sikkerheten innenfor eget område. Mangelfull styring og oppfølging av informasjonssikkerhet gir risiko for at sensitiv informasjon, også personopplysninger, kan komme på avveie og at viktige tjenester for samfunnet settes ut av funksjon. ( )

Riksrevisjonens Dokument 1 (2017-2018): Svakheter ved informasjonssikkerhet i statlige virksomheter ( ) Dette skjer til tross for stor oppmerksomhet om uheldige hendelser, samt omtale i Riksrevisjonens dokument 1 over flere år. Den raske digitaliseringstakten bidrar til å gjøre kritiske samfunnsfunksjoner sårbare. Ulike aktører tar i bruk stadig mer avanserte metoder ved dataangrep på statlige virksomheter. Riksrevisjonen mener det er kritikkverdig at det fortsatt er virksomheter der det er vesentlige svakheter ved informasjonssikkerheten.

Ambisjoner Målene er tydelige og oppfordringen er gitt

Ambisjoner: Den enkelte virksomhet velger å løfte informasjonssikkerheten over de nasjonale minstekravene som følge av egen strategi Utgangspunktet er en forståelse av egen kjernevirksomhet, mulighetene for utvikling og risikoen for disse verdiene. Dernest kommer minstekravene baseline. Det er krevende å styrke et område mens resten av virksomheten skal effektiviseres. Nøkkelen til denne effektiviseringen ligger i digitalisering og en av nøklene til vellykket digitalisering er grunnleggende sikkerhet. Spørsmålet er ikke hva vi må gjøre i dag for å etterleve kravene fra KD, men hva vi må gjøre i morgen for å være konkurransedyktige på utdanning og forskning.

Gjennomføring av ambisjonen En grunnleggende forståelse av kjernevirksomheten og at informasjonssikkerheten er til for denne Et bevisst forhold til risikostyring på alle nivåer En forståelse av de andre virksomhetsstyringsprosessene og hvordan styring av informasjonssikkerhet henger sammen med disse Alt bygger på de samme prinsippene for corporate governance og er kompatibelt Å bygge på egne styrker og samarbeid

Gjennomføring av minstekravene Ledelsen må være med og ta et ansvar for informasjonssikkerheten Vi er forbi implementeringsstadiet nå Utfordringen kan synes å være å få lukket kvalitetssirkelen i et ledelsessystem altså å få integrert sikkerhetsledelsen i de andre ledelsesprosessene og årshjulet til virksomheten

Hva gjør regjeringen? Oppfølging av Lysneutvalget Stortingsmelding om IKT-sikkerhet Ny nasjonal strategi for informasjonssikkerhet Ny handlingsplan for informasjonssikkerhet Evaluering av handlingsplan for informasjonssikkerhet i statsforvaltningen og status på informasjonssikkerhetsarbeidet

Hva gjør KD? En målrettet styrking av informasjonssikkerheten gjennom Tydeligere rammeverk for egen styring og organisering En styrking av organiseringen på sektornivå gjennom tjenesteorganet Bygge videre på UNINETTs gode arbeid Kunnskapsgrunnlag gjennom ekstern evaluering

Hva gjør tjenesteorganet? Styring av informasjonssikkerhet blir en viktig oppgave Overtar viktig kompetanse fra UNINETT

Hva gjør UNINETT? Leverer sikkerhetstjenester til sektoren Drifter infrastrukturen og har UNINETT CERT, UHsektorens responsmiljø

Hva gjør universitetene og høyskolene? Ruster seg til å møte morgendagens utfordringer og til å lede an i digitaliseringen av høyere utdanning og forskning

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding