Foundationkursus ControlManager Version 10.x

Transkript

1 Foundationkursus ControlManager Version 10.x

2 VELKOMMEN OG AGENDA VELKOMST INTRO Hvad er ControlManager? Opbygning af ControlManager VIRKSOMHEDEN / BASISINFORMATION Organisering Systemer Services Processer Dataflow Dokumenter ControlManager by Siscon 2

3 AGENDA - FORTSAT RISIKOSTYRING Konsekvensanalyse Sårbarhedsanalyse Risikovurdering Risiko og DPIA COMPLIANCE Politik Regler Procedure Standarder Dispensationer ControlManager by Siscon 3

4 AGENDA - FORTSAT AWARENESS Quiz Underskriftindsamling BEREDSKAB Beredskabsplaner Beredskabsorganisation Nødplaner Reetableringsplaner Alarmeringslister Status / Simulering ControlManager by Siscon 4

5 AGENDA - FORTSAT UDFØRELSE Kontroller Aktiviteter Gap-analyser Hændelser Revision ADMINISTRATION Opstart Brugere Brugergrupper Rettighedsroller ControlManager by Siscon 5

6 FORM OG FORVENTNINGER FORM Gennemgang af de enkelte moduler I laver noter i bøgerne Spørgsmål Funktionalitet Ikke metoder HVAD FORVENTER I? ControlManager by Siscon 6

7 CONTROLMANAGER INDHOLD OG OPBYGNING

8 CONTROLMANAGER - BINDER DET HELE SAMMEN ControlManager Dokumentstyring IT-Risikostyring Efterlevelse Kontrolkatalog GAP-Analyse Awareness Beredskab GDPR-Risikostyring Dataflow ControlManager by Siscon 8

9 CONTROLMANAGER - FRONT END / BACK END ControlManager by Siscon 9

10 CONTROLMANAGER - MENU BACK END OVERORDNET MENU EKSEMPEL PÅ MENUPUNKTER PÅ EN ENKELT SIDE ControlManager by Siscon 10

11 CONTROLMANAGER VIRKSOMHEDSMODULET

12 VIRKSOMHED ControlManager by Siscon Side 12

13 FORMÅL MED ORGANISATION FORMÅLET MED ORGANISATION ER AT UNDERSTØTTE: overblik over de relevante enheder fra organisationen til at udpege/forankre ejerskaber overblik over interessenter (interne / eksterne), der ønskes at bruges til målgruppe overblik over interessenter hvorfra der sendes / modtages information (personhenførbar) BEST PRACTICE Oprette følgende: Virksomhedsnavn Funktion (gruppe) Funktion (enkelt person) Eksterne Leverandør Evt. ControlManager by Siscon Side 13

14 ORGANISATION INDSTILLINGER Type (Forskellige typer af enheder) Roller (Der kan bruges i enhederne IKKE systemejer osv., da disse tilknyttes aktiver/services) Brug ikke denne funktion Rapportindstillinger ControlManager by Siscon 14

15 ORGANISATION OVERSIGT Tilføj Type valg Rapport Diagrammer med hierarki ENKELT VISNING / REDIGER Beskrivelse Medlemmer Relationer Relaterede processer Relaterede aktiver Relaterede services Menu Slet Vedhæft Rapport ControlManager by Siscon 15

16 CONTROLMANAGER VIEW ControlManager by Siscon 16

17 FORMÅL MED AKTIVER FORMÅLET MED AKTIVER ER: at skabe overblik over infrastrukturkomponenter (netværks-, server- og databaseinfrastruktur), der kan benyttes i forbindelse med risikostyring, beredskabsplaner og datakortlægning at opbygge en liste over netværks-, server- og databaseinfrastruktur, der kan relateres til fra andre opgaver opbygge afhængigheder til andre aktiver - > viden om påvirkning BEST PRACTICE Vær opmærksom på at ikke at være for detaljeret fra start Opdel i typer / grupper -> skaber overblik ControlManager by Siscon Side 17

18 AKTIVER INDSTILLINGER Type ( Forskellige typer af aktiver basissystem, brugersystem osv.) Grupper (Opdeling i visning på oversigtside) Roller (Systemejer, systemadministrator osv.) Felter Fysisk placering Sikkerhedsklassifikation Egne felter Review frekvens Filtre (Gemte filtre) (Skabeloner der udsendes ved handlinger) Import fra fil Eksport til fil SharePoint integration Indstillinger Rapport indstillinger ControlManager by Siscon 18

19 AKTIVER OVERSIGT Tilføj nye Rapportering Gruppe visning Filter Roller VISNING MENU Diagrammer Menu funktion Slet Mail Vedhæft Kopi Rapport VISNING / REDIGER Beskrivelse Ansvar Baseret på Afhængighed Relationer ControlManager by Siscon 19

20 CONTROLMANAGER VIEW ControlManager by Siscon 20

21 FORMÅL MED SERVICES FORMÅLET MED SERVICES ER: at skabe overblik over services/forretningssystemer (f.eks. it-services, bygningsservices ) der skal benyttes i forbindelse med risikostyring, beredskabsplaner og datakortlægning en liste over services/forretningssystemer der kan relateres til fra andre opgaver opbygge afhængigheder til services/aktiver - > viden om påvirkning BEST PRACTICE Vær opmærksom på at ikke at være for detaljeret fra start Opdel i typer / grupper -> med til at skabe overblik ControlManager by Siscon Side 21

22 SERVICES INDSTILLINGER Type (Forskellige typer af services basissystem, brugersystem osv.) Grupper (Opdeling i visning på oversigtside) Roller (Systemejer, systemadministrator osv.) Felter Fysisk placering Sikkerhedsklassifikation Egne felter Review frekvens Filtre ( Gemte filtre) (Skabeloner der udsendes ved handlinger) Import fra fil Eksport til fil SharePoint integration Indstillinger Rapport indstillinger ControlManager by Siscon 22

23 SERVICES OVERSIGT Tilføj nye Rapportering gruppe visning Filter Roller VISNING MENU Diagrammer Menu funktion Slet Mail Vedhæft Kopi Rapport VISNING / REDIGER Beskrivelse Ansvar Afhængighed Konsekvensanalyse Baseret på Relationer Dataflow ControlManager by Siscon 23

24 CONTROLMANAGER VIEW ControlManager by Siscon 24

25 FORMÅL MED PROCESSER FORMÅLET MED PROCESSER ER: at skabe overblik over forskellige typer af forretningsprocesser, der skal benyttes i forbindelse med risikostyring, beredskabsplaner og datakortlægning opbygge afhængigheder til processer / services / aktiver og dermed forstå it-understøttelsen og forretningens afhængighed af denne - > viden om påvirkning BEST PRACTICE Vær opmærksom på at ikke at være for detaljeret fra start 3 5 processer pr. afdeling ControlManager by Siscon Side 25

26 PROCESSER INDSTILLINGER Type (Forskellige typer af processer overordnet, delproces, behandlingsaktivitet osv.) Grupper (Opdeling i visning på oversigtside) Roller (Procesejer osv.) Felter Egne felter Review frekvens Filtre (Gemte filtre) (Skabeloner der udsendes ved handlinger) Import fra fil Eksport til fil SharePoint integration Indstillinger Rapport indstillinger ControlManager by Siscon 26

27 PROCESSER OVERSIGT Tilføj nye Rapportering gruppe visning Filter Roller VISNING MENU Diagrammer Menu funktion Slet Mail Vedhæft Kopi Rapport VISNING / REDIGER Beskrivelse Ansvar Afhængighed Konsekvensanalyse Baseret på Relationer Dataflow ControlManager by Siscon 27

28 CONTROLMANAGER VIEW ControlManager by Siscon 28

29 FORMÅL MED DATAFLOW FORMÅLET MED DATAFLOW ER: at skabe et overblik over Persondata (eller andre typer) internt i organisationen Imellem afdelinger På systemer persondata der modtages og sendes ud af organisationen Evt. hvilke protokoller bruges til hvilken udveksling. berige processer og systemer med viden om de data der er i disse opfylde dokumentationskravet fra EU GDPR BEST PRACTICE Vær opmærksom på, ikke at at være for detaljeret i niveau på datasætindhold og dataelementer forsøg at arbejde generisk med Art. 6 Almindelige oplysninger Art. 9 Følsomme oplysninger Art. 10 Straffedomme Art. 87 CPR Nr. Start evt. ud uden at beskrive flow, men alene kortlægning ControlManager by Siscon Side 29

30 DATAFLOW INDSTILLINGER Felter for dataflow Dataflow aftaler (Kommunikationskanal, overførsel til 3. lande) Felter for datasæt Lovligt grundlag (Samtykke, kontrakt osv.) Filtre (Gemte filtre) Aftale typer (Ekstern overførsel-manuel, Ekstern overførselautomatisk og lign.) Datatyper (Art. 6, Art. 9 osv.) Dataflow elementer (Navn, adresse, kontonummer osv.) Datasæt typer (EU-GDPR datasæt) Datasæt indhold (Medarbejder info, kunde info) Rapport ControlManager by Siscon 30

31 SAMMENHÆNGEN Datasæt indhold En samling af attributter i en skabelon af et datasæt. Datasætindhold og elementer, er det som man kan vælge når man genererer et dataflow. Datasæt elementer Beskrivelse af mulige attributter i et datasæt. Tilknyttet en bestemt kategori (Art. 6, 9, 10, 87) Datatyper Kategorisering af data i forhold til GDPR artikler - Art. 6, 9,10, 87 ControlManager by Siscon 31

32 DATAFLOW OVERSIGT Tilføj Rapportering Filter ENKELT VISNING Diagrammer Menu funktioner (Slet og rapport) ENKELT VISNING / REDIGER Beskrivelse Datasæt Dataflowaftaler ControlManager by Siscon 32

33 DATAFLOW - FORTSAT DATASÆT ENKELTVISNING / REDIGER Beskrivelse Datasæt indhold Menu funktioner (Slet og rapport) DATASÆT ENKELTVISNING / REDIGER Beskrivelse Dataaftale indhold Godkender Ansvarlig Relationer (Dokumenter) Menu funktioner (Slet og rapport) ControlManager by Siscon 33

34 CONTROLMANAGER VIEW ControlManager by Siscon 34

35 FORMÅL MED DOKUMENTER FORMÅLET MED DOKUMENTER ER: at skabe struktur og overblik over dokumenter der er understøttende for Aktiver Services Processer Dataflow Sikre at der sker løbende opfølgning af dokumenter At kunne publicere dokumenter (Viden) til relevante målgrupper BEST PRACTICE Opbyg grupper til at strukturere dokumenter Benyt mulighed for at kunne linke til dokumenter der ligger eksternt (der udstilles via HTTP(S), File eller andre web-protokoller) Fil-shares Website (Wiki, SharePoint) ESDH systemer ControlManager by Siscon Side 35

36 DOKUMENTER INDSTILLINGER Grupper (Opdeling i visning på oversigtside) Sikkerhedsklassifikation Review frekvens Filtre ( Gemte filtre) (Skabeloner der udsendes ved handlinger) SharePoint dokument bibliotek Filtre Skabeloner Rapportindstillinger ControlManager by Siscon 36

37 DOKUMENTER OVERSIGT Tilføj ny (Html / MS Word ) Søg Arkiv Filter Rapport Importer ENKELT VISNING / REDIGER Stamdata Dokument Relationer Kommentar Menu Godkend hvis endelig Publicering (Målgruppe og notifikation) hvis godkendt Send Kopi Slet Rapport ControlManager by Siscon 37

38 CONTROLMANAGER VIEW ControlManager by Siscon 38

39 NOTER ControlManager by Siscon 39

40 NOTER ControlManager by Siscon 40

41 CONTROLMANAGER RISIKOSTYRINGSMODULET

42 RISIKOSTYRING ControlManager by Siscon 42

43 FORMÅL MED KONSEKVENSANALYSE FORMÅLET MED KONSEKVENSANALYSEN ER: at afdække de forretningsmæssige konsekvenser såfremt en given forretningsprocesser eller services oplever brud på Fortrolighed, Integritet eller tilgængelighed at opnå viden om hvilke områder (F, I, T) der påvirker virksomheden og i hvilket omfang at få overblik over maksimal tålelig nedetid (MTD) og datatab BEST PRACTICE Begræns antallet af konsekvenstyper og perioder for tilgængelighed Anvend en særlig periode på tilgængelighed til at opfange måneds- /årsskifte problematik Understøt analysen med dialogmøder / interview ControlManager by Siscon Side 43

44 KONSEKVENSANALYSE INDSTILLINGER Almindelige indstillinger Konsekvensniveauer Review frekvens Perioder for konsekvensanalyse Vægtning Konsekvenstyper Skabelon for konsekvenstyper Kritikalitet Økonomisk konsekvens Filter Accepteret nedetid Accepteret datatab Rapport ControlManager by Siscon 44

45 KONSEKVENSANALYSE OVERSIGT Tilføj / Arv Oversigt Processer Services Konsekvenstyper Scenarier Diagram Arkiv Filter Rapport UDFOLDET VISNING Afsluttede / Ikke afsluttede Resultat ControlManager by Siscon 45

46 KONSEKVENSANALYSE ENKELT VISNING / REDIGER Menu Indstilling / Opsætning Rapport DETAIL VISNING Menu Slet Arkiv Kopi Vedhæft Rapport ControlManager by Siscon 46

47 KONSEKVENSANALYSE IGANGSÆTNING AF KONSEKVENSANALYSE Udvælg Proces / Service Indstillinger Dato for udførelse Tilføj enhed og person for ansvarlig og udførende Vælg konsekvenstyper notifikation Gennemførelse Start analyse Indtast informationer Rediger resultat Indstillinger Samme som opstart ControlManager by Siscon 47

48 CONTROLMANAGER VIEW ControlManager by Siscon 48

49 FORMÅL MED SÅRBARHEDSANALYSER FORMÅLET MED SÅRBARHEDSANALYSEN ER: afdække trusselsbilledet for aktiver / services med udgangspunkt i (F, I, T) afdække genetableringshastigheder og -punkter viden om mulige indsatsområder BEST PRACTICE Begræns antallet af trusler der vurderes på Byg en semi-detaljeret model med afhængigheder og understøt dette med gode skabeloner således der kun vurderes på relevante trusler ift. det enkelte aktiv / service Understøt analysen med dialogmøder / interview ControlManager by Siscon Side 49

50 SÅRBARHEDSANALYSE INDSTILLINGER Almindelige indstillinger Sandsynlighedsniveau Sandsynlighed og sårbarhed Sandsynlighed og afhængighed Review frekvens Trusselstyper Trusler Skabelon for trusselstyper Sikringsforanstaltning Reetableringstid Datatab Accepteret datatab Filter Rapport ControlManager by Siscon 50

51 SÅRBARHEDSANALYSE OVERSIGT Tilføj Oversigt Aktiver Services Trusler Trusseltyper Scenarier Diagram Arkiv Filter Rapport ENKELT VISNING / REDIGER Menu Indstilling / Rediger Arkiv Kopi Vedhæft Rapport ControlManager by Siscon 51

52 SÅRBARHEDSANALYSE IGANGSÆTNING AF SÅRBARHEDSANALYSE Udvælg aktiv / service Indstillinger Vælg person for ansvarlig og udførende Vælg type Vælg dimension Vælg trusselskabelon Start tidspunkt notifikation Gennemførelse Start analyse Indtast informationer Rediger resultat Indstillinger Samme som opstart ControlManager by Siscon 52

53 CONTROLMANAGER VIEW ControlManager by Siscon 53

54 FORMÅL MED RISIKOVURDERING FORMÅLET MED RISIKOVURDERINGEN ER: Overblik over det samlede risikobillede, set ud fra en forretningsvinkel Grupperet på F, I, T GAP analyse mellem forretningskrav til Oppetider og Datatab kontra IT s muligheder for at levere dette Viden til at fortage en ledelsesmæssig stillingtagen BEST PRACTICE Udvælg niveau for risikoappetit og konfigurer Rød/Gul derefter Overfør alle risks som der ønskes arbejdet med til Revision og tilføj aktiviteter til dette ControlManager by Siscon Side 54

55 RISIKOVURDERING INDSTILLINGER Almindelige indstillinger Risikoniveauer Konsekvens og Sandsynlighed Filter Scenarier Risikotyper Rapport ControlManager by Siscon 55

56 RISIKOVURDERING OVERSIGT Oversigt 1 & 2 dimensioner Filter Rapport Risikovurdering Datatab Nedetid Detaljer Filter Rapport Risikovurdering Datatab Nedetid Trusseltyper Scenarier Vigtighed GKV SKV ROI ControlManager by Siscon 56

57 CONTROLMANAGER VIEW ControlManager by Siscon 57

58 FORMÅL MED RISIKOANALYSE / DPIA-ANALYSE FORMÅLET MED RISIKOANALYSE/DPIA ER: Understøtte en risikostyringsmodel der tager udgangspunkt i specifikke trusler, dekoblet fra processer/systemer/aktiver (som er udgangspunkt for meget risikostyring inden for informationssikkerhed) Kan bruges til at vurdere sandsynlighed og konsekvens for konkrete trusler for Projekter Afdelinger Virksomheden Datasubjekter BEST PRACTICE Vurder hvilke områder der ønskes vurdere Vurder hvordan en eventuel aggregering ønskes ControlManager by Siscon Side 58

59 RISIKOANALYSE / DPIA-ANALYSE INDSTILLINGER Almindelige indstillinger Konsekvens & Sandsynlighed Review frekvens Konsekvensniveauer Sandsynlighedsniveauer Risikoniveauer Risikoobjekter Tilføj + efterfølgende svarmulighed Grupper af risikoobjekter Tilføj Filter Skabelon for risikoobjekter DPIA skabelon Typer Typer af risikoanalyser Rapport ControlManager by Siscon 59

60 RISIKOANALYSE / DPIA-ANALYSE OVERSIGT Tilføj ( Risikoanalyse eller DPIA) Oversigt Filter Rapport Arkiv Diagram Arkiv ENKELT VISNING / REDIGER Menu Indstilling / Rediger Arkiv Kopi Vedhæft Rapport ControlManager by Siscon 60

61 CONTROLMANAGER VIEW ControlManager by Siscon 61

62 NOTER ControlManager by Siscon 62

63 CONTROLMANAGER COMPLIANCEMODULET

64 COMPLIANCEMODULET ControlManager by Siscon 64

65 FORMÅL MED POLITIK FORMÅLET MED POLITIK ER: at skabe struktur og overblik over de overordnede styrende dokumenter sikre at der sker løbende opfølgning på dokumenter BEST PRACTICE Sørg for, at politikken er overordnet og kort det er et ledelsesdokument Brug skabelonfunktionen til at ensarte eventuelle lokale politikker Opbyg grupper til at strukturer dokumenter Benyt evt. mulighed for at have dokumenter liggende eksternt ControlManager by Siscon Side 65

66 POLITIK INDSTILLINGER Review frekvens Skabeloner Rapport indstillinger (Skabeloner der udsendes ved handlinger) SharePoint dokument bibliotek Grupper (Opdeling i visning på oversigtside) Filtre (Gemte filtre / Arkiv) ControlManager by Siscon 66

67 POLITIK OVERSIGT Tilføj ny (Html / MS Word for IE ) Søg Arkiv Grupper Filter Rapport Importer ENKELT VISNING / REDIGER Stamdata Dokument Kommentar Menu Godkend hvis endelig Publicering (Målgruppe og notifikation) hvis godkendt Send Kopi Slet Rapport ControlManager by Siscon 67

68 CONTROLMANAGER VIEW ControlManager by Siscon 68

69 FORMÅL MED REGLER FORMÅLET MED REGLER ER: at skabe en struktureret samling af konkrete og målbare tiltag at der er beskrevet et sikkerhedsmæssigt minimumsniveau at sikre, at der er ejerskab på de enkelte tiltag, således implementeringen er målrettet at kunne bruges som udgangspunkt for GAP analyser BEST PRACTICE Strukturer efter ISO27001 eller anden anerkendt standard Genbrug regler til at understøtte flere forskellige standarder (lovgivningstekster) Understøt de enkelte regler med procedurer (detaljer hører hjemme i procedurer) Kontrollér efterlevelse med kontroller på relevante områder ControlManager by Siscon Side 69

70 REGLER INDSTILLINGER Rapport indstillinger (Skabeloner der udsendes ved handlinger) Filter oversigt (Gemte filtre / Arkiv) Filter regelsæt ControlManager by Siscon 70

71 REGLER OVERSIGT Tilføj regler Filter Importer ENKELT VISNING Relationsvisning Forklaring Menu Rediger Kopi Slet Godkend hvis endelig Filter Publicering (Målgruppe og notifikation) hvis godkendt Arkiv Send Rapport Eksporter ControlManager by Siscon 71

72 REGLER REDIGER Menu Tilføj kapitel Tilføj afsnit Tilføj regel Tilføj underregel Filter ControlManager by Siscon 72

73 CONTROLMANAGER VIEW ControlManager by Siscon 73

74 FORMÅL MED PROCEDURE FORMÅLET MED PROCEDURER ER: at skabe struktur og overblik over dokumenter der er understøttende for regler (operationel) at sikre, at der sker løbende opfølgning af dokumenter BEST PRACTICE Opbyg grupper til at strukturer dokumenter Brug skabelonfunktionen til at ensarte eventuelle lokale procedurer Benyt mulighed for at have dokumenter liggende eksternt ControlManager by Siscon Side 74

75 PROCEDURE INDSTILLINGER Review frekvens Skabeloner Rapport indstillinger (Skabeloner der udsendes ved handlinger) Grupper (Opdeling i visning på oversigtside) SharePoint dokument bibliotek Filtre (Gemte filtre / Arkiv) ControlManager by Siscon 75

76 PROCEDURE OVERSIGT Tilføj ny (Html / MS Word for IE ) Søg Arkiv Grupper Filter Rapport Importer ENKELT VISNING / REDIGER Stamdata Dokument Relationer Kommentar Menu Arkiv Godkend hvis endelig Publicering / Fjern publicering (Målgruppe og notifikation) hvis godkendt Send Kopi Slet Rapport Eksporter ControlManager by Siscon 76

77 CONTROLMANAGER VIEW ControlManager by Siscon 77

78 FORMÅL MED STANDARDER FORMÅLET MED STANDARDER ER: at have referencerammer til at skabe struktur i regler og procedurer at kunne dokumentere efterlevelse i forhold til standarden/lovteksten -> SoA at kunne bruges som udgangspunkt for GAP analyser opslagsværk til krav BEST PRACTICE Benyt strukturen Kapitel Afsnit Paragraf (krav) Der kan KUN mappes regler til paragraffer ikke til afsnit eller underparagraffer ControlManager by Siscon Side 78

79 STANDARDER INDSTILLINGER Standarder Standarder arkiv Wizard Compliance Rapport indstillinger Filtre ControlManager by Siscon 79

80 STANDARDER OVERSIGT Filter ENKELT VISNING Søg Relationsvisning Menu Tilføj Rediger Kopi Filter Rapport ControlManager by Siscon 80

81 CONTROLMANAGER VIEW ControlManager by Siscon 81

82 FORMÅL MED DISPENSATIONER FORMÅLET MED DISPENSATIONER ER: at skabe en flow for håndtering af dispensationer, dvs. områder hvor IT-sikkerhedspolitik og regler ikke kan overholdes at have et samlet overblik over dispensationer med tilhørende status således at disse kan blive lukket at kunne sikre opfølgning og rapportering BEST PRACTICE Benyt Front End til at anmode Start med at informerer de involverede omkring arbejdsgangen ControlManager by Siscon Side 82

83 DISPENSATIONER INDSTILLINGER Typer Dispensationsansvarlig Rapport indstillinger Filtre (Arkiv) ControlManager by Siscon 83

84 DISPENSATIONER OVERSIGT Tilføj Arkiv Filter Rapport ENKELT VISNING Menu Slet Arkiv Vedhæft dokument Rapport ControlManager by Siscon 84

85 CONTROLMANAGER VIEW ControlManager by Siscon 85

86 NOTER ControlManager by Siscon 86

87 CONTROLMANAGER AWARENESSMODULET

88 AWARENESS ControlManager by Siscon 88

89 FORMÅL MED QUIZ KAMPAGNER FORMÅLET MED QUIZ KAMPAGNER ER: at gennemføre undervisning på et let måde opnå viden om hvorvidt et emne / budskab er forstået sikre forståelse for, og implementering af, nye emner opfølgning på allerede kendte emner BEST PRACTICE Start med få emner udbyg langsomt Vær opmærksom på tidsforbruget ved spørgsmål / quiz Sørg for at emnerne matcher målgruppen i niveau og viden ControlManager by Siscon Side 89

90 QUIZ KAMPAGNER INDSTILLINGER Emner Oprette og vedligeholde emner Quiz spørgsmål Oprettet og tilføje spørgsmål Diplom Tilpasning af baggrundsbillede Rapport Filter ControlManager by Siscon 90

91 QUIZ KAMPAGNER OVERSIGT Tilføj ny kampagne Arkiv Diagram Filter ENKELT VISNING / REDIGER Stamdata Målgruppe Emne resultat Menu Rapport Filter Rediger Arkiv Slet Send diplom til deltager ControlManager by Siscon 91

92 CONTROLMANAGER VIEW ControlManager by Siscon 92

93 FORMÅL MED UNDERSKRIFTKAMPAGNE FORMÅLET MED UNDERSKRIFTKAMPAGNE ER: opnå tilkendegivelse for at et emne er læst og forstået dokumentation for at der sket en tilkendegivelse overblik over hvem der har afgivet underskrift og hvem der udestår BEST PRACTICE Brug evt. links til procedure/dokumenter, hvis der behov for at få underskrevet at et givent dokument er læst. ControlManager by Siscon Side 93

94 UNDERSKRIFTKAMPAGNE INDSTILLINGER Rapport Filter ControlManager by Siscon 94

95 UNDERSKRIFTKAMPAGNE OVERSIGT Arkiv Diagram Arkiv diagram Filter ControlManager by Siscon 95

96 CONTROLMANAGER VIEW ControlManager by Siscon 96

97 FORMÅL MED KAMPAGNE DELTAGERE FORMÅLET MED KAMPAGNE DELTAGERE ER: opnå viden om hvordan den enkelte / gruppe af deltagere har klaret sig i en quiz kampagne rapportering på deltagelse og resultat udsende reminder til personer som ikke er kommet igennem quizzen ControlManager by Siscon Side 97

98 KAMPAGNE DELTAGERE INDSTILLINGER Rapport Filter ControlManager by Siscon 98

99 KAMPAGNE DELTAGERE OVERSIGT Arkiv Arkiv diagram Filter Rapport ENKELT VISNING Emner Aktivitet Filter ControlManager by Siscon 99

100 CONTROLMANAGER VIEW ControlManager by Siscon 100

101 NOTER ControlManager by Siscon 101

102 NOTER ControlManager by Siscon 102

103 CONTROLMANAGER BEREDSKABSMODULET

104 BEREDSKAB ControlManager by Siscon 104

105 BEREDSKABSPLAN FORMÅLET MED BEREDSKABSPLAN ER: at skabe struktur og overblik over de overordnede styrende beredskabsdokumenter sikre at der sker løbende opfølgning på dokumenter BEST PRACTICE Brug skabelonfunktionen til at ensarte beredskabsplaner Opbyg grupper til at strukturer dokumenter Benyt evt. mulighed for at have dokumenter liggende eksternt ControlManager by Siscon 105

106 BEREDSKABSPLAN INDSTILLINGER Review frekvens Skabeloner (Skabeloner der udsendes ved handlinger) Rapport indstillinger SharePoint dokument bibliotek Filtre (Gemte filtre / Arkiv) ControlManager by Siscon 106

107 BEREDSKABSPLAN OVERSIGT Tilføj ny (Html / MS Word for IE ) Søg Arkiv Filter Rapport Importer ENKELT VISNING / REDIGER Stamdata Dokument Kommentar Menu Arkiv Godkend hvis endelig Publicering / Fjern publicering (Målgruppe og notifikation) hvis godkendt Send Kopi Slet Rapport ControlManager by Siscon 107

108 CONTROLMANAGER VIEW ControlManager by Siscon 108

109 FORMÅL MED BEREDSKABSORGANISATION FORMÅLET MED BEREDSKABSORGANISATION ER: at have en kort rolle/ansvarsbeskrivelse for udvalgte dele af beredskabsorganisationen at have et kommissorium for hver af de enkelte dele af beredskabsorganisationen ControlManager by Siscon Side 109

110 BEREDSKABSORGANISATION INDSTILLINGER Roller (Skabeloner der udsendes ved handlinger) Rapport indstillinger ControlManager by Siscon 110

111 BEREDSKABSORGANISATION OVERSIGT Tilføj Rapport ENKELT VISNING / REDIGER Beskrivelse Medlemmer Ansvar Menu Vedhæft Slet Publicering / Fjern publicering (Målgruppe og notifikation) hvis godkendt Rapport ControlManager by Siscon 111

112 CONTROLMANAGER VIEW ControlManager by Siscon 112

113 FORMÅL MED ALARMERINGSLISTE FORMÅLET MED ALARMERINGSLISTEN ER: at have en liste med kontaktoplysninger, som automatisk opdateres fra AD, og som kan publiceres til relevante dele af beredskabet ControlManager by Siscon Side 113

114 ALARMERINGSLISTE INDSTILLINGER Roller (Skabeloner der udsendes ved handlinger) Rapport indstillinger Filter ControlManager by Siscon 114

115 ALARMERINGSLISTE OVERSIGT Beredskabsorganisation Aktiver Services Processer Publicering Rapport ENKELT VISNING / REDIGER Beskrivelse Menu Rapport ControlManager by Siscon 115

116 CONTROLMANAGER VIEW ControlManager by Siscon 116

117 FORMÅL MED NØDPLANER FORMÅLET MED NØDPLANER ER: at sikre, planer for forretningens videreførelse i tilfælde af f.eks. it-nedbrud at sikre, at der er klarhed over hvilke opgaver og hvilke forudsætninger der er for at videreføre forretningen BEST PRACTICE Udarbejd kun nødplaner for de mest kritiske forretningsprocesser Sørg for at nødplanerne er integreret med den overordnede beredskabsplan ControlManager by Siscon Side 117

118 NØDPLANER INDSTILLINGER Review frekvens SharePoint indstilling Skabeloner Beredskabskonfigurationer Tekst fra andre moduler (Skabeloner der udsendes ved handlinger) Rapport indstillinger ControlManager by Siscon 118

119 NØDPLANER OVERSIGT Processer Services Arkiv Filter Rapport ENKELT VISNING / REDIGER Reetableringstid Diagram for relationer Stamdata Dokument Kommentar Menu Arkiv Vedhæft Godkend hvis endelig Publicering / Fjern publicering (Målgruppe og notifikation) hvis godkendt Send Tilføj Kopi Slet Rapport ControlManager by Siscon 119

120 CONTROLMANAGER VIEW ControlManager by Siscon 120

121 FORMÅL MED REETABLERINGSPLANER FORMÅLET MED REETABLERINGSPLANER ER: at sikre, planer for hurtig og effektiv genskabelse af itsystemer i tilfælde af f.eks. it-nedbrud at sikre, at der er klarhed over hvordan og hvilke forudsætninger der er for at genskabe det enkelte system BEST PRACTICE Udarbejd kun reetableringsplaner for de mest kritiske itsystemer Sørg for at reetableringsplanerne er integreret med den overordnede beredskabsplan ControlManager by Siscon Side 121

122 REETABLERINGSPLANER INDSTILLINGER Review frekvens SharePoint indstilling Skabeloner Beredskabskonfigurationer Tekst fra andre moduler (Skabeloner der udsendes ved handlinger) Rapport indstillinger ControlManager by Siscon 122

123 REETABLERINGSPLANER OVERSIGT Aktiver Services Arkiv Filter Rapport ENKELT VISNING / REDIGER Diagram for relationer Understøttede enheder Stamdata Dokument Kommentar Menu Arkiv Vedhæft Godkend hvis endelig Publicering / Fjern publicering (Målgruppe og notifikation) hvis godkendt Send Tilføj Kopi Slet Rapport ControlManager by Siscon 123

124 CONTROLMANAGER VIEW ControlManager by Siscon 124

125 FORMÅL MED NØDFORANSTALTNINGER (LOGBOG*) FORMÅLET MED NØDFORANSTALTNINGER ER: at skabe en logbog i beredskabssituationen, som sikrer dokumentation af iværksatte tiltag at skabe overblik over de meldinger der sendes mellem de enkelte dele af beredskabsorganisationen BEST PRACTICE ControlManager by Siscon Side 125

126 BEREDSKAB NØDFORANSTALTNINGER (LOGBOG*) INDSTILLINGER Logbog typer* De enkelte elementer der indgår i skabelonen Log bog skabeloner* Skabeloner til forskellige personer ControlManager by Siscon 126

127 NØDFORANSTALTNINGER (LOGBOG*) OVERSIGT Tilføj aktivitet ENKELT VISNING / REDIGER Stamdata Dokument Menu Rediger Slet ControlManager by Siscon 127

128 CONTROLMANAGER VIEW ControlManager by Siscon 128

129 FORMÅL MED BEREDSKAB STATUS FORMÅLET MED BEREDSKABSSTATUS ER: Kontinuert at have et overblik over status på samtlige processer/services/aktiver, efterhånden som en eller flere af disse bliver fejl- eller klarmeldt At illustrerer hvordan en fejl- eller klarmelding påvirker alle andre processer/services/aktiver BEST PRACTICE Ingen ControlManager by Siscon Side 129

130 BEREDSKAB STATUS INDSTILLINGER Rapport Filter ControlManager by Siscon 130

131 BEREDSKAB STATUS OVERSIGT Filter ENKELT VISNING / REDIGER Stamdata Ansvar Afhængighed Anvendelse Relationer Dataflow Menu Rapport ControlManager by Siscon 131

132 CONTROLMANAGER VIEW ControlManager by Siscon 132

133 NOTER ControlManager by Siscon 133

134 NOTER ControlManager by Siscon 134

135 CONTROLMANAGER OPFØLGNINGSMODULET

136 FORMÅL MED KONTROLLER ControlManager by Siscon Side 136

137 FORMÅL MED KONTROLLER FORMÅLET MED KONTROLLER ER: at sikre, at rolle/ansvarsmodellen, som typisk er beskrevet i regler, også bliver implementeret praksis, ved at foretage kontrol af at det aftalte er gennemført at tilbyde en simpel og ensartet metode til at få gennemført kontroller at opsamle og centralisere dokumentation for de gennemførte kontroller ControlManager by Siscon Side 137

138 FORMÅL MED KONTROLLER BEST PRACTICE kontrollér om det ønskede resultat er tilstede i organisationen Ikke om patch-proceduren findes, men om systemerne rent faktisk er patchet grupper kontroller i kontrol-dimensioner anvend scores, til at illustrere resultatet af en kontrol tilknyt procedurer til en kontrol, hvis gennemførelsen er kompleks relatér kontroller til de kontrolobjekter som de vedrører Regler Behandlingsaktiviteter (processer) / Services anvend multi-kontroller, hvis den samme kontrol skal udføres på flere processer/services/aktiver anvend skabeloner for at sikre, at kontroller udfyldes ensartet ControlManager by Siscon Side 138

139 KONTROLLER INDSTILLINGER Generelle informationer Review frekvens SharePoint indstillinger Skabeloner Status Typer Metoder Dimensioner Score niveau Rapport Filter ControlManager by Siscon 139

140 KONTROLLER OVERSIGT Tilføj (enkel / multi) Diagram Tidsplan Relationer Arkiv Filter Rapport ENKELT VISNING / REDIGER Beskrivelse Yderligere indstillinger Ajourføring Historik Relationer Menu Kopi Vedhæft Arkiv Slet Rapport ControlManager by Siscon 140

141 KONTROLLER LOG-BOG Tidsperiode Rapport Detaljeinformation om den enkelte kontrolaktivitet ControlManager by Siscon 141

142 CONTROLMANAGER VIEW ControlManager by Siscon 142

143 FORMÅL MED AKTIVITETER FORMÅLET MED AKTIVITETER ER: at tildele opgaver til enkeltpersoner og derved sikre forankring af enkeltstående opgaver at have overblik over alle informationssikkerhedsrelaterede opgaver, som er i gang BEST PRACTICE tilknyt aktiviteter til de objekter, hvor der er opgaver som skal gennemføres Revision, Hændelser, Gap-analyser etc. ControlManager by Siscon Side 143

144 AKTIVITETER INDSTILLINGER SharePoint indstillinger Rapport Filter (nye og arkiv) ControlManager by Siscon 144

145 AKTIVITETER OVERSIGT Tilføj Arkiv Rapport Filter ENKELT VISNING / REDIGER Beskrivelse Relationer Menu Kopi Slet Vedhæft Godkend Arkiv Rapport ControlManager by Siscon 145

