Modenhedsvurderinger. Mål hvad kan I tage med hjem?

Relaterede dokumenter
Retningslinje for årlig status på kvalitetsarbejdet på uddannelsesområdet, Health

Figur 1: Miljøledelsescirklen

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

Uddannelsesberetning

Effektivisering af økonomistyringssøjlen på KU status 2009 og mål 2010 indenfor syv væsentlige områder.

Egedal Kommune. Re-certificeringsaudit. Ledelsessystemcertificering ISO 9001: apr-28 til 2015-apr-29. Certificeringens dækningsområde

Revideret Miljøledelsesstandard

Fælles principper og rammer for uddannelseskvalitetsprocesser: Årlig status og uddannelsesevaluering

Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk

Uddannelsesberetning

AWARENESS EN SIKKER VEJ TIL BEDRE SIKKERHED & KVALITET DATASIKKERHEDSKONFERENCE

Leverandørstyring: Stil krav du kan måle på

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Ballerup Kommune Beretning om tiltrædelse som revisor

Model for uddannelsesevaluering v. School of Business and Social

Sikkerhedsprogrammet - Agenda

Guide til SoA-dokumentet - Statement of Applicability. August 2014

AARHUS Gældende fra 2016 UNIVERSITET Godkendt af fakultetsledelsen 26. januar 2016

Regler for økonomistyring og registreringspraksis Afsnit 11 Intern Kontrol Bilag 11.1 Intern Kontrol

Procedure for undervisningsevaluering og offentliggørelse af evalueringsrapporter

Ledelses-workshop for Marketingdirektører

Henrik Tofteng A/S Divello A/S

Evaluering af Satspuljeprojektet Børne-familiesagkyndige til støtte for børn i familier med alkoholproblemer

Modenhed og sikkerhed hos databehandlere Charlotte Pedersen

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Strategiarbejde på KU fra 2017 og frem REKTORSEKRETARIATET

Resultatet af undersøgelse af status på implementering af ISO27001-principper i staten

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Formål: Kvalitetssikringssystemet ved NF skal gennem evaluering, i bred forstand, af undervisnings og uddannelsesudbud sikre at:

Kvalitetsniveauet i SUF er beskrevet i politikker, kvalitetsstandarder og retningsgivende dokumenter:

Jammerbugt Kommune. Periodisk audit, P2. Ledelsessystemcertificering. Kvalitetsstyring - iht. Lov 506 af og Bek af

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Dynamisk hverdag Dynamiske processer

Hovedresultater: ISO modenhed i staten. December 2018

Ældre- og Handicapforvaltningen, Aalborg Kommune Aalborg på Forkant Innovativ udvikling i sundhed og velfærd. Forundersøgelse. Aalborg på Forkant

Kvalitetsorganisationen for uddannelse ved Syddansk Universitet

Velkommen til Workshop 2

Informationssikkerhedspolitik for Region Midtjylland

Infoblad. ISO/TS Automotive

Opfølgningsaudits, miljø og arbejdsmiljø oktober Teknik og Miljø, Aarhus Kommune Århus Brandvæsen

Notat om revisionsberetning nr. 38 vedrørende revisionen af Region Midtjyllands regnskab for 2016

FOKUS. - Løbende evaluering af indsatser for bedre sagsbehandling i Københavns Kommune SPØRGESKEMA

Kommunikationsstrategi for det Det Danske Spejderkorps

MÅLING AF INFORMATIONSSIKKERHED

Audit beskrivelser for PL

Combipack Danmark A/S

Kommunens nuværende politik stammer fra 2008 og bygger på en gammel dansk standard, DS484.

Nedenstående skema viser i kort form de forskellige aktørers roller og ansvar i processen omkring uddannelsesevalueringen.

Ansattes syn på trivsel og tilfredshed på KU

Per Aarsleff Holding A/S Revisionsudvalg

Retningslinjer for undervisningsevaluering og offentliggørelse af undervisningsevalueringsrapporter

AAU Proces- og IT governance

Retningslinjer for afvikling af lønforhandling

Velkommen Gruppe SJ-1

Studenterrådet ved Aarhus Universitet

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

Administration. Når selskaber varetager de rigtige opgaver rigtigt og derigennem udvikler hele selskabet.

Struktureret Compliance

Praktiske erfaringer og eksempler på forandringsledelse. 23. april 2014

Nedenstående skema viser i kort form de forskellige aktørers roller og ansvar i processen omkring uddannelsesevalueringen.

Infoblad. IATF Automotive

1. Introduktion til SoA Indhold og krav til SoA 4

Vejledning i informationssikkerhedspolitik. Februar 2015

Bestyrelsesmøde nr. 95, d. 12. juni 2018 Pkt. 8. Bilag 1. Københavns Universitets bestyrelse

Velkommen Gruppe SJ-1

Hvis I vil vide mere. Kom godt i gang med standarder. Hvordan arbejder I med et fælles ledelsessystem og skaber synergi?

Grønne udviklingsplaner. Arbejdsmøde december 2014

Uddannelse som virtuel projektleder

Vejledning i evaluering og opfølgning. Juni 2016

Elevfokuseret Selvevaluering

Videoknudepunktet (VDX) UDKAST Danske Regioner

Partneraftale. Formålet med partnerskabsaftalen vil derfor være at skabe en it-governancemodel der kan:

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87

Faglige kvalitetsoplysninger> Støtte- og inspirationsmateriale > Dagtilbud

Hvor mange ansatte er der typisk i de virksomheder, som du servicerer?

Netplan A/S. Periodisk audit, P1. Ledelsessystemcertificering ISO 9001: aug-30 til 2013-aug-30. Certificeringens dækningsområde

Samarbejde på tværs der sikre en koordineret indsats

Anbefalinger til processtøtte og selvevaluering. På baggrund af udviklingsprojekt om entydig ledelse i boligsociale indsatser

Hvilke problemstillinger har det videnskabelige råd været inde på?

Nedenstående skema viser i kort form de forskellige aktørers roller og ansvar i processen omkring uddannelsesevalueringen.

MedCom Systemforvaltning (SDN/VDX/KIH) Danske Regioner

Uddannelse i Lean. Implement Consulting Group

NYT STUDIEADMINISTRATIVT SYSTEM EFTER STADS

Indledning. Vi har i koncernens handlingsplan fokus på at styrke resultatorientering og ledelse.

Driftsoptimering. Når selskaber tilrettelægger driften med fokus på de mest udsatte områder.

Sådan bliver du en succes med strategiarbejdet

Udarbejdet den: 06. august 2012 Version: 4 Revideret den: Dokumentejer: Ole Steensberg Øgelund Side 1 af 8

Københavns Kommune gennemfører hvert andet år en fælles trivselsundersøgelse på alle arbejdspladser i kommunen.

Ledelsesevaluering i Gl G ad a s d ax a e e K om o mun u e n

Målbillede for risikostyring i signalprogrammet. Juni 2018

RÅDGIVNINGSFORLØB RÅDGIVNINGSFORLØB

Hvordan Region Syddanmark tænker risikovurdering ind i sagsbehandling af jordforurening

PROCESKONFIRMERING! - hvordan du som leder kan facilitere løbende forbedring og fastholde en standard!

DIGITAL SAMMENHÆNG - for borgere og virksomheder

Fælles principper og rammer for uddannelseskvalitetsprocesser: Årlig status og uddannelsesevaluering

Certificering ISO 14001:2015

ASSET MANAGEMENT SWECO DANSK FJERNVARME. Rune Reid Thranegaard 1

Den projekteffektive virksomhed

Transkript:

Modenhedsvurderinger Mål hvad kan I tage med hjem? Hvorfor skal man overveje at lave en modenhedsvurdering? Hvordan kan man gribe processen an? Hvad skal man være opmærksom på? 1

Hvem er jeg? Ole Boulund Knudsen Informationssikkerhedschef, Aarhus Universitet CISM, CRISK, ESL, ISO27001 Lead Implementer Master i IT, Kommunikation og Organisation Teknisk baggrund. Har arbejdet med ledelse og informationssikkerhed siden 2005. Har arbejdet professionelt med IT siden 1995. Agenda: Hvad er en modenhedvurdering? Hvorfor lave modenhedsvurderinger? Hvordan har vi grebet processen an? Hvad er resultatet? Opmærksomhedspunkter 2

Hvad er en modenhedsvurdering? Udgangspunkt ISO27002 Måling af modenheden for hver enkel kontrol i ISO27002 standarden. I alt 114 kontroller Modenheden afspejler hvor godt man efterlever den enkelte kontrol på en skala fra 1-5. Mulighed for at besvare med Ikke relevant, hvis man har møder en kontrol, som ikke er nødvendig. Fravalg kræver argumentation. 3

Modenhedskala: 1 Ad hoc 2 Intuitiv 3 Defineret 4 Styret og målbar 5 Optimeret Der er grundlag for at organisationen har identificeret et behov for at adressere risici. Der er ikke nogle standardiserede aktiviteter, men en udpræget ad hoc-tilgang, der udføres case-by-case. Den overordnede styring er ikke organiseret eller formaliseret. Kontrolaktiviteter er på et niveau, hvor en sammenlignelig tilgang udføres af forskellige personer, der udfører samme aktivitet. Der er ingen formel træning eller kommunikation af standardprocedurer, og ansvaret er overladt til den enkelte person. Kontroller afhænger i høj grad af den enkelte persons kompetencer og erfaring, hvorfor der er en øget sandsynlighed for fejl. Procedurer er standardiserede, dokumenterede og kommunikerede gennem træning. Det er bekendtgjort, at procedurerne skal overholdes, men det er usandsynligt, at afvigelser vil blive opdaget. Procedurerne er typisk en formalisering af eksisterende praksis. Ledelsen overvåger og måler overholdelsen af gældende procedurer og tager stilling til, hvis processer ikke fungerer effektivt. Aktiviteter forbedres løbende og udgør god praksis. Automatisering og værktøjer anvendes i begrænset og decentralt omfang. Aktiviteter er optimeret til god praksis, baseret på løbende forbedring og sammenligning med andre organisationer. Itunderstøttelse er integreret til en automatisering af kontrolaktiviteter og er medvirkende til at højne kvalitet og effektivitet, hvilket gør organisationen agil i forhold til ændringer. Hvorfor lave modenhedsvurderinger? 4

Den mest almindelige grund til at lave en modenhedsvurdering: Revisionen anbefaler det LAD VÆRE! Gode grunde til at lave modenhedsvurderinger: Kommunikationsværktøj Giver mulighed for at snakke samme sprog på tværs af fakulteter, institutter, centre og administrationen. Måleværktøj Man kan opstille mål, som der skal arbejdes hen i mod. Man måle om et område udvikler sig, eller om der er behov for støtte. Awarenessværktøj Man får tydeliggjort hvorfor informationssikkerhed er vigtigt og hvilken rolle og ansvar hvert område har. Motivationsværktøj Man vil helst ikke være væsentligt dårligere end kollegaerne! 5

Hvordan har vi grebet processen an? Hvad har vi gjort på Aarhus Universitet indtil nu Forsøg #1-2012: Gennemførsel af modenhedsvurdering fordi revisoren anbefalede det. Udført på fakultetsniveau 3 timers fælles workshop på tværs af fakulteterne + 1,5 times workshop i it. Deltagere var formændene fra de lokale informationssikkerhedsudvalg + enkelte udvalgte repræsentanter. Ingen direkte ledelsesinvolvering. Udført af vores revisor som stod for gennemførelsen og rapportering. Resultat: En gættekonkurrence hvor mit bud var mindst lige så godt som deres. 6

