Ledelsesforankret informationssikkerhed. med ISO/IEC 27001

Transkript

1 Ledelsesforankret informationssikkerhed med ISO/IEC 27001

2 02 Indhold > Forord INTRODUKTION ISO/IEC Ansvar og opgaver Standardens indhold PROCESSEN Procesmodellen Afstem forventninger til sikkerhed (Plan) Implementér sikkerhedsarbejdet (Do) Måling, test og rapportering på sikkerhed (Check) Eventuelle forbedringer i sikkerhedsarbejdet (Act) Litteraturliste... 28

3 03 Forord > De statslige organisationer er kommet langt i arbejdet med informationssikkerhed. Sikkerhedsarbejdet i organisationerne er modnet, og der er etableret et grundlag for det fremadrettede arbejde. Der er blandt andet skabt et fælles sprog for informationssikkerhed i staten, og samtidig er organisationernes ledelse i højere grad blevet involveret, så arbejdet med informationssikkerhed ikke længere alene drives af f.eks. it-afdelingen eller it-sikkerhedslederne. Endelig har arbejdet med informationssikkerhed fået større fokus på risikovurdering set i forhold til organisationens samlede mål og risikobillede. Modenheden i sikkerhedsarbejdet, statens generelle ønske om at vedligeholde et sæt af obligatoriske åbne standarder og regeringens ønske om en enklere administration 1 gør, at den nuværende standard for informationssikkerhed DS 484 erstattes med den internationale standard ISO/IEC Overgangen til ISO/IEC vil bidrage til etablering af et afstemt og passende sikkerhedsniveau i organisationerne, samtidig med at sikkerhedsarbejdet forankres yderligere i organisationens ledelse. Indtil den næste revision af ISO/IEC er det frivilligt for organisationerne i staten, om de vælger at anvende den ene eller anden standard. Der er endvidere ikke krav om certificering efter standarden, men alene om, at organisationerne arbejder efter den. Hvem henvender vejledningen sig til? Vejledningen er henvendt dels til dem, som implementerer og beskæftiger sig med informationssikkerhedsarbejdet i det daglige, og dels til den ansvarlige ledelse. Ledelsen kan primært have glæde af at læse afsnittet om ansvar og opgaver for ledelsen i organisationen. 1 Se publikationen Enkel administration i staten på

4 04 > ISO/IEC indeholder i princippet de samme sikringsforanstaltninger som DS 484, men der er ikke minimumskrav til, hvilke sikringsforanstaltninger som skal implementeres. Der er ikke tale om, at organisationerne i staten nu skal starte forfra med sikkerhedsarbejdet. De kan bygge videre på det eksisterende informationssikkerhedsarbejde, men i højere grad fokusere på etablering af ledelsesopbakning, risikovurdering og tilstrækkelige sikringsforanstaltninger. Det er forventningen, at det arbejde, der skal udføres i forbindelse med ISO/IEC 27001, er begrænset til nogle enkelte aktiviteter, da meget allerede er gennemført som en del af den eksisterende DS 484-implementering. Hvor meget, der skal justeres, afhænger dog af, hvor langt organisationen er i sikkerhedsarbejdet, og organisationens risikoprofil. Det er hensigten, at vejledningen er praktisk anvendelig og kan hjælpe de informationssikkerhedsansvarlige over de forhindringer, der ellers vil kunne forsinke processen. Konkrete implementeringsaktiviteter i forhold til detaljerede problemstillinger falder uden for vejledningens formål. Vejledningen indeholder to dele: Dels en introduktion til ISO/IEC og dels en beskrivelse af processen for sikkerhedsarbejdet efter standarden. Læs standarden Denne vejledning kan ikke stå alene. Det anbefales, at organisationen anskaffer standarden og læser den sammen med denne vejledning. Standarden kan erhverves igennem standardiseringsorganisationer, som f.eks. Dansk Standard på

