Internkontroll i praksis – informasjonssikkerhet Hva handler det om Internkontroll i praksis – informasjonssikkerhet Hva handler det om? Hovedinnholdet i Difis veiledning til virksomhetene
Difis rolle og mandat innen informasjonssikkerhet Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen Være en pådriver for, og bidra til, bedre styring og kvalitetssikring av informasjonssikkerheten i statsforvaltningen Gi anbefalinger og veiledning til forvaltningsorgan om internkontroll på informasjonssikkerhetsområdet jf. eForvaltningsforskriften §15
Hva er informasjonssikkerhet? Sikkerhet mht. konfidensialitet integritet tilgjengelighet på informasjon som behandles i tilknytning til våre arbeidsoppgaver
Hva er informasjonssikkerhet? konfidensialitet informasjon blir ikke kjent for uvedkommende (lest, hørt …) integritet informasjon blir ikke endret utilsiktet eller av uvedkommende tilgjengelighet informasjon er tilgjengelig ved behov
Potensielle konsekvenser ved brudd på informasjonssikkerheten Vår egen jobb Personer og virksomheter feil beslutninger brudd på rettssikkerhet feil i øk. transaksjoner ikke korrekt og forsvarlig saksbehandling økonomiske tap ineffektivt arbeid tapt arbeidstid … tap av anseelse, integritet og rettigheter økonomiske tap ødelagte muligheter, arbeidsforhold, livssituasjon og eksistensgrunnlag bedriftshemmeligheter rikets sikkerhet liv og helse ikke korrekt og forsvarlig saksbehandling …
Hvorfor internkontroll? Nå mål og resultatkrav Være effektive Etterleve lover og regler Pålitelig rapportering Risikoer Risikoer Treffer eller bommer vi?
Årsaker til risikoer uhell uaktsomhet tilsiktede handlinger ulykker Kan gi uønskede konsekvenser Vi når ikke målene våre
Internkontroll / Styringssystem / Ledelsessystem / …. Ulike begrep for det samme (i denne kontekst) Det handler om systematikk og formalisering for å oppnå tilstrekkelig intern styring og kontroll slik at vi kan nå målene våre (nå mål og resultatkrav, være effektive etterleve lover og regler, ha pålitelig rapportering)
Krav og anbefalinger til virksomhetene
Bestemmelser om økonomistyring i staten Kap. 2.4 Internkontroll: Alle virksomheter skal etablere internkontroll Virksomhetens ledelse har ansvaret .... Internkontroll skal primært være innebygd i virksomhetens interne styring
eForvaltningsforskriften § 15 Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder …. innen informasjonssikkerhet … skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks … bør være en integrert del av virksomhetens helhetlige styringssystem Omfang og innretning på internkontrollen skal være tilpasset risiko
Handlingsplan for informasjonssikkerhet i statsforvaltningen – 2015–2017 Tiltaksområde 1: Styring og kontroll For den enkelte virksomhet er målet en god og effektiv etterlevelse av eForvaltningsforskriften § 15
Standard og veiledningsmateriell ISO/IEC 27001 er den anbefalte anerkjente standarden å basere seg på stiller overordnede krav Difis veiledningsmateriell baserer seg på ISO/IEC 27001 dekker det Difi anser som de viktigste kravene konkretiserer hvordan kravene kan implementeres og etterleves anbefalt å bruke som referanse og støtte ved analyse av status, etablering og forbedring av internkontroll på informasjonssikkerhetsområdet
Internkontroll i praksis - informasjonssikkerhet Difis veiledningsmateriell Internkontroll i praksis - informasjonssikkerhet
Nettbasert veiledningsmateriell Hjelp og støtte Hovedaktiviteter og delaktiviteter Beskrivelser
Viktige aktører i virksomheten Virksomhetsledelsen Ledere som delegerer og skal følge opp Risikoeiere (ledere på operativt nivå) Systemeiere fellessystem Tiltaksleverandører Utpekt person som lederstøtte og pådriver innen internkontroll informasjonssikkerhet (fagansvarlig informasjonssikkerhet e.l.) Prosessledere / støttepersoner i risikovurderinger o.l.
Systematiske aktiviteter
Ledelsens styring og oppfølging - «Hjernen» i internkontrollen
Delaktiviteter under Ledelsens styring og oppfølging Virksomhetsledelsens gjennomgang Minimum en gang årlig få avklart status få gjennomført nødvendige etablerings- og forbedringsaktiviteter tydeliggjøre krav og forventninger reagere ved svikt Ledere på alle nivå Delegere og følge opp gjennom linjen Sikre finansielle rammer Kommunisere viktighet Løfte og håndtere problemstillinger gjennom linjen Beredskap og krisehåndtering
Risikovurdering - «Hjertet» i internkontrollen
Delaktiviteter under Risikovurdering Risikoeiere og systemeiere fellessystem: Få oversikt og prioritere Analysere eksterne krav Planlegge og gjennomføre risikovurderinger Det «spesielle» Risikovurdere i hendelseshåndteringen Risikovurdere ved anskaffelser og utvikling
Risikohåndtering - «Hendene» i internkontrollen
Delaktiviteter under Risikohåndtering Risikoeiere og systemeiere fellessystem: Foreslå håndtering av risikoer Godkjenne forslag til risikohåndtering Iverksette godkjente tiltak Tiltaksleverandører: Utforme og implementere tiltakene Oppdatere fellessikring og tilleggssikring
Overvåking og hendelseshåndtering - «Vakta» i internkontrollen
Delaktiviteter under Overvåking og hendelseshåndtering Tiltaksleverandører: Overvåke i henhold til avtale Alle ansatte Rapportere hendelser, avvik og informasjonssikkerhetsbrudd Ulike aktører ut fra ansvar Følge opp
Måling, evaluering og revisjon - «Kontrolløren» i internkontrollen
Delaktiviteter under Måling, evaluering og revisjon Ledere på alle nivå: Systematisk vurdere status på eget ansvarsområde om man selv og de personer man har ansvaret for gjør det de skal om sikkerhetstiltak man har ansvaret for fungerer som forutsatt Ved ledelsens behov eller ved krav i regelverk må ulike aktører: Måle tilstanden på definerte indikatorer Gjennomføre evalueringer Gjennomføre internrevisjon
Kompetanse- og kulturutvikling - «Læreren» i internkontrollen
Delaktiviteter under Kompetanse- og kulturutvikling Ledere på ulike nivå: Identifisere behov løpende Følge opp behovene systematisk Fagansvarlig informasjonssikkerhet: Følge opp lokale sikkerhetskoordinatorer lokale pådrivere
Kommunikasjon - «Limet» i internkontrollen
Delaktiviteter under Kommunikasjon Formidle nye føringer Slik at de alltid når frem og er tilgjengelig ved behov Dokumentere gjennomførte internkontrollaktiviteter ofte kort etterlevelse av tiltak når det er viktig Årlige rapporter og notat statusrapporter som grunnlag for risikovurderinger saksnotat til virksomhetsledelsens gjennomgang Kommunikasjon mellom delaktiviteter og aktører Ekstern kommunikasjon
Internkontroll i praksis - informasjonssikkerhet
Etablering/forbedring
Etablering/forbedring Analysere status Planlegge etablering/forbedring Utforme/forbedre overordnede styrende dokumenter
Overordnede styrende dokumenter Difis anbefaling Overordnede styrende dokumenter
overordnede styrende dokumenter Notat: Rammer for de overordnede styrende dokumenter Policy for Informasjonssikkerhet Policynivå Bør inneholde mål og strategi Jf. eForvalntingsforskriften § 15 Roller og ansvar i internkontroll- og sikkerhetsarbeidet Forstå, vurdere og håndtere operativ risiko Vurdere behov for risikovurderinger (info.sikkerhet og ev. kvalitet) Retningslinjer (Hva som skal gjøres av hvem, strukturert etter roller) (Retningslinje el. Veiledning) Aktiviteter og ansvar – internkontroll informasjonssikkerhet (Hva som skal gjøres av hvem, utdypet for informasjons-sikkerhet og strukturert etter hovedaktiviteter)
overordnede styrende dokumenter Notat: Rammer for de overordnede styrende dokumenter Mål (Policy) for HMS Policy for Informasjonssikkerhet Ev. Mål (Policy) for andre IK-områder? (Hva som skal gjøres av hvem strukturert etter roller) Roller og ansvar i internkontroll- og sikkerhetsarbeidet Retningslinjer (Retningslinje el. Veiledning) Aktiviteter og ansvar – internkontroll informasjonssikkerhet Vurdere behov for risikovurderinger (info.sikkerhet og ev. kvalitet) Forstå, vurdere og håndtere operativ risiko (Hva som skal gjøres av hvem, utdypet for informasjons-sikkerhet og strukturert etter hovedaktiviteter)
Etablering/forbedring Avklare behov og lage en plan Analysere status Planlegge etablering/forbedring Få på plass det viktigste Utforme/forbedre overordnede styrende dokumenter Få på plass nøkkelpersoner og aktivere sikkerhetsorganisasjonen Utforme og gjennomføre grunnopplæring Etablere system for hendelses- og avvikshåndtering Skape en god platform Etablere fellessikring og synliggjøre tilleggssikring Etablere rammeverk for dokumentasjon Lage et godt grunnlag for sentrale aktiviteter Felles analyse av eksterne krav Identifisere typiske oppgave- og informasjonstyper
Få internkontroll (styring og kontroll) innen informasjonssikkerhet fremgangsmåte
1 2 Analysere status Planlegge etablering/forbedring Gjennomføre andre etableringsaktiviteter Gjennomføre aktivitetene systematisk 2 Internkontroll- aktiviteter
1 2 3 Tilleggssikring Fellessikring Analysere status Planlegge etablering/forbedring Gjennomføre andre etableringsaktiviteter Gjennomføre aktivitetene systematisk 2 Internkontroll- aktiviteter 3 Sikkerhetstiltak: Instrukser og rutiner Avtaler Retningslinje for fysisk sikkerhet Tilgangsstyring IT-systemer Sikkerhetskopiering og gjenoppretting Osv. Tilleggssikring Fellessikring
Gradvis oppbygging År n 3 2 1 Etablering/ forbedring Systematisk Eksempel på arbeidsmengde
Gradvis oppbygging År n 3 2 1 Etablering/ forbedring Systematisk Investering
Difis tilbud Nettbasert veileder 2-dagers innføringskurs For fagansvarlig informasjonssikkerhet o.l. Arbeidsseminar Utforme overordnede styrende dokumenter Etablere fellessikring og tilleggssikring Få oversikt og prioritere før risikovurdering … Rådgivningsmøter med virksomheter Ut fra kapasitet
Til slutt
Internkontroll informasjonssikkerhet Er et systematisk kontinuerlig arbeid for å håndtere risiko Er en forutsetning for en kontrollert og effektiv informasjonsbehandling, måloppnåelse og digitalisering Gir ledelsen og virksomheten for øvrig styringsmulighet når vi må få opp farten
Internkontroll informasjonssikkerhet Hvor er dere? Difis anbefaling: Analyse av status med Difis mal Plan for etablering/forbedring Er det bra nok? Det handler om å nå mål og resultatkrav, være effektive etterleve lover og regler, ha pålitelig rapportering
Veiledningsmateriellet: Kontakt oss infosikkerhet@difi.no http://infosikkerhet.difi.no Veiledningsmateriellet: Internkontroll.infosikkerhet.difi.no