Fra DS 484 til ISO 27001

Størrelse: px
Starte visningen fra side:

Download "Fra DS 484 til ISO 27001"

Transkript

1 Fra DS 484 til ISO Hvordan kan din virksomhed efterleve den internationale standard for informationssikkerhed - ISO 27001? En praktisk vejledning i at skifte fra den udgående danske standard, DS 484 til den internationale ISO Af Gaffri Johnson Sikkerhedskonsulent hos Neupart Fra DS 484 til ISO Neupart A/S 1

2 Fra DS 484 til ISO Engang for længe siden var der ingen dansk standard for it- sikkerhed. Men så en dag i 2004 besluttede Folketinget at indføre åbne standarder i alle statslige institutioner, og med i pakken var den nye danske standard DS 484. DS 484 blev udarbejdet som en oversættelse af den internationale standard ISO der igen stammer fra den engelsk standard BS DS 484 blev dog hurtigt de facto standarden for it- sikkerhedsimplementering i mange danske virksomheder. Den var dog langt fra perfekt. For mange har det, at forstå og dække alle standardens krav til sikringsforanstaltninger, været en administrativ udfordring. DS 484 er en rigid standard med meget lidt albuerum der gør det svært at fravælge afsnit som ikke er relevante for netop din virksomhed. Men nu er det heldigvis snart slut. DS 484 udfases nu til fordel for den internationale standard ISO i sammenhæng med at sidstnævnte revideres. Når 2013 glider over i 2014 skal staten, kommuner og mange virksomheder overgå til ISO som deres foretrukne rammeværktøj for it- sikkerhedsstyring. Men før vi ser på hvordan man håndterer selve overgangsprocessen så lad os først se på hvad forskellen egentlig er på DS 484 og ISO Hvorfor ISO 27001? ISO lægger op til en mere helhedsorienteret tilgang til sikkerhedsstyring hvor mennesker og processer sættes i fokus. Effektiv it- sikkerhedsstyring kræver et velbalanceret samspil mellem fortsat at sikre at it- processer og systemer understøtter forretningens behov og krav, og at væsentlige it- risici bliver håndteret. Der er en tendens blandt virksomheder til at fokusere meget på risici og at håndhæve kontrolmiljøerne med tekniske løsninger. Sådan en tilgang ender ofte i her og nu løsninger når f.eks. it- revisionen kommer med deres krav. Uden forankring i it- processer, involvering af ledelsen og medarbejdere, er værdien af disse tiltag ikke stor, har oftest kun kortsigtet effekt, er tungt at vedligeholde og kan ende med at være et økonomisk dyrt bekendtskab. Tekniske løsninger kan og bør ikke stå alene. Der bør være et afbalanceret forhold mellem teknologi, mennesker og processer. Teknologi bør kun være det værktøj der understøtter elementerne og på sigt er værdiskabende ikke en omkostning. Og netop det hjælper ISO med. Fra DS 484 til ISO Neupart A/S 2

3 Teknologi Processer Mennesker Med ISO skifter I fokus fra en kontrol- og checklistebaseret tilgang til it- sikkerhedsledelse, til en mere procesorienteret tilgang. God it- sikkerhedsledelse tager udgangspunkt i et balanceret forhold mellem mennesker, processer og teknologi. Hvad er forskellen på DS 484 og ISO 27001? Når din virksomhed skifter til ISO vil du opleve nogle markante ændringer. Du vil opleve en betydeligt større fleksibilitet i dine processer men du vil også opleve at ledelsen får en større rolle i it- sikkerhedsstyringen. De fire vigtigste forskelle du skal være opmærksom på er: 1. Kontrolcentrisk vs. Procesorienteret En af de største udfordringer ved DS 484 er at se den forretningsmæssige værdi af alle de sikringstiltag den stiller krav til. Arbejdet med den løbende vedligeholdelse, sikring af efterlevelse og rapportering af afvigelser er en administrativ byrde og fører til at mange DS 484 projekter aldrig bliver effektivt forankret i organisationerne. DS 484 beskrev en form for check- liste- sikkerhed, hvor en mindre grad af ledelsesinvolvering var krævet Man kan sige at DS 484 har en alt- eller intet tilgang i forhold til struktureringen af indholdet og standardens formuleringer. De procesmæssige værktøjer til at vurdere de konkrete sikkerhedsbehov, herunder hvordan man kunne inddrage ledelsen og måle effektiviteten af sine tiltag er aldrig blevet taget ordentligt op i DS 484 og mange virksomheder har derfor manglet værktøjer til at håndtere disse opgaver. 2. Kravbaseret vs. Risikobaseret Formuleringerne i DS 484 har lagt op til at alle kravene (sikringstiltagene) i de 15 afsnit skal efterleves, herunder også de enkelte afsnits beskrevne implementeringsretningslinier. Det har været med til at give organisationer en meget teknisk og kontrolbaseret tilgang til it- sikkerhedsstyring. Med ISO flyttes fokus til en mere fleksibel procesorienteret og risikobaseret it- Fra DS 484 til ISO Neupart A/S 3

4 sikkerhedsstyring. Der stilles nu krav til at organisationer starter med at implementere et ledelsesstyringssystem som skal sikre en passende styring af it- sikkerhedsprocesserne. Det betyder at der faktisk kræves et vist minimum af modenhed i forhold til it- governance. 3. Ledelsesinvolvering Hvor DS 484 kun i mindre omfang beskriver hvad ledelsens rolle skal være, bliver ledelsen i ISO den primære drivkraft i forhold til den overordnede styring af sikkerhed i forhold til forretningsstrategier. Ledelsen skal være garant for at arbejdet omkring it- sikkerhed bliver forankret i virksomheden. ISO kræver at ledelsen er engageret, blandt andet gennem aktiv deltagelse i risikoarbejdet og i beslutninger omkring håndtering af identificerede risici. Risikohåndteringsprocessen bruges til at kortlægge hvor meget sikkerhed der er nødvendigt og ønsket. Derudover understøtter den beslutninger om it- processer og teknologiske løsninger i forbindelse med kritiske forretningsprocesser og strategiske mål for jeres virksomhed. 4. Fleksibilitet Det er blevet nævnt et par gange før men der er en stor forskel på de to standarders tilgange. DS 484 gør meget ud af at beskrive de konkrete sikringstiltag der skal implementeres. ISO lægger til gengæld op til at andre rammeværktøjer kan inddrages i forhold til valg af konkrete sikringstiltag og dybden eller effektiviteten af sikringsforanstaltninger. Det kunne være rammeværktøjer som ISO 27002, ISF, Cobit, ITIL, PCI DSS, NIST standarder m.m. ISO er risikobaseret, lægger op til større grad af ledelsesinvolvering og er fleksibel i forhold til valg af konkret sikkerhedsstandard til sikrings- foranstaltninger. Dog forventes det, at de overordnede it- sikkerhedsprocesser i ISO bliver behandlet i ISMS et. Hvis din virksomhed har baseret sine sikringsforanstaltninger på DS 484, er jeres primære opgave at vurdere behovet for sikringsforanstaltninger. Dette behov skal tage udgangspunkt i gennemførte risikovurderinger for systemer og processer. Fra DS 484 til ISO Neupart A/S 4