5 05 Introduktion > ISO/IEC ISO/IEC er en standard, som beskriver, hvordan en organisation kan opbygge et ledelsessystem for informationssikkerhed, et såkaldt ISMS 2. Systemet betoner en ledelsesforankret, forretningsorienteret og risikovurderingsbaseret tilgang til sikkerhed. Standarden lægger op til, at der tages udgangspunkt i den enkelte organisations risikoprofil. Med afsæt heri vælges implementering af de sikkerhedstiltag, der er passende og tilstrækkelige for den enkelte organisation. forbindelse med outsourcing og samarbejdsprojekter. Udbredelsen af standarden i staten vil give staten adgang til et større marked af sikkerhedsydelser. Den involvering af ledelsen i fastlæggelsen af et tilstrækkeligt sikkerhedsniveau ud fra en risikobaseret tilgang, som ISO/IEC lægger op til, ligger i forlængelse af de udmeldte principper for god intern statslig administration, hvor der bl.a. er fokus på nødvendighed og proportionalitet i administration og regulering. Valget af en international standard, der vedligeholdes af eksperter på tværs af landegrænser, sikrer, at kvaliteten af standarden er høj. Endvidere er sikkerhedsudfordringer i dag internationale, og sikkerhedstiltag vil derfor skulle koordineres på tværs af landegrænser. 2 Information Security Management System Endelig er ISO/IEC en standard, som både private og offentlige virksomheder arbejder efter, og den vil derfor kunne udgøre et fælles sprog i

6 06 > ISO/IEC fokuserer på tre centrale områder: En risikobaseret stillingtagen til sikkerhed, dvs. proportionalitet i valget af sikringsforanstaltninger og procedurer i informationssikkerhedsarbejdet. Det bidrager til etablering af et passende sikkerhedsniveau, der er afstemt i forhold til organisationens forretning og risikobillede. Ledelsesforankring, hvor organisationens ledelse involveres direkte i fastlæggelsen af et tilstrækkeligt sikkerhedsniveau og godkender hvilket risikoniveau, der er acceptabelt for organisationen. Dokumentation af ledelsens involvering i arbejdet med informationssikkerhed. Dokumentationen har til formål at sikre ledelsens involvering samt synliggøre ledelsens ansvar for informationssikkerheden i organisationen.

7 07 Ansvar og opgaver > De roller i arbejdet med informationssikkerhed, som var beskrevet i DS 484, og som staten derfor hidtil har arbejdet med, er ikke forandret i ISO/IEC Opgaver for lederen af organisationen Arbejdet med informationssikkerhed er en løbende proces, som skal integreres i det samlede arbejde med ledelse og styring af organisationen. Informationssikkerhed er et ledelsesansvar ligesom økonomistyring, arbejdsmiljø, service eller borgerbetjening. Det er et krav i standarden, at ledelsen er involveret i arbejdet med informationssikkerhed, og at dette er dokumenteret. Eksempler på dokumentation af ledelsesinvolveringen kan f.eks. være godkendte sikkerhedsdokumenter eller referater fra aktiviteter, hvor ledelsen har deltaget. I forbindelse med sikkerhedsarbejdet udarbejdes nogle dokumenter, som beskriver organisationens væsentligste sikkerhedsmål og tiltag. Disse dokumenter, som er behandlet senere i vejledningen, bør indgå i den eksisterende ledelsesproces i organisationen, så de drøftes i de relevante ledelsesfora, der kan tage beslutninger og sikre opfølgning. Ledelsens primære opgave i sikkerhedsarbejdet er ikke ændret i forhold til tidligere. Opgaven er stadig at fastlægge niveauet for sikkerhed i organisationen og at sikre, at informationssikkerhedsarbejdet i organisationen bliver en naturlig og integreret del af det daglige arbejde. Et effektivt og tilstrækkeligt sikkerhedsniveau fordrer, at ledelsen sikrer, at sikkerhedstiltagene vælges, prioriteres og tilpasses organisationens behov og imødegår de risici, som er identificeret som de kritiske. Risikovurderingen tager udgangspunkt i de informationsaktiver, der er væsentlige for organisationen. Identifikationen af aktiverne foretages ved en gennemgang af de mest kritiske og centrale forretningsprocesser/aktiviteter, som institutionen udfører, og de dertil knyttede informationer og data. Ledelsen skal være aktiv aktør i denne analyse.

