Fra DS 484 til ISO 27001
|
|
- Lene Sommer
- 8 år siden
- Visninger:
Transkript
1 Fra DS 484 til ISO Hvordan kan din virksomhed efterleve den internationale standard for informationssikkerhed - ISO 27001? En praktisk vejledning i at skifte fra den udgående danske standard, DS 484 til den internationale ISO Af Gaffri Johnson Sikkerhedskonsulent hos Neupart Fra DS 484 til ISO Neupart A/S 1
2 Fra DS 484 til ISO Engang for længe siden var der ingen dansk standard for it- sikkerhed. Men så en dag i 2004 besluttede Folketinget at indføre åbne standarder i alle statslige institutioner, og med i pakken var den nye danske standard DS 484. DS 484 blev udarbejdet som en oversættelse af den internationale standard ISO der igen stammer fra den engelsk standard BS DS 484 blev dog hurtigt de facto standarden for it- sikkerhedsimplementering i mange danske virksomheder. Den var dog langt fra perfekt. For mange har det, at forstå og dække alle standardens krav til sikringsforanstaltninger, været en administrativ udfordring. DS 484 er en rigid standard med meget lidt albuerum der gør det svært at fravælge afsnit som ikke er relevante for netop din virksomhed. Men nu er det heldigvis snart slut. DS 484 udfases nu til fordel for den internationale standard ISO i sammenhæng med at sidstnævnte revideres. Når 2013 glider over i 2014 skal staten, kommuner og mange virksomheder overgå til ISO som deres foretrukne rammeværktøj for it- sikkerhedsstyring. Men før vi ser på hvordan man håndterer selve overgangsprocessen så lad os først se på hvad forskellen egentlig er på DS 484 og ISO Hvorfor ISO 27001? ISO lægger op til en mere helhedsorienteret tilgang til sikkerhedsstyring hvor mennesker og processer sættes i fokus. Effektiv it- sikkerhedsstyring kræver et velbalanceret samspil mellem fortsat at sikre at it- processer og systemer understøtter forretningens behov og krav, og at væsentlige it- risici bliver håndteret. Der er en tendens blandt virksomheder til at fokusere meget på risici og at håndhæve kontrolmiljøerne med tekniske løsninger. Sådan en tilgang ender ofte i her og nu løsninger når f.eks. it- revisionen kommer med deres krav. Uden forankring i it- processer, involvering af ledelsen og medarbejdere, er værdien af disse tiltag ikke stor, har oftest kun kortsigtet effekt, er tungt at vedligeholde og kan ende med at være et økonomisk dyrt bekendtskab. Tekniske løsninger kan og bør ikke stå alene. Der bør være et afbalanceret forhold mellem teknologi, mennesker og processer. Teknologi bør kun være det værktøj der understøtter elementerne og på sigt er værdiskabende ikke en omkostning. Og netop det hjælper ISO med. Fra DS 484 til ISO Neupart A/S 2
3 Teknologi Processer Mennesker Med ISO skifter I fokus fra en kontrol- og checklistebaseret tilgang til it- sikkerhedsledelse, til en mere procesorienteret tilgang. God it- sikkerhedsledelse tager udgangspunkt i et balanceret forhold mellem mennesker, processer og teknologi. Hvad er forskellen på DS 484 og ISO 27001? Når din virksomhed skifter til ISO vil du opleve nogle markante ændringer. Du vil opleve en betydeligt større fleksibilitet i dine processer men du vil også opleve at ledelsen får en større rolle i it- sikkerhedsstyringen. De fire vigtigste forskelle du skal være opmærksom på er: 1. Kontrolcentrisk vs. Procesorienteret En af de største udfordringer ved DS 484 er at se den forretningsmæssige værdi af alle de sikringstiltag den stiller krav til. Arbejdet med den løbende vedligeholdelse, sikring af efterlevelse og rapportering af afvigelser er en administrativ byrde og fører til at mange DS 484 projekter aldrig bliver effektivt forankret i organisationerne. DS 484 beskrev en form for check- liste- sikkerhed, hvor en mindre grad af ledelsesinvolvering var krævet Man kan sige at DS 484 har en alt- eller intet tilgang i forhold til struktureringen af indholdet og standardens formuleringer. De procesmæssige værktøjer til at vurdere de konkrete sikkerhedsbehov, herunder hvordan man kunne inddrage ledelsen og måle effektiviteten af sine tiltag er aldrig blevet taget ordentligt op i DS 484 og mange virksomheder har derfor manglet værktøjer til at håndtere disse opgaver. 2. Kravbaseret vs. Risikobaseret Formuleringerne i DS 484 har lagt op til at alle kravene (sikringstiltagene) i de 15 afsnit skal efterleves, herunder også de enkelte afsnits beskrevne implementeringsretningslinier. Det har været med til at give organisationer en meget teknisk og kontrolbaseret tilgang til it- sikkerhedsstyring. Med ISO flyttes fokus til en mere fleksibel procesorienteret og risikobaseret it- Fra DS 484 til ISO Neupart A/S 3
4 sikkerhedsstyring. Der stilles nu krav til at organisationer starter med at implementere et ledelsesstyringssystem som skal sikre en passende styring af it- sikkerhedsprocesserne. Det betyder at der faktisk kræves et vist minimum af modenhed i forhold til it- governance. 3. Ledelsesinvolvering Hvor DS 484 kun i mindre omfang beskriver hvad ledelsens rolle skal være, bliver ledelsen i ISO den primære drivkraft i forhold til den overordnede styring af sikkerhed i forhold til forretningsstrategier. Ledelsen skal være garant for at arbejdet omkring it- sikkerhed bliver forankret i virksomheden. ISO kræver at ledelsen er engageret, blandt andet gennem aktiv deltagelse i risikoarbejdet og i beslutninger omkring håndtering af identificerede risici. Risikohåndteringsprocessen bruges til at kortlægge hvor meget sikkerhed der er nødvendigt og ønsket. Derudover understøtter den beslutninger om it- processer og teknologiske løsninger i forbindelse med kritiske forretningsprocesser og strategiske mål for jeres virksomhed. 4. Fleksibilitet Det er blevet nævnt et par gange før men der er en stor forskel på de to standarders tilgange. DS 484 gør meget ud af at beskrive de konkrete sikringstiltag der skal implementeres. ISO lægger til gengæld op til at andre rammeværktøjer kan inddrages i forhold til valg af konkrete sikringstiltag og dybden eller effektiviteten af sikringsforanstaltninger. Det kunne være rammeværktøjer som ISO 27002, ISF, Cobit, ITIL, PCI DSS, NIST standarder m.m. ISO er risikobaseret, lægger op til større grad af ledelsesinvolvering og er fleksibel i forhold til valg af konkret sikkerhedsstandard til sikrings- foranstaltninger. Dog forventes det, at de overordnede it- sikkerhedsprocesser i ISO bliver behandlet i ISMS et. Hvis din virksomhed har baseret sine sikringsforanstaltninger på DS 484, er jeres primære opgave at vurdere behovet for sikringsforanstaltninger. Dette behov skal tage udgangspunkt i gennemførte risikovurderinger for systemer og processer. Fra DS 484 til ISO Neupart A/S 4
