Laste ned presentasjonen
Presentasjon lastes. Vennligst vent
PublisertElise Aasen Endret for 6 år siden
1
Om lysbildeserien Lysbildene er støttemateriell til prosessledere
Lysbildene kan tilpasses virksomheten og benyttes helt eller delvis som informasjon i forkant av workshoper med ulike organisatoriske enheter og systemeiere for fellessystem som skal gjennomføre aktiviteten: Få oversikt og prioritere - under hovedaktivitetene Risikovurdering Noen av de første lysbildene, frem til mal 1, kan eventuelt også benyttes kort innledningsvis i workshopen Før mal 2 benyttes, må virksomhetene ha fått på plass sin egen retningslinje med de vedleggene som er nevnt i siste del av lysbildeserien: Se Difis [EKSEMPEL] Retningslinje Forstå, vurdere og håndtere operativ risiko Før mal 4 benyttes må virksomheten ha fått på plass sin egen retningslinje som gir føringer for og støtte i den avsluttende vurderingen Se Difis [EKSEMPEL] Retningslinje Vurdere behov for risikovurderinger Mal 3 kan om ønskelig også benyttes uavhengig av det prosesstrinn den inngår i under denne delaktiviteten Se for øvrig den utdypende aktivitetsbeskrivelsen i Difis veiledningsmateriell Få oversikt og prioritere Alle maler er tilgjengelig fra Maler og Eksempler i menyen Nyttig
2
Få oversikt og prioritere (før risikovurderinger)
Workshop Internkontroll informasjonssikkerhet
3
Hvor er vi i internkontrollarbeidet?
Difis forklaringsmodell Hvor er vi i internkontrollarbeidet?
4
Risikovurdering - «Hjertet» i internkontrollen
5
Delaktiviteter under Risikovurdering
Risikoeiere og systemeiere fellessystem: Få oversikt og prioritere Analysere eksterne krav Planlegge og gjennomføre risikovurderinger Det «spesielle» Risikovurdere i hendelseshåndteringen Risikovurdere ved anskaffelser og utvikling Her
6
Delaktiviteten Få oversikt og prioritere Nytte for risikoeiere (linjeledere på operativt nivå)
Få grunnleggende oversikt over eget ansvarsområde, herunder hvilke arbeidsoppgaver (herunder tjenester) som utføres hvilken type informasjon som behandles i oppgavene og en indikasjon på om de er viktig med hensyn til informasjonssikkerhet hvilke IKT-system som benyttes i oppgavene andre forhold som har spesiell betydning for informasjonssikkerhet etterlevelse av personopplysningsloven utover informasjonssikkerhet Anslå høyeste konsekvensnivå på arbeidsoppgaver og IKT-system ved brudd på konfidensialitet, integritet eller tilgjengelighet Med utgangspunkt i informasjonen som behandles Overordnet egenvurdering av sentrale trusler, farer og sårbarheter Gruppere og dele opp eget ansvarsområde i hensiktsmessige delområder Vurdere systematisk behovet for nye/oppdaterte risikovurderinger på de ulike delområdene
7
Delaktiviteten Få oversikt og prioritere Nytte for systemeiere fellessystem
Anslå høyeste konsekvensnivå på fellessystemene ved brudd på konfidensialitet, integritet eller tilgjengelighet Med utgangspunkt i risikoeiernes vurderinger rundt sin bruk av fellessystemene Overordnet egenvurdering av sentrale trusler, farer og sårbarheter Gruppere og dele opp fellessystemene i hensiktsmessige delområder Vurdere systematisk behovet for nye/oppdaterte risikovurderinger på de ulike delområdene
8
Innhold i aktiviteten
9
Delaktiviteten Få oversikt og prioritere
Foranalyse av ansvarsområde Gruppere og dele opp Vurdere behov for risiko-vurderinger Holde oversikt: Gjennomførte risiko-vurderinger
10
Delaktiviteten Få oversikt og prioritere
Foranalyse av ansvarsområde Gruppere og dele opp Vurdere behov for risiko-vurderinger Holde oversikt: Gjennomførte risiko-vurderinger Identifisere arbeids-oppgaver Identifisere informasjons-typer, system mv. Finn høyeste konsekvens-nivå: oppgaver og system Overordnet vurdering: trusler, farer, sårbarheter Opp-summering: obs-områder Foranalyse
11
Delaktiviteten Få oversikt og prioritere
Foranalyse av ansvarsområde Gruppere og dele opp Vurdere behov for risiko-vurderinger Holde oversikt: Gjennomførte risiko-vurderinger Mal 4 Identifisere arbeids-oppgaver Identifisere informasjons-typer, system mv. Finn høyeste konsekvens-nivå: oppgaver og system Overordnet vurdering: trusler, farer, sårbarheter Opp-summering: obs-områder Foranalyse Mal 1 Mal 2 Mal 3
12
Få oversikt og prioritere Arbeidsmengde
Hovedjobben ligger i første gangs gjennomføring Da er en prosessleder viktig støtte for linjelederne, spesielt i de første trinnene Senere Er det oftest behov for en årlig avstemming av om noe har endret seg Eventuelt en ny vurdering av enkelte deler når det kommer nye arbeidsoppgaver eller nye system dersom hendelseshåndtering, vurderinger e.l. viser at man må se nærmere på enkelte deler
13
Få oversikt og prioritere Positive sideeffekter
Resultatet fra karleggingen kan gi nyttige refleksjoner og innspill til bedre etterlevelse av personvernregelverket utover informasjonssikkerhet prosessforbedringer i den enkelte enhet samordning av prosesser på tvers i virksomheten muligheter for datadeling iht. krav i Digitaliseringsrundskrivet Jf. rundskrivets pkt. 1.4 Gjør offentlig informasjon tilgjengelig for viderebruk
14
Delaktiviteten Få oversikt og prioritere
Foranalyse av ansvarsområde Gruppere og dele opp Vurdere behov for risiko-vurderinger Holde oversikt: Gjennomførte risiko-vurderinger Identifisere arbeids-oppgaver Identifisere informasjons-typer, system mv. Finn høyeste konsekvens-nivå: oppgaver og system Overordnet vurdering: trusler, farer, sårbarheter Opp-summering: obs-områder Foranalyse Fokus i første workshop Mal 1
15
Foranalyse trinn 1 og 2 – Risikoeiere (Del 1 av mal 1)
Punkter i listen strykes, tilføres og presiseres ut fra enhetens egenart
16
Foranalyse trinn 1 og 2 – Risikoeiere (Del 1 av støtteskjemaet i mal 1)
Man tar i hovedsak stilling til eksempler og endrer ut fra behov
17
Foranalyse trinn 1 og 2 – Risikoeiere (Del 2 av støtteskjemaet i mal 1)
Man endrer og supplerer der det er relevant. Det meste her kan gjøres av linjelederne etter workshopen
18
Delaktiviteten Få oversikt og prioritere
Foranalyse av ansvarsområde Gruppere og dele opp Vurdere behov for risiko-vurderinger Holde oversikt: Gjennomførte risiko-vurderinger Identifisere arbeids-oppgaver Identifisere informasjons-typer, system mv. Finn høyeste konsekvens-nivå: oppgaver og system Overordnet vurdering: trusler, farer, sårbarheter Opp-summering: obs-områder Foranalyse Mal 2 a og b
19
Foranalyse trinn 3 - Risikoeiere (Mal 2a)
20
Foranalyse trinn 3 - Systemeiere fellessystem (Mal 2b)
21
Delaktiviteten Få oversikt og prioritere
Foranalyse av ansvarsområde Gruppere og dele opp Vurdere behov for risiko-vurderinger Holde oversikt: Gjennomførte risiko-vurderinger Identifisere arbeids-oppgaver Identifisere informasjons-typer, system mv. Finn høyeste konsekvens-nivå: oppgaver og system Overordnet vurdering: trusler, farer, sårbarheter Opp-summering: obs-områder Foranalyse Mal 3
22
Foranalyse trinn 4 – (mal 3) Overordnet vurdering av trusler, farer og sårbarheter
Del 1 av malen
23
Foranalyse trinn 4 – (mal 3) Overordnet vurdering av trusler, farer og sårbarheter
Del 2 av malen
24
Foranalyse trinn 4 – (mal 3) Overordnet vurdering av trusler, farer og sårbarheter
Del 3 av malen
25
Delaktiviteten Få oversikt og prioritere
Foranalyse av ansvarsområde Gruppere og dele opp Vurdere behov for risiko-vurderinger Holde oversikt: Gjennomførte risiko-vurderinger Mal 4: Behov og plan for gjennomføring av risikovurderinger Identifisere arbeids-oppgaver Identifisere informasjons-typer, system mv. Finn høyeste konsekvens-nivå: oppgaver og system Overordnet vurdering: trusler, farer, sårbarheter Opp-summering: obs-områder Foranalyse
26
Behov og plan for risikovurderinger (Del 1 av mal 4)
27
Behov og plan for risikovurderinger (Del 2 av mal 4)
28
Retningslinjen: Vurdere behov for risikovurderinger
29
Retningslinjen: Vurdere behov for risikovurderinger
30
Retningslinjen: Vurdere behov for risikovurderinger
31
Retningslinjen: Vurdere behov for risikovurderinger
32
Retningslinjen: Vurdere behov for risikovurderinger
33
B: Kriterier for å akseptere risiko
Retningslinje: Forstå, vurdere og håndtere operativ risiko Støtte fra vedlegg B, C, D og E B: Kriterier for å akseptere risiko C: Normerende beskrivelser av risikonivå D: Normerende beskrivelser av konsekvensnivå E: Normerende beskrivelser av sannsynlighetsnivå
34
Sammenheng Kriterier for å akseptere risiko Risikonivå Konsekvensnivå
Sannsynlighetsnivå
35
Sammenheng Kriterier for å akseptere risiko Risikonivå Konsekvensnivå
Difis eksempel på kriterier for å akseptere risiko: Ulike risikonivå har forskjeller på: Betydningen av oppgaven/tjenesten for å nå virksomhetens mål Ressursinnsats for å finne alternative arbeidsmåter / risikoreduserende tiltak Føringer for valg av alternative arbeidsmåter Føringer for valg av tiltak (ALARP eller nytte/kost) Nytten av oppgaven/tjenesten er større enn risikoen Hvilket ledernivå som kan akseptere risikoen Kriterier for å akseptere risiko Risikonivå Konsekvensnivå Sannsynlighetsnivå
36
Veiledningsmateriellet Internkontroll i praksis informasjonssikkerhet
interkontroll.infosikkerhet.difi.no Mer om informasjonssikkerhet infosikkerhet.difi.no Epost
Liknende presentasjoner
© 2024 SlidePlayer.no Inc.
All rights reserved.