Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

Like dokumenter
GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

Internkontroll og informasjonssikkerhet lover og standarder

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Fagkurs for kommuner Arbeid med informasjonssikkerhet i egen virksomhet (45 minutter)

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Har du kontroll på verdiene dine

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

ekommune 2017 Prosessplan for god praksis om personvern

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Styringssystem i et rettslig perspektiv

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Hva er et styringssystem?

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Kan du legge personopplysninger i skyen?

Informasjonssikkerhet og ISO 27001

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Endelig kontrollrapport

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Endelig kontrollrapport

VIRKE. 12. mars 2015

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Endelig kontrollrapport

TRUST-IKT: Først i Norge med felles pasientjournal Hva har vi gjort? Erling Høyem Leder prosjekt og rådgiving

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

Varsel om vedtak fra Datatilsynet - Overtredelsesgebyr

Politikk for informasjonssikkerhet

Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Informasjonssikkerhet i Norge digitalt Teknologiforum

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Sikkerhetsledelse et løpende og langsiktig arbeid. - Som ikke alltid gir raske resultater

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Avito Bridging the gap

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Krav til informasjonssikkerhet i nytt personvernregelverk

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Endelig kontrollrapport

Noen aktuelle tema for personvernombud i finans

Bilag 14 Databehandleravtale

Endelig kontrollrapport

KF Brukerkonferanse 2013

OM PERSONVERN TRONDHEIM. Mai 2018

Styret Helse Sør-Øst RHF 14. desember 2017

GDPR Ny personvernforordning

Etablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard

Bransjenorm et egnet virkemiddel for å håndtere et komplekst trusselbilde

Retningslinjer for databehandleravtaler

Bruk av skytjenester og sosiale medier i skolen

Ledelsesforankring rettskrav, muligheter og utfordringer. Tommy Tranvik, Senter for rettsinformatikk. Sikkerhetsforum for UH-sektoren, 14. juni 2012.

Styresak Orienteringssak - Informasjonssikkerhet

Endelig kontrollrapport

Retningslinje for risikostyring for informasjonssikkerhet

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Tjenester i skyen hva må vi tenke på?

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Bransjenorm. for personvern og informasjonssikkerhet i elektronisk billettering. Vedlegg 4: Veiledning for internkontroll - informasjonssikkerhet

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo

Endelig kontrollrapport

Databehandleravtale etter personopplysningsloven

Kommunikasjon med ledelsen hva kan Difi bidra med?

Endelig kontrollrapport

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Kommunens Internkontroll

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Informasjonssikkerhet i forordningen

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Styresak 85/2010: Internrevisjonsrapporter Helse Nord RHF 2010

Internkontroll. SUHS konferansen. 07. November 2012 Kenneth Høstland, CISA, CRISC

HVEM ER JEG OG HVOR «BOR» JEG?

Endelig kontrollrapport

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Kvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern

Transkript:

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

Om Ikomm Lillehammer Hamar Askim 85 Ansatte ISO 9001 ISO 27001 30 000 Brukere 500+ Applikasjoner Norge Sverige Finland Nederland Danmark

Hva legger vi vekt på? Rådgivning fra Ikomm er effektiv og kompetent med utgangspunkt i virksomhetens behov Vi har tre hovedprinsipper i vårt arbeid: forankring i virksomhetens ledelse kontinuerlig kvalitetsarbeid det nasjonale målbildet. Vi skal bidra til Bedre Kommuner

Litt om Linda Sykepleier Helserett, coaching & ledelse Leder i helse- og omsorgstjeneste HR-rådgiver Leder for tildeling og koord.enhet

Risikoledelse i hverdagen mulig eller umulig?

Normen som utgangspunkt Vi bruker Normen som utgangspunkt Gjennomgang av krav Utarbeidelse av styringssystem Metode for risikovurdering Osv osv

Personvern og informasjonssikkerhet

En typisk dagsorden Risikovurderinger bakgrunn Metode for arbeidet med risikoanalyser og vurderinger basert på normen.no Gjennomføring av risikoanalyser ift bruk av IKT-systemer

Styringssystem for informasjonssikkerhet 1. Styrende del a) Beskrivelse av ledelse og organisering av informasjonssikkerhet b) Beskrivelse av og oversikt over formålet med behandlingene c) Fastsettelse av sikkerhetsmål og -strategi d) Fastsettelse av nivå for akseptabel risiko 2. Gjennomførende del a) Prosedyrer b) Dokumentasjon av sikkerhetstiltak c) Opplæring 3. Kontrollerende del a) Risikovurdering b) Sikkerhetsrevisjon c) Avvikshåndtering d) Ledelsens gjennomgang

Om Risikovurdering Krav i flere lover og forskrifter; Infosikkerhet; personopplysningsforskriften, Kvalitet i tjenesten/pasientsikkerhet; forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten, HMS; forskrift om organisering, ledelse og medvirkning Brann; forskrift om brannforebygging Beredskap Osv..

Noen begrepsavklaringer Akseptabelt nivå for risiko; hvilken risiko kan vi leve med hvor går grensa? Risikoeier; hvem har ansvaret? Risiko/farekilde/hendelser; det som truer eller som allerede har skjedd Sannsynlighet; hvor ofte Konsekvens; hvilke følger Risikoanalyse; sammenstilling av risiko, sannsynlighet og konsekvens. Risikovurdering; Konklusjonene hvordan vi håndtere risikoen, hvilke tiltak vi iverksetter.

Fra Normen.no

Fra Normen.no

Hvilken risiko kan vi leve med? For all risiko som er høyere enn nivå for akseptabel risiko skal det iverksettes tiltak for å bringe sikkerheten innenfor et akseptabelt nivå.

Risikovurdering Tre enkle spørsmål er kjernen i risikovurderingen: Hva kan gå galt? Hva kan vi gjøre for å hindre dette? Hva kan vi gjøre for å redusere konsekvensene dersom det skjer? Trinn 1: Finn farekildene Trinn 2: Hva kan skje og hvor sannsynlig er det? Trinn 3: Hva kan vi gjøre for å hindre det? Trinn 4: Tiltak og videre arbeid

ROS-analyse

Til vurdering: 1. Virksomhetskritiske systemer hvilke har dere? 2. Risiko og hendelser hva kan skje? f.eks. Ansatt kommer ikke inn i EPJ. Må føre manuelt. Hvilke konsekvensområder påvirker denne hendelsen: Konfidensialitet Tilgjengelighet Integritet 3. Hvilke sannsynlighet og konsekvens får hendelsen?

Fra en databehandlers ståsted Ønsker behandlingsansvarlige som tar eierskap Spør gjerne om råd Still krav

Hvilken kultur har vi?

Minstekrav til innhold i styringssystem Sikkerhetsstrategi Sikkerhetsmål Oversikt over hvilke opplysninger som behandles Definisjon av roller og ansvar for sikkerhetsarbeid Rutine for risikovurdering Akseptabelt nivå for risiko Rutiner for tilgangsstyring Informasjon til de registrerte

Styringssystem for informasjonssikkerhet 1. Styrende del Mål og strategi hvilke føringer gjelder for oss hvilken risiko kan vi leve med? 2. Gjennomførende del Hvordan skal vi jobbe? Hva gjør jeg hvis..? 3. Kontrollerende del Gjør vi som vi sier vi skal? Bør vi endre praksis? Integrert del av arbeidet med kvalitet og forbedring Sikkerhetsledelse og kultur

Hva gjør de som får det til? Helhetlig styringssystem Forenkler Tar eierskap Innebygd personvern gjelder også prosjektgjennomføring Avvikshåndtering vurderes opp mot nivå for akseptabel risiko

Nasjonale føringer Strategisk plan Digitaliseringsstrategi Andre strategier og IKT-strategi planer Sektorplaner Planer for tjenester Styringssystemet Prosjekter/Aktiviteter Drift og forvaltning

Hvorfor være opptatt av dette? Personvern et viktig demokratisk prinsipp: "Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse."

Takk for meg! Linda Svendsrud Teamleder Rådgivning Ikomm AS Mobil: 95949294 E-post: linda.svendsrud@ikomm.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding