Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4

Like dokumenter
Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Spørreundersøkelse om informasjonssikkerhet

Samarbeid og koordinering på informasjonssikkerhetsområdet i nasjonale felleskomponenter

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter

Ny sektorovergripende føringer - hva skjer?

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Aggregering av risiko - behov og utfordringer i risikostyringen

Difis og Skates bidrag til mer, bedre og samordnet digitalisering

Styring og samordning av IKT i offentlig sektor

Strategi for nasjonale felleskomponenter og -løsninger i offentlig sektor. Strategiperiode

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

Policy for Antihvitvask

Kvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern

Raskere digitalisering med god sikkerhet. Evry

Samfunnets sikkerhet og beredskap - sett fra Riksrevisjonen. Riksrevisor Per-Kristian Foss. Samfunnssikkerhetskonferansen. 4. januar 2018.

Statlig IKT-politikk en oversikt. Endre Grøtnes Difi, avdeling for digital strategi og samordning

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

Direktoratet for forvaltning og ikt Besøksadresse Oslo: Besøksadresse Leikanger: Postboks 1382 Vika Oslo

Sikkert nok - Informasjonssikkerhet som strategi

Samordning av IKT-utviklingen i kommunesektoren. Trude Andresen Direktør KS Forskning, innovasjon og digitalisering

Informasjonssikkerhet er et lederansvar. Topplederen er øverste ansvarlig for at virksomheten har et velfungerende system for

Samordning av IKT-utviklingen i offentlig sektor Statens dataforum 6. mars Trude Andresen Direktør KS Forskning, Innovasjon og Digitalisering

Standarder for risikostyring av informasjonssikkerhet

Seksjon for informasjonssikkerhet

Internkontroll i praksis (styringssystem/isms)

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Samordning av IKT-utviklingen i kommunesektoren. Line Richardsen Fagleder KS Forskning, innovasjon og digitalisering

Ny styringsmodell for informasjonssikkerhet og personvern

Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15.

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Måling av informasjonssikkerhet ISO/IEC 27004:2016. Håkon Styri Seniorrådgiver Oslo,

Retningslinje for risikostyring for informasjonssikkerhet

Direktør Marianne Andreassen

Internkontroll og informasjonssikkerhet lover og standarder

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Arbeidet med informasjonssikkerhet i statsforvaltningen

Få oversikt og prioritere - et felles grunnlag for flere fagområder. Øyvind Grinde Seksjonssjef informasjonssikkerhet og datadeling

Skate-sak 22/2018 Difis anbefaling til KMD - Nasjonal prioritering og finansiering tverrgående løsninger. Skate Knut Bjørgaas Difi

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet

Anbefalinger om åpenhet rundt IKT-hendelser

Digitaliseringsstrategi for Buskerud fylkeskommune. Revidert

Ny sikkerhetslov og forskrifter

Difis veiledningsmateriell, ISO og Normen

Felleskomponenter. kommunal sektor.

Sak 3/18 Sluttbehandling av Etablere enhetlig arkitekturrammeverk (ST 2.2) Skate-møtet 21.mars 2018

Difi som navet i en lærende offentlig sektor

Digitaliseringsstrategi for Buskerud fylkeskommune Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.

Difi. Digitalisering av offentlig sektor. Offentlig sektor er ikke en enhet

Digitalisering av offentlig sektor

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Rapporteringsskjema for kryptoinstallasjon

Program for digitale anskaffelser. Helge Dønnum og Gunnar Wessel Thomassen PwC 8.desember 2017

Helse- og omsorgsdepartementet St.meld. nr Samhandlingsreformen

Oversikt. Remi Longva

Risikobasert arbeid med personvern

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Grunnleggende begreper Målgruppe: Fagansvarlig informasjonssikkerhet og virksomhetsledelsen

Betydelige prissatte nyttevirkninger (gevinstpotensial) i annen offentlig virksomhet

Myk eller sterk IT-styring? I dag og fremover!

Olje- og energidepartementet

Elektroniske tjenester i offentlig sektor - Difis rolle. Hans Christian Holte

Erfaringer fra tilsyn. Helge Rager Furuseth Nasjonal sikkerhetsmyndighet

Planlegging av øvelser

Måling av informasjonssikkerhet. Håkon Styri Seniorrådgiver Oslo,

PROGRAM FOR TOPPLEDERGRUPPER I STATEN

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Oppdraget. Leveranse 1 Oversikt over utvalgte statlige digitaliseringsinitiativ som påvirker kommunene (pilottest).

Invitasjon til dialogkonferanse Nytt IKT-verktøy for Justervesenet.

STRATEGI FOR NORMENS KURS- OG KOMPETANSEVIRKSOMHET

Kriterier for Difis anbefalinger til KMD om prioritering av tverrgående digitaliseringstiltak

Elektroniske tjenester og ITIL

Hva er et styringssystem?

Datadeling og nasjonal arkitektur

i lys av 20/2011 DATO: RUNDSKRIV: Banker FINANSTILSYNET Postboks 1187 Sentrum 0107 Oslo

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

PROGRAM FOR TOPPLEDERGRUPPER I STATEN

Sikkerhetsforum Styring og kontroll av informasjonssikkerhet. 19. desember 2013

IKT-utvikling på tvers hva skal til? Organisering, styring og finansiering?

Vedlegg 2 - illustrasjoner Sak 27/17 Samkjøring av digitaliseringsstrategien og veikartarbeidet. Steffen Sutorius Direktør Oslo,

HOVEDSTYRET Dato: kl. 10:00 Sted: Møterom Hålogaland, KS Møtesenter

Måling av informasjonssikkerhet i norske virksomheter

Nettskyen utfordringer og muligheter

VEIEN TIL ET LEDELSESSYSTEM MED NS-EN ISO 9001:2015 VERITECH AS V/ MAGNUS ROBBESTAD

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring

Fylkesmannen i Buskerud 22. august Risikostyring i statlige virksomheter. Direktør Marianne Andreassen

Ny sikkerhetslov og betydningen for sikring i offentlig sektor og det private. Christer Veen Tjessem Seniorrådgiver Oslo, 10.

Digitaliseringsstrategi

NIFS Nettverk for Informasjonssikkerhet Tema: Øvelse. Barbro Lugnfors Seksjon for informasjonssikkerhet

Case: Behov, risikovurderinger, informasjonssikkerhet

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring

Er virksomhetene opptatt av målstyring?

IKT-STRATEGI

KS TROMS HØSTKONFERANSE oktober 2017

Transkript:

Undersøkelse om informasjonssikkerhet i Nasjonale felleskomponenter Spørreskjema Vedlegg til Difi-notat 2017:4 ID Spørsmål Svar A Styring og kontroll i virksomheten A.1 Hvilke standarder, rammeverk og veiledninger baserer dere styring og kontroll med informasjonssikkerhet i felleskomponentene på? A.2 Hvilke roller har ansvaret for å ta beslutninger om risiko (f.eks. akseptere eller behandle risiko, inkludert iverksettelse av sikkerhetstiltak)? A.3 Hvordan går dere fram for å følge opp beslutninger om risikohåndtering (inkludert iverksettelse av sikkerhetstiltak)? B Sikkerhetsarkitektur B.1 Har dere beskrevet en sikkerhetsarkitektur for de nasjonale felleskomponentene? B.2 Hva legger dere i begrepet sikkerhetsarkitektur? B.3 Benytter dere etablerte rammeverk for sikkerhetsarkitektur? Eventuelt hvilke? B.4 Er det rammeverk som dere har vurdert å bruke, men ikke bruker i dag? Eventuelt hvorfor?

C Anskaffelser og leverandøroppfølging C.1 Hvilken sourcingstrategi (valg av intern eller ekstern produksjon av tjenester til organisasjonen) har dere for utvikling og drift av felleskomponentene? C.2 Hvis dere har satt ut enkelte av disse tjenestene til eksterne leverandører, hvilke mekanismer benytter dere for å skaffe dere innsikt i styring og kontroll og sikkerhetstiltak hos leverandører (relatert til utvikling og drift av felleskomponentene)? C.3 Benytter dere eksterne bekreftelser av tjenesteleverandørers styring og kontroll og/eller sikkerhetstiltak (f.eks. SOC2-rapporter)? D Måling D.1 Arbeider dere med måling eller «benchmarking» av informasjonssikkerhet? E Samarbeid mellom felleskomponentforvalterne E.1 Hvordan samarbeider felleskomponentforvalterne om informasjonssikkerhet i dag? E.2 Hvilke møteplasser og kanaler (for eksempel nettverk, faggrupper, samlinger, sosiale media, nyhetsbrev), hvor informasjonssikkerhet i felleskomponenter er et tema, deltar dere på?

E.3 Er det møteplasser/kanaler knyttet til informasjonssikkerhet i felleskomponenter som dere kjenner til men ikke deltar på? I så fall hvorfor? E.4 Hvilke tema tas opp på disse møteplassene/i disse kanalene? E.5 Hvilke virksomheter og roller deltar på disse møteplassene? E.6 Samarbeider dere om utforming og koordinering av sikkerhetstiltak på tvers av felleskomponenter og på tvers av felleskomponentforvaltere? I hvilken grad og på hvilken måte gjennomføres slikt samarbeid? E.7 Benytter felleskomponentforvalterne en felles referanse for organisering eller kategorisering av sikkerhetstiltak (f.eks. tiltaksbanker/rammeverk som ISO/IEC 27002, NIST SP 800-53 e.l.)? E.8 Hvordan vurderer dere nytte og negative sideeffekter ved å ha et felles sett med grunnleggende sikkerhetstiltak for nasjonale felleskomponenter? E.9 Samarbeider dere med andre felleskomponentforvaltere om felles tilnærming til måling eller «benchmarking» av informasjonssikkerhet? Hvis ja, hvordan?

Hvis nei, hvilken nytte kunne dere eventuelt hatt av det? E.10 Samarbeider dere med andre felleskomponentforvaltere om planlegging eller gjennomføring av øvelser tilknyttet informasjonssikkerhetshendelser? F Eksterne føringer Etatsstyring og regelverk F.1 Er det føringer, eller mangel på sådanne, fra overordnede departement som påvirker koordinering og samarbeid mellom felleskomponentforvalterne på informasjonssikkerhetsområdet? Hvilke føringer er det eventuelt snakk om? F.2 Er det regelverk som påvirker koordinering og samarbeid mellom felleskomponentforvalterne på informasjonssikkerhetsområdet? Hvilket regelverk er det eventuelt snakk om? F.3 Noen nasjonale felleskomponenter kan være utpekt som skjermingsverdig objekt iht. sikkerhetsloven, andre ikke. Gir dette spesielle utfordringer eller er det til nytte for koordinering eller samarbeid mellom felleskomponentforvaltere på informasjonssikkerhetsområdet? Hvilke utfordringer eller nytte? F.4 Informasjon om enkelte felleskomponenter, inkludert dokumentasjon av sikkerhetstiltak, kan

være gradert iht. til sikkerhetsloven. Gir dette spesielle utfordringer eller er det til nytte for koordinering eller samarbeid mellom felleskomponentforvaltere på informasjonssikkerhetsområdet? Hvilke utfordringer eller nytte? G Tverrgående utfordringer og løsninger G.1 Opplever dere tverrgående utfordringer knyttet til informasjonssikkerhet for forvaltere av nasjonale felleskomponenter? G.2 Hva kan gjøres for å bidra til å løse felles problemstillinger og hindringer i informasjonssikkerhetsarbeidet for nasjonale felleskomponenter? H Kundene H.1 Hvordan tilrettelegger dere for å bidra til at kundene kan vurdere og håndtere risiko knyttet til sin bruk av felleskomponenten[e]? H.2 Hvordan tilrettelegger dere for dette før en kunde tar i bruk felleskomponenten, og hvordan tilrettelegger dere for dette for kunder som er brukere av felleskomponenten? H.3 Hva er det kundene etterspør i forbindelse med vurdering og håndtering av risiko? H.4 Samarbeider felleskomponentforvaltere om risikokommunikasjon, inkl. samkjørt form og innhold, til kundene?

H.5 Stiller dere krav til kundene om vurdering og håndtering av risiko? (Vis gjerne til, eller legg ved, eksempel på slike krav.) H.6 Er dere tydelige og klare overfor kundene om ansvarsforhold rundt vurdering og håndtering av risiko ved bruk av felleskomponenten? (Vis gjerne til, eller legg ved, eksempel på slik dokumentasjon.) H.7 Gir dere kundene innsikt i informasjonssikkerheten tilknyttet utvikling og drift av felleskomponenten[e]? I Samfunnsrisiko I.1 Det kan argumenteres for at felleskomponentforvaltere i praksis gjør risikovurderinger på samfunnets vegne. Hvordan forholder dere dere til samfunnets grad av avhengighet av en felleskomponent og den konsentrasjon av risiko på ett sted dette kan utgjøre? I.2 Arbeider felleskomponentforvaltere med felles forståelse av risiko og kritiske avhengigheter på tvers av virksomheter og sektorer?

J Forbedringsforslag J.1 Har dere forslag til hvordan man kan forbedre informasjonssikkerheten i nasjonale felleskomponenter? Kontaktpersoner Navn, e-post og telefon til personer som kan kontaktes for et intervju

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding