Helsedirektoratet skal i 2021 gjennomføre prosjektet Tilgangsstyring og styrende dokumenter innen informasjonssikkerhet

Bakgrunnen for prosjektet er at Helsedirektoratet ønsker å etablere helhetlig prosess og rammeverk for tilgangsstyring på tvers av organisasjon basert på og iht beste praksis innen informasjonssikkerhet. I tillegg er det behov for oppdatering av forskjellige styrende dokumenter på prioriterte områder innen informasjonssikkerhet. Disse aktiviteter innebærer gjennomføring av et prosjekt som hoved bistand til CISO for å få på plass helhetlig tilgangsstyring i organisasjonen, og har som hovedmål å:

• Definere, kartlegge og etablere en helhetlig tilgangsstyringsprosess etter beste praksis innen informasjonssikkerhet, som kan operasjonaliseres i organisasjon. Dette inkluderer å få på plass tilgangsstyringsprosess som dekker både sammenhengen mellom identitetslivssyklus og tilgangslivssyklus, oppdaterte informasjonssikkerhetskrav gjennom hele prosessen og alle faser, rolle modellering som grunnlag for tilgangsstyring samt oppdaterte retningslinjer.
• Bistand til å etablere grunnlag for tilgangsstyring til operasjonalisering i organisasjon.
• Definere, kartlegge og etablere tilgangsstyrings- og informasjonssikkerhetskrav gjennom hele prosessen.
• Videreutvikle dagens retningslinje for tilgangsstyring samt helhetlig prosess og krav gjennom hele prosessen, etter beste praksis innen informasjonssikkerhet.
• Sørge for at tilgangsstyringsprosess er gjennomførbar i organisasjon.
• Etablere rapporteringsmetrikker samt oppfølgingskrav for tilgangsstyring på tvers av prosessen etter beste praksis innen informasjonssikkerhet.
• Økt modenhetsnivå på tilgangsstyring og andre områder innen informasjonssikkerhet samt effektiv og tilstrekkelig etterlevelse og oppfølging i organisasjon. Disse vil også danne et grunnlag for videre arbeid, implementering, økning i modenhet og etterlevelse i linja.
• Bistand til utarbeidelse og oppdatering av diverse styrende dokumenter (spesielt på strategisk og prosess nivå) på forskjellige prioriterte områder innen informasjonssikkerhet som bl.a. skysikkerhet, sikkerhetsarkitektur, hendelseshåndtering, leverandørstyring, osv.
• Økt modenhetsnivå på forskjellige prioriterte områder innen informasjonssikkerhet samt effektiv og tilstrekkelig styring av risikoer knyttet til disse. Disse vil også danne et grunnlag for videre arbeid, implementering, økning i modenhet og etterlevelse i linja.

Prosjektets skal levere:

• Sluttrapport med oppsummering av arbeidet, læringspunkter og forslag til videre arbeid for organisasjonen
• Helhetlig tilgangsstyringsprosess som dekker både identitetslivssyklus og tilgangslivssyklus, oppdaterte informasjonssikkerhetskrav gjennom hele prosessen og alle faser, rolle modellering som grunnlag for tilgangsstyring samt oppdaterte retningslinjer.
• Utarbeidelse og oppdatering av diverse styrende dokumenter (spesielt på strategisk og prosess nivå) innen informasjonssikkerhet.

Det er behov for bistand til å gjennomføre prosjektet. Prosjektet vil følges opp og utføres i tett dialog med informasjonssikkerhetsleder (CISO), men vil også ha en intern styringsgruppe i Helsedirektoratet. Dette arbeidet vil være grunnleggende for flere rutiner og prosesser i organisasjon, samt hvordan informasjonssikkerhetskrav inkludert tilgangsstyringskrav og styrende prosesser innen området etterleves på tvers av organisasjon.

Innleide ressurser skal bistå med relevante oppgaver i prosjektet:

• Bistå å drive prosjektet på vegne av CISO
• Videreutvikling av tilgangsstyringsarbeidet innen informasjonssikkerhet
• Videreutvikling av rammeverk, prosess og styrende dokumenter for å understøtte helthetlig tilgangsstyring som grunnlag på tvers av organisasjon
• Oppdatere styrende dokumenter på diverse fagområder innen informasjonssikkerhet
• Bistå og klargjøre grunnlag for operasjonalisering av tilgangsstyring på tvers av organisasjon. Dette inkluderer å avholde workshops, dokumentere tilbakemeldinger, gjennomføre opplæring, osv.
• Gi innspill til etablering av rapportering på metrikker (KPI/KRI) fremover i organisasjonen knyttet til tilgangsstyring.
• Bistå med oppdatering av rapporteringsmetrikker og -krav på tilgangsstyring etter beste praksis innen informasjonssikkerhet, spesielt på strategisk og ledelsesnivå. Dette inkluderer utarbeidelse av mal for ledelsens risikorapportering med nødvendige metrikker med langsiktig mål å etablere automatisert rapportering.

Denne listen er ikke uttømmende. Andre oppgaver kan komme inn basert på behov i prosjektet.