Internkontroll i praksis – informasjonssikkerhet Hva handler det om

Slides:



Advertisements
Liknende presentasjoner
Kan det lages et felles internkontrollsystem i kommunen. Åre
Advertisements

Internkontroll i kommuner
Prof. Dag Wiese Schartum, AFIN
Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.
Internkontroll etter alkoholloven Møte med bransjen
Hvordan holde orden i eget hus? Internkontrollforskriften
FOR nr 1127: Forskrift om systematisk helse-, miljø- og sikkerhetsarbeid i virksomheter (Internkontrollforskriften)
Krav til sikring av personopplysninger Prof. Dag Wiese Schartum, AFIN.
Krav til sikring av personopplysninger i hht pol § 13 og pof kap. 2 Prof. Dag Wiese Schartum, AFIN.
INTERNKONTROLL - Medlem av Norges største frittstående elektrikerkjede -
Presentasjon Agresso brukerforum 2012 Arne Lunde, KD.
Sammen om mestring Veileder i lokalt psykisk helsearbeid og rusarbeid for voksne.
Presentasjon – Econa Riksrevisjonens stilling i statsapparatet Riksrevisjonen er direkte knyttet til Stortinget og er uavhengig av forvaltningen.
Et felles løft for alle Gjennomføring av arbeidsmøte.
Roller i arbeidslivet Arbeidsgiver Arbeidstaker Verneombud Arbeidsmiljøutvalg Bedriftshelsetjeneste ml?tid=207363http://
Veileder i helhetlig ROS-analyse i kommunen Arealbruk og naturfare - NIFS 5.November 2014 Cathrine Andersen.
Miljøsertifisering Hvor står NØK NØK produserer og leverer bare miljøvennlig energi! Vi har internt høy fokus på HMS Kraftbransjen var (er) av enkelte.
Evaluering av Difi Vivi Lassen Leverandørmøte
Nettverk for virksomhetsstyring Risikostyring v/ Anette P. Simonsen, DFØ v/ Christine Vik, DFØ 17. Februar 2016.
Om lysbildeserien Lysbildene er støttemateriell til prosessledere
Veileder for gevinstrapportering
Presentasjon av organiseringsprosjektet
Det kommunale og fylkeskommunale risikobildet
Dette er materiale som kan benyttes i arbeidet med å etablere fellessikring, eller organisering av sikkerhetstiltak generelt. Kan bl.a. benyttes til opplæring/diskusjon.
Kvalitet, risiko og avvik
ROS-analyse.
Nye lover fra 1. juli 2016 og Forskrift fra 1. januar 2017
Intern kontroll i regnskapsprosessene
Krav til sikring av personopplysninger
Et prosjekt finansiert av KS for Bergen bystyre
Møte i nettverk for informasjonssikkerhet - NIFS
Øvelser med kommunal kriseledelse
NOKUTs evaluering av UiOs kvalitetssystem 2013
Dilemmatrening Difis opplæringsmateriell informasjonssikkerhet.
Samarbeidsgruppemøte 5.november 2015 SAK: 5 Status veikartarbeidet
Samarbeidsgruppemøte 21.januar 2016 Rolf Olai Jacobsen
Samarbeidsgruppemøte 5. november 2015
SAK 6: Oppdatering av bilag 3 til Samarbeidsavtalen Krav til tjeneste
Innføring i lovverket som gjelder barn og unge i planlegging
Kommunens arbeid med internkontroll innenfor ROP-området
Krav til sikring av personopplysninger i hht pol § 13 og pof kap. 2
Aktivitetsplan Internrevisjonen HMN-RHF - Presentasjon for Regionalt brukerutvalg 9. mai Vedtatte aktiviteter 2016 Aktiviteter som vurderes.
Tema 8 Strategier for hvordan kommunene bør gå fram når plan- og byggesaksprosessen skal digitaliseres (sjekkliste på noe av det som må vurderes nærmere.
Valgfag innsats for andre
Instruktørkurs for kommuner Normen (30min)
Hva er en risikoworkshop?
Presentasjon for virksomhetens ledelse
Informasjonssikkerhet
20 September, 2018 Sjekkliste for beslutningspunkter (BP) knyttet til HiOAs prosjektmodell For mellomstore og store prosjekter - verktøy for prosjekteier.
Veiledning - Verktøy for vurdering av strategier i en anskaffelse
Gevinstrealisering – hva og hvorfor? En enkel innføring
Utarbeidet av Difi, november 2014
E-handel.
Samlokalisering etter fusjon
Evaluering av USITs organisering, USIT 3.1
Arbeidsgruppe 1. Beredskap 2020 og ROS analyse for sammenslåingsprosessen
Ymse om regelverksutvikling
Kompetanse Pasientsikkerhet Styring og ledelse
03 Introduksjon til ROS-analyse 08 PowerPoint-mal for ROS-analyse
LÆREPLAN I FELLES PROGRAMFAG I VG1 BYGG- OG ANLEGGSTEKNIKK
Riksrevisjonens undersøkelse av digitalisering av kulturarven Dokument 3:4 ( ) 29. mars 2019.
Direktoratet  for IKT og fellestjenester  i høyere utdanning 
Rapport: Personalforvaltning i videregående skole
Program for administrativ forbedring og digitalisering
Digitaliseringsprogram for administrative tjenester
Delprosjekt arbeidsgiverpolitikk
Programkontoret.
Fylkeskommunal revisjon
Utskrift av presentasjonen:

Internkontroll i praksis – informasjonssikkerhet Hva handler det om Internkontroll i praksis – informasjonssikkerhet Hva handler det om? Hovedinnholdet i Difis veiledning til virksomhetene

Difis rolle og mandat innen informasjonssikkerhet Arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen Være en pådriver for, og bidra til, bedre styring og kvalitetssikring av informasjonssikkerheten i statsforvaltningen Gi anbefalinger og veiledning til forvaltningsorgan om internkontroll på informasjonssikkerhetsområdet jf. eForvaltningsforskriften §15

Hva er informasjonssikkerhet? Sikkerhet mht. konfidensialitet integritet tilgjengelighet på informasjon som behandles i tilknytning til våre arbeidsoppgaver

Hva er informasjonssikkerhet? konfidensialitet informasjon blir ikke kjent for uvedkommende (lest, hørt …) integritet informasjon blir ikke endret utilsiktet eller av uvedkommende tilgjengelighet informasjon er tilgjengelig ved behov

Potensielle konsekvenser ved brudd på informasjonssikkerheten Vår egen jobb Personer og virksomheter feil beslutninger brudd på rettssikkerhet feil i øk. transaksjoner ikke korrekt og forsvarlig saksbehandling økonomiske tap ineffektivt arbeid tapt arbeidstid … tap av anseelse, integritet og rettigheter økonomiske tap ødelagte muligheter, arbeidsforhold, livssituasjon og eksistensgrunnlag bedriftshemmeligheter rikets sikkerhet liv og helse ikke korrekt og forsvarlig saksbehandling …

Hvorfor internkontroll? Nå mål og resultatkrav Være effektive Etterleve lover og regler Pålitelig rapportering Risikoer Risikoer Treffer eller bommer vi?

Årsaker til risikoer uhell uaktsomhet tilsiktede handlinger ulykker Kan gi uønskede konsekvenser Vi når ikke målene våre

Internkontroll / Styringssystem / Ledelsessystem / …. Ulike begrep for det samme (i denne kontekst) Det handler om systematikk og formalisering for å oppnå tilstrekkelig intern styring og kontroll slik at vi kan nå målene våre (nå mål og resultatkrav, være effektive etterleve lover og regler, ha pålitelig rapportering)

Krav og anbefalinger til virksomhetene

Bestemmelser om økonomistyring i staten Kap. 2.4 Internkontroll: Alle virksomheter skal etablere internkontroll Virksomhetens ledelse har ansvaret .... Internkontroll skal primært være innebygd i virksomhetens interne styring

eForvaltningsforskriften § 15 Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder …. innen informasjonssikkerhet … skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks … bør være en integrert del av virksomhetens helhetlige styringssystem Omfang og innretning på internkontrollen skal være tilpasset risiko

Handlingsplan for informasjonssikkerhet i statsforvaltningen – 2015–2017 Tiltaksområde 1: Styring og kontroll For den enkelte virksomhet er målet en god og effektiv etterlevelse av eForvaltningsforskriften § 15

Standard og veiledningsmateriell ISO/IEC 27001 er den anbefalte anerkjente standarden å basere seg på stiller overordnede krav Difis veiledningsmateriell baserer seg på ISO/IEC 27001 dekker det Difi anser som de viktigste kravene konkretiserer hvordan kravene kan implementeres og etterleves anbefalt å bruke som referanse og støtte ved analyse av status, etablering og forbedring av internkontroll på informasjonssikkerhetsområdet

Internkontroll i praksis - informasjonssikkerhet Difis veiledningsmateriell Internkontroll i praksis - informasjonssikkerhet

Nettbasert veiledningsmateriell Hjelp og støtte Hovedaktiviteter og delaktiviteter Beskrivelser

Viktige aktører i virksomheten Virksomhetsledelsen Ledere som delegerer og skal følge opp Risikoeiere (ledere på operativt nivå) Systemeiere fellessystem Tiltaksleverandører Utpekt person som lederstøtte og pådriver innen internkontroll informasjonssikkerhet (fagansvarlig informasjonssikkerhet e.l.) Prosessledere / støttepersoner i risikovurderinger o.l.

Systematiske aktiviteter

Ledelsens styring og oppfølging - «Hjernen» i internkontrollen

Delaktiviteter under Ledelsens styring og oppfølging Virksomhetsledelsens gjennomgang Minimum en gang årlig få avklart status få gjennomført nødvendige etablerings- og forbedringsaktiviteter tydeliggjøre krav og forventninger reagere ved svikt Ledere på alle nivå Delegere og følge opp gjennom linjen Sikre finansielle rammer Kommunisere viktighet Løfte og håndtere problemstillinger gjennom linjen Beredskap og krisehåndtering

Risikovurdering - «Hjertet» i internkontrollen

Delaktiviteter under Risikovurdering Risikoeiere og systemeiere fellessystem: Få oversikt og prioritere Analysere eksterne krav Planlegge og gjennomføre risikovurderinger Det «spesielle» Risikovurdere i hendelseshåndteringen Risikovurdere ved anskaffelser og utvikling

Risikohåndtering - «Hendene» i internkontrollen

Delaktiviteter under Risikohåndtering Risikoeiere og systemeiere fellessystem: Foreslå håndtering av risikoer Godkjenne forslag til risikohåndtering Iverksette godkjente tiltak Tiltaksleverandører: Utforme og implementere tiltakene Oppdatere fellessikring og tilleggssikring

Overvåking og hendelseshåndtering - «Vakta» i internkontrollen

Delaktiviteter under Overvåking og hendelseshåndtering Tiltaksleverandører: Overvåke i henhold til avtale Alle ansatte Rapportere hendelser, avvik og informasjonssikkerhetsbrudd Ulike aktører ut fra ansvar Følge opp

Måling, evaluering og revisjon - «Kontrolløren» i internkontrollen

Delaktiviteter under Måling, evaluering og revisjon Ledere på alle nivå: Systematisk vurdere status på eget ansvarsområde om man selv og de personer man har ansvaret for gjør det de skal om sikkerhetstiltak man har ansvaret for fungerer som forutsatt Ved ledelsens behov eller ved krav i regelverk må ulike aktører: Måle tilstanden på definerte indikatorer Gjennomføre evalueringer Gjennomføre internrevisjon

Kompetanse- og kulturutvikling - «Læreren» i internkontrollen

Delaktiviteter under Kompetanse- og kulturutvikling Ledere på ulike nivå: Identifisere behov løpende Følge opp behovene systematisk Fagansvarlig informasjonssikkerhet: Følge opp lokale sikkerhetskoordinatorer lokale pådrivere

Kommunikasjon - «Limet» i internkontrollen

Delaktiviteter under Kommunikasjon Formidle nye føringer Slik at de alltid når frem og er tilgjengelig ved behov Dokumentere gjennomførte internkontrollaktiviteter ofte kort etterlevelse av tiltak når det er viktig Årlige rapporter og notat statusrapporter som grunnlag for risikovurderinger saksnotat til virksomhetsledelsens gjennomgang Kommunikasjon mellom delaktiviteter og aktører Ekstern kommunikasjon

Internkontroll i praksis - informasjonssikkerhet

Etablering/forbedring

Etablering/forbedring Analysere status Planlegge etablering/forbedring Utforme/forbedre overordnede styrende dokumenter

Overordnede styrende dokumenter Difis anbefaling Overordnede styrende dokumenter

overordnede styrende dokumenter Notat: Rammer for de overordnede styrende dokumenter Policy for Informasjonssikkerhet Policynivå Bør inneholde mål og strategi Jf. eForvalntingsforskriften § 15 Roller og ansvar i internkontroll- og sikkerhetsarbeidet Forstå, vurdere og håndtere operativ risiko Vurdere behov for risikovurderinger (info.sikkerhet og ev. kvalitet) Retningslinjer (Hva som skal gjøres av hvem, strukturert etter roller) (Retningslinje el. Veiledning) Aktiviteter og ansvar – internkontroll informasjonssikkerhet (Hva som skal gjøres av hvem, utdypet for informasjons-sikkerhet og strukturert etter hovedaktiviteter)

overordnede styrende dokumenter Notat: Rammer for de overordnede styrende dokumenter Mål (Policy) for HMS Policy for Informasjonssikkerhet Ev. Mål (Policy) for andre IK-områder? (Hva som skal gjøres av hvem strukturert etter roller) Roller og ansvar i internkontroll- og sikkerhetsarbeidet Retningslinjer (Retningslinje el. Veiledning) Aktiviteter og ansvar – internkontroll informasjonssikkerhet Vurdere behov for risikovurderinger (info.sikkerhet og ev. kvalitet) Forstå, vurdere og håndtere operativ risiko (Hva som skal gjøres av hvem, utdypet for informasjons-sikkerhet og strukturert etter hovedaktiviteter)

Etablering/forbedring Avklare behov og lage en plan Analysere status Planlegge etablering/forbedring Få på plass det viktigste Utforme/forbedre overordnede styrende dokumenter Få på plass nøkkelpersoner og aktivere sikkerhetsorganisasjonen Utforme og gjennomføre grunnopplæring Etablere system for hendelses- og avvikshåndtering Skape en god platform Etablere fellessikring og synliggjøre tilleggssikring Etablere rammeverk for dokumentasjon Lage et godt grunnlag for sentrale aktiviteter Felles analyse av eksterne krav Identifisere typiske oppgave- og informasjonstyper

Få internkontroll (styring og kontroll) innen informasjonssikkerhet fremgangsmåte

1 2 Analysere status Planlegge etablering/forbedring Gjennomføre andre etableringsaktiviteter Gjennomføre aktivitetene systematisk 2 Internkontroll- aktiviteter

1 2 3 Tilleggssikring Fellessikring Analysere status Planlegge etablering/forbedring Gjennomføre andre etableringsaktiviteter Gjennomføre aktivitetene systematisk 2 Internkontroll- aktiviteter 3 Sikkerhetstiltak: Instrukser og rutiner Avtaler Retningslinje for fysisk sikkerhet Tilgangsstyring IT-systemer Sikkerhetskopiering og gjenoppretting Osv. Tilleggssikring Fellessikring

Gradvis oppbygging År n 3 2 1 Etablering/ forbedring Systematisk Eksempel på arbeidsmengde

Gradvis oppbygging År n 3 2 1 Etablering/ forbedring Systematisk Investering

Difis tilbud Nettbasert veileder 2-dagers innføringskurs For fagansvarlig informasjonssikkerhet o.l. Arbeidsseminar Utforme overordnede styrende dokumenter Etablere fellessikring og tilleggssikring Få oversikt og prioritere før risikovurdering … Rådgivningsmøter med virksomheter Ut fra kapasitet

Til slutt

Internkontroll informasjonssikkerhet Er et systematisk kontinuerlig arbeid for å håndtere risiko Er en forutsetning for en kontrollert og effektiv informasjonsbehandling, måloppnåelse og digitalisering Gir ledelsen og virksomheten for øvrig styringsmulighet når vi må få opp farten

Internkontroll informasjonssikkerhet Hvor er dere? Difis anbefaling: Analyse av status med Difis mal Plan for etablering/forbedring Er det bra nok? Det handler om å nå mål og resultatkrav, være effektive etterleve lover og regler, ha pålitelig rapportering

Veiledningsmateriellet: Kontakt oss infosikkerhet@difi.no http://infosikkerhet.difi.no Veiledningsmateriellet: Internkontroll.infosikkerhet.difi.no

Tilbakemelding: Konfidensialitetspolitikk Tilbakemelding
Om prosjektet: SlidePlayer Bruksavtale

© 2024 SlidePlayer.no Inc. All rights reserved.