Struktureret Compliance

Transkript

1 Struktureret Compliance

2 FRA DEN SURE GAMLE MAND. Compliance, Quality og ControlManager - del1 2

3 DEL 1 STRUKTURERET COMPLIANCE (INFORMATIONSSIKKERHED) DEL 2 COMPLIANCE OG DE MANGE EKSTERNE KRAV

4 DEL 1 STRUKTURERET COMPLIANCE (INFORMATIONSSIKKERHED) Udfordringen ISO 27001/2 som struktur Retningslinier som fundament

5 UDFORDRINGEN I DAG ORGANISATIONER HAR MANGE FORSKELLIGE EKSTERNE KRAV DE SKAL VÆRE COMPLIANT MED Ekstern lovgivning Krav om brug af (branche)standarder Krav fra kunder/leverandører DET ER SVÆRT AT VURDERE Hvem gør hvad internt for at sikre compliance? Hvor er der overlap i krav, og dermed i Regler Procedurer kontroller Hvilke af vores interne tiltag understøtter eksterne krav? Hvordan kommunikerer vores interne tiltag til medarbejderne Retningslinjer Kontroller Roller/ Ansvar Procedurer Politikker Control- Manager Compliance, Quality og ControlManager - del1 5

6 REFERENCERAMMER GIVER STRUKTUR ISO 27001/2 Det starter med struktur Retningslinjer Roller/ Ansvar Politikker Kontroller Procedurer Control- Manager Compliance, Quality og ControlManager - del1 6

7 ISO 27001/2 ØKOSYSTEMET Processer Fysisk sikkerhed ISO beskriver en række Best Practices Ændringer Virksomhedens sikkerhed Device sikkerhed Fælles reference- og forståelsesramme Kunder Leverandører Krav om efterlevelse - for statslige myndigheder - i den Nationale Cyberstrategi Styr på data Medarbejdersikkerhed Må anses som et minimum - EU-GDPR art IT-revision ControlManager by Siscon 7

8 ISO27001 Referenceramme for best-practice sikkerhed Compliance, Quality og ControlManager - del1 8

9 FORSTÅELSE FOR KRAV Hvilke krav er jeg underlagt? Hvad betyder kravene konkret for mig? Overholder jeg alle krav? Compliance, Quality og ControlManager - del1 9

10 MAPNING AF ISO -> REGEL -> KONTROL ISO 27001/ Gennemgang af brugeradgangsrettigheder Aktivejere skal med jævne mellemrum gennemgå brugernes adgangsrettigheder. Regel Regel Regel Systemejeren er ansvarlig for, med udgangspunkt i oversigt fra Brugeradministration, at gennemgå alle brugernes adgangsrettigheder, for deres respektive systemer, hver 6. måned. Kontrol Hver 6. måned modtager systemejer mail, med oversigt over hvilke brugere der er på den pågældendes system. Systemejer skal: forholde sig til listen vurdere om personen stadig skal have adgang kvittere og dokumentere gennemgang Compliance, Quality og ControlManager - del1 Hvordan/detaljer Hvordan 10

11 FRA PAPIRCOMPLIANCE -> FAKTUEL COMPLIANCE ISO 27001/2 Krav jeg er underlagt Egne regler Hvad betyder det for mig? Egen kontrol Overholder jeg krav? Compliance, Quality og ControlManager - del1 11

12 RESULTAT = HÅNDBOG STRUKTURERET UDARBEJDELSE AF REGELSÆT ENDER UD I EN HÅNDBOG HÅNDBOGEN SIKRER: Klare rammer for arbejdet Konkret beskrivelse af rolle og ansvarsmodel Beskrivelse sikringstiltag - både tekniske og administrative En rød tråd fra krav til tiltag Informationssikkerhed fra Siscon 12

13 OVERSIGT OVER GENNEMFØRELSE AF KONTROLLER Compliance, Quality og ControlManager - del1 13

14 ISMS IMPLEMENTERING ISO27001/2 Statement Of Applicability Anerkendt referenceramme (Best practice) ISMS Compliance, Quality og ControlManager - del1 14

15 HVAD HVIS JEG SKAL KIGGES I KORTENE? Compliance, Quality og ControlManager - del1 15

16 TILSYNET EKSTERNT TILSYN MYNDIGHEDSTILSYN DATATILSYN FINANSTILSYN (IT-)REVISION RIGSREVISION INTERNT TILSYN IT-SIKKERHED COMPLIANCE-AFDELING INTERN REVISION FORMÅL: AT SIKRE, AT EKSISTERENDE PROCESSER OG SIKRINGSFORANSTALTNINGER ER DESIGNET KORREKT OG FUNGERER EFTER HENSIGTEN MED ANDRE ORD, SKABE VISHED FOR TINGENES FAKTUELLE TILSTAND herunder, at risikoen er på et kendt og acceptabelt niveau at der er overensstemmelse med regelgrundlag METODE: (OFTEST) STIKPRØVEVIS EFTERPRØVNING Gerne gennem interviews Ønske om at se dokumentation/evidens Compliance, Quality og ControlManager - del1 16

17 SÅDAN KAN DU UNDERSTØTTE TILSYNET GØR DIG KLART HVILKEN ROLLE DET SPECIFIKKE TILSYN SPILLER Hvad er formålet? Hvad skal kontrolleres? Hvad skal der til for at opgaven løftes bedst muligt? OVERVEJ Hvilken dokumentation gør tilsynets arbejde hurtigt og effektivt? Hvordan skal dokumentationen tilrettelægges, så det bliver så gennemskueligt som muligt Compliance, Quality og ControlManager - del1 17

18 SIDEGEVINSTEN HUSK DU SKAL IKKE GØRE DET ALENE FOR TILSYNETS SKYLD Du skal gøre det, fordi det skaber værdi i praksis VED AT IMPLEMENTERE DET FORESLÅEDE, FÅR DU: tolket forskellige rammer i forhold til, hvad de betyder for dig og din organisation defineret roller og ansvar i din organisation skabt løbende overblik over dit complianceniveau etableret muligheden for løbende at opdage og imødekomme problemer - også før tilsynet kommer DU FÅR SELV RO I MAVEN OG KAN SOVE GODT Compliance, Quality og ControlManager - del1 18

19 Compliance, Quality og ControlManager - del1 19