5 Hvordan flytter man nemmest fra DS 484 til ISO 27001? Der er heldigvis et sammenfald mellem indholdet af DS 484 og ISO så meget af det arbejde du og din virksomhed måske har lagt i implementeringsarbejdet omkring DS 484 ikke er spildt. I ISO standardens afsnit 4-8 fremlægges alle kravene som dækker over ISMS et (Information Security Management System) der kan defineres som jeres overordnede metode for styring af jeres it- governance processer. ISO operer med princippet Plan- Do- Check- Act, og nedenstående tegning illustrerer hvordan I skal have etableret en vedvarende og tilbagevendende proces. Når du har kigget nærmere på den, vil vi gennemgå de fire trin din virksomhed skal igennem for at få en glidende overgang fra DS 484 til ISO Plan Etablere ISMS Act Vedligeholde og forbedre ISMS Do Implemere og vedligeholde ISMS Check Overvåge og revurdere ISMS Fra DS 484 til ISO Neupart A/S 5
6 Plan Act Do Check Plan: Etablere ISMS I forbindelse med etableringen af et ledelsessystem, skal I identificere de overordnede rammer, og som en del af etableringsfasen skal I have gennemgået og implementeret følgende: I skal have fastlagt omfanget ( scope ) af for jeres ISMS. Er det hele virksomheden eller kun dele af jeres virksomhed der skal omfattes? Eksempler på dette kan være specifikke lokationer, afdelinger eller juridiske enheder. F.eks. en supportfunktion, et driftscenter, kontorerne på en adresse eller et selskab. I skal have etableret jeres organisation omkring ISMS et og fastlagt roller/ansvarsfordeling. F.eks. hvem er ansvarlig for risikovurderinger, interne/eksterne audit, it- styregrupper, ejerskab af kritiske processer (en proces er et aktiv i ISO- sammenhæng), beredskabsorganisation, hvor opmærksomme er jeres ansatte på it- sikkerhedstrusler (awareness), m.m. Strategi for den løbende awareness af brugere i jeres virksomhed. I skal beskrive jeres målsætninger for it- sikkerhed, politikker og procedurer og placere ansvar og opgaver. Formulering af fremgangsmåden for it- risikostyring og fastlæggelse af kriterier for risikovillighed. I skal identificere relevante aktiver såsom forretningsprocesser og it- services som er inden for scope og der skal være ejerskab. I systematiserer dokumentstyringen, således at I nemmere kan håndtere den løbende vedligeholdelse, understøtte den interne/eksterne audit og den periodiske revision af sikringsforanstaltningerne. I fastlægger det ønskede niveau for intern/ekstern audit. Fra DS 484 til ISO Neupart A/S 6
7 Plan Act Do Check Do: Implementere og vedligeholde Ledelsessystemet skal være implementeret og forankret i organisationen og skal fungere. De implementerede politikker, procedurer, sikringsforanstaltninger skal gennemføres som beskrevet. Jeres politikker, regler og procedurer skal være indført. Det er vigtigt at de benyttes og ikke kun er vage hensigtserklæringer. I udarbejder en Statement of Applicability, hvor I udvælger jeres sikringsforanstaltninger: Dem I har udvalgt, skal også være del af jeres kontrolmiljø. 1 I skal udpege personer der er ansvarlige for den løbende vedligeholdelse af ISMS et og de praktiske opgaver forbundet med det. I skal have fastlagt kriterier for kontrol af sikringsforanstaltninger, og rapportering af afvigelser (metrikker) skal være defineret og indarbejdet i det organisatoriske arbejde med it- sikkerhedsstyring. I forhold til intern audit eller kontrol af kontroller skal I identificere de områder hvor I foretager registreringer. Nogle typiske eksempler er vurdering af opdateringer inden udrulning, årlig opdatering af risikovurderingen, gennemgang af backup log, beredskabstest, brugergennemgange og gennemførelse af sårbarhedsscanninger. Alle de kontroller der medfører en registrering er også de kontroller hvor man ved audit forventer dokumentation som bevis for udførsel af kontrollen og dermed kan teste eller vurdere effektiviteten af kontrollen. 1 Statement Of Applicability er det dokument der beskriver krav til sikringsforanstaltninger og Fra DS 484 til ISO Neupart A/S 7
8 Plan Act Do Check Check: Overvåg og revurder ISMS Nu hvor I har fået indarbejdet processer, procedurer og sikringsforanstaltninger skal I også overvåge om jeres sikringsforanstaltninger opererer som forventet og jeres politikker bliver overholdt. I skal følge op på jeres operationelle sikkerhedskrav, og på de målsætninger I har fastlagt. De afvigelser I identificerede i forbindelse med gennemførsel af intern/ekstern audit af proceduremæssige/tekniske kontroller skal registreres, og der skal være handlingsplaner for hvordan I håndterer afvigelser eller kritiske afvigelser. Giver resultatet af jeres awareness programmer den ønskede effekt og er der anledning til at tage de eksisterende processer eller sikringsforanstaltninger op til genovervejelse? Jeres sikkerhedsorganisationen skal regelmæssigt levere input til en ledelsesrapportering. Input er det grundlag ledelsen tager udgangspunkt i når der skal tage strategiske beslutninger og give sikkerhedsorganisationen mandat til de kommende opgaver omkring it- processer og sikkerhed. Fra DS 484 til ISO Neupart A/S 8
9 Plan Act Do Check Act: Vedligehold og forbedr I skal løbende sørge for at jeres ISMS revurderes og kvaliteten af sikkerhed måles. Det gør I blandt andet ved at inddrage forskellige parametre. Her er nogle eksempler: Tekniske security baselines eller overskridelser af fastlagte kriterier for CVSS score ved sårbarhedsscanninger. Afvigelser, i forbindelse med både den interne og eksterne audit, skal prioriteres og der skal udarbejdes en handlingsplan for hvordan I vil håndtere observationerne. Vil I acceptere observationen eller udbedre den? Det gælde både de forebyggende og korrigerende handlinger. Resultaterne af jeres målte metrikker eller Key Performance Indicators i forhold til sikringsforanstaltninger skal genovervejes med henblik på at tilpasse disse. I kan eksempelvis udvælge specifikke sikkerhedshændelser som I måler på, og holde det op imod administrative udgifter forbundet med håndtering af disse (driftsforstyrrelser, brud på fortrolighed m. m.). Opsummering: Plan- do- check- act processen kort fortalt Etabler (plan): Etablering af ISMS politik, scope, mål, processer og procedurer Implementér (do): Implementering og drift af ISMS. Sikringsforanstaltninger er på plads og metrikker er defineret. Overvåg (check): Auditprogram, håndtering af afvigelser og ledelsesrapportering Vedligehold (act): Iværksættelse af korrigerende og forbyggende handlinger Fra DS 484 til ISO Neupart A/S 9
10 Kom hurtigt i gang Med ledelsens opbakning til ISO projektet, er det næste skridt at få gennemført en egentlig risikovurdering for at få afdækket det nødvendige omfang af ens sikringsforanstaltninger. Der er heldigvis overensstemmelse mellem DS 484 og ISO sikringsforanstaltningerne, så det I måske allerede har kan fint genanvendes. I de tilfælde, hvor der foreligger et krav om efterlevelse af ISO skal I sikre at den eksisterende it- sikkerhedsstrategi dækker kravene fra ISO afsnit 4-8. I bør gennemgå den eksisterende it- sikkerhedsorganisation, og i det omfang det er nødvendigt tilpasse den så den bliver gearet til proceskravene i ISO I skal identificere vigtige aktiver og disses ejerskab. Typiske er det kritiske forretningsprocesser, forretningssystemer og it- infrastruktur. I skal gennemføre en it- risikovurdering, så scopet for sikringsforanstaltninger og kontroller bliver afvejet op imod jeres reelle risici. Det er vigtigt at jeres ledelse er med i beslutningsprocessen omkring risikohåndteringen, da det er dem der skal tage stilling til om I skal acceptere, undgå, reducere eller dele risiciene. Lav en forretningskonsekvensvurdering på forretningssystemerne og gennemfør en sårbarhedsvurdering på den underliggende it- infrastruktur der tager udgangspunkt i relevante trusler. Fra DS 484 til ISO Neupart A/S 10
11 PLAN Fastlæg scope for ISMS Etabler proces Ledelsesopbakning Riskmetodik ACT Optimer processer korrigerende/udbedrende handlinger Ledelsesunderstøttede forbedringer DO Implementer ISMS Processer Politikker Procedurer Sikringsforanstaltninger CHECK Evaluer ISMS Identificer risici Mål performance af processer og sikringsforanstaltninger Intern/ekstern audit It- risikovurderingen vil danne grundlag for hvilke sikkerhedsområder hvor I bør sætte ind med skærpede sikringsforanstaltninger. Det giver samtidig input til hvilke sikringsforanstaltninger i tilvælger eller udelader fra scopet. Det er blandt andet derfor Neupart har udviklet SecureAware. Selvom I måske ikke planlægger at blive certificeret, er det alligevel værdifuld viden at indsamle. SOA en kan fint fungere som et udgangspunkt for jeres interne auditplan og bør også være del af den plan som den eksterne it- audit tager udgangspunkt i. Fra DS 484 til ISO Neupart A/S 11
12 Risikovurderingen og udvælgelsen af sikringstiltagene Afsnit 4-8 i ISO er ufravigelige og kan ikke scopes ud i en Statement of Applicability (SOA). De afsnit er forudsætningen for overhovedet at have et ISMS. Virksomheder der har benyttet sig af DS 484 strukturen, vil kunne anvende ISO da indholdet er identisk. Der vil ligge en opgave i at gennemgå alle afsnittene og tage stilling til hvor godt man ønsker at kontrollere disse processer. En hurtig måde at komme i gang med SOA en på, er at gennemgå alle ISO kontrolområderne og vurdere hvor relevante de er for jer. Out of scope (N/A) I scope i høj grad I scope I mindre grad Det øjeblikkelige resultat af denne øvelse er input til jeres vurdering af de eksisterende politikker, sikringsforanstaltninger og procedurer samt i hvilket omfang I bør tilpasse, slette eller implementere nye sikringsforanstaltninger eller procedurer. Niveauet for sikringsforanstaltningerne, hvad enten I benytter ISO eller andre sikkerhedsstandarder, er i et vist omfang frivilligt. Har i allerede vurderet hvilke områder jeres sikkerhedshåndbog eller politik skal indeholde, bør I holde jeres prioriteringer op imod ISO 27002, for at sikre at I ikke mangler at adressere et vigtigt område. Der vil ofte være kritiske processer der sjældent kan scopes helt ud såsom Change Management, backup processer og beredskabsstyring. I nogle tilfælde vil disse processer være outsourcet. Hvis vigtige processer er outsourcet skal jeres fokus ligge på leverandørstyringen, kontrakter, SLA er og aftalte metrikker, således at I sikrer at leverandørerne overholder jeres sikkerhedskrav. ISO er under revidering, hvad så? Den eksisterende ISO standard er i øjeblikket under revidering og forventes at blive officielt klar til anvendelse medio primo Der bliver lagt op til nogle strukturelle ændringer i de enkelte afsnit og Plan- Do- Check- Act får en mindre fremtrædende rolle. Der bliver ligesom ved den sidste revision en overgangsperiode på mellem 1-2 år, hvor eksisterende certificerede virksomheder får mulighed for at tilpasse deres ISMS og sikre at de overholder kravene i den nye standard. Der har i flere it- sikkerhedsmedier været snak omkring nogle af ændringerne i den nye standard bl.a. at Plan- Do- Check- Act forsvinder helt. Det er ikke helt korrekt da elementerne fortsat vil være en del af standardens nye afsnit omend mindre eksplicit end i ISO 27005:2005. Fra DS 484 til ISO Neupart A/S 12
13 Kontekst Lederskab PLAN Planlægning Support Drift Evaluering af performance Forbedringer DO Check ACT De vigtigste ændringer i det nuværende udkast omfatter følgende elementer: Der vil være en øget grad af fleksibilitet i forhold til valg af risikometode. Der lægges i højere grad op til at standarden skal tilpasse sig ISO standarden som omhandler Enterprise Risk Management. Kravene i de enkelte ISMS afsnit er præciseret så der bør være er en mindre risiko for fejltolkning af kravene. Kravene til ISMS konteksten er blevet skærpede og kravene til identifikation af succeskriterier for ISMS et er blevet præciseret. Der er nu et krav om at der i forbindelse med udvælgelsen af it- kontroller (SOA) samtidigt foretages en beskrivelse af succeskriterier og proces for måling af effektiviteten af it- kontrollerne eller KPI er (evaluering af performance). Neupart vil, i forbindelse med udgivelsen af den nye ISO standard, udarbejde en officiel vejledning til hvordan virksomheder nemmest kan overgå fra den gamle ISO standard til den nye. Så når den tid oprinder skal vi også nok hjælpe jer på vej. Fra DS 484 til ISO Neupart A/S 13
14 Opsummering Overgangen fra DS 484 til ISO behøver ikke at være en kompleks affære. Faktisk giver skiftet jer muligheden for at få ryddet op i jeres processer og sikringsforanstaltninger, og dermed også reducere kompleksiteten af jeres politikker og sikringsforanstaltninger. Opsummering af de vigtigste ting I skal overveje Jeres it- sikkerhedsstyring skal være risikobetonet og derfor er gennemførsel af it- risikovurderinger en forudsætning for det videre arbejde. Der er direkte match mellem sikringsforanstaltningerne i DS 484 og ISO Jeres it- risikovurdering giver jer grundlaget for at kunne tilvælge eller fravælge sikringsforanstaltninger. Da ledelsen skal have en aktiv rolle i forhold til risikobehandling, sætter det også krav til organisationens modenhed og ledelsens engagement i projektet. I kan med fordel tage overgangen i etaper så I får organisationen med. Start med at få identificeret kritiske processer og systemer og lav en forretningskonsekvensvurdering (BIA) og trussels/sårbarhedsvurdering af underliggende it- systemer. Der er ingen grund til at vente til den revideret udgave af ISO bliver offentliggjort, da der ikke grundlæggende bliver ændret ved standarden. ISMS kravene er de samme selvom der bliver foretaget et par ændringer til begreberne. Neupart vil - når den endelig revision af ISO er klar - udarbejde en vejledning til skiftet fra ISO 27001:2005 til ISO 27001:2013. Fra DS 484 til ISO Neupart A/S 14
15 Erfaringer fra en certificeret virksomhed Neupart A/S har været certificeret siden Først i henhold til den britiske standard BS7799-2, som var forgængeren til ISO 27001, og siden 2006 i henhold til ISO Audit blev udført af Dansk Standard Certificering, og certifikaterne udstedes for en treårig periode. Ved indgangen til hver treårig periode udføres den store certificerings audit. Efter et og to år udføres et opfølgningsaudit, der er lidt mindre omfattende. Vi har haft tre forskellige lead auditors gennem tiderne. Checklisten er selvfølgelig altid ISO 27001, men vi har oplevet lidt forskellige prioriteter. Det vigtigste er altid at sørge for at ISMS et er levende og løbende vedligeholdt. Den er vigtigt at man passer på, over tid, ikke at lade ISMS et vokse sig for stort til formålet. Det kan virke tillokkende og næsten naturligt at reagere på en hændelse eller en audit finding med at indføre en ny administrativ regel eller procedure. Med tiden giver det et mere bureaukratisk ISMS som er vanskeligere at vedligeholde. Jo flere regler og procedurer, jo mere intern audit er nødvendig, jo sværere er det for organisationen at efterleve disse regler og procedurer. Det er aldrig godt. Man skal trodsalt overholde sine egne politikker/regler/procedurer. Hos Neupart voksede ISMS et på otte år til 70 procedurer. ISMS'et trængte til en slankekur. It- sikkerhedschefen satte sig derfor ned og skar fedtet væk så det blev bragt ned på 35 procedurer. Fra DS 484 til ISO Neupart A/S 15
16 SecureConsult fra Neupart: Erfarne it- sikkerhedskonsulenter Skal I etablere et ISMS? Hvordan udarbejdes en Statement of Applicability? Skal den årlige risikovurdering gennemføres? Skal beredskabsplanerne opdateres? Hvordan følger I op på hændelser? Har I aftalt sikkerhedsansvar med jeres it- leverandører? Beskyttes persondata tilstrækkeligt? Vil I starte med en ISO gap- analyse? Der er mange ting man skal overveje i forhold til it- sikkerhed. Derfor stiller vi dygtige og erfarne konsulenter til rådighed så du kan få en problemfri it- risikovurdering. Neupart har været certificeret siden Vores viden og erfaringer bringer virksomheder, institutioner og styrelser sikkert i mål med ISO efterlevelse på kortere tid. Når I planlægger og udfører jeres ISO aktiviteter rigtigt, kan den nødvendige informationssikkerhed indføres pragmatisk og fleksibelt. Det er Neupart eksperter i. Vi kalder vores konsulentydelser for SecureConsult. Ring til Louise Bøttner, Jeppe Kodahl, Jakob Holm Hansen eller Lars Neupart på hvis du vil høre lidt mere om, hvordan vi kan hjælpe dig det er uforpligtende. Fra DS 484 til ISO Neupart A/S 16
17 Hvad er SecureAware IT- GRC Brug mindre tid på it- sikkerhedsledelse og få et mere præcist overblik over jeres sikkerhed. Skal I efterleve standarder eller god skik for informationssikkerhed, giver SecureAware jer forbedret effektivitet og mulighed for nemmere at vurdere hvor meget sikkerhed jeres forretning behøver. Med SecureAware behøver I ikke længere komplekse regneark til risikovurdering og I kan droppe lange sikkerhedshåndbøger i et utal af versioner. SecureAware giver jer en række genveje til ISO og PCI- compliance, og I får helt styr på tilbagevendende sikkerhedsopgaver. Så kan I bruge mindre tid på sikkerhedsledelse, eller I kan vælge at bruge jeres konsulentbudget til andre formål. SecureAware kan bruges som en samlet IT GRC- pakke, eller som enkeltvise moduler. Læs mere og prøv gratis i 30 dage her: Med SecureAware får I: ISO Information Security Management System (ISMS) Plan- Do- Check- Act håndtering It- sikkerhedshåndbøger - policy management Awareness- kampagner Risikovurdering og risikohåndtering jævnfør ISO Compliance analyser Styr på sikkerhedsopgaverne Beredskabsplanlægning jævnfør BS PCI DSS compliance Cloud- leverandør analyser API er til dataudveksling Leveres som SaaS eller traditionel software Smart upgrade giver nem adgang til nye funktioner og indhold Support for en række anerkendte SQL- databaser MS Active Directory support med brugere og grupper Tidsbesparende skabeloner Fra DS 484 til ISO Neupart A/S 17
18 Neupart hjælper virksomheder med it- risikostyring og med at leve op til sikkerhedskrav. Også i skyen! Neupart er forskellig fra de traditionelle konsulenthuse, fordi vores egenudviklede IT GRC- løsning, SecureAware, sparer virksomheders tid og kræver færre konsulenttimer. Neupart er specialist i ISO 27001, DS 484-, Cobit, PCI og cloud- sikkerhed. Med mere end 200 private og offentlige virksomheder som kunder er Neupart den førende IT GRC- leverandør. Neupart er ISO certificeret. Neupart A/S Hollandsvej 12 DK Lyngby T: Fra DS 484 til ISO Neupart A/S 18
Kursus: Ledelse af it- sikkerhed
Kursus: Ledelse af it- sikkerhed Neupart tilbyder en kursusrække, som vil sætte dig i stand til at arbejde struktureret efter best practice og de internationale standarder for informationssikkerhed. Alle
Læs mereErfaringer fra innføring av ISO i danske kommuner (styringssystem for informasjonssikkerhet)
Erfaringer fra innføring av ISO 27001 i danske kommuner (styringssystem for informasjonssikkerhet) Lars Neupart S,-er, Direktør i Neupart A/S LN@neupart.com twi
Læs mereSkanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017
Skanderborg Kommune ISMS-regler Informationssikkerhedsregler for hvert krav i ISO 27001:2017 02-04-2018 Indholdsfortegnelse 4 Organisationens kontekst 1 4.1 Forståelse af organisationen og dens kontekst
Læs mereSådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed
Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget
Læs mereSådan udvikler I en Statement of Applicability i henhold til ISO 27001:2013
Statement of Applicability Hjørnestenen i jeres ISMS Sådan udvikler I en Statement of Applicability i henhold til ISO 27001:2013 Af Jesper E. Siig Senior Security Advisor hos Neupart 2014 Neupart 1 Introduktion
Læs mereserien og nyheder i ISO og ISO 27002
27000- serien og nyheder i ISO 27001 og ISO 27002 Dansk Industri/ITEK 3. juni 2014 Jesper E. Siig Senior Security Advisor Om Neupart ISO 27001 certificeret virksomhed. Udvikler og sælger SecureAware, en
Læs mereVejledning i informationssikkerhedsstyring. Februar 2015
Vejledning i informationssikkerhedsstyring (ISMS) Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt
Læs mereISO/IEC 27001:2013. Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent nm@ds.dk 4121 8304
1 ISO/IEC 27001:2013 Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent nm@ds.dk 4121 8304 Deltaget i det internationale arbejde omkring revisionen af ISO/IEC 27001 og 27002,
Læs mereISO27001 som ledelsesværktøj en pragmatisk tilgang. Lars Boye, lab@dubex.dk Søborg, den 6. november 2014
ISO27001 som ledelsesværktøj en pragmatisk tilgang Lars Boye, lab@dubex.dk Søborg, den 6. november 2014 DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2014 Informationssikkerhed på dagsordenen Det seneste års
Læs mereGuide til SoA-dokumentet - Statement of Applicability. August 2014
Guide til SoA-dokumentet - Statement of Applicability August 2014 Guide til SoA-dokumentet - Statement of Applicability Udgivet august 2014 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet
Læs mereKontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1
Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?
Læs mereRevideret Miljøledelsesstandard
Revideret Miljøledelsesstandard ISO 14001:2015 Ændringer ift. DS/EN ISO 14001:2004 Dokumentationskrav i ny ISO 14001 GREENET- Revideret ISO 14001 1 MiljøForum Fyn - Revideret ISO 14001 2 1 Termer og definitioner
Læs mereLeverandørstyring: Stil krav du kan måle på
Leverandørstyring: Stil krav du kan måle på 1. Marts 2018 Rikke Saltoft Andersen, Teamleder, Kontor for Systemforvaltning Hovedbudskaber ISO 27001 standarden muliggør reference til standard leverancer
Læs mere1. Introduktion til SoA Indhold og krav til SoA 4
Indhold 1. Introduktion til SoA 3 2. Indhold og krav til SoA 4 3. Roller og proces 6 3.1 Dokumentejer og beslutningstager 6 3.2 Inputgivere 6 3.3 Godkender 6 4. Valg af sikringsforanstaltninger 8 4.1 Tilvalgte
Læs mereHenrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør
Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring
Læs mereVejledning i informationssikkerhedspolitik. Februar 2015
Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:
Læs mereGod it-sikkerhed i kommuner
God it-sikkerhed i kommuner En vejledning til kommuner om at skabe et godt fundament for tryg og sikker behandling af kommunens og borgernes oplysninger. Vejledningen beskriver, hvordan DS484-baseret it-sikkerhedsledelse
Læs mereBUSINESS ASSURANCE. Fødevaresikkerhed SAFER, SMARTER, GREENER
BUSINESS ASSURANCE Fødevaresikkerhed SAFER, SMARTER, GREENER 2 ISO 22000 Formålet med dette dokument er at give jer indsigt i overgangen til ISO 22000:2018, den reviderede standard for fødevaresikkerhed.
Læs mereISO Ledelsesværktøj til digital risikostyring
ISO 27001 Ledelsesværktøj til digital risikostyring John Wiingaard, GRC konsulent, Dubex Bygholm Park, Horsens, den 12. maj 2016 Agenda 1. Formål 2. IT-sikkerhedsudfordringer anno 2016 3. Hvorfor ISO27001
Læs mereISO Styr på Arbejdsmiljøet på din virksomhed
ISO 45001 Styr på Arbejdsmiljøet på din virksomhed Hvem er med Topledelsen Mellemledere Medarbejdere Eksterne Kunder Leverandører Besøgerne Outsoucering Kontractors Gevinst Styr på Arbejdsmiljøet Mindre
Læs mereDenne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk
Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN:
Læs mereANALYSE Informationssikkerhed blandt DI s medlemmer
ANALYSE Informationssikkerhed blandt DI s medlemmer DI ITEK 1787 København V. 3377 3377 itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden for it, tele, elektronik
Læs mereRisikostyring ifølge ISO27005 v. Klaus Kongsted
Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister
Læs mereDUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT
DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2016 Søren Kromann, Forvaltningsdirektør, KOMBIT Om KOMBIT KOMBIT er et aktieselskab, som er 100% ejet af KL (kommunerne) Finansielt skal KOMBIT hvile i sig selv
Læs mereVelkommen Gruppe SJ-1
Velkommen Gruppe SJ-1 Lasse Ahm Consult Tirsdag, den 17. marts 2015 21:05 1 Program Programmet ser således ud: Kl. 10.00 Velkomst ved Lasse Michael Ahm - Info om ændringer blandt medlemmerne Kl. 10.05
Læs mereLinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK
GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK LinkGRC A Nordic leader in all aspects of Governance, Risk and Compliance Virksomhedens informationssikkerhedspolitik er i sin enkelhed et modsvar til en virksomheds
Læs mereVi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.
Som hostingleverandør er vores vigtigste sikkerhedsopgave at passe godt på dine data og sørge for, at du til enhver tid lever op til sikkerhedskravene fra dine kunder. Sikkerhed er derfor et område, som
Læs mereEvaluering af forløbet og analyserne v/virksomhederne Konklusioner på forløbet til Miljøstyrelsen v/greenet
2 VELKOMMEN Opsamling på resultaterne v/greenet Evaluering af forløbet og analyserne v/virksomhederne Konklusioner på forløbet til Miljøstyrelsen v/greenet Hvordan kommer vi videre? Matchmaking: Parring
Læs mereHos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:
ISO 9001:2015 Side 1 af 8 Så ligger det færdige udkast klar til den kommende version af ISO 9001:2015. Standarden er planlagt til at blive implementeret medio september 2015. Herefter har virksomhederne
Læs merePræsentation af Curanets sikringsmiljø
Præsentation af Curanets sikringsmiljø Version: 1.1 Dato: 1. marts 2018 Indholdsfortegnelse Indledning: side 3 Organisering af sikkerhed: side 3 Politikker, procedurer og standarder: side 3 Medarbejdersikkerhed:
Læs mereInformationssikkerhedspolitik for Horsens Kommune
Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...
Læs mereStilling+Brixen. Kvalitetsledelse. Opbygning og implementering af ledelsessystemer på vej mod certificering
` Stilling+Brixen Kvalitetsledelse Opbygning og implementering af ledelsessystemer på vej mod certificering ` Intro Vækst forudsætter dokumentation for kvalitet De fleste danske virksomheder har mødt kravet
Læs mereMedComs informationssikkerhedspolitik. Version 2.2
MedComs informationssikkerhedspolitik Version 2.2 Revisions Historik Version Forfatter Dato Bemærkning 2.2 20.02.17 MedComs Informationssikkerhedspolitik Side 2 af 7 INDHOLDSFORTEGNELSE 1 INDLEDNING...
Læs mereHos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:
ISO 9001:2015 (Draft) Side 1 af 9 Så ligger udkastet klar til den kommende version af ISO 9001. Der er sket en række strukturelle ændringer i form af standardens opbygning ligesom kravene er blevet yderligere
Læs mereStruktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?
Struktureret compliance 9 måneder med GDPR-compliance krav hvordan er det gået? Introduktion Agenda Kort om Siscon og Jesper GDPR projektet OVERSTÅET eller tid til eftersyn!!? Eftersyn AS-IS GAPs? Struktur
Læs mereVelkommen Grupperne SJ-1 & SJ-2
Velkommen Grupperne SJ-1 & SJ-2 Lasse Ahm Consult Tirsdag, den 1. december 2015 20:33 1 Program Kl. 10.00 Velkomst ved Lasse Michael Ahm - Info om ændringer blandt medlemmerne og nye grupper Kl. 10.05
Læs mereModenhed og sikkerhed hos databehandlere Charlotte Pedersen
Modenhed og sikkerhed hos databehandlere Charlotte Pedersen 28. Januar 2014 Præsentation Charlotte Pedersen Director Cand.scient.pol. ISO27001:2013 Certified ISMS Lead Auditor (IBITG accredited) mv., CIIP,
Læs mereÅrshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.
Årshjul Formål For at styre informationssikkerheden og for at sikre, at ledelsen har de rette styringsværktøjer, gentages en række aktiviteter løbende år efter år, men andre er enkeltstående aktiviteter.
Læs mereFællesregional Informationssikkerhedspolitik
24. Januar 2018 Side 1/5 Fællesregional Informationssikkerhedspolitik Indhold 1. Formål... 1 2. Organisation... 3 3. Gyldighedsområde... 4 4. Målsætninger... 4 5. Godkendelse... 5 1. Formål Den Fællesregionale
Læs mereKrav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter
Dansk standard DS 3999 1. udgave 2010-10-12 Krav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter Requirements for security of cash centers, transit stations
Læs mereCertificering ISO 14001:2015
Certificering ISO 14001:2015 Nr. Æ-1B, Rev. Dato: 29-8.2018 Sagsnummer: E-mail: Rekvirent: Adresse(r): Auditor Dato: 2017.0070.0006 co@sk-as.dk Søborg Køl A/S Brøndbytoften 13, 2605 Brøndby PBP 05-12-2018
Læs mereArbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87
Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS 18001 og bek. 87 Punkt Emne Bemærkninger Handlingsplan 4.1 Generelle krav Organisationen skal etablere og vedligeholde et arbejdsmiljøledelses-system
Læs mereOrganisering og styring af informationssikkerhed. I Odder Kommune
Organisering og styring af informationssikkerhed I Odder Kommune Indhold Indledning...3 Organisationens kontekst (ISO kap. 4)...3 Roller, ansvar og beføjelser i organisationen (ISO kap. 5)...4 Risikovurdering
Læs mereVelkommen Gruppe SJ-1
Velkommen Gruppe SJ-1 Lasse Ahm Consult Torsdag, den 25. september 2014 15:35 1 Program Programmet ser således ud: Kl. 10.00 Velkomst ved Lasse Michael Ahm - Info om ændringer blandt medlemmerne Kl. 10.05
Læs mereGuide til implementering af ISO27001
Guide til implementering af ISO27001 Professionel styring af informationssikkerhed September 2015 Indhold 10 punkter til implementering af ISO27001 3 Hvad er informations sikkerhed? 5 Overblik over forretningen
Læs mereInfoblad. IATF Automotive
Side 1 af 5 IATF 16949 - Automotive Standarden IATF 16949 indeholder særlige krav gældende for bilindustrien og for relevante reservedelsvirksomheder. Standardens struktur er opbygget som strukturen i
Læs mereSystemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,
Systemforvaltning for SDN Temadag om SDN og VDX den 9. november 2016 Peder Illum, konsulent, pi@medcom.dk Agenda Vi fik besøg af Rigsrevisionen.. Hvordan forløb det, hvordan var det, og hvad blev resultatet?
Læs mereISO 9001:2015 OG ISO 14001:2015 NYE VERSIONER AF STANDARDERNE ER PÅ VEJ ER DU KLAR? Move Forward with Confidence
ISO 9001:2015 OG ISO 14001:2015 NYE VERSIONER AF STANDARDERNE ER PÅ VEJ ER DU KLAR? Move Forward with Confidence HVORFOR 2015 REVISIONEN? I en verden hvor de økonomiske, teknologiske og miljømæssige udfordringer
Læs mereProcesoptimering og Ledelsessystemer
Procesoptimering og Ledelsessystemer Den lette forståelse til ledelsessystemer og standardernes anvendelse. Optimer jeres processer og dokumenter det. Reducer drifts- omkostningerne. Styrk din konkurrenceevne.
Læs mereHVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING
HVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING - OPSAMLING PÅ SISCON S EFTERÅRSKONFERENCE ControlManager by Siscon 1 DAGEN I DAG Informationssikkerhed på agendaen i bestyrelsen EU-forordningen
Læs mereIndholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4
Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 Sammenhæng med IT- og forretningsstrategier 4 Risikostyring og sikring af informationsaktiver og systemer 5 Overvågning af risici og regionens IT-sikkerhedsniveau
Læs mereHos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:
ISO 9001:2015 Side 1 af 8 Så blev den nye version af ISO 9001 implementeret. Det skete den 23. september 2015 og herefter har virksomhederne 36 måneder til at implementere de nye krav i standarden. At
Læs mereSikkerhed og Revision 2015
Sikkerhed og Revision 2015 Erfaringer fra It-tilsynet med virksomhedernes brug af risikovurderinger REAL kontoret 3. sep. 2015 Velkommen til Århusgade! Fra Finanstilsynets hjemmeside Agenda Hjemmel It-tilsynets
Læs mereSeminar d. 19.9.2013. Klik for at redigere forfatter
Seminar d. 19.9.2013 Klik for at redigere forfatter M_o_R En risiko er en usikker begivenhed, der, hvis den indtræffer, påvirker en målsætning Risici kan dele op i to typer Trusler: Der påvirker målsætningen
Læs mereCertificering af ISO 45001
Business Assurance BUSINESS ASSURANCE Certificering af ISO 45001 SAFER, SMARTER, GREENER Lidt om mig Steen Christian Larsen Principal Lead Auditor Ansat 01-03-1995 Auditerer offentlige og private organisationer
Læs mereFærre fejl, hændelser og mangler Større interessenttilfredshed. Bedre image Større indtjening Forbedret dokumentation. Lektion 1 2
Lektion 1 1 Grundlæggende begreber for ledelse Færre fejl, hændelser og mangler Større interessenttilfredshed Bedre image Større indtjening Forbedret dokumentation Lektion 1 2 De 8 grundprincipper Interessent
Læs mereInformationssikkerhedspolitik
Holbæk Kommunes Informationssikkerhedspolitik 2013 Informationssikkerhedspolitik Indhold 1. Indledning 3 2. Formål 3 3. Holdning og principper 4 4. Omfang 4 5. Informationssikkerhedsniveau 5 6. Organisering
Læs mereHvis I vil vide mere. Kom godt i gang med standarder. Hvordan arbejder I med et fælles ledelsessystem og skaber synergi?
Tryksag 541-643 Hvis I vil vide mere Kom godt i gang med standarder I er velkomne til at kontakte vores erfarne konsulenter inden for integreret ledelse på telefon 39 96 61 01 eller consulting@ds.dk. Helhedsorienteret
Læs mereMÅLING AF INFORMATIONSSIKKERHED
MÅLING AF INFORMATIONSSIKKERHED Beth Tranberg, Programleder betr@kl.dk 3370 3064 LOKAL OG DIGITAL et sammenhængende Danmark Den fælleskommunale handlingsplan 2016-2020 Programmet skal følge op på og dokumentere,
Læs mereNyt om ISO-standarder ISO 14001:2015 ISO 9001:2015 ISO 45001:2016. Jan Støttrup Andersen. Lidt om mig:
Velkommen til Nyt om ISO-standarder ISO 14001:2015 ISO 9001:2015 ISO 45001:2016 1 Lidt om mig: Jan Støttrup Andersen Force Technology; Audit og Forretningsudvikling Konsulent indenfor ledelsessystemer
Læs mereIt-beredskabsstrategi for Horsens Kommune
It-beredskabsstrategi for Horsens Kommune Senest opdateret oktober 2016 1 Indholdsfortegnelse 1. FORMÅL MED IT-BEREDSKABSSTRATEGIEN... 3 2. STRATEGIENS SAMMENHÆNG TIL DET RESTERENDE BEREDSKAB... 3 3. OMFANG,
Læs mereIt-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015
It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat
Læs mereEU-GDPR i ControlManager
EU-GDPR i ControlManager HVEM ER JEG? LARS BÆRENTZEN HAR 20+ ÅRS ERFARING, INDENFOR FORSKELLIGE IT-SIKKERHED, INFORMATIONSSIKKERHED OG DATABESKYTTELSESDISCIPLINER. SOM KONSULENT HAR JEG BLA. HJULPET MED:
Læs mereJammerbugt Kommune. Periodisk audit, P2. Ledelsessystemcertificering. Kvalitetsstyring - iht. Lov 506 af 07.06.2006 og Bek. 1258 af 15.12.
Ledelsessystemcertificering Kvalitetsstyring - iht. Lov 506 af 07.06.2006 og Bek. 1258 af 15.12.2011 Audit 22. oktober 2014 Certificeringens dækningsområde DNV teamleader: Auditteam: Sagsbehandling på
Læs mereInfoblad. ISO/TS 16949 - Automotive
Side 1 af 5 ISO/TS 16949 - Automotive Standarden ISO/TS 16949 indeholder særlige krav gældende for bilindustrien og for relevante reservedelsvirksomheder. Standardens struktur er opbygget som strukturen
Læs mereResultatet af undersøgelse af status på implementering af ISO27001-principper i staten
Resultatet af undersøgelse af status på implementering af ISO27001-principper i staten 2017 INDHOLD RESULTAT AF MÅLING AF IMPLEMENTERINGSGRADEN AF ISO27001-PRINCIPPER INDLEDNING HOVEDKONKLUSION METODE
Læs mereOverordnet it-sikkerhedspolitik for Rødovre Kommune
Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,
Læs mereSikkerhedsledelsen SIKKERHEDSSPOLITIK FOR DSB. April Version 1.0
Sikkerhedsledelsen SIKKERHEDSSPOLITIK FOR DSB April 2008 Version 1.0 Indhold 1. Indledning... 3 2. Mission... 3 3. Målsætning... 3 4. Dækningsområde og afgrænsning... 4 5. Ansvar og organisering... 4 6.
Læs mereUdkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]
Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016] Indhold 1. Indledning... 2 2. Kommentarer til de enkelte punkter... 2 2.1. Hensigtsmæssig
Læs mereFællesregional Informationssikkerhedspolitik
Udbud nr. 2016/S 199-358626 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 13.1 - Fællesregional Informationssikkerhedspolitik Underbilag 13.1 Fællesregional Informationssikkerhedspolitik Side 1/6
Læs mereVelkommen Gruppe SJ-2
Velkommen Gruppe SJ-2 Lasse Ahm Consult Torsdag, den 19. marts 2015 23:23 1 Program Programmet ser således ud: Kl. 10.00 Velkomst ved Lasse Michael Ahm - Info om ændringer blandt medlemmerne Kl. 10.05
Læs mereBusiness Institute A/S
Ledelsessystemcertificering ISO 9001:2015 Auditstart og -slutdato 28/09/2018-28/09/2018 Projektnummer PRJC-499744-2014-MSC-DNK DNV GL Team Leader Torben Paarup Pedersen Auditteam Mette Geisler SAFER, SMARTER,
Læs mereITA-konferencen 2009. Projektchef: Martin Pedersen. Sikkerhed fra vugge til grav
ITA-konferencen 2009 Projektchef: Martin Pedersen Sikkerhed fra vugge til grav Hvorfor sikkerhed initielt Sund fornuft Bidrager til at etablere overblik Bidrager til en stringent styring af informationssikkerheden
Læs mereLRQA ISO- RISK BASED THINKING. Af Mogens Larsen, ISO-Academy.001
LRQA ISO- 1 RISK BASED THINKING Af Mogens Larsen, ISO-Academy.001 Alle virksomheder oplever usikkerhed; hvordan denne usikkerhed tackles kan ofte have betydning og endog være afgørende for succes. De nye
Læs mereInformationssikkerhedspolitik for <organisation>
1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger
Læs mereVejledning om evaluering af beredskab. April 2015
Vejledning om evaluering af beredskab April 2015 Vejledning om evaluering af beredskab Udgivet april 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen
Læs merePOLITIK FOR INFORMATIONSSIKKERHED
POLITIK FOR INFORMATIONSSIKKERHED Indledning Dette er Statsbibliotekets politik for informationssikkerhed, som skal beskrive: Formål og baggrund om Statsbibliotekets hovedopgaver Mål og afgrænsning af
Læs mereVejledning i evaluering og opfølgning. Juni 2016
Vejledning i evaluering og opfølgning Juni 2016 Indhold Indledning 3 1. Metoder og værktøjer til overvågning, måling, analyse og evaluering 4 1.1 Formålet med overvågning, måling, analyse og evaluering
Læs mereSecureAware Compliance Analysis Manual
SecureAware Compliance Analysis Manual Manualen beskriver brugen af SecureAware version 3 Dokument opdateret: november 2009 Om dette dokument Dette dokument er en vejledning i, hvordan du opretter compliance-checks.