5 Hvordan flytter man nemmest fra DS 484 til ISO 27001? Der er heldigvis et sammenfald mellem indholdet af DS 484 og ISO så meget af det arbejde du og din virksomhed måske har lagt i implementeringsarbejdet omkring DS 484 ikke er spildt. I ISO standardens afsnit 4-8 fremlægges alle kravene som dækker over ISMS et (Information Security Management System) der kan defineres som jeres overordnede metode for styring af jeres it- governance processer. ISO operer med princippet Plan- Do- Check- Act, og nedenstående tegning illustrerer hvordan I skal have etableret en vedvarende og tilbagevendende proces. Når du har kigget nærmere på den, vil vi gennemgå de fire trin din virksomhed skal igennem for at få en glidende overgang fra DS 484 til ISO Plan Etablere ISMS Act Vedligeholde og forbedre ISMS Do Implemere og vedligeholde ISMS Check Overvåge og revurdere ISMS Fra DS 484 til ISO Neupart A/S 5

6 Plan Act Do Check Plan: Etablere ISMS I forbindelse med etableringen af et ledelsessystem, skal I identificere de overordnede rammer, og som en del af etableringsfasen skal I have gennemgået og implementeret følgende: I skal have fastlagt omfanget ( scope ) af for jeres ISMS. Er det hele virksomheden eller kun dele af jeres virksomhed der skal omfattes? Eksempler på dette kan være specifikke lokationer, afdelinger eller juridiske enheder. F.eks. en supportfunktion, et driftscenter, kontorerne på en adresse eller et selskab. I skal have etableret jeres organisation omkring ISMS et og fastlagt roller/ansvarsfordeling. F.eks. hvem er ansvarlig for risikovurderinger, interne/eksterne audit, it- styregrupper, ejerskab af kritiske processer (en proces er et aktiv i ISO- sammenhæng), beredskabsorganisation, hvor opmærksomme er jeres ansatte på it- sikkerhedstrusler (awareness), m.m. Strategi for den løbende awareness af brugere i jeres virksomhed. I skal beskrive jeres målsætninger for it- sikkerhed, politikker og procedurer og placere ansvar og opgaver. Formulering af fremgangsmåden for it- risikostyring og fastlæggelse af kriterier for risikovillighed. I skal identificere relevante aktiver såsom forretningsprocesser og it- services som er inden for scope og der skal være ejerskab. I systematiserer dokumentstyringen, således at I nemmere kan håndtere den løbende vedligeholdelse, understøtte den interne/eksterne audit og den periodiske revision af sikringsforanstaltningerne. I fastlægger det ønskede niveau for intern/ekstern audit. Fra DS 484 til ISO Neupart A/S 6

7 Plan Act Do Check Do: Implementere og vedligeholde Ledelsessystemet skal være implementeret og forankret i organisationen og skal fungere. De implementerede politikker, procedurer, sikringsforanstaltninger skal gennemføres som beskrevet. Jeres politikker, regler og procedurer skal være indført. Det er vigtigt at de benyttes og ikke kun er vage hensigtserklæringer. I udarbejder en Statement of Applicability, hvor I udvælger jeres sikringsforanstaltninger: Dem I har udvalgt, skal også være del af jeres kontrolmiljø. 1 I skal udpege personer der er ansvarlige for den løbende vedligeholdelse af ISMS et og de praktiske opgaver forbundet med det. I skal have fastlagt kriterier for kontrol af sikringsforanstaltninger, og rapportering af afvigelser (metrikker) skal være defineret og indarbejdet i det organisatoriske arbejde med it- sikkerhedsstyring. I forhold til intern audit eller kontrol af kontroller skal I identificere de områder hvor I foretager registreringer. Nogle typiske eksempler er vurdering af opdateringer inden udrulning, årlig opdatering af risikovurderingen, gennemgang af backup log, beredskabstest, brugergennemgange og gennemførelse af sårbarhedsscanninger. Alle de kontroller der medfører en registrering er også de kontroller hvor man ved audit forventer dokumentation som bevis for udførsel af kontrollen og dermed kan teste eller vurdere effektiviteten af kontrollen. 1 Statement Of Applicability er det dokument der beskriver krav til sikringsforanstaltninger og Fra DS 484 til ISO Neupart A/S 7

8 Plan Act Do Check Check: Overvåg og revurder ISMS Nu hvor I har fået indarbejdet processer, procedurer og sikringsforanstaltninger skal I også overvåge om jeres sikringsforanstaltninger opererer som forventet og jeres politikker bliver overholdt. I skal følge op på jeres operationelle sikkerhedskrav, og på de målsætninger I har fastlagt. De afvigelser I identificerede i forbindelse med gennemførsel af intern/ekstern audit af proceduremæssige/tekniske kontroller skal registreres, og der skal være handlingsplaner for hvordan I håndterer afvigelser eller kritiske afvigelser. Giver resultatet af jeres awareness programmer den ønskede effekt og er der anledning til at tage de eksisterende processer eller sikringsforanstaltninger op til genovervejelse? Jeres sikkerhedsorganisationen skal regelmæssigt levere input til en ledelsesrapportering. Input er det grundlag ledelsen tager udgangspunkt i når der skal tage strategiske beslutninger og give sikkerhedsorganisationen mandat til de kommende opgaver omkring it- processer og sikkerhed. Fra DS 484 til ISO Neupart A/S 8

9 Plan Act Do Check Act: Vedligehold og forbedr I skal løbende sørge for at jeres ISMS revurderes og kvaliteten af sikkerhed måles. Det gør I blandt andet ved at inddrage forskellige parametre. Her er nogle eksempler: Tekniske security baselines eller overskridelser af fastlagte kriterier for CVSS score ved sårbarhedsscanninger. Afvigelser, i forbindelse med både den interne og eksterne audit, skal prioriteres og der skal udarbejdes en handlingsplan for hvordan I vil håndtere observationerne. Vil I acceptere observationen eller udbedre den? Det gælde både de forebyggende og korrigerende handlinger. Resultaterne af jeres målte metrikker eller Key Performance Indicators i forhold til sikringsforanstaltninger skal genovervejes med henblik på at tilpasse disse. I kan eksempelvis udvælge specifikke sikkerhedshændelser som I måler på, og holde det op imod administrative udgifter forbundet med håndtering af disse (driftsforstyrrelser, brud på fortrolighed m. m.). Opsummering: Plan- do- check- act processen kort fortalt Etabler (plan): Etablering af ISMS politik, scope, mål, processer og procedurer Implementér (do): Implementering og drift af ISMS. Sikringsforanstaltninger er på plads og metrikker er defineret. Overvåg (check): Auditprogram, håndtering af afvigelser og ledelsesrapportering Vedligehold (act): Iværksættelse af korrigerende og forbyggende handlinger Fra DS 484 til ISO Neupart A/S 9

10 Kom hurtigt i gang Med ledelsens opbakning til ISO projektet, er det næste skridt at få gennemført en egentlig risikovurdering for at få afdækket det nødvendige omfang af ens sikringsforanstaltninger. Der er heldigvis overensstemmelse mellem DS 484 og ISO sikringsforanstaltningerne, så det I måske allerede har kan fint genanvendes. I de tilfælde, hvor der foreligger et krav om efterlevelse af ISO skal I sikre at den eksisterende it- sikkerhedsstrategi dækker kravene fra ISO afsnit 4-8. I bør gennemgå den eksisterende it- sikkerhedsorganisation, og i det omfang det er nødvendigt tilpasse den så den bliver gearet til proceskravene i ISO I skal identificere vigtige aktiver og disses ejerskab. Typiske er det kritiske forretningsprocesser, forretningssystemer og it- infrastruktur. I skal gennemføre en it- risikovurdering, så scopet for sikringsforanstaltninger og kontroller bliver afvejet op imod jeres reelle risici. Det er vigtigt at jeres ledelse er med i beslutningsprocessen omkring risikohåndteringen, da det er dem der skal tage stilling til om I skal acceptere, undgå, reducere eller dele risiciene. Lav en forretningskonsekvensvurdering på forretningssystemerne og gennemfør en sårbarhedsvurdering på den underliggende it- infrastruktur der tager udgangspunkt i relevante trusler. Fra DS 484 til ISO Neupart A/S 10

11 PLAN Fastlæg scope for ISMS Etabler proces Ledelsesopbakning Riskmetodik ACT Optimer processer korrigerende/udbedrende handlinger Ledelsesunderstøttede forbedringer DO Implementer ISMS Processer Politikker Procedurer Sikringsforanstaltninger CHECK Evaluer ISMS Identificer risici Mål performance af processer og sikringsforanstaltninger Intern/ekstern audit It- risikovurderingen vil danne grundlag for hvilke sikkerhedsområder hvor I bør sætte ind med skærpede sikringsforanstaltninger. Det giver samtidig input til hvilke sikringsforanstaltninger i tilvælger eller udelader fra scopet. Det er blandt andet derfor Neupart har udviklet SecureAware. Selvom I måske ikke planlægger at blive certificeret, er det alligevel værdifuld viden at indsamle. SOA en kan fint fungere som et udgangspunkt for jeres interne auditplan og bør også være del af den plan som den eksterne it- audit tager udgangspunkt i. Fra DS 484 til ISO Neupart A/S 11

12 Risikovurderingen og udvælgelsen af sikringstiltagene Afsnit 4-8 i ISO er ufravigelige og kan ikke scopes ud i en Statement of Applicability (SOA). De afsnit er forudsætningen for overhovedet at have et ISMS. Virksomheder der har benyttet sig af DS 484 strukturen, vil kunne anvende ISO da indholdet er identisk. Der vil ligge en opgave i at gennemgå alle afsnittene og tage stilling til hvor godt man ønsker at kontrollere disse processer. En hurtig måde at komme i gang med SOA en på, er at gennemgå alle ISO kontrolområderne og vurdere hvor relevante de er for jer. Out of scope (N/A) I scope i høj grad I scope I mindre grad Det øjeblikkelige resultat af denne øvelse er input til jeres vurdering af de eksisterende politikker, sikringsforanstaltninger og procedurer samt i hvilket omfang I bør tilpasse, slette eller implementere nye sikringsforanstaltninger eller procedurer. Niveauet for sikringsforanstaltningerne, hvad enten I benytter ISO eller andre sikkerhedsstandarder, er i et vist omfang frivilligt. Har i allerede vurderet hvilke områder jeres sikkerhedshåndbog eller politik skal indeholde, bør I holde jeres prioriteringer op imod ISO 27002, for at sikre at I ikke mangler at adressere et vigtigt område. Der vil ofte være kritiske processer der sjældent kan scopes helt ud såsom Change Management, backup processer og beredskabsstyring. I nogle tilfælde vil disse processer være outsourcet. Hvis vigtige processer er outsourcet skal jeres fokus ligge på leverandørstyringen, kontrakter, SLA er og aftalte metrikker, således at I sikrer at leverandørerne overholder jeres sikkerhedskrav. ISO er under revidering, hvad så? Den eksisterende ISO standard er i øjeblikket under revidering og forventes at blive officielt klar til anvendelse medio primo Der bliver lagt op til nogle strukturelle ændringer i de enkelte afsnit og Plan- Do- Check- Act får en mindre fremtrædende rolle. Der bliver ligesom ved den sidste revision en overgangsperiode på mellem 1-2 år, hvor eksisterende certificerede virksomheder får mulighed for at tilpasse deres ISMS og sikre at de overholder kravene i den nye standard. Der har i flere it- sikkerhedsmedier været snak omkring nogle af ændringerne i den nye standard bl.a. at Plan- Do- Check- Act forsvinder helt. Det er ikke helt korrekt da elementerne fortsat vil være en del af standardens nye afsnit omend mindre eksplicit end i ISO 27005:2005. Fra DS 484 til ISO Neupart A/S 12

13 Kontekst Lederskab PLAN Planlægning Support Drift Evaluering af performance Forbedringer DO Check ACT De vigtigste ændringer i det nuværende udkast omfatter følgende elementer: Der vil være en øget grad af fleksibilitet i forhold til valg af risikometode. Der lægges i højere grad op til at standarden skal tilpasse sig ISO standarden som omhandler Enterprise Risk Management. Kravene i de enkelte ISMS afsnit er præciseret så der bør være er en mindre risiko for fejltolkning af kravene. Kravene til ISMS konteksten er blevet skærpede og kravene til identifikation af succeskriterier for ISMS et er blevet præciseret. Der er nu et krav om at der i forbindelse med udvælgelsen af it- kontroller (SOA) samtidigt foretages en beskrivelse af succeskriterier og proces for måling af effektiviteten af it- kontrollerne eller KPI er (evaluering af performance). Neupart vil, i forbindelse med udgivelsen af den nye ISO standard, udarbejde en officiel vejledning til hvordan virksomheder nemmest kan overgå fra den gamle ISO standard til den nye. Så når den tid oprinder skal vi også nok hjælpe jer på vej. Fra DS 484 til ISO Neupart A/S 13

14 Opsummering Overgangen fra DS 484 til ISO behøver ikke at være en kompleks affære. Faktisk giver skiftet jer muligheden for at få ryddet op i jeres processer og sikringsforanstaltninger, og dermed også reducere kompleksiteten af jeres politikker og sikringsforanstaltninger. Opsummering af de vigtigste ting I skal overveje Jeres it- sikkerhedsstyring skal være risikobetonet og derfor er gennemførsel af it- risikovurderinger en forudsætning for det videre arbejde. Der er direkte match mellem sikringsforanstaltningerne i DS 484 og ISO Jeres it- risikovurdering giver jer grundlaget for at kunne tilvælge eller fravælge sikringsforanstaltninger. Da ledelsen skal have en aktiv rolle i forhold til risikobehandling, sætter det også krav til organisationens modenhed og ledelsens engagement i projektet. I kan med fordel tage overgangen i etaper så I får organisationen med. Start med at få identificeret kritiske processer og systemer og lav en forretningskonsekvensvurdering (BIA) og trussels/sårbarhedsvurdering af underliggende it- systemer. Der er ingen grund til at vente til den revideret udgave af ISO bliver offentliggjort, da der ikke grundlæggende bliver ændret ved standarden. ISMS kravene er de samme selvom der bliver foretaget et par ændringer til begreberne. Neupart vil - når den endelig revision af ISO er klar - udarbejde en vejledning til skiftet fra ISO 27001:2005 til ISO 27001:2013. Fra DS 484 til ISO Neupart A/S 14

15 Erfaringer fra en certificeret virksomhed Neupart A/S har været certificeret siden Først i henhold til den britiske standard BS7799-2, som var forgængeren til ISO 27001, og siden 2006 i henhold til ISO Audit blev udført af Dansk Standard Certificering, og certifikaterne udstedes for en treårig periode. Ved indgangen til hver treårig periode udføres den store certificerings audit. Efter et og to år udføres et opfølgningsaudit, der er lidt mindre omfattende. Vi har haft tre forskellige lead auditors gennem tiderne. Checklisten er selvfølgelig altid ISO 27001, men vi har oplevet lidt forskellige prioriteter. Det vigtigste er altid at sørge for at ISMS et er levende og løbende vedligeholdt. Den er vigtigt at man passer på, over tid, ikke at lade ISMS et vokse sig for stort til formålet. Det kan virke tillokkende og næsten naturligt at reagere på en hændelse eller en audit finding med at indføre en ny administrativ regel eller procedure. Med tiden giver det et mere bureaukratisk ISMS som er vanskeligere at vedligeholde. Jo flere regler og procedurer, jo mere intern audit er nødvendig, jo sværere er det for organisationen at efterleve disse regler og procedurer. Det er aldrig godt. Man skal trodsalt overholde sine egne politikker/regler/procedurer. Hos Neupart voksede ISMS et på otte år til 70 procedurer. ISMS'et trængte til en slankekur. It- sikkerhedschefen satte sig derfor ned og skar fedtet væk så det blev bragt ned på 35 procedurer. Fra DS 484 til ISO Neupart A/S 15

16 SecureConsult fra Neupart: Erfarne it- sikkerhedskonsulenter Skal I etablere et ISMS? Hvordan udarbejdes en Statement of Applicability? Skal den årlige risikovurdering gennemføres? Skal beredskabsplanerne opdateres? Hvordan følger I op på hændelser? Har I aftalt sikkerhedsansvar med jeres it- leverandører? Beskyttes persondata tilstrækkeligt? Vil I starte med en ISO gap- analyse? Der er mange ting man skal overveje i forhold til it- sikkerhed. Derfor stiller vi dygtige og erfarne konsulenter til rådighed så du kan få en problemfri it- risikovurdering. Neupart har været certificeret siden Vores viden og erfaringer bringer virksomheder, institutioner og styrelser sikkert i mål med ISO efterlevelse på kortere tid. Når I planlægger og udfører jeres ISO aktiviteter rigtigt, kan den nødvendige informationssikkerhed indføres pragmatisk og fleksibelt. Det er Neupart eksperter i. Vi kalder vores konsulentydelser for SecureConsult. Ring til Louise Bøttner, Jeppe Kodahl, Jakob Holm Hansen eller Lars Neupart på hvis du vil høre lidt mere om, hvordan vi kan hjælpe dig det er uforpligtende. Fra DS 484 til ISO Neupart A/S 16

17 Hvad er SecureAware IT- GRC Brug mindre tid på it- sikkerhedsledelse og få et mere præcist overblik over jeres sikkerhed. Skal I efterleve standarder eller god skik for informationssikkerhed, giver SecureAware jer forbedret effektivitet og mulighed for nemmere at vurdere hvor meget sikkerhed jeres forretning behøver. Med SecureAware behøver I ikke længere komplekse regneark til risikovurdering og I kan droppe lange sikkerhedshåndbøger i et utal af versioner. SecureAware giver jer en række genveje til ISO og PCI- compliance, og I får helt styr på tilbagevendende sikkerhedsopgaver. Så kan I bruge mindre tid på sikkerhedsledelse, eller I kan vælge at bruge jeres konsulentbudget til andre formål. SecureAware kan bruges som en samlet IT GRC- pakke, eller som enkeltvise moduler. Læs mere og prøv gratis i 30 dage her: Med SecureAware får I: ISO Information Security Management System (ISMS) Plan- Do- Check- Act håndtering It- sikkerhedshåndbøger - policy management Awareness- kampagner Risikovurdering og risikohåndtering jævnfør ISO Compliance analyser Styr på sikkerhedsopgaverne Beredskabsplanlægning jævnfør BS PCI DSS compliance Cloud- leverandør analyser API er til dataudveksling Leveres som SaaS eller traditionel software Smart upgrade giver nem adgang til nye funktioner og indhold Support for en række anerkendte SQL- databaser MS Active Directory support med brugere og grupper Tidsbesparende skabeloner Fra DS 484 til ISO Neupart A/S 17

18 Neupart hjælper virksomheder med it- risikostyring og med at leve op til sikkerhedskrav. Også i skyen! Neupart er forskellig fra de traditionelle konsulenthuse, fordi vores egenudviklede IT GRC- løsning, SecureAware, sparer virksomheders tid og kræver færre konsulenttimer. Neupart er specialist i ISO 27001, DS 484-, Cobit, PCI og cloud- sikkerhed. Med mere end 200 private og offentlige virksomheder som kunder er Neupart den førende IT GRC- leverandør. Neupart er ISO certificeret. Neupart A/S Hollandsvej 12 DK Lyngby T: Fra DS 484 til ISO Neupart A/S 18

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

God it-sikkerhed i kommuner

God it-sikkerhed i kommuner God it-sikkerhed i kommuner En vejledning til kommuner om at skabe et godt fundament for tryg og sikker behandling af kommunens og borgernes oplysninger. Vejledningen beskriver, hvordan DS484-baseret it-sikkerhedsledelse

Læs mere

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 (Draft) Side 1 af 9 Så ligger udkastet klar til den kommende version af ISO 9001. Der er sket en række strukturelle ændringer i form af standardens opbygning ligesom kravene er blevet yderligere

Læs mere

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001 Ledelsesforankret informationssikkerhed med ISO/IEC 27001 02 Indhold > Forord... 03 INTRODUKTION ISO/IEC 27001... 05 Ansvar og opgaver... 07 Standardens indhold... 09 PROCESSEN Procesmodellen... 13 Afstem

Læs mere

Krav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter

Krav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter Dansk standard DS 3999 1. udgave 2010-10-12 Krav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter Requirements for security of cash centers, transit stations

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

SecureAware Compliance Analysis Manual

SecureAware Compliance Analysis Manual SecureAware Compliance Analysis Manual Manualen beskriver brugen af SecureAware version 3 Dokument opdateret: november 2009 Om dette dokument Dette dokument er en vejledning i, hvordan du opretter compliance-checks.

Læs mere

Velkommen Gruppe SJ-1

Velkommen Gruppe SJ-1 Velkommen Gruppe SJ-1 Lasse Ahm Consult Torsdag, den 25. september 2014 15:35 1 Program Programmet ser således ud: Kl. 10.00 Velkomst ved Lasse Michael Ahm - Info om ændringer blandt medlemmerne Kl. 10.05

Læs mere

CSR nyheder og erfaringer

CSR nyheder og erfaringer CSR nyheder og erfaringer Kundeseminar, Aarhus og København Helena Barton Eftermiddagens program Nye ledelsessystemer for samfundsmæssigt ansvar - DS 49001 og CSR Performance Ladder Ny standard for involvering

Læs mere

Kvalitetsstyringssystemet for natur- og miljøområdet

Kvalitetsstyringssystemet for natur- og miljøområdet BORNHOLMS REGIONSKOMMUNE TEKNIK & MILJØ Skovløkken 4 3770 Allinge Analyserapport nr. 2 Kvalitetsstyringssystemet for natur- og miljøområdet Ledelsens evaluering 2009-2011. Telefon: 56 92 00 00 E-mail:

Læs mere

ISO 9001:2015 OG ISO 14001:2015 NYE VERSIONER AF STANDARDERNE ER PÅ VEJ ER DU KLAR? Move Forward with Confidence

ISO 9001:2015 OG ISO 14001:2015 NYE VERSIONER AF STANDARDERNE ER PÅ VEJ ER DU KLAR? Move Forward with Confidence ISO 9001:2015 OG ISO 14001:2015 NYE VERSIONER AF STANDARDERNE ER PÅ VEJ ER DU KLAR? Move Forward with Confidence HVORFOR 2015 REVISIONEN? I en verden hvor de økonomiske, teknologiske og miljømæssige udfordringer