Erfaringer fra Forsøg #1: Resultatet kunne ikke bruges der var alt for stor usikkerhed. Behov for bedre repræsentation af institutter/centre ved selve modenhedsvurderingen. Ikke alle områder af ISO standarden er lige relevant at bruge tid på decentralt. Nødvendigt med mere tid til gennemførelsen. Forsøg #2-2013: Gennemførsel af modenhedsvurdering ud fra mantraet det må vi kunne gøre bedre. Udført på fakultetsniveau. 3 timers workshop med hvert enkelt fakultet og it. Deltagelse af alle medlemmer af fakultetets informationssikkerhedsudvalg. Den lokale ledelse var orienteret og skulle se resultatet. Udført af informationssikkerhedsafdelingen, hvorefter resultatet blev overladt til revisor til kommentering og anbefalinger. Resultat: Langt bedre end første forsøg, men stadig ikke rigtigt brugbart. 7

Erfaringer fra Forsøg #2: Resultatet på fakultetsniveau var en gennemsnitsbetragtning som ikke afspejlede de (store) udsving der var indbyrdes på institutter/centrene. Ikke rigtig ledelsesopbakning vidste ikke, hvad de skulle bruge resultatet til. Ingen central forankring til at sikre opfølgning Svært at gennemføre når man både er bidragsyder og ansvarlig for gennemførsel af workshops. Opsamling på vores erfaringer fra de to første forsøg Skal udføres langt nok ude i organisationen til at afspejle den diversitet, der findes i organisationen. Skal forankres i ledelsen både centralt og lokalt. Der skal opsættes mål for modenheden fra centralt hold. Det skal sikres, at der bliver fulgt op på resultaterne. Det kræver ressourcer at gøre ordentligt både til gennemførelse og opfølgning. Uden ledelsesfokus dør opgaverne en stille død Hjælp til facilitering kan være en god ide. Man kan godt lave det selv, men i en uerfaren organisation bliver resultatet bedre, hvis man får hjælp fra nogen, der har prøvet det før og som kan udfordre med et udefra og ind syn på området. 8

Forsøg #3 Pilotprojekt 2016: Indledende møde med ledelsen (Dekan + institutledere m.fl.) 1 times møde, hvor processen blev gennemgået og de fik mulighed for at bidrage med de områder som de mente var vigtigst. Faciliterede workshops 2 institutter (fra samme fakultet) + AU IT. 8 timer - heldagsarrangementer. Gennemgang af alle 114 kontroller - nogle mere grundigt end andre. Registrering af forskellene mellem de to institutter. Afslutning Rapport over modenhed + anbefalede actions. Ledelsesrapportering (helt op op bestyrelsesniveau) Opfølgning Opfølgning på fremdrift både gennem den lokale ledelse og rapportering gennem det lokale informationssikkerhedsudvalg. Overordnet målsætning for modenheden fastsat af Universitetsledelsen. Hvad er resultatet? Og hvad skal der ske fremadrettet 9

Erfaring fra forsøg #3: Resultatet er anvendeligt både på institut, fakultets og institutionsniveau. Hvert område har konkrete anbefalinger som de kan arbejde videre med. Der er ledelsesopbakning hele vejen gennem ledelseshierarkiet. Opfølgning sker både lokalt og centralt. SUCCES! Den videre proces Forventer af vi skal afholde ca. 15 workshops yderligere i løbet af 2016/2017. Bliver alle faciliteret med ekstern assistance. Opfølgning på resultaterne både internt gennem informationssikkerhedsudvalgene og eksternt via vores revision. Med rapportering til ledelsen 10

Mål: Alle skal op på en modenhed på minimum 3 og sigte mod en modenhed på 3,5. Bliver en tilbagevendende begivenhed det her er kun første runde. Næste runde skal vi gennemføre med intern facilitering På sigt skal vi kunne gennemføre via selv-evaluering. Opmærksomhedspunkter Modenhedsvurderinger kan være et godt værktøj, men det kræver at man gør sig klart, hvad man ønsker at opnå. Ellers risikerer man at spilde en masse tid. Der skal afsættes de nødvendige ressourcer garbage in = garbage out. Høj modenhed er ikke det samme som høj sikkerhed! Men det er et godt fundament. 11

Tak for opmærksomheden - Spørgsmål? Kontakt information: Ole Boulund Knudsen Mail: obk@au.dk Telefon: +45 3062 2085 12

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback