Hva er et styringssystem?

Like dokumenter
Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Styringssystem i et rettslig perspektiv

Internkontroll og informasjonssikkerhet lover og standarder

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Internkontroll i praksis (styringssystem/isms)

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Difis veiledningsmateriell, ISO og Normen

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

ISO-standarderfor informasjonssikkerhet

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

EDB Business Partner. Sikkerhetskontroller / -revisjoner

Difis veiledningsmateriell for offentlig sektor internkontroll.infosikkerhet.difi.no

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Erfaringer med innføring av styringssystemer

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Virksomhetens kontroll og ansvar - Når den ansatte går i skyen. Helge Veum, avdelingsdirektør Dataforeningen Outsourcing&Offshoring, Oslo

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

Informasjonssikkerhet i forordningen

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

Kan du legge personopplysninger i skyen?

Sekretariat for informasjonssikkerhet i UHsektoren. Rolf Sture Normann

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Endelig kontrollrapport

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Kvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

Internkontroll for informasjonssikkerhet en fleksibel tilnærming med høy nytteverdi

Har du kontroll på verdiene dine

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Risikoanalysemetodikk

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Etablering av et ISMS Vi er i gang i SPK. Gunilla Fagerberg Grimsgaard

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Revisjon av informasjonssikkerhet

Styringssystem for informasjonssikkerhet et topplederansvar

Styringssystem basert på ISO 27001

Informasjonssikkerhet og ISO 27001

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Styret Helse Sør-Øst RHF 14. desember 2017

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

Standarder for informasjonssikkerhet Rune Ask

Måling av informasjonssikkerhet i norske virksomheter

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Noen aktuelle tema for personvernombud i finans

Regelverk for digital kommunikasjon i og med forvaltningen

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

OVERSIKT SIKKERHETSARBEIDET I UDI

Krav til informasjonssikkerhet i nytt personvernregelverk

Databehandleravtaler. Tommy Tranvik Unit

Politikk for informasjonssikkerhet

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Elektroniske arkiv og personvern v/rådgiver Jim-Arne Hansen. IKAT Kontaktseminar, Grand Nordic Hotel mai 2008

IKT-sikkerhet og sårbarhet i Risør kommune

VIRKE. 12. mars 2015

Varsel om vedtak fra Datatilsynet - Overtredelsesgebyr

Standarder for risikostyring av informasjonssikkerhet

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Ansvar og organisering

Informasjonssikkerhet En tilnærming

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Avtale mellom. om elektronisk utveksling av opplysninger

Revisjon av IT-sikkerhetshåndboka

Internkontroll/styringssystem i praksis informasjonssikkerhet. Andreas Grefsrud, seniorrådgiver seksjon for informasjonssikkerhet

Strategi for Informasjonssikkerhet

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Sikkert nok - Informasjonssikkerhet som strategi

Rettslige krav til informasjonssikkerhet i offentlig forvaltning

Endelig kontrollrapport

Endelig kontrollrapport

Databehandleravtale. Denne avtalen er inngått mellom

Revisjon av anbefalte standarder for styringssystem for informasjonssikkerhet

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Sikkerhetstiltak utforming av internkontrolltiltak på informasjonssikkerhetsområdet

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK

Innherred samkommune. Levanger kommunes tiltak til kravene i Personopplysningsloven. Orientering ved Personvernombudet. 1www.innherred-samkommune.

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Handbok i informasjonstryggleik. Presentasjon Geir Håvard Ellingseter, dokumentsenteret

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Styringssystem for informasjonssikkerhet

ISO27001 som del av forvaltningen

Gode råd til sikkerhetsansvarlige

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

Transkript:

Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland

Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke informasjonssikkerheten 2007-2010 (FAD, JD, FD, SD Økonomiregelverket (bestemmelsene) NS-ISO/IEC 27002:2005 Informasjonsteknologi Sikkerhetsteknikk Administrasjon av informasjonssikkerhet (gamle ISO 17799:2005)

Informasjonssikkerhet Beskyttelse mot brudd på konfidensialitet, integritet og tilgjengelighet for den informasjon som behandles i systemet og systemet i seg selv. Fra Nasjonale retningslinjer for å styrke informasjonssikkerheten 2007-2010 2012.04.12 Direktoratet for forvaltning og IKT

HVA ER ET STYRINGSSYSTEM FOR INFORMASJONSSIKKERHET? 2012.04.12 Direktoratet for forvaltning og IKT

Hva ligger foran oss? Utviklingen av en elektronisk forvaltning vil være en av de store effektiviserings- og fornyingstiltakene i årene som kommer. 2012.04.12 Direktoratet for forvaltning og IKT

Dato Direktoratet for forvaltning og IKT

Hvorfor ISO 27001/27002? Nasjonale retningslinjer for å styrke informasjonssikkerhet (Ny versjon på vei) Vurdere krav om bruk av standarder Standarder for informasjonssikkerhet Referansekatalogen v 3.1 høringsfrist 24/4 www.standard.difi.no 2012.04.12 Direktoratet for forvaltning og IKT

ISO/IEC 27001:2005 Standard for et styringssystem for informasjonssikkerhet Information Security Management Systems (ISMS) Plan Do Check Act 2012.04.12 Direktoratet for forvaltning og IKT

11 områder, 39 sikringsmål og 133 sikringstiltak Utdyping av 133 sikringstiltak Direktoratet for forvaltning og IKT

Forholdet mellom regelverk og ISO/IEC 27001 Regelverk gjelder Standarden kan utfylle Vi må avstemme 2012.04.12 Direktoratet for forvaltning og IKT

Et kort overblikk Pof 2-1 Forholdsmessige krav om sikring av personopplysninger ISO 27001 Krav til risikotilnærming 2-3 Sikkerhetsledelse Management 2-4 Risikovurdering Risk management 2-5 Sikkerhetsrevisjon Internal audit 2-6 Avvik Corrective and preventive action 2-16 Dokumentasjon Documentation requirements Direktoratet for forvaltning og IKT

PLAN ACT DO CHECK Dato Direktoratet for forvaltning og IKT

Du skal planlegge det du skal gjøre P FOR PLAN Dato Direktoratet for forvaltning og IKT

PLAN Hva skal styringssystemet gjelde for? ISMS-policy (Mål og strategi) Risikovurdering og -tilnærming Ut fra risikovurderingen skal vi velge sikringsmål og tiltak for håndtering av risiko (Annex A) Få ledelsens godkjennelse for foreslåtte restrisiko 2012.04.12 Direktoratet for forvaltning og IKT

Ivaretakelse av rettslige krav Skal vurdere de rettslige krav i planleggingsfasen Vedlegg A A.15 compliance Mål: Å unngå brudd på lover, forskrifter og kontraktsforpliktelser A.15.1 Compliance with legal requirements Kontraktsforpliktelser Opphavsrettigheter Personvern og personopplysningsvern Med mer 2012.04.12 Direktoratet for forvaltning og IKT

PLAN overgang til neste fase Få ledelsens godkjenning til å implementere og drifte ISMS Forberede SoA sikkerhetstiltak..og deretter starter DO-fasen PLAN ACT DO CHECK 2012.04.12 Direktoratet for forvaltning og IKT

Du skal gjøre det du planla å gjøre D FOR DO Dato Direktoratet for forvaltning og IKT

D for DO Utarbeide risikohåndteringsplan ( prosjektplan ) Gjennomføre planen Definere hvordan man skal måle virkningen av sikringstiltak Utarbeide og implementere prosedyrer og rutiner Gjennomføre opplæring Styre ressurser Implementere prosedyrer/tiltak for å oppdage og håndtere avvik Dato Direktoratet for forvaltning og IKT

Du skal sjekke at du gjør det du planla å gjøre C FOR CHECK Dato Direktoratet for forvaltning og IKT

C for check Tiltak for å overvåke og revidere ISMS Undersøke om sikkerhetskrav blir oppfylt Revidere risikovurderingen(e) Revidere restrisiko Revidere akseptabelt risikonivå Gjennomføre intern revisjon Gjennomføre ledelsens gjennomgang Oppdatere planer Dokumentasjon på isms-hendelser og tiltak Dato Direktoratet for forvaltning og IKT

Du skal korrigere og forbedre P-D-C A for act Dato Direktoratet for forvaltning og IKT

Dokumentasjonskrav den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene pol 13 Mer spesifisert i pof ISO 27001 kap. 4.3 Documentation requirements Dato Direktoratet for forvaltning og IKT

ISO/IEC 27002 ISO/IEC 27002:2005 Administrasjon av informasjonssikkerhet Veiledning til generelt aksepterte sikringstiltak Retningslinjer og generelle prinsipper for planlegge, implementere, vedlikeholde og forbedre styringssystem for informasjonssikkerhet i en virksomhet (anbefalt praksis) Dato Direktoratet for forvaltning og IKT

ISO/IEC 27002 Sikringstiltak Ofte kun en setning Retningslinjer for iverksettelse Råd/veiledning om hvordan tiltaket kan etableres Andre opplysninger Ytterligere råd/henvisning til annen informasjon/standarder 2012.04.12 Direktoratet for forvaltning og IKT

Du skal planlegge Du skal jobbe systematisk Du skal ha tilfredsstillende informasjonssikkerhet Du skal dokumentere Du har ansvaret for eksterne

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding