Møte i nettverk for informasjonssikkerhet - NIFS 23. November 2016 Informasjonssikkerhet ved anskaffelse av skytjenester
Agenda: 10:00 Velkommen og nytt fra Difi Difis arbeid med veiledning på skytjenester Bærum kommunes erfaring med anskaffelse av skytjenester 12:00 Lunsj 12:30 Hvilke utfordringer ser virksomhetene ved anskaffelse av skytjenester og hva er veiledningsbehovet 15:00 Ny versjon av veileder for internkontroll i praksis – informasjonssikkerhet 15:15 Neste NIFS-møte 15:30 Avslutning
Nytt fra Difi Ny seksjonssjef Difi strategi Standarder og referansekatalogen Sikkerhetsmåneden Sivil nasjonal øvelse Prosjektveiviseren
Ny seksjonssjef Øyvind Grinde
Difi strategi Under mål ligger oppfølging av informasjonssikkerhet i henhold til føringer fra regjeringen. Kommuner skal også være med.
Standarder og referansekatalogen Bruke standardiseringsrådet og referansekatalogen i større grad HTTPS for nettsider StartTLS for epost Avslutter frikjøp av ISO 27001 Husk å laste ned disse før jul
Sikkerhetsmåneden Internkontroll informasjonssikkerhet Heldagskonferanse om informasjonssikkerhet i offentlig sektor Sikkerhetsfrokost med Datatilsynet, Nasjonal sikkerhetsmyndighet og Difi Sikkerhet et hinder for tilgjengelighet? KINS sikkerhetsseminar Normkonferansen Opplæringspakke
Sivil nasjonal øvelse IKT16 Gjennomføring 29.11.2016 til 30.11.2016
Prosjektveiviseren Informasjonssikkerhet legges inn i konsept- og planleggingsfase. Ligger allerede noe i konseptfasen, men det er vanskelig å finne.
Difis veiledningstilbud om skytjenester Møte i NIFS 23.11.2016 Bente Hagelien Seksjonssjef Avdeling for offentlige anskaffelser
Direktoratet for forvaltning og IKT Hvorfor sky? Mer kostnadseffektiv IKT Fleksibilitet Økt profesjonalisering og bedre sikkerhet Lavere terskel for innovasjon og nyetablering Bedre ressursutnyttelse - energibruk Direktoratet for forvaltning og IKT
Prinsipper for bruk av skytjenester Fra digitaliseringsrundskrivet: Virksomheter som etablerer nye eller oppgraderer eksisterende fagsystemer eller digitale tjenester, eller endrer eller fornyer avtaler knyttet til drift, skal vurdere skytjenester på linje med andre løsninger. Når det ikke foreligger spesielle hindringer for å ta i bruk skytjenester, og slike tjenester gir den mest hensiktsmessige og kostnadseffektive løsningen, bør en velge slike tjenester. Valgt løsning skal tilfredsstille virksomhetens krav til informasjonssikkerhet. Dette krever at virksomheten kjenner verdien av egne data og systemer, og at det gjennomføres en risikovurdering Direktoratet for forvaltning og IKT
Direktoratet for forvaltning og IKT Noen tema i strategien Juridisk gjennomgang Det er relativt få hindringer for bruk av skytjenester i regelverket Sikkerhet og behandling av personopplysninger Risiko- og sårbarhetsanalyser Behandling av personopplysninger – krav til databehandleravtale Anskaffelser Sammenligning av priser og betingelser Valg av kontrakt Exit-kostnader Dato Direktoratet for forvaltning og IKT
Difis veiledningstilbud om sky Oppdrag fra KMD om å etablere kompetansemiljø og tilby veiledning Offentlig sektor er hovedmålgruppen Veiledning om sky generelt Om anskaffelser av skytjenester Sikkerhets- og risikovurderinger Difi skal samarbeide med andre relevante fagmiljø, som f.eks Datatilsynet og NSM Direktoratet for forvaltning og IKT
Difis veiledningstilbud forts. Temaene skal sees i sammenheng og vil jobber flere avdelinger sammen for at dette skal bli et helhetlig veiledningstilbud. Innspillene deres er viktig i utformingen av vårt veiledningstilbud! Hva er vanskelig? Hva bør vi prioritere? Direktoratet for forvaltning og IKT
Bærum kommune 10 minutters beinstrekk mens vi rigger nye foiler
Hvilken informasjon behandler vi - Barbro
Møtes igjen her etter lunsj (45 min) Møtes igjen her etter lunsj (45 min). Da skal vi i gang med gruppearbeid. Lunsjen serveres nede i kantina.
Gruppearbeid Hvilke skytjenester har dere anskaffet (om noen) Hvilke områder er utfordringene på (teknisk, juridisk, anskaffelsesfaglig, andre) Er det utfordringer som gjør at dere har latt være å anskaffe tjenester dere tror ville gitt dere et bedre verktøy eller som ville vært kostnadsbesparende? Ser dere noen forskjeller på anskaffelse av skytjenester og annen outsourcing?
Kaffepause 15 min pause. Kaffe og frukt står utenfor. Tilbake kvart over. 22.01.2014
Gruppearbeid Hvilke områder trenger man veiledning på (Hvilke steg i prosessen, hvilke fagområder) Hva er de 10 viktigste punktene man trenger veiledning på? Hvilke kanaler/virkemidler er nyttige for denne typen veiledning Hvordan kan din virksomhet bidra til at anskaffelse av skytjenester i offentlig forvaltning blir bedre
Ny versjon av veilederen
Nettbasert veiledningsmateriell Hjelp og støtte Hovedaktiviteter og delaktiviteter Beskrivelser
Standard og veiledningsmateriell ISO/IEC 27001 er den anbefalte anerkjente standarden å basere seg på stiller overordnede krav Difis veiledningsmateriell baserer seg på ISO/IEC 27001 dekker det Difi anser som de viktigste kravene konkretiserer hvordan kravene kan implementeres og etterleves anbefalt å bruke som referanse og støtte ved analyse av status, etablering og forbedring av internkontroll på informasjonssikkerhetsområdet
Neste møte Onsdag 15. februar 2017 Universell utforming av IKT og informasjonssikkerhet. Motstridende hensyn eller gode hjelpere? Erfaringsforedrag
Avslutning: Møter neste år: 15. februar – Informasjonssikkerhet og universell utforming av IKT. Motstridende hensyn eller gode hjelpere? 5. april – øvelse 31. mai - sikkerhetsmåneden 13. september 29. november Andre innspill: Gjerne om noen har noe de vil presentere!
Kontaktinformasjon infosikkerhet@difi.no infosikkerhet.difi.no internkontroll.infosikkerhet.difi.no