Læs mere

Færre fejl, hændelser og mangler Større interessenttilfredshed. Bedre image Større indtjening Forbedret dokumentation. Lektion 1 2

Færre fejl, hændelser og mangler Større interessenttilfredshed. Bedre image Større indtjening Forbedret dokumentation. Lektion 1 2 Lektion 1 1 Grundlæggende begreber for ledelse Færre fejl, hændelser og mangler Større interessenttilfredshed Bedre image Større indtjening Forbedret dokumentation Lektion 1 2 De 8 grundprincipper Interessent

Læs mere

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: DS/ISO 31000 Risikoledelse ISO 31000 - Risikoledelse Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: overordnede

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Guide til awareness om informationssikkerhed. Marts 2013

Guide til awareness om informationssikkerhed. Marts 2013 Guide til awareness om informationssikkerhed Marts 2013 Udgivet marts 2013 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Solutions Day. IT Service Management. Globeteam ITSM

Solutions Day. IT Service Management. Globeteam ITSM Solutions Day IT Service Globeteam ITSM Indhold IT Service Introduktion til ITSM og ITIL Angrebsvinkel til ITIL Case - Kriminalforsorgen ITSM værktøjer Afrunding Hans Christian Holst ITSM konsulent hch@globeteam.com

Læs mere

Hvad kommer ITIL V3 og Cobit til at betyde for IT-supporten? Ole Westergaard Westergaard CSM

Hvad kommer ITIL V3 og Cobit til at betyde for IT-supporten? Ole Westergaard Westergaard CSM Hvad kommer ITIL V3 og Cobit til at betyde for IT-supporten? Ole Westergaard Westergaard CSM V3 Westergaard CSM Westergaard CSM 2 Gode konsulenter hænger ikke på træerne! [Indsæt billede af Jakob/Lars/Gitte/Ulla

Læs mere

It-sikkerhed - ledelsens ansvar

It-sikkerhed - ledelsens ansvar Hvordan ser en sikkerhedskoordinator ud? It-sikkerhedsledelse er en profession. Af samme grunde, som man benytter medarbejdere med en regnskabsuddannelse i økonomifunktionen, skal man sikre sig, at it-sikkerhedskoordinatoren

Læs mere

Navit sp/f. Del A Gennemførelse

Navit sp/f. Del A Gennemførelse Den Internationale Kode for Sikker Drift af Skibe og Forebyggelse af Forurening (International Safety Management-koden (ISM-koden)) Med rettelser gældende pr. 1. juli 2010 Del A Gennemførelse 1. Generelt

Læs mere

KORT OM PROJEKTPORTEFØLJESTYRING. Af Jacob Kragh-Hansen, Execution Consulting Group

KORT OM PROJEKTPORTEFØLJESTYRING. Af Jacob Kragh-Hansen, Execution Consulting Group KORT OM PROJEKTPORTEFØLJESTYRING Af Jacob Kragh-Hansen, Execution Consulting Group KORT OM PROJEKTPORTEFØLJESTYRING INDHOLD 1 PROJEKTPORTEFØLJESTYRING 2 TYPISKE UDFORDRINGER 3 RATIONALE & GEVINSTER 4 ANBEFALET

Læs mere

Få kontrol over omkostninger, indkøb og overblik over likviditet. Purchase-to-Pay Canon Business Solutions

Få kontrol over omkostninger, indkøb og overblik over likviditet. Purchase-to-Pay Canon Business Solutions Få kontrol over omkostninger, indkøb og overblik over likviditet Purchase-to-Pay Canon Business Solutions Purchase-to-Pay automatisering giver et samlet styresystem for både indkøbs- og økonomiafdelingen

Læs mere

Stiller krav til organisatorisk robustheds-ledelsessystemer (organizational resilence OR management systems)

Stiller krav til organisatorisk robustheds-ledelsessystemer (organizational resilence OR management systems) DS 3001 Organisatorisk robusthed. Sikkerhed, beredskab og kontinuitet. Formål og anvendelsesområde Stiller krav til organisatorisk robustheds-ledelsessystemer (organizational resilence OR management systems)

Læs mere

Fælles fundament. Den nordiske arbejdsmiljølovgivning

Fælles fundament. Den nordiske arbejdsmiljølovgivning Arbejdsmiljøcertificering som tilsynsredskab og -strategi Kåre Hendriksen Master of Environmental Management Har siden midten af 1980 erne periodisk været beskæftiget med: Arbejdsmiljøforskning Arbejdsmiljø-

Læs mere

Netplan A/S. Periodisk audit, P1. Ledelsessystemcertificering ISO 9001:2008. 2013-aug-30 til 2013-aug-30. Certificeringens dækningsområde

Netplan A/S. Periodisk audit, P1. Ledelsessystemcertificering ISO 9001:2008. 2013-aug-30 til 2013-aug-30. Certificeringens dækningsområde Ledelsessystemcertificering 2013-aug-30 til 2013-aug-30 Certificeringens dækningsområde DNV teamleader: Auditteam: Rådgivning indenfor IT- og telenetværk Jesper Halmind Jesper Halmind Projektnr.:PRJC-300259-2011-MSC-DNK

Læs mere

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Databeskyttelse: Afrunding Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at

Læs mere

Rollebeskrivelser. Programroller ift. den fællesstatslige programmodel

Rollebeskrivelser. Programroller ift. den fællesstatslige programmodel Rollebeskrivelser Programroller ift. den fællesstatslige programmodel Indholdsfortegnelse Rollebeskrivelser... 1 1. Programprofiler... 3 1.1. Formand for programbestyrelse/programejer... 3 1.2. Programleder...

Læs mere

OBLIGATORISKE ENERGISYN, ENERGILEDELSE OG TILSKUD

OBLIGATORISKE ENERGISYN, ENERGILEDELSE OG TILSKUD OBLIGATORISKE ENERGISYN, ENERGILEDELSE OG TILSKUD Pia Clausen Seniorprojektleder Reg. Energisynskonsulent Tlf. 31 75 17 05 Nr. Farimagsgade 37-1364 København K Danmark Storegade 1-8382 Hinnerup Danmark

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Spillemyndighedens krav til akkrediterede testvirksomheder. Version 1.3.0 af 1. juli 2012

Spillemyndighedens krav til akkrediterede testvirksomheder. Version 1.3.0 af 1. juli 2012 Version 1.3.0 af 1. juli 2012 Indhold 1 Indledning... 4 1.1 Myndighed... 4 1.2 Formål... 4 1.3 Målgruppe... 4 1.4 Version... 4 1.5 Henvendelser... 4 2 Certificering... 5 2.1 Rammer for certificering...

Læs mere

Projektledelse - og ledelse af mennesker

Projektledelse - og ledelse af mennesker Projektledelse - og ledelse af mennesker Udvikling/ Mennesker/ Resultater Projekter er en arbejdsform, der kan fremme innovation, udvikling, samarbejde og helhedsorienterede løsninger. Arbejdsformer og

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

Ledelses-workshop for Marketingdirektører

Ledelses-workshop for Marketingdirektører Ledelses-workshop for Marketingdirektører Tirsdag den 27. oktober 2009 Opsamling på dagens nøglekonklusioner Marketingledelsens basale målsætninger og scorecard Strategy & Innovation Værdiskabelse Produktivitet

Læs mere

AWARENESS EN SIKKER VEJ TIL BEDRE SIKKERHED & KVALITET DATASIKKERHEDSKONFERENCE

AWARENESS EN SIKKER VEJ TIL BEDRE SIKKERHED & KVALITET DATASIKKERHEDSKONFERENCE AWARENESS EN SIKKER VEJ TIL BEDRE SIKKERHED & KVALITET DATASIKKERHEDSKONFERENCE 29.01.2015 HVEM ER JEG. LARS BÆRENTZEN Mere end 20 års erfaring som konsulent Rådgiver inden for IT- og informationssikkerhed

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Vejledning til. Sikkerhedskvalitetsstyringssystem for driftsledelse

Vejledning til. Sikkerhedskvalitetsstyringssystem for driftsledelse Vejledning til Sikkerhedskvalitetsstyringssystem for driftsledelse 1 Forord Sikkerhedskvalitetsstyringssystem for drift af elforsyningsanlæg (SKS-driftsledelse) indeholder anvisninger på kvalitetsstyringsaktiviteter

Læs mere

Andersen & Martini A/S

Andersen & Martini A/S Udkast til kommissorium for revisionsudvalget 1. Formål Revisionsudvalget udpeges af bestyrelsen til at bistå denne i udførelsen af bestyrelsens tilsynsopgaver. Revisionsudvalget overvåger: Effektiviteten

Læs mere

Bæredygtighed i de nye ISO-standarder

Bæredygtighed i de nye ISO-standarder BUSINESS ASSURANCE Bæredygtighed i de nye ISO-standarder De nye ISO 9001- og ISO 14001-standarder Kåre Appel Weng, Steen Christian Larsen, Jens Peter Høiseth 13. marts og 27. marts 1 01 SAFER, SMARTER,

Læs mere

Hvad betyder oplysningskravene for din virksomhed?

Hvad betyder oplysningskravene for din virksomhed? Risikostyring og interne kontroller oplysningskrav i EU s 4. og 7. direktiv Hvad betyder oplysningskravene for din virksomhed? Marts 2009 2009 PricewaterhouseCoopers. PricewaterhouseCoopers betegner det

Læs mere

Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S

Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S Generelt Revisions- og Risikokomiteen er et udvalg under Bestyrelsen, der er nedsat i overensstemmelse med forretningsordenen for Bestyrelsen.

Læs mere

Rollebeskrivelser i den fællesstatslige programmodel. - Vejledning

Rollebeskrivelser i den fællesstatslige programmodel. - Vejledning Rollebeskrivelser i den fællesstatslige programmodel - Vejledning August 2013 Indhold 1. LÆSEVEJLEDNING... 1 2. FORMAND FOR PROGRAMBESTYRELSEN (PROGRAMEJER)... 2 3. PROGRAMLEDER... 3 4. FORANDRINGSEJER...

Læs mere

Business Continuity og Cloud

Business Continuity og Cloud Business Continuity og Cloud af: Michael Christensen, Certified Business Continuity and IT-security Consultant, CISSP, CSSLP, CISM, CRISC, CCM, CPSA, ISTQB, PRINCE2, COBIT5 For rigtig mange danske virksomheder

Læs mere

Whitepaper. Det virtuelle projektkontor PMO as a service. Damian Arguimbau & Mette Dal Pedersen

Whitepaper. Det virtuelle projektkontor PMO as a service. Damian Arguimbau & Mette Dal Pedersen Det virtuelle projektkontor PMO as a service AF Damian Arguimbau & 1 Introduktion PMO kontorer i virksomhederne i dag har fået en anden værdi, og der er ved at komme en anden tilgang til brugen af PMO

Læs mere

Kultur og adfærd Skab tillid til virksomhedens største aktiv

Kultur og adfærd Skab tillid til virksomhedens største aktiv www.pwc.dk Kultur og adfærd Skab tillid til virksomhedens største aktiv Medarbejderne er virksomhedens største aktiv og udgør samtidig dens største, potentielle risiko. En virksomheds kultur er defineret

Læs mere

Informationssikkerhed i Balance

Informationssikkerhed i Balance Informationssikkerhed i Balance Koncept version 1.0 Oktober 2014 IT-Branchens It-sikkerhedsudvalg Resumé Der har de sidste år været et intenst fokus på informationssikkerhed i Danmark, primært grundet

Læs mere

Vejledning - Udarbejdelse af gevinstdiagram

Vejledning - Udarbejdelse af gevinstdiagram Vejledning - Udarbejdelse af gevinstdiagram Januar 2014 INDHOLD 1. INDLEDNING... 1 1.1 FORMÅL... 1 1.2 VEJLEDNINGENS SAMMENHÆNG MED DEN FÆLLESSTATSLIGE IT-PROJEKTMODEL... 1 1.3 GEVINSTDIAGRAMMET... 2 1.4

Læs mere

Implementering af informationssikkerhed

Implementering af informationssikkerhed Implementering af informationssikkerhed Historiske milepæle 1915 Holger Sørensen grundlægger Vejle Caramel- og Tabletfabrik senere kaldet Dansk Tyggegummi Fabrik A/S 1927 Virksomhedens første tyggegummi,

Læs mere

SÅDAN FÅR MINDRE VIRKSOMHEDER SUCCES MED KOMPETENCEUDVIKLING

SÅDAN FÅR MINDRE VIRKSOMHEDER SUCCES MED KOMPETENCEUDVIKLING SÅDAN FÅR MINDRE VIRKSOMHEDER SUCCES MED KOMPETENCEUDVIKLING ER VIRKSOMHEDENS MEDARBEJDERE KLÆDT PÅ TIL FREMTIDEN? SÅDAN FÅR MINDRE VIRKSOMHEDER SUCCES MED KOMPETENCEUDVIKLING KOMPETENCEUDVIKLING = NY

Læs mere

Roadshow: ITIL V3. hvordan træder man ud af børneskoene?

Roadshow: ITIL V3. hvordan træder man ud af børneskoene? Roadshow: ITIL V3 hvordan træder man ud af børneskoene? Westergaard Management A/S Stifter Ole Westegaard Adm. Direktør Steen Sverker Nilsson Direktør Johnny Jensen Westergaard Management stiftedes den

Læs mere

Stilling+Brixen. Kvalitetsledelse. Implementering af ledelsessystemer på vej mod certificering ISO 1090 ISO 3834 ISO 9001 ISO 14001 ISO/OHSAS 18001

Stilling+Brixen. Kvalitetsledelse. Implementering af ledelsessystemer på vej mod certificering ISO 1090 ISO 3834 ISO 9001 ISO 14001 ISO/OHSAS 18001 ` Stilling+Brixen Kvalitetsledelse Implementering af ledelsessystemer på vej mod certificering ISO 1090 ISO 3834 ISO 9001 ISO 14001 ISO/OHSAS 18001 ` Intro Vækst forudsætter dokumentation for kvalitet

Læs mere

Standardiseret tilgang til Software Asset Management. ISACA Medlemsmøde 2013 Jan Øberg ØBERG Partners

Standardiseret tilgang til Software Asset Management. ISACA Medlemsmøde 2013 Jan Øberg ØBERG Partners Standardiseret tilgang til Software Asset Management ISO19770 ISACA Medlemsmøde 2013 Jan Øberg ØBERG Partners 1 WG21 historien ISO19770 arbejder i WG21 under ISO Etableret i 2001 Første standard 19770-1

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Rollebeskrivelser i den fællesstatslige programmodel. - Vejledning

Rollebeskrivelser i den fællesstatslige programmodel. - Vejledning Rollebeskrivelser i den fællesstatslige programmodel - Vejledning Januar 2014 Indhold 1. LÆSEVEJLEDNING... 1 2. FORMAND FOR PROGRAMBESTYRELSEN (PROGRAMEJER)... 2 3. PROGRAMLEDER... 3 4. FORANDRINGSEJER...

Læs mere

Security & Risk Management Summit

Security & Risk Management Summit Security & Risk Management Summit Hvor og hvornår skaber Managed Security Services værdi? Business Development Manager Martin Jæger Søborg, 6. november 2014 DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2014

Læs mere

A K A D E M I E T SVENDSEN & KJÆR. Målstyring Enkelt og effektivt. Ann Møller Svendsen

A K A D E M I E T SVENDSEN & KJÆR. Målstyring Enkelt og effektivt. Ann Møller Svendsen A K A D E M I E T SVENDSEN & KJÆR Målstyring Enkelt og effektivt Ann Møller Svendsen Forord I en verden, der til stadighed er i forandring, er det af afgørende betydning at have en klar vision, en præcis

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Auditrapport Kvalitetsstyringsloven

Auditrapport Kvalitetsstyringsloven Kvalitetsstyringsloven Opfølgningsaudit 2013 DS Certificering A/S Kollegievej 6 2920 Charlottenlund /Runetoften 14, 1 8210 Aarhus V Tlf.: +45 72 24 59 00 Fax: +45 72 24 59 02 Bemærkninger I henhold til

Læs mere

Guide til bedre beredskabsstyring. April 2015

Guide til bedre beredskabsstyring. April 2015 Guide til bedre beredskabsstyring April 2015 Guide til bedre beredskabsstyring Udgivet april 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen

Læs mere

DET FLEKSIBLE OG BRUGERVENLIGE HR-system

DET FLEKSIBLE OG BRUGERVENLIGE HR-system DET FLEKSIBLE OG BRUGERVENLIGE HR-system SUPERSystems.dk FOKUS PÅ MÅL OG MENNESKER Mennesker og informationsteknologien Den eksisterende IT-teknologi har gjort det muligt at skabe en virtuel virksomhed,

Læs mere

Titel Nr. Udgave dato. Udarb. af Godkendt af Gyldighed Erstatter nr. Udgave dato. Gældende

Titel Nr. Udgave dato. Udarb. af Godkendt af Gyldighed Erstatter nr. Udgave dato. Gældende Formål Formålet med kvalitetsstyring er overordnet, at der skabes en forbedringskultur, der kan beskrives som en systematisk, fortløbende proces i 4 dele: Planlægning af opgaveløsning (procedurer) Opgaveløsning

Læs mere

Vejledning - Udarbejdelse af gevinstdiagram

Vejledning - Udarbejdelse af gevinstdiagram Vejledning - Udarbejdelse af gevinstdiagram Maj 2015 INDHOLD 1. INDLEDNING... 1 1.1 FORMÅL... 1 1.2 VEJLEDNINGENS SAMMENHÆNG MED DEN FÆLLESSTATSLIGE IT-PROJEKTMODEL... 1 1.3 GEVINSTDIAGRAMMET... 2 1.4

Læs mere

Spillemyndighedens certificeringsprogram Program for styring af systemændringer

Spillemyndighedens certificeringsprogram Program for styring af systemændringer SCP.06.00.DK.1.0 Indhold Indhold... 2 1 Formålet med program for styring af systemændringer... 3 1.1 Overblik over dette dokument... 3 1.2 Version... 3 2 Certificering... 4 2.1 Certificeringsfrekvens...

Læs mere

Bæredygtighed i de nye ISO-standarder

Bæredygtighed i de nye ISO-standarder BUSINESS ASSURANCE Bæredygtighed i de nye ISO-standarder De nye ISO 9001- og ISO 14001-standarder Kåre Appel Weng, Steen Christian Larsen, Jens Peter Høiseth 13. marts og 27. marts 1 01 SAFER, SMARTER,

Læs mere

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Indstilling Master i IT-sikkerhed Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Baggrund Med it i alting, Supply Change Management, netværksorganisationer og med systemer sammensat af kommunikerende

Læs mere

Identity Access Management

Identity Access Management Identity Access Management Traditionel tilgang til Identity & Access Governance-projekter, udfordringer og muligheder Alex Sinvani ais@dubex.dk Dubex A/S Formålet Opbygge en god konceptuel baggrund for

Læs mere

Ledelsessystemer. Kvalitet Miljø Arbejdsmiljø

Ledelsessystemer. Kvalitet Miljø Arbejdsmiljø Ledelsessystemer Kvalitet Miljø Arbejdsmiljø Politik Procedurer Strategisk Taktisk Arbejdsbeskrivelser, tegninger Operationelt Work process Product Work process policy Procedures Working procedures or

Læs mere

Vejledning i it-risikostyring og -vurdering. Februar 2015

Vejledning i it-risikostyring og -vurdering. Februar 2015 Vejledning i it-risikostyring og -vurdering Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske

Læs mere

At sikre, at alle er bekendt med kvalitetssystemet og de hovedansvarsområder den enkelte medarbejder har i forhold til kvalitetsstyringssystemet.

At sikre, at alle er bekendt med kvalitetssystemet og de hovedansvarsområder den enkelte medarbejder har i forhold til kvalitetsstyringssystemet. Procedure 5.5.4 procedure vedr. ansvarsfordeling 1) Formål 2) Baggrund, anvendelse og gyldighed 3) Ansvar 4) Fremgangsmåde 4.01) Oganisationsdiagram 4.02) Byrådets opgaver 4.03) Økonomiudvalgets opgaver

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

Maj 2014 Udarbejdet af Liselotte Mammen Kruse Kvalitetssikret af Helle Dueholm

Maj 2014 Udarbejdet af Liselotte Mammen Kruse Kvalitetssikret af Helle Dueholm 1/8 Maj 2014 Udarbejdet af Liselotte Mammen Kruse Kvalitetssikret af Helle Dueholm 2/8 Analyserapport Denne analyserapport er den systemansvarliges analyse af kvalitetsledelsessystemet i Teknik og Miljø

Læs mere

Cloud og it-sikkerhedsudfordringerne: Dansk Automationsselskab

Cloud og it-sikkerhedsudfordringerne: Dansk Automationsselskab Cloud og it-sikkerhedsudfordringerne: Dansk Automationsselskab Carsten Jørgensen 7 marts 2012 Carsten Jørgensen 1999 2001 2006 2009 2011 CloudSecurity.dk Falck 2012 Falck 2011 Emergency Assistance Healthcare

Læs mere

Fra ad hoc-tilgang til en struktureret CSR-indsats

Fra ad hoc-tilgang til en struktureret CSR-indsats Tryksag 541-643 Gode råd Her er nogle gode råd til, hvordan I griber CSR-processen an. Kom godt i gang med standarder > > Sæt et realistisk ambitionsniveau > > Sørg for, at CSR er en integreret del af

Læs mere

Henrik Tofteng A/S Divello A/S

Henrik Tofteng A/S Divello A/S A/S Divello A/S For audit d. 02.-08.08.2013 vedr. DS Certificering A/S Kollegievej 6 2920 Charlottenlund /Runetoften 14, 1 8210 Aarhus V Tlf.: +45 72 24 59 00 Fax: +45 72 24 59 02 Auditoplysninger Audittype...

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

Hentet af admin - June 3, 2014. contract management

Hentet af admin - June 3, 2014. contract management 6 Q UA R T E R LY A N A LY T I C S 2 2014 contract management Q UA R T E R LY A N A LY T I C S 2 2014 7 Er du helt sikker på, at du har Contract Management? Del 1: Introduktion til elementerne i Contract

Læs mere

KURSER INDENFOR SOA, WEB SERVICES OG SEMANTIC WEB

KURSER INDENFOR SOA, WEB SERVICES OG SEMANTIC WEB KURSER INDENFOR SOA, WEB SERVICES OG SEMANTIC WEB Det er Web Services, der rejser sig fra støvet efter Dot Com boblens brag. INTRODUKTION Dette dokument beskriver forslag til fire moduler, hvis formål

Læs mere

Ledelse og styregruppe

Ledelse og styregruppe Ledelse og styregruppe It-projektlederdag 3. oktober 2013 niels.zachariassen@skat.dk Metodekontoret Styregrupper på fem kvarter Hvad er designprincipperne bag den professionelle styregruppe? -------------------------------------------------

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

Kvalitetsledelse af jeres ydelser og services

Kvalitetsledelse af jeres ydelser og services Tryksag 541-643 Hvis I vil vide mere Kom godt i gang med standarder I er velkomne til at kontakte vores erfarne konsulenter inden for kvalitetsledelse på telefon 39 96 61 01 eller consulting@ds.dk. Kvalitetsledelse

Læs mere

IADK FÄllesmÅde 2. december 2014. Velkommen. Grupperne SJ-1 & SJ-2 17:51 1

IADK FÄllesmÅde 2. december 2014. Velkommen. Grupperne SJ-1 & SJ-2 17:51 1 Velkommen Grupperne SJ-1 & SJ-2 Lasse Ahm Consult Tirsdag, den 2. december 2014 17:51 1 17:51 2 www.lasseahm.dk COPYRIGHT 1 17:51 3 17:51 4 www.lasseahm.dk COPYRIGHT 2 den enkeltes spidskompetencer. 17:51

Læs mere

Målepunkter for informationssikkerhed Marts 2013

Målepunkter for informationssikkerhed Marts 2013 Målepunkter for informationssikkerhed Marts 2013 1/44 Indholdsfortegnelse 1. Forord 4 2. Indledning og formål 5 3. Den overordnede ramme 5 4. Kategorier af målepunkter 6 4.1 Ledelsesforankring og ressourcer

Læs mere

Hvordan udarbejdes en strategi

Hvordan udarbejdes en strategi LENNART SVENSTRUP Hvordan udarbejdes en strategi LENNART@KYOEVAENGET.DK 2011 Strategi Alle kan udarbejde en strategi! MEN: For at en strategi er noget værd i praksis, skal den tage udgangspunkt i virkeligheden,

Læs mere

Værdibaseret styring og optimering af projektporteføljen

Værdibaseret styring og optimering af projektporteføljen 17. April 2007 Værdibaseret styring og optimering af projektporteføljen Programchef Thomas Steinmetz, G4S Teamleder Charlotte Blou Sand, Creuna Copyright Creuna Danmark A/S Om Creuna Skandinavisk IT-konsulenthus

Læs mere

ISO9001:2015 Konsekvenserne Nyhedsbrev: August 2015

ISO9001:2015 Konsekvenserne Nyhedsbrev: August 2015 ISO9001:2015 Konsekvenserne Nyhedsbrev: August 2015 1 Nu varer det ikke længe ISO9001:2015 er lige på trapperne. Final Draft blev udgivet den 9. juli 2015 og medio september 2015 udgives både 9001 og 14

Læs mere

Lean Virksomhed. Få et hurtigt overblik over Lean. En vej til tilfredse kunder og glade medarbejdere i en profitabel organisation

Lean Virksomhed. Få et hurtigt overblik over Lean. En vej til tilfredse kunder og glade medarbejdere i en profitabel organisation Lean Virksomhed Få et hurtigt overblik over Lean. En vej til tilfredse kunder og glade medarbejdere i en profitabel organisation 2013 Lean Akademiet - Danmark Få et hurtigt overblik over Lean. En vej til

Læs mere

Informationsteknologi Sikkerhedsteknikker. Informationssikkerhed (ISMS) Krav

Informationsteknologi Sikkerhedsteknikker. Informationssikkerhed (ISMS) Krav Dansk standard DS/ISO/IEC 27001 2. udgave 2007-06-06 Informationsteknologi Sikkerhedsteknikker Ledelsessystemer for Informationssikkerhed (ISMS) Krav Information technology Security techniques Information

Læs mere

SystemGruppen KOMPETENCE OG SERVICE

SystemGruppen KOMPETENCE OG SERVICE SystemGruppen KOMPETENCE OG SERVICE Velkommen til System Gruppen Hos SystemGruppen sætter vi meget stor pris på vores kunder. Vi vil gerne sørge for, at du føler dig kompetent serviceret og godt hjulpet.

Læs mere

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

Mobility-strategi Hvordan kommer du i gang?

Mobility-strategi Hvordan kommer du i gang? Mobility-strategi Hvordan kommer du i gang? Kenneth Rosenkrantz 13. marts 2013 kro@dubex.dk Agenda Kort opsummering Hvad bør en Mobility Strategi indeholde? Virksomhedens modenhed Hvordan kommer du i gang?

Læs mere

Månedlig opfølgning på it-drift

Månedlig opfølgning på it-drift Månedlig opfølgning på it-drift 0. Indledning En væsentlig del af at styre en it-driftskontrakt og de leverancer, der leveres herigennem, er at opretholde et konstruktivt samarbejde med leverandøren, hvor

Læs mere

EMUC Network Meeting 26/11-2014

EMUC Network Meeting 26/11-2014 EMUC Network Meeting 26/11-2014 Agenda Historik Hvordan udvikler A2SEA ISM systemerne i Crew bådene? Hvordan auditerer A2SEA deres ISM system ombord op skibene? Hvordan implementeres ISM / i skibene med

Læs mere

Risk Management. Risk Management

Risk Management. Risk Management Risk Management Alle gør det Sporadisk. Ser på nogle forud definerede risikofaktorer. Har det som et element i projektledelse. Kortlægger Risici, inden de starter et projekt. Har overvejet, hvad der kan

Læs mere

Mobility-strategi Hvordan kommer du i gang? Kenneth Rosenkrantz Søborg, 7. november 2013

Mobility-strategi Hvordan kommer du i gang? Kenneth Rosenkrantz Søborg, 7. november 2013 Mobility-strategi Hvordan kommer du i gang? Kenneth Rosenkrantz Søborg, 7. november 2013 DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2013 Agenda Mobility Politik og procedure Virksomhedens modenhed Hvad bør

Læs mere

PEFC Danmarks. Krav til gruppecertificering af bæredygtig skovdrift. PEFC Danmark standard PEFC DK 003-4

PEFC Danmarks. Krav til gruppecertificering af bæredygtig skovdrift. PEFC Danmark standard PEFC DK 003-4 PEFC Danmark standard PEFC DK 003-4 PEFC Danmarks Krav til gruppecertificering af bæredygtig skovdrift Udkast til revideret standard marts 2012, med tilføjelser oktober 2012 PEFC Danmark Amalievej 20 DK-1875

Læs mere

Læringskontrakten. Gruppenummer, retning, dato Projektets titel (evt arbejdstitel) Problembeskrivelse

Læringskontrakten. Gruppenummer, retning, dato Projektets titel (evt arbejdstitel) Problembeskrivelse Læringskontrakten Gruppenummer, retning, dato Projektets titel (evt arbejdstitel) Problembeskrivelse En beskrivelse af, hvad der forventes lært gennem projektet. Indlæringsniveauet beskrives ved brug af

Læs mere