Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Om lysbildeserien Lysbildene er støttemateriell til prosessledere

Liknende presentasjoner


Presentasjon om: "Om lysbildeserien Lysbildene er støttemateriell til prosessledere"— Utskrift av presentasjonen:

1 Om lysbildeserien Lysbildene er støttemateriell til prosessledere
Lysbildene kan tilpasses virksomheten og benyttes helt eller delvis som informasjon i forkant av workshoper med ulike organisatoriske enheter og systemeiere for fellessystem som skal gjennomføre aktiviteten: Få oversikt og prioritere - under hovedaktivitetene Risikovurdering Noen av de første lysbildene, frem til mal 1, kan eventuelt også benyttes kort innledningsvis i workshopen Før mal 2 benyttes, må virksomhetene ha fått på plass sin egen retningslinje med de vedleggene som er nevnt i siste del av lysbildeserien: Se Difis [EKSEMPEL] Retningslinje Forstå, vurdere og håndtere operativ risiko Før mal 4 benyttes må virksomheten ha fått på plass sin egen retningslinje som gir føringer for og støtte i den avsluttende vurderingen Se Difis [EKSEMPEL] Retningslinje Vurdere behov for risikovurderinger Mal 3 kan om ønskelig også benyttes uavhengig av det prosesstrinn den inngår i under denne delaktiviteten Se for øvrig den utdypende aktivitetsbeskrivelsen i Difis veiledningsmateriell Få oversikt og prioritere Alle maler er tilgjengelig fra Maler og Eksempler i menyen Nyttig

2 Få oversikt og prioritere (før risikovurderinger)
Workshop Internkontroll informasjonssikkerhet

3 Hvor er vi i internkontrollarbeidet?
Difis forklaringsmodell Hvor er vi i internkontrollarbeidet?

4 Risikovurdering - «Hjertet» i internkontrollen

5 Delaktiviteter under Risikovurdering
Risikoeiere og systemeiere fellessystem: Få oversikt og prioritere Analysere eksterne krav Planlegge og gjennomføre risikovurderinger Det «spesielle» Risikovurdere i hendelseshåndteringen Risikovurdere ved anskaffelser og utvikling Her

6 Delaktiviteten Få oversikt og prioritere Nytte for risikoeiere (linjeledere på operativt nivå)
Få grunnleggende oversikt over eget ansvarsområde, herunder hvilke arbeidsoppgaver (herunder tjenester) som utføres hvilken type informasjon som behandles i oppgavene og en indikasjon på om de er viktig med hensyn til informasjonssikkerhet hvilke IKT-system som benyttes i oppgavene andre forhold som har spesiell betydning for informasjonssikkerhet etterlevelse av personopplysningsloven utover informasjonssikkerhet Anslå høyeste konsekvensnivå på arbeidsoppgaver og IKT-system ved brudd på konfidensialitet, integritet eller tilgjengelighet Med utgangspunkt i informasjonen som behandles Overordnet egenvurdering av sentrale trusler, farer og sårbarheter Gruppere og dele opp eget ansvarsområde i hensiktsmessige delområder Vurdere systematisk behovet for nye/oppdaterte risikovurderinger på de ulike delområdene

7 Delaktiviteten Få oversikt og prioritere Nytte for systemeiere fellessystem
Anslå høyeste konsekvensnivå på fellessystemene ved brudd på konfidensialitet, integritet eller tilgjengelighet Med utgangspunkt i risikoeiernes vurderinger rundt sin bruk av fellessystemene Overordnet egenvurdering av sentrale trusler, farer og sårbarheter Gruppere og dele opp fellessystemene i hensiktsmessige delområder Vurdere systematisk behovet for nye/oppdaterte risikovurderinger på de ulike delområdene

8 Innhold i aktiviteten

9 Delaktiviteten Få oversikt og prioritere
Foranalyse av ansvarsområde Gruppere og dele opp Vurdere behov for risiko-vurderinger Holde oversikt: Gjennomførte risiko-vurderinger

10 Delaktiviteten Få oversikt og prioritere
Foranalyse av ansvarsområde Gruppere og dele opp Vurdere behov for risiko-vurderinger Holde oversikt: Gjennomførte risiko-vurderinger Identifisere arbeids-oppgaver Identifisere informasjons-typer, system mv. Finn høyeste konsekvens-nivå: oppgaver og system Overordnet vurdering: trusler, farer, sårbarheter Opp-summering: obs-områder Foranalyse

11 Delaktiviteten Få oversikt og prioritere
Foranalyse av ansvarsområde Gruppere og dele opp Vurdere behov for risiko-vurderinger Holde oversikt: Gjennomførte risiko-vurderinger Mal 4 Identifisere arbeids-oppgaver Identifisere informasjons-typer, system mv. Finn høyeste konsekvens-nivå: oppgaver og system Overordnet vurdering: trusler, farer, sårbarheter Opp-summering: obs-områder Foranalyse Mal 1 Mal 2 Mal 3

12 Få oversikt og prioritere Arbeidsmengde
Hovedjobben ligger i første gangs gjennomføring Da er en prosessleder viktig støtte for linjelederne, spesielt i de første trinnene Senere Er det oftest behov for en årlig avstemming av om noe har endret seg Eventuelt en ny vurdering av enkelte deler når det kommer nye arbeidsoppgaver eller nye system dersom hendelseshåndtering, vurderinger e.l. viser at man må se nærmere på enkelte deler

13 Få oversikt og prioritere Positive sideeffekter
Resultatet fra karleggingen kan gi nyttige refleksjoner og innspill til bedre etterlevelse av personvernregelverket utover informasjonssikkerhet prosessforbedringer i den enkelte enhet samordning av prosesser på tvers i virksomheten muligheter for datadeling iht. krav i Digitaliseringsrundskrivet Jf. rundskrivets pkt. 1.4 Gjør offentlig informasjon tilgjengelig for viderebruk

14 Delaktiviteten Få oversikt og prioritere
Foranalyse av ansvarsområde Gruppere og dele opp Vurdere behov for risiko-vurderinger Holde oversikt: Gjennomførte risiko-vurderinger Identifisere arbeids-oppgaver Identifisere informasjons-typer, system mv. Finn høyeste konsekvens-nivå: oppgaver og system Overordnet vurdering: trusler, farer, sårbarheter Opp-summering: obs-områder Foranalyse Fokus i første workshop Mal 1

15 Foranalyse trinn 1 og 2 – Risikoeiere (Del 1 av mal 1)
Punkter i listen strykes, tilføres og presiseres ut fra enhetens egenart

16 Foranalyse trinn 1 og 2 – Risikoeiere (Del 1 av støtteskjemaet i mal 1)
Man tar i hovedsak stilling til eksempler og endrer ut fra behov

17 Foranalyse trinn 1 og 2 – Risikoeiere (Del 2 av støtteskjemaet i mal 1)
Man endrer og supplerer der det er relevant. Det meste her kan gjøres av linjelederne etter workshopen

18 Delaktiviteten Få oversikt og prioritere
Foranalyse av ansvarsområde Gruppere og dele opp Vurdere behov for risiko-vurderinger Holde oversikt: Gjennomførte risiko-vurderinger Identifisere arbeids-oppgaver Identifisere informasjons-typer, system mv. Finn høyeste konsekvens-nivå: oppgaver og system Overordnet vurdering: trusler, farer, sårbarheter Opp-summering: obs-områder Foranalyse Mal 2 a og b

19 Foranalyse trinn 3 - Risikoeiere (Mal 2a)

20 Foranalyse trinn 3 - Systemeiere fellessystem (Mal 2b)

21 Delaktiviteten Få oversikt og prioritere
Foranalyse av ansvarsområde Gruppere og dele opp Vurdere behov for risiko-vurderinger Holde oversikt: Gjennomførte risiko-vurderinger Identifisere arbeids-oppgaver Identifisere informasjons-typer, system mv. Finn høyeste konsekvens-nivå: oppgaver og system Overordnet vurdering: trusler, farer, sårbarheter Opp-summering: obs-områder Foranalyse Mal 3

22 Foranalyse trinn 4 – (mal 3) Overordnet vurdering av trusler, farer og sårbarheter
Del 1 av malen

23 Foranalyse trinn 4 – (mal 3) Overordnet vurdering av trusler, farer og sårbarheter
Del 2 av malen

24 Foranalyse trinn 4 – (mal 3) Overordnet vurdering av trusler, farer og sårbarheter
Del 3 av malen

25 Delaktiviteten Få oversikt og prioritere
Foranalyse av ansvarsområde Gruppere og dele opp Vurdere behov for risiko-vurderinger Holde oversikt: Gjennomførte risiko-vurderinger Mal 4: Behov og plan for gjennomføring av risikovurderinger Identifisere arbeids-oppgaver Identifisere informasjons-typer, system mv. Finn høyeste konsekvens-nivå: oppgaver og system Overordnet vurdering: trusler, farer, sårbarheter Opp-summering: obs-områder Foranalyse

26 Behov og plan for risikovurderinger (Del 1 av mal 4)

27 Behov og plan for risikovurderinger (Del 2 av mal 4)

28 Retningslinjen: Vurdere behov for risikovurderinger

29 Retningslinjen: Vurdere behov for risikovurderinger

30 Retningslinjen: Vurdere behov for risikovurderinger

31 Retningslinjen: Vurdere behov for risikovurderinger

32 Retningslinjen: Vurdere behov for risikovurderinger

33 B: Kriterier for å akseptere risiko
Retningslinje: Forstå, vurdere og håndtere operativ risiko Støtte fra vedlegg B, C, D og E B: Kriterier for å akseptere risiko C: Normerende beskrivelser av risikonivå D: Normerende beskrivelser av konsekvensnivå E: Normerende beskrivelser av sannsynlighetsnivå

34 Sammenheng Kriterier for å akseptere risiko Risikonivå Konsekvensnivå
Sannsynlighetsnivå

35 Sammenheng Kriterier for å akseptere risiko Risikonivå Konsekvensnivå
Difis eksempel på kriterier for å akseptere risiko: Ulike risikonivå har forskjeller på: Betydningen av oppgaven/tjenesten for å nå virksomhetens mål Ressursinnsats for å finne alternative arbeidsmåter / risikoreduserende tiltak Føringer for valg av alternative arbeidsmåter Føringer for valg av tiltak (ALARP eller nytte/kost) Nytten av oppgaven/tjenesten er større enn risikoen Hvilket ledernivå som kan akseptere risikoen Kriterier for å akseptere risiko Risikonivå Konsekvensnivå Sannsynlighetsnivå

36 Veiledningsmateriellet Internkontroll i praksis informasjonssikkerhet
interkontroll.infosikkerhet.difi.no Mer om informasjonssikkerhet infosikkerhet.difi.no Epost


Laste ned ppt "Om lysbildeserien Lysbildene er støttemateriell til prosessledere"

Liknende presentasjoner


Annonser fra Google