Læs mereIMPLEMENTERING AF MILJØLEDELSE
IMPLEMENTERING AF MILJØLEDELSE MODUL 1 MODUL 2 MODUL 3 MODUL 4 TRIN 1 Indledende kortlægning TRIN 2 Ledelsens involvering i projektet TRIN 3 Projektplan TRIN 4 Projektopstart og organisering TRIN 5 Detailkortlægning
Læs mereLedelsesforankret informationssikkerhed. med ISO/IEC 27001
Ledelsesforankret informationssikkerhed med ISO/IEC 27001 02 Indhold > Forord... 03 INTRODUKTION ISO/IEC 27001... 05 Ansvar og opgaver... 07 Standardens indhold... 09 PROCESSEN Procesmodellen... 13 Afstem
Læs mereHøje-Taastrup Kommune, Teknik- og Miljøcenter
Høje-Taastrup Kommune, Teknik- og Miljøcenter Ledelsessystemcertificering ISO 9001:2015 Auditstart og -slutdato 2019/02/05-2019/02/05 Projektnummer DNV GL Team Leader PRJC-497468-2014-MSC-DNK Steen Larsen
Læs mereDenne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk
Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN:
Læs mereVirksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:
DS/ISO 31000 Risikoledelse ISO 31000 - Risikoledelse Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: overordnede
Læs mereInformationssikkerhedspolitik. Frederiksberg Kommune
Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger
Læs mereISO/IEC Certificering i praksis Vibeke Bertelsen, tidligere Post Danmark Informationsteknologi Kirsten Skjerbek, DS Certificering Oktober 2008
ISO/IEC 20000 Certificering i praksis Vibeke Bertelsen, tidligere Post Danmark Informationsteknologi Kirsten Skjerbek, DS Certificering Oktober 2008 Agenda Før, under og efter certificering Vibeke: Implementering
Læs mereCHECKLISTE FOR ARBEJDSMILJØCERTIFICERING
CHECKLISTE FOR ARBEJDSMILJØCERTIFICERING DS/OHSAS 18001:2008 og Arbejdstilsynets bekendtgørelse nr. 87 af 31. januar 2005 Nr. Emne Bemærkninger Handlingsplan 4.1 Generelle krav Organisationen skal have
Læs mereAssens Kommune Sikkerhedspolitik for it, data og information
Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,
Læs mereVejledning i etablering af forretningsoverblik. Januar 2018
Vejledning i etablering af forretningsoverblik Januar 2018 Indhold 1. Forretningsoverblikket 4 1.1 De interne forhold og interessenter 4 1.2 De eksterne forhold og interessenter 5 2. Kortlægning af processer
Læs mereEt godt og effektivt vedligehold af en ISO27001 certificering. Erwin Lansing Head of Security & Chief Technologist
Et godt og effektivt vedligehold af en ISO27001 certificering Erwin Lansing Head of Security & Chief Technologist Hvad laver DK Hostmaster? Register for.dk domæner 1.315.274 domænenavne Ca. 700.000 kunder
Læs mereForordningens sikkerhedskrav
Forordningens sikkerhedskrav Klaus Kongsted, Dubex DI, 12. oktober 2016 Agenda Hvordan håndteres Risikovurdering Passende tekniske og organisatoriske foranstaltninger Godkendte adfærdskodekser og certificering
Læs mereHvordan kommer vi videre og får alle med?
Hvordan kommer vi videre og får alle med? 1. Gennemfør handlingsplanerne 2. Sikre at miljøarbejdet fortsætter 3. Information og dialog 4. Nye input til den næste handlingsplan Gennemførelse af handlingsplanen
Læs mereSTART UP GUIDE: VEJEN TIL CERTIFICERING AF DIT LEDELSESSYSTEM. Vejledning
START UP GUIDE: VEJEN TIL CERTIFICERING AF DIT LEDELSESSYSTEM Vejledning Sikker vej til certificering Denne vejledning sigter på at give et grundlæggende indblik i, og forståelse af certificering af ledelsessystemer.
Læs mereRC Rapport. Høje-Taastrup Kommune. Ledelsessystemcertificering ISO 9001:2015. Auditstart og -slutdato 2018/03/ /03/14 SAFER, SMARTER, GREENER
Høje-Taastrup Kommune Ledelsessystemcertificering ISO 9001:2015 Auditstart og -slutdato 2018/03/13-2018/03/14 Projektnummer DNV GL Team Leader Auditteam PRJC-497468-2014-MSC-DNK Steen Chr. Larsen Leif
Læs mereBekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.
Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. 1 I bekendtgørelse nr. 1026 af 30. juni 2016 om ledelse og styring af pengeinstitutter m.fl., som ændret ved
Læs mereJyske Bank Politik for It sikkerhed
Indholdsfortegnelse Indholdsfortegnelse... 1 1. Formål og omfang... 2 2. It sikkerhedsniveau... 2 3. Organisation og ansvar... 2 4. It risikostyring... 3 5. Outsourcing... 3 6. Sikkerhedsprincipper...
Læs mereDenne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk
Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN:
Læs mereEgedal Kommune. Re-certificeringsaudit. Ledelsessystemcertificering ISO 9001: apr-28 til 2015-apr-29. Certificeringens dækningsområde
Ledelsessystemcertificering 2015-apr-28 til 2015-apr-29 Certificeringens dækningsområde Hidtidigt gyldighedsområde: Sagsbehandling på natur- og miljøområdet Nyt gyldighedsområde: Administration og sagsbehandling
Læs mereIT-sikkerhedspolitik for
Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs
Læs mereFriske Forsyninger - med sikkerhed Seminar om ledelsessystemer for vand- og spildevandsselskaber
Friske Forsyninger - med sikkerhed Seminar om ledelsessystemer for vand- og spildevandsselskaber Torsdag den 8. september 2011 Processen og vejen til certificeret ledelsessystem v./sektorchef Lars Vestergaard
Læs mere