Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Internkontroll i praksis – informasjonssikkerhet Hva handler det om

PublisertOlav Helle Endret for 6 år siden

Liknende presentasjoner

Presentasjon om: "Internkontroll i praksis – informasjonssikkerhet Hva handler det om"— Utskrift av presentasjonen:

1 Internkontroll i praksis – informasjonssikkerhet Hva handler det om
Internkontroll i praksis – informasjonssikkerhet Hva handler det om? Hovedinnholdet i Difis veiledning til virksomhetene

2 Difis rolle og mandat innen informasjonssikkerhet
Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen Være en pådriver for, og bidra til, bedre styring og kvalitetssikring av informasjonssikkerheten i statsforvaltningen Gi anbefalinger og veiledning til forvaltningsorgan om internkontroll på informasjonssikkerhetsområdet jf. eForvaltningsforskriften §15

3 Hva er informasjonssikkerhet?
Sikkerhet mht. konfidensialitet integritet tilgjengelighet på informasjon som behandles i tilknytning til våre arbeidsoppgaver

4 Hva er informasjonssikkerhet?
konfidensialitet informasjon blir ikke kjent for uvedkommende (lest, hørt …) integritet informasjon blir ikke endret utilsiktet eller av uvedkommende tilgjengelighet informasjon er tilgjengelig ved behov

5 Potensielle konsekvenser ved brudd på informasjonssikkerheten
Vår egen jobb Personer og virksomheter feil beslutninger brudd på rettssikkerhet feil i øk. transaksjoner ikke korrekt og forsvarlig saksbehandling økonomiske tap ineffektivt arbeid tapt arbeidstid tap av anseelse, integritet og rettigheter økonomiske tap ødelagte muligheter, arbeidsforhold, livssituasjon og eksistensgrunnlag bedriftshemmeligheter rikets sikkerhet liv og helse ikke korrekt og forsvarlig saksbehandling

6 Hvorfor internkontroll?
Nå mål og resultatkrav Være effektive Etterleve lover og regler Pålitelig rapportering Risikoer Risikoer Treffer eller bommer vi?

7 Årsaker til risikoer uhell uaktsomhet tilsiktede handlinger ulykker
Kan gi uønskede konsekvenser Vi når ikke målene våre

8 Internkontroll / Styringssystem / Ledelsessystem / ….
Ulike begrep for det samme (i denne kontekst) Det handler om systematikk og formalisering for å oppnå tilstrekkelig intern styring og kontroll slik at vi kan nå målene våre (nå mål og resultatkrav, være effektive etterleve lover og regler, ha pålitelig rapportering)

9 Krav og anbefalinger til virksomhetene

10 Bestemmelser om økonomistyring i staten
Kap. 2.4 Internkontroll: Alle virksomheter skal etablere internkontroll Virksomhetens ledelse har ansvaret .... Internkontroll skal primært være innebygd i virksomhetens interne styring

11 eForvaltningsforskriften § 15
Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder …. innen informasjonssikkerhet … skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks … bør være en integrert del av virksomhetens helhetlige styringssystem Omfang og innretning på internkontrollen skal være tilpasset risiko

12 Handlingsplan for informasjonssikkerhet i statsforvaltningen – 2015–2017
Tiltaksområde 1: Styring og kontroll For den enkelte virksomhet er målet en god og effektiv etterlevelse av eForvaltningsforskriften § 15

13 Standard og veiledningsmateriell
ISO/IEC 27001 er den anbefalte anerkjente standarden å basere seg på stiller overordnede krav Difis veiledningsmateriell baserer seg på ISO/IEC 27001 dekker det Difi anser som de viktigste kravene konkretiserer hvordan kravene kan implementeres og etterleves anbefalt å bruke som referanse og støtte ved analyse av status, etablering og forbedring av internkontroll på informasjonssikkerhetsområdet

14 Internkontroll i praksis - informasjonssikkerhet
Difis veiledningsmateriell Internkontroll i praksis - informasjonssikkerhet

15 Nettbasert veiledningsmateriell
Hjelp og støtte Hovedaktiviteter og delaktiviteter Beskrivelser

16 Viktige aktører i virksomheten
Virksomhetsledelsen Ledere som delegerer og skal følge opp Risikoeiere (ledere på operativt nivå) Systemeiere fellessystem Tiltaksleverandører Utpekt person som lederstøtte og pådriver innen internkontroll informasjonssikkerhet (fagansvarlig informasjonssikkerhet e.l.) Prosessledere / støttepersoner i risikovurderinger o.l.

17 Systematiske aktiviteter

18 Ledelsens styring og oppfølging - «Hjernen» i internkontrollen

19 Delaktiviteter under Ledelsens styring og oppfølging
Virksomhetsledelsens gjennomgang Minimum en gang årlig få avklart status få gjennomført nødvendige etablerings- og forbedringsaktiviteter tydeliggjøre krav og forventninger reagere ved svikt Ledere på alle nivå Delegere og følge opp gjennom linjen Sikre finansielle rammer Kommunisere viktighet Løfte og håndtere problemstillinger gjennom linjen Beredskap og krisehåndtering

20 Risikovurdering - «Hjertet» i internkontrollen

21 Delaktiviteter under Risikovurdering
Risikoeiere og systemeiere fellessystem: Få oversikt og prioritere Analysere eksterne krav Planlegge og gjennomføre risikovurderinger Det «spesielle» Risikovurdere i hendelseshåndteringen Risikovurdere ved anskaffelser og utvikling

22 Risikohåndtering - «Hendene» i internkontrollen

23 Delaktiviteter under Risikohåndtering
Risikoeiere og systemeiere fellessystem: Foreslå håndtering av risikoer Godkjenne forslag til risikohåndtering Iverksette godkjente tiltak Tiltaksleverandører: Utforme og implementere tiltakene Oppdatere fellessikring og tilleggssikring

24 Overvåking og hendelseshåndtering - «Vakta» i internkontrollen

25 Delaktiviteter under Overvåking og hendelseshåndtering
Tiltaksleverandører: Overvåke i henhold til avtale Alle ansatte Rapportere hendelser, avvik og informasjonssikkerhetsbrudd Ulike aktører ut fra ansvar Følge opp

26 Måling, evaluering og revisjon - «Kontrolløren» i internkontrollen

27 Delaktiviteter under Måling, evaluering og revisjon
Ledere på alle nivå: Systematisk vurdere status på eget ansvarsområde om man selv og de personer man har ansvaret for gjør det de skal om sikkerhetstiltak man har ansvaret for fungerer som forutsatt Ved ledelsens behov eller ved krav i regelverk må ulike aktører: Måle tilstanden på definerte indikatorer Gjennomføre evalueringer Gjennomføre internrevisjon

28 Kompetanse- og kulturutvikling - «Læreren» i internkontrollen

29 Delaktiviteter under Kompetanse- og kulturutvikling
Ledere på ulike nivå: Identifisere behov løpende Følge opp behovene systematisk Fagansvarlig informasjonssikkerhet: Følge opp lokale sikkerhetskoordinatorer lokale pådrivere

30 Kommunikasjon - «Limet» i internkontrollen

31 Delaktiviteter under Kommunikasjon
Formidle nye føringer Slik at de alltid når frem og er tilgjengelig ved behov Dokumentere gjennomførte internkontrollaktiviteter ofte kort etterlevelse av tiltak når det er viktig Årlige rapporter og notat statusrapporter som grunnlag for risikovurderinger saksnotat til virksomhetsledelsens gjennomgang Kommunikasjon mellom delaktiviteter og aktører Ekstern kommunikasjon

32 Internkontroll i praksis - informasjonssikkerhet

33 Etablering/forbedring

34 Etablering/forbedring
Analysere status Planlegge etablering/forbedring Utforme/forbedre overordnede styrende dokumenter

35 Overordnede styrende dokumenter
Difis anbefaling Overordnede styrende dokumenter

36 overordnede styrende dokumenter
Notat: Rammer for de overordnede styrende dokumenter Policy for Informasjonssikkerhet Policynivå Bør inneholde mål og strategi Jf. eForvalntingsforskriften § 15 Roller og ansvar i internkontroll- og sikkerhetsarbeidet Forstå, vurdere og håndtere operativ risiko Vurdere behov for risikovurderinger (info.sikkerhet og ev. kvalitet) Retningslinjer (Hva som skal gjøres av hvem, strukturert etter roller) (Retningslinje el. Veiledning) Aktiviteter og ansvar – internkontroll informasjonssikkerhet (Hva som skal gjøres av hvem, utdypet for informasjons-sikkerhet og strukturert etter hovedaktiviteter)

37 overordnede styrende dokumenter
Notat: Rammer for de overordnede styrende dokumenter Mål (Policy) for HMS Policy for Informasjonssikkerhet Ev. Mål (Policy) for andre IK-områder? (Hva som skal gjøres av hvem strukturert etter roller) Roller og ansvar i internkontroll- og sikkerhetsarbeidet Retningslinjer (Retningslinje el. Veiledning) Aktiviteter og ansvar – internkontroll informasjonssikkerhet Vurdere behov for risikovurderinger (info.sikkerhet og ev. kvalitet) Forstå, vurdere og håndtere operativ risiko (Hva som skal gjøres av hvem, utdypet for informasjons-sikkerhet og strukturert etter hovedaktiviteter)

38 Etablering/forbedring
Avklare behov og lage en plan Analysere status Planlegge etablering/forbedring Få på plass det viktigste Utforme/forbedre overordnede styrende dokumenter Få på plass nøkkelpersoner og aktivere sikkerhetsorganisasjonen Utforme og gjennomføre grunnopplæring Etablere system for hendelses- og avvikshåndtering Skape en god platform Etablere fellessikring og synliggjøre tilleggssikring Etablere rammeverk for dokumentasjon Lage et godt grunnlag for sentrale aktiviteter Felles analyse av eksterne krav Identifisere typiske oppgave- og informasjonstyper

39 Få internkontroll (styring og kontroll) innen informasjonssikkerhet
fremgangsmåte

40 1 2 Analysere status Planlegge etablering/forbedring
Gjennomføre andre etableringsaktiviteter Gjennomføre aktivitetene systematisk 2 Internkontroll- aktiviteter

41 1 2 3 Tilleggssikring Fellessikring Analysere status
Planlegge etablering/forbedring Gjennomføre andre etableringsaktiviteter Gjennomføre aktivitetene systematisk 2 Internkontroll- aktiviteter 3 Sikkerhetstiltak: Instrukser og rutiner Avtaler Retningslinje for fysisk sikkerhet Tilgangsstyring IT-systemer Sikkerhetskopiering og gjenoppretting Osv. Tilleggssikring Fellessikring

42 Gradvis oppbygging År n 3 2 1 Etablering/ forbedring Systematisk
Eksempel på arbeidsmengde

43 Gradvis oppbygging År n 3 2 1 Etablering/ forbedring Systematisk
Investering

44 Difis tilbud Nettbasert veileder 2-dagers innføringskurs
For fagansvarlig informasjonssikkerhet o.l. Arbeidsseminar Utforme overordnede styrende dokumenter Etablere fellessikring og tilleggssikring Få oversikt og prioritere før risikovurdering Rådgivningsmøter med virksomheter Ut fra kapasitet

45 Til slutt

46 Internkontroll informasjonssikkerhet
Er et systematisk kontinuerlig arbeid for å håndtere risiko Er en forutsetning for en kontrollert og effektiv informasjonsbehandling, måloppnåelse og digitalisering Gir ledelsen og virksomheten for øvrig styringsmulighet når vi må få opp farten

47 Internkontroll informasjonssikkerhet Hvor er dere?
Difis anbefaling: Analyse av status med Difis mal Plan for etablering/forbedring Er det bra nok? Det handler om å nå mål og resultatkrav, være effektive etterleve lover og regler, ha pålitelig rapportering

48 Veiledningsmateriellet:
Kontakt oss Veiledningsmateriellet: Internkontroll.infosikkerhet.difi.no

Laste ned ppt "Internkontroll i praksis – informasjonssikkerhet Hva handler det om"

Liknende presentasjoner

Kan det lages et felles internkontrollsystem i kommunen. Åre

Kan det lages et felles internkontrollsystem i kommunen. Åre
Internkontroll i kommuner

Internkontroll i kommuner
Prof. Dag Wiese Schartum, AFIN

Prof. Dag Wiese Schartum, AFIN
Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.

Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.
Internkontroll etter alkoholloven Møte med bransjen

Internkontroll etter alkoholloven Møte med bransjen
Hvordan holde orden i eget hus? Internkontrollforskriften

Hvordan holde orden i eget hus? Internkontrollforskriften
FOR 1996-12-06 nr 1127: Forskrift om systematisk helse-, miljø- og sikkerhetsarbeid i virksomheter (Internkontrollforskriften)

FOR nr 1127: Forskrift om systematisk helse-, miljø- og sikkerhetsarbeid i virksomheter (Internkontrollforskriften)
Krav til sikring av personopplysninger Prof. Dag Wiese Schartum, AFIN.

Krav til sikring av personopplysninger Prof. Dag Wiese Schartum, AFIN.
Krav til sikring av personopplysninger i hht pol § 13 og pof kap. 2 Prof. Dag Wiese Schartum, AFIN.

Krav til sikring av personopplysninger i hht pol § 13 og pof kap. 2 Prof. Dag Wiese Schartum, AFIN.
INTERNKONTROLL - Medlem av Norges største frittstående elektrikerkjede -

INTERNKONTROLL - Medlem av Norges største frittstående elektrikerkjede -
Presentasjon Agresso brukerforum 2012 Arne Lunde, KD.

Presentasjon Agresso brukerforum 2012 Arne Lunde, KD.
Sammen om mestring Veileder i lokalt psykisk helsearbeid og rusarbeid for voksne.

Sammen om mestring Veileder i lokalt psykisk helsearbeid og rusarbeid for voksne.
Presentasjon – Econa 14.4.15. 2 Riksrevisjonens stilling i statsapparatet Riksrevisjonen er direkte knyttet til Stortinget og er uavhengig av forvaltningen.

Presentasjon – Econa Riksrevisjonens stilling i statsapparatet Riksrevisjonen er direkte knyttet til Stortinget og er uavhengig av forvaltningen.
Et felles løft for alle Gjennomføring av arbeidsmøte.

Et felles løft for alle Gjennomføring av arbeidsmøte.
Roller i arbeidslivet Arbeidsgiver Arbeidstaker Verneombud Arbeidsmiljøutvalg Bedriftshelsetjeneste ml?tid=207363http://www.arbeidstilsynet.no/fakta.ht.

Roller i arbeidslivet Arbeidsgiver Arbeidstaker Verneombud Arbeidsmiljøutvalg Bedriftshelsetjeneste ml?tid=207363http://
Veileder i helhetlig ROS-analyse i kommunen Arealbruk og naturfare - NIFS 5.November 2014 Cathrine Andersen.

Veileder i helhetlig ROS-analyse i kommunen Arealbruk og naturfare - NIFS 5.November 2014 Cathrine Andersen.
Miljøsertifisering Hvor står NØK NØK produserer og leverer bare miljøvennlig energi! Vi har internt høy fokus på HMS Kraftbransjen var (er) av enkelte.

Miljøsertifisering Hvor står NØK NØK produserer og leverer bare miljøvennlig energi! Vi har internt høy fokus på HMS Kraftbransjen var (er) av enkelte.
Evaluering av Difi Vivi Lassen Leverandørmøte 24.02.14.

Evaluering av Difi Vivi Lassen Leverandørmøte
Nettverk for virksomhetsstyring Risikostyring v/ Anette P. Simonsen, DFØ v/ Christine Vik, DFØ 17. Februar 2016.

Nettverk for virksomhetsstyring Risikostyring v/ Anette P. Simonsen, DFØ v/ Christine Vik, DFØ 17. Februar 2016.
Om lysbildeserien Lysbildene er støttemateriell til prosessledere

Om lysbildeserien Lysbildene er støttemateriell til prosessledere

Liknende presentasjoner

Annonser fra Google