146 CONTROLMANAGER VIEW ControlManager by Siscon 146

147 FORMÅL MED GAP-ANALYSER FORMÅLET MED GAP-ANALYSER ER: At evaluere et givent område, ud fra en række forhåndsdefinerede krav, som er beskrevet i Regler, Standarder At kunne igangsat aktiviteter som kan udbedre eventuelle GAPs BEST PRACTICE Overvej om ens svar eller forskellige svar giver det bedste resultat på GAP-analysen Sørg for at spørgsmålene er formuleret ensartet, så det rigtige svar altid er det rigtige (Helst ja) ControlManager by Siscon Side 147

148 GAP-ANALYSER INDSTILLINGER Niveauer Alvorlighed Skabelon samme svar Sammensætning af niveauer Skabelon forskellig svar Sammensætning af samme svar relateret til regler / standard Rapport Filter ControlManager by Siscon 148

149 GAP-ANALYSER OVERSIGT Tilføj (enkel / multi) Regelsæt / Standarder Arkiv ENKELT VISNING / REDIGER Info Forklaring Indhold Diagram / Compliance Menu Indstillinger Arkiv Slet Rapport Rapport (rediger) Filter ControlManager by Siscon 149

150 CONTROLMANAGER VIEW ControlManager by Siscon 150

151 FORMÅL MED HÆNDELSER FORMÅLET MED HÆNDELSER ER: at få registreret hændelser, således at det er muligt at skabe et overblik over hvor og hændelser forekommer, og hvilke konsekvenser de har for organisationen at få sikre, at hændelser bliver håndteret BEST PRACTICE registrer alle hændelser over en given tærskel løb jævnligt servicedesk-tickets igennem, for at se om nogle af disse er sikkerhedshændelser som skal registreres tilknyt aktiviteter til hændelser ControlManager by Siscon Side 151

152 HÆNDELSER INDSTILLINGER Skabeloner Almindelige indstillinger Hændelsesansvarlig Alvorlighed Typer Felter Rapport Baseret på en kontrol ( ) ControlManager by Siscon 152

153 HÆNDELSER OVERSIGT Tilføj Statistik Arkiv Filter Rapport ENKELT VISNING / REDIGER Aktion Beskrivelse Påvirkning Processer, Services, Aktiver, Konsekvenser, Trusler, F,I,T og Økonomi Relationer Regler, Aktiviteter, Kontroller, Scenarier Kommentar Menu Kopi Vedhæft Arkiv Slet Rapport Tilføj aktivitet ControlManager by Siscon 153

154 CONTROLMANAGER VIEW ControlManager by Siscon 154

155 FORMÅL MED REVISION FORMÅLET MED REVISION ER: at skabe overblik over de revisions -udeståender som der er i organisationen at sikre fremdrift på de fundne udeståender BEST PRACTICE brug revisionsmodulet til alle former for opgaver, hvor der skal sikres forankring og fremdrift Risikoanalyseresultater Penetrationstest Intern- og ekstern revisionsresultater Non-compliance i forhold til interne regelsæt ControlManager by Siscon Side 155

156 REVISION INDSTILLINGER Skabeloner Alvorlighed Typer Felter (Revisionsanbefalinger) Rapport ControlManager by Siscon 156

157 REVISION OVERSIGT Tilføj Arkiv Filter Rapport ENKELT VISNING / REDIGER Info Beskrivelse Påvirkning Processer, Services, Aktiver, Konsekvenser, Trusler, F,I,T og Økonomi Relationer Regler, Aktiviteter, Kontroller, Scenarier Kommentar Menu Kopi Arkiv Slet Rapport Tilføj aktivitet ControlManager by Siscon 157

158 CONTROLMANAGER VIEW ControlManager by Siscon 158

159 NOTER ControlManager by Siscon 159

160 NOTER ControlManager by Siscon 160

161 CONTROLMANAGER ADMINISTRATIONSMODULET

162 FORMÅL MED OPSTART FORMÅLET MED OPSTART ER: at samle alle de parametre som oftest kun tilpasses én gang, i forbindelse med installation af ControlManager BEST PRACTICE Sæt indledningsvist ControlManager i test-mode, imens det konfigureres Sæt en BCC adresse på alle mails, så du altid kan se og genfinde de mails ControlManager sender ud. Sæt en pæn fodnote på alle mails der sendes ud ControlManager by Siscon Side 162

163 OPSTART INDSTILLINGER Organisering af basis enheder Aktiver, services, processer Failover og afhængighedsniveau Sprog / Møntfod Program tekst Rapport indstillinger Logo, rapport bruger Perioder Hændelser, revision, nyeste information Server, til og fra, header, footer, prioritet, test-mode AD-indstillinger AD-server Single Sign On SharePoint indstillinger Link indstillinger MS Word indstillinger ControlManager by Siscon 163

164 CONTROLMANAGER VIEW ControlManager by Siscon 164

165 FORMÅL MED BRUGERE FORMÅLET MED BRUGERE ER: at skabe overblik over de brugere som er i ControlManager at kunne se Hvilke brugere som er aktive Hvilke som modtager mails Hvilke grupper en given bruger er i Hvilke rettigheder en given bruger har BEST PRACTICE Undgå i videst muligt omgang anvendelse af lokal brugere Skaber behov for lokal brugeradministration ControlManager by Siscon Side 165

166 BRUGERE INDSTILLINGER Rapport Vis bruger-id ved navn Bruges kun ved mange personer med samme navn i organisationen ControlManager by Siscon 166

167 BRUGERE OVERSIGT Tilføj Login log Log ind tidspunkter Modul skabelon Hvilke moduler / undermoduler der skal vises i menuen Adgang til Back End For at begrænse antallet af personer i drop down lister Synkroniser Rapport ENKELT VISNING / REDIGER Brugeransvar Indstillinger Info Brugergrupper Rettighedsroller Rettigheder Menu Slet Nyt password Rapport ControlManager by Siscon 167

168 BRUGERE LOKAL OPRETTELSE Navn, , Brugernavn, Telefon, Mobil, Beskrivelse Standard sprog kun nødvendig hvis det afviger fra default sprog Synlig skal brugeren være synlig i andre moduler Aktiv skal brugeren kunne logge ind Spær ved 3 forkerte forsøg -> Inaktiv Adgang til ControlManager Back End Send ikke Rettigheder tildeles individuelt eller ud fra rettigheds roller ControlManager by Siscon 168

169 CONTROLMANAGER VIEW ControlManager by Siscon 169

170 FORMÅL MED BRUGERGRUPPER FORMÅLET MED BRUGERGRUPPER ER: At importere AD brugere til ControlManager ved at linke ControlManager brugergrupper til ADbrugergrupper at administrere brugere i ControlManager herunder styre rettigheder og menu-punkter på brugere BEST PRACTICE Prefix brugergrupper som synkroniserer med AD: AD_xxxx Prefix brugergrupper som administreres lokalt i ControlManager : CM_xxxx ControlManager by Siscon Side 170

171 SAMMENHÆNGEN AD -> BRG. GRP -> ORG. ENHED AD gruppe ControlManager Brugergruppe Rettighedsroller Modulskabelon Send ikke (ja/nej) Sprog Organisationsenhed ControlManager by Siscon 171

172 BRUGERGRUPPER OVERSIGT Tilføj Synkroniser ENKELT VISNING / REDIGER Info Medlemmer og rettighedsroller ControlManager by Siscon 172

173 CONTROLMANAGER VIEW ControlManager by Siscon 173

174 FORMÅL MED RETTIGHEDSROLLER FORMÅLET MED RETTIGHEDSROLLER ER: at tildele brugere tilstrækkelige rettigheder til at kunne gennemføre deres arbejde BEST PRACTICE undgå at granulere brugerrettigheder unødigt importer gerne brugere flere gange, anvend f.eks. både AD-bruger og ledergrupper til at få sat de rigtige rettigheder på medarbejdere (ganske få) og ledere (ganske mange) ControlManager by Siscon Side 174

175 RETTIGHEDSROLLER OVERSIGT Tilføj ENKELT VISNING / REDIGER Slet Indstillinger ControlManager by Siscon 175

176 RETTIGHEDSROLLER 6 TYPER LÆSE / SKRIVE / GODKENDER / ADMINISTRATOR: Læse Vil kunne se alt og udskrive rapporter i det pågældende område UDEN at kunne ændre noget Skrive Vil kunne skrive nye samt redigere dokumenter og lign. i det pågældende område Godkender Vil kunne udpeges som godkender i det pågældende område Administrator Vil kunne: Administrere analyser (konsekvens, sårbarhed og gap-analyser) Publicere beredskabsplaner Have oversigt over samtlige kontroller Tilpasse og ændre hændelser Tilpasse og ændre aktiviteter Slette Kan slette objektet Arkivere Kan få liv til at arkivere objektet ControlManager by Siscon 176

177 OBS DEN KLASSISKE FEJL MAN DUKKER IKKE OP I DROP-DOWN LISTER MED MINDRE: 1. Man har adgang til ControlManager Back End 2. Man har de rigtige rettigheder CONTROLMANAGER FORVENTER, AT MAN HAR RETTIGHEDER, FORDI DET ER MENINGEN AT MAN F.EKS. SOM ANSVARLIG GÅR IND I CONTROLMANAGER OG TILRETTER PROCESSER, SERVICES OG AKTIVER. ControlManager by Siscon 177

178 CONTROLMANAGER VIEW ControlManager by Siscon 178

179 NOTER ControlManager by Siscon 179

180 NOTER ControlManager by Siscon 180

181 OPGAVER ControlManager by Siscon 181

182 OPGAVE - VIRKSOMHED OPRET EN ORGANISATORISK ENHED KALDET GRUPPE_X Tilføj medlem AA til denne enhed OPRET ET AKTIV KALDET AKTIV_X Udfyld nødvendige felter til aktivet OPRET EN SERVICE KALDET SERVICE_X Udfyld nødvendige felter til servicen Gør servicen afhængig af dit aktiv OPRET EN PROCES KALDET PROCES_X Udfyld felter til processen Gør processern afhængig af din service Se diagram under din proces ControlManager by Siscon 182

183 OPGAVE - RISIKOSTYRING KONSEKVENSANALYSE OPRET EN NY KONSEKVENSTYPE OFFENTLIG OMDØMME Lav en meget kort beskrivelse af de enkelte niveauer SÅRBARHEDSANALYSE OPRET EN NY SKABELON FOR TRUSLER DER BESTÅR AF 12 TRUSLER ControlManager by Siscon 183

184 OPGAVE - COMPLIANCE OPRET ET POLITIK DOKUMENT DER IKKE LIGGER I CONTROLMANAGER MEN BLIVER IMPORTERET FRA EN FIL TILFØJ EN NY REGEL TIL DET EKSISTERENDE REGELSÆT Reglen hedder kursus indeholdende teksten test OPRET ET NYT COMPLIANCE DOKUMENT (SOA / EFTERLEVELSE) OG KALD DET KURSUS ControlManager by Siscon 184

185 OPGAVE - AWARENESS OPRET ET NYT EMNE KALDET KURUS Opret én lektion kaldet Gruppe_X Opret et nyt spørgsmål Relater spørgsmålet til Gruppe_X lektionen ControlManager by Siscon 185

186 OPGAVE - BEREDSKAB OPRET EN BEREDSKABSORGANISATION KURSUS Tildel 4 medlemmer PUBLICER KURSUS TIL CONTROLMANAGER FRONT END UNDER STATUS SLUK FOR DIT AKTIV Hvilken farve for din service og din proces? ControlManager by Siscon 186

187 OPGAVE - OPFØLGNING OPRET EN KONTROL FRA JERES HVERDAG, KALDET KONTROL_GRP_X MED AA SOM UDFØRENDE Den skal køre en gang i kvartalet Den skal kunne scores Beskriv i beskrivelsesfeltet: Hvad går kontrollen ud på? Hvordan skal den scores? Hvad skal der afleveres af evidens? Opret en relation til en regel i regelsættet fra kontrollen ControlManager by Siscon 187

188 ØVELSE - BRUGERE OPRET EN BRUGERGRUPPE I CONTROLMANAGER TILFØJ JERES EGNE BRUGERE TIL DENNE GRUPPE TILDEL GRUPPEN ADMINISTRATORRETTIGHEDER (BASERET PÅ EN RETTIGHEDSROLLE) ControlManager by Siscon 188

189 OPGAVE - DIVERSE CONTROLMANAGER FRONT END OPGAVER Lav et PDF dokument af regler udelukkende med målgruppen IT-chef ControlManager by Siscon 189