ERFA-MØDE 8. & 15. dec. 2016

Transkript

1 ERFA-MØDE 8. & 15. dec. 2016

2 DAGENS AGENDA 15:00 Velkommen & Nye funktioner version Ekstra nytårs release, diverse 16:00 Kaffepause 16:15 GDPR - Best Practice ved implementering i CM 17:00 Dialog, videndeling og RoadMap for CM Gløgg og netværk HUSK Julerabat, 6%, 12% eller 16% på timer til konsulentsparring 2

3 3

4 Inden version 9.5.

5 3 KONCEPTER ControlManager ISMS-Tool Compliance dokumentation Awareness-motor Beredskabsstyring Rådgivning & sparring ISMS opbygning og design Kontrol og revision efterlevelse/krav Awareness kampagner Beredskab opbygning og test GAP / Modenhedsanalyse ISO & GDPR & X ISO27001 Pre-Audit Opbygning af Beredskabstest

6 SISCON ERFA GRUPPE DET HANDLER OM: AT GIVE AT MODTAGE VI ØNSKER OS AT DU: FÅR MEST MULIGT UD AF DAGEN FORBEREDER DIG I LØBET AF DAGEN MED SPØRGSMÅL KOMMER MED KONSTRUKTIV FEEDBACK ControlManager by Siscon 6

7 CONTROLMANAGER - RYGRADEN I DIT ISMS ControlManager by Siscon 7

8 NYE FUNKTIONER Nyt modul - risikoanalyse Multikontroller... og 40 andre nye større og mindre ting ControlManager by Siscon 8

9 RISIKOANALYSE FORMÅL Er at tilbyde et værktøj der er uafhængig af den normale risikovurdering. Til brug ifm. Projekter Outsourcingsaftaler / partnere Ændringer i forretningsområder Udviklingsopgaver intern / ekstern... og andet ControlManager by Siscon 9

10 RISIKOANALYSE Parametre for konsekvens Parametre for sandsynlighed Risiko objekter Udvælgelse af område Udpegning af ansvarlig og udførende Udvælgelse af dimension Gennemførelse Udsendelse af mail Input via Front End Gem og kom tilbage Synlig i opgave oversigt Hvem har lavet hvad status Hvem har svaret Hvad er svaret Hvordan ser det samlede billede ud Visning for fokusområder Rapportering Udvælgelse af områder ud fra: Dimension Organisatorisk enhed Forberedelse Overblik ControlManager by Siscon 10

11 KONTROL / OPFØLGNING PÅ NIVEAU Flere steder samme kontrol ControlManager by Siscon 11

12 MULTIKONTROLLER FORMÅL Er at formindske den forbrugte tid på at oprette kontroller og få overblik over kontrollerne. Til brug ifm.: Gennemgang af brugere med tilhørende rettigheder Gennemgang af baseline tiltag på systemer / services Gennemgang af opfølgning på dataflow for processer og meget andet ControlManager by Siscon 12

13 MULITIKONTROLLER ControlManager by Siscon 13

14 OG LIDT ANDET NYE ENHEDER FRA DIAGRAM Oprette nye enheder i diagramvisning GRUPPER Husker view + Alle MAIL Publicering til front end UDEN mail til målgruppen Ændre på prioritet af mail Test mode for all mails Tilvælg / Fravælg udsendele af mail ifm. Kontrol Mail til leder (periodevis) for status i afdeling Mulighed for header og footer ControlManager by Siscon 14

15 OG NOGET MERE REVISIONSBEMÆRKNINGER Revisionsbemærkninger synlige ved sårbarhedsanalysen DISPENSATIONER Helt nyt flow Mail udsendelser HÅNDBOG I FRONT END Kun procedurer der er godkendt er synlige Regler bliver når de er under redigering KONTROLLER Kontroller kan relateres til andre kontroller (Grupper) ControlManager by Siscon 15

16 EU-GDPR IMPLEMENTERET I CONTROLMANAGER

17 SISCON TILGANG TIL EU-GDPR Birgitte Kofod Olsen EU-GDPR implementeret i ControlManager 17

18 RELEVANTE OMRÅDER Overblik over databehandlingen Overblik over faktuelt complianceniveau Opbevaring og vedligeholdelse revisionserklæringer og databehandleraftaler Konsekvensvurderinger EU-GDPR implementeret i ControlManager 18

20 DATAFLOWANALYSER EU-GDPR KRÆVER VURDERING AF KONSEKVENSERNE AF DATABEHANDLINGEN FOR AT EVALUERE RISICIENES OPRINDELSE, NATUR, EGENART OG ALVORLIGHED (DPIA) DET FORUDSÆTTER OVERBLIK OVER DATAFLOWS HVILER PÅ ET OVERBLIK OVER IT-INFRASTRUKTUR FUNKTIONSOMRÅDER Identificér relevante funktionsområder processer systemer aktiver DATAFLOWS Beskriv dataflows: datakilder dataelementer datatyper videregivelse af data DPIA Vurdér: Dataansvarlighed Databehandling Datarettigheder Datasikkerhed EU-GDPR implementeret i ControlManager IT-landskabet 20

21 FOR SCREENING HVOR SKAL VI GENNEMFØRE ANALYSE? R&D IT HR System Service Virksomhed Produktion Salg og marketing Kunde Service Økonomi EU-GDPR implementeret i ControlManager 21

22 NIVEAUET AF ANALYSEN? Modtagelse af ansøgninger Virksomhedsområde Rekruttering Screening og personlighedstest Udarbejdelse af ansættelseskontrakt Fastholdelse Funktionsområde Gennemførelse af MUS Proces EU-GDPR implementeret i ControlManager 22

23 DATAFLOWANALYSE Udvekslingsaftale DATASÆT A Formål med anvendelse Type af information Kategori Ansvarlig Relationer Systemer & Processer Ind / Ud interfaces DATASÆT B Formål med anvendelse Type af information Kategori Ansvarlig Relationer Systemer & Processer Ind / Ud interfaces 23

24 DATAFLOWANALYSE Udvekslingsaftale AFTALEN Ansvarlig Formål Elementer af information Godkender Status Review 24

25 DATAFLOW ELEMENTER HR Rekruttering Modtagelse af ansøgninger Screening og personlighedstest Udarbejdelse af ansættelseskontrakt Online screening Datasæt 1 Mail/kalender (Vedhæftet resultater) Datasæt 2 Filserver (Resultater gemt) Datasæt 3 Data: - A - B Data: - E - F - G Data: - C - H - I Fastholdelse Gennemførelse af MUS HR system Datasæt 4 25

26 DEMO EU-GDPR implementeret i ControlManager 26

27 DATAFLOW ELEMENTER HR Rekruttering Modtagelse af ansøgninger Screening og personlighedstest Udarbejdelse af ansættelseskontrakt Online screening Datasæt 1 A, B, C, H, I Mail/kalender (Vedhæftet resultater) Datasæt 2 A, B, E, F, G Filserver (Resultater gemt) Datasæt 3 E,F,G Data: - A - B Data: - E - F - G Data: - C - H - I Fastholdelse Gennemførelse af MUS HR system Datasæt 4 C,H,I, Q,J 27

29 Forankring af EU-GDPR krav i ISMS et

30 COMPLIANCE OPBYGNING / REGELSÆTOPBYGNING ISO Persondata forordningen Finanstilsynets vejledninger Bogføringslov Cyberforsvar der virker Et samlet regelsæt Kontrol Dimension IT Drift IT Udvikling ISMS Styring Kontroller Periodisk review af brugere Kontrol af patchniveau Penetrationstest Risikovurdering 30

31 MAPNING AF EU-GDPR -> REGEL -> KONTROL EU-GDPR Kontrol Regel egel Regel Hvordan/detaljer Hvordan EU-GDPR implementeret i ControlManager 35

32 VURDERING AF COMPLIANCE-NIVEAU TAG UDGANGSPUNKT I LOV/STANDARD ILLUSTRER HVILKE REGLER DER ER ETABLERET FOR AT UNDERSTØTTE OVERHOLDELSE AF LOV Der skal hver 3. måned revurderes brugerrettigheder, med udgangspunkt i arbejdsbetinget behov ILLUSTRER HVILKE KONTROLLER DER ER PÅ PLADS, FOR AT SIKRE OVERHOLDELSE AF REGEL DOKUMENTER EVIDENS PÅ KONTROLLER 36

33 I PRAKSIS ISO27001 krav Egen regel Kontrol Evidens Aktivitet EU-GDPR i praksis 37

34 EU-GDPR GAP ANALYSER

35 HVOR ER DU NU? GAP-ANALYSER GIVER DIG EN GOD IDÉ OM HVOR DU STÅR I forhold til en standard (F.eks. ISO 27001/2) I forhold til lovgivning (Persondataforordningen) Har jeg f.eks. tilstrækkelige sikringsforanstaltninger Backup, Logning, Kryptering I forhold til dit allerede implementerede regelsæt KAN ANVENDES: Overordnet Hvor er jeg i dag generelt set? Inden for et specifikt sikkerhedsmæssigt område: Databehandling, privatlivsbeskyttelse Inden for et specifikt organisatorisk område: Afdeling, kontor, proces På et givent system (Tilstandsrapport) 39

36 OPSÆTNING AF ANALYSEN 40

37 OPSÆTNING AF ANALYSEN EU-GDPR implementeret i ControlManager 41

38 RESULTATERNE EU-GDPR implementeret i ControlManager 42

40 DOKUMENTARKIV OPBEVARING AF Sletteinstrukser Databehandleraftaler Revisionserklæringer PERIODISK REVURDERING AF Gyldighed RELATERET TIL Processer/Services/ Aktiver/Dataflowobjekter EU-GDPR implementeret i ControlManager 44

41 DATAFLOW ELEMENTER Online screening HR Rekruttering Modtagelse af ansøgninger Screening og personlighedstest Udarbejdelse af ansættelseskontrakt Mail/kalender (Vedhæftet resultater) Filserver (Resultater gemt) HR system Fastholdelse Gennemførelse af MUS 45

43 DPIA OVERBLIKKET OVER DATABEHANDLINGEN OG ORGANISATIONENS DATAFLOWS, GIVER INPUT TIL AT GENNEMFØRE EN KONSEKVENSVURDERING AF DATABEHANDLINGEN, SOM I EN RÆKKE TILFÆLDE VIL VÆRE KRÆVET. KONSEKVENSANALYSEN SKAL MINDST OMFATTE: En systematisk beskrivelse af de planlagte behandlingsaktiviteter Formålene med behandlingen Behandlingens lovlige grundlag En vurdering af, om der er et rimeligt forhold mellem formål og behandlingen (proportionalitet) En vurdering af risikoen for, at påvirke datasubjektets rettigheder og frihedsrettigheder negativt Etablerede eller påtænkte risikoreducerende foranstaltninger. I CONTROLMANAGER VERSION 10 (MAJ 2017) BLIVER DET MULIGT AT GENNEMFØRE DE NØDVENDIGE DATA PROTECTION IMPACT ASSESMENTS (DPIA). DISSE VIL KUNNE KNYTTES TIL DE RELEVANTE STEDER I DATAFLOWMODELLEN, HVORVED DET BLIVER MULIGT AT DOKUMENTERE DE VURDERINGER, DER ER GJORT I FORBINDELSE MED FLOWET OG DERMED BEHANDLINGEN. DPIA ERNE VIL KUNNE INDSAMLES (OG LØBENDE VEDLIGEHOLDES) IGENNEM CONTROLMANAGER. EU-GDPR implementeret i ControlManager 47

44 ROADMAP CONTROLMANAGER

45 NYE TING Version 9.6 Version 10.0 Version 10.X Roadmap ControlManger 49

46 VERSION 9.6 RELEASE ÅRSSKIFTE 2016 / 2017 Ændring i arbejdet med dataflow Udgangspunkt i processer / services / systemer Datasæt Dataelementer Dataudvekslingsaftale Udtræk på hvor og hvilke data findes i virksomheden Fejlrettelser fra version 9.5 Roadmap ControlManger 50

47 VERSION 10.0 RELEASE MAJ 2017 Redesign af ControlManager Back End Moderne grafisk brugergrænseflade Minimere antallet klik for at komme frem Mere ensartet funktionalitet Yderligere mulighed for datarapporter Mere intuitivt Guide ved store opgave DPIA-analyse modul Yderligere få nye funktioner Roadmap ControlManger 51

48 VERSION 10.X RELEASE NOVEMBER 2017 Tilpasning af funktionalitet ift. EU GDPR Funktioner ikke fastlagt Vi har i dag et katalog på ca. 70 punkter Ønsker fra Jer og krav fra markedet Roadmap ControlManger 52