8 08 > 3 Denne vil f.eks. have titel af informationssikkerhedskoordinator, informationssikkerhedschef eller informationssikkerhedsleder. Den ledelsesgodkendte risikovurdering danner grundlaget for at fastsætte de mål og sikringsforanstaltninger, der løbende rapporteres på. I rapporteringer kan ledelsen løbende følge med i og vurdere tilstrækkeligheden af indsatsen i arbejdet med styring af informationssikkerheden. Opgaver for lederen af informationssikkerhedsarbejdet 3 Lederen af informationssikkerhedsarbejdet skal bidrage til, at opgaverne vedrørende informationssikkerhed bliver udført i organisationen på en måde, som er i overensstemmelse med den overordnede ledelses beslutninger. Lederen af informationssikkerhedsarbejdet skal sikre, at ledelsen kender sammenhængen mellem organisationens forretning, risikoprofil og de valgte sikringsforanstaltninger. Lederen af informationssikkerhedsarbejdet skal understøtte og sikre disse foranstaltningers stabilitet og resultater. Lederen af informationssikkerhedsarbejdet er faglig ekspert på området og skal omsætte standardens indhold og eventuelle lovkrav til konkrete aktiviteter og sikringsforanstaltninger, der kan implementeres i organisationen. I forlængelse heraf skal der følges op på, om arbejdet giver det ønskede resultat. Det konkrete arbejde udføres ofte i samarbejde med andre, f.eks. it-afdelingen, indkøbsafdelingen, personaleafdelingen og eksterne samarbejdsparter. Lederen af informationssikkerhedsarbejdet har typisk en koordinerende og vigtig rolle i organisations arbejde med informationssikkerhed. Ledelsesopbakning forudsætter en fyldestgørende og operationel rapportering på informationssikkerhedsarbejdet til den overordnede ledelse. I nogle organisationer har man oplevet, at et fokus på sikkerhedspolitikken fra revisionens side har gjort dialogen nemmere. I de fleste situationer er det en udfordring at skaffe ledelsesopbakning. Mange ledere af informationssikkerhedsarbejdet opfatter det som en salgs- og markedsføringsopgave, som man må være parat til at tage, når muligheden er der for at få en dialog med den ansvarlige leder. Det er altid at foretrække at få et egentligt møde.

9 09 Standardens indhold > ISO/IEC beskriver en model for etablering, implementering, drift, overvågning, revudering/ vedligeholdelse og forbedring af et dokumenteret ledelsessystem for informationssikkerhed (det såkaldte ISMS). Standarden er beregnet til brug for alle virksomheder og organisationer uanset type og størrelse. Standarden omhandler informationssikkerhed og ikke alene it-sikkerhed. Den omhandler således alle informationsaktiver (fysiske, medarbejdere, it-mæssige mv.), der lagrer eller behandler informationer og er nødvendige, for at organisationen kan nå sine mål. Den konkrete udformning, omfanget og detaljeringsgraden af ledelsessystemet for informationssikkerhed fastlægges af organisationens ledelse ved at gennemføre en risikovurdering og en analyse af organisationens ønsker, krav og risikoprofil. Styring af lovmæssige krav og kontraktkrav Styring af mennesker processer, træning og kommunikation Styring af informationssikkerhed Styring af it-systemer og fysisk sikkerhed Figur 1: Elementer af informationssikkerhed På baggrund af en ledelsesforankret risikovurdering skal ledelsen vælge relevante og passende sikkerhedsforanstaltninger, som beskytter infor-

10 10 > mationsaktiverne og skaber tillid hos organisationens samarbejdspartnere, brugere og andre interessenter. De enkelte opgaver i standarden følger en model, der kan opdeles i fire faser. På engelsk benævnes modellen Plan, Do, Check, Act (forkortet PDCA) planlæg, udfør, kontrollér og handl. Denne faseopdeling ligger til grund for procesmodellen, som beskrives i denne vejlednings anden halvdel. Udover de opgaver, som er beskrevet i selve standarden, er der i anneks A en række forslag til sikringsforanstaltninger. For hver sikringsforanstaltning vurderes det, hvorvidt den er relevant at implementere i forhold til virksomhedens risikobillede. Enkelte af sikringsforanstaltningerne er påkrævet ifølge ISO/IEC og kan således ikke fravælges. Sikringsforanstaltningerne er opdelt i 11 domæner (figur 3), der svarer til de områder, der kendes fra det eksisterende informationssikkerhedarbejde. P D A C Figur 2: Procesmodel - PDCA

11 11 > Den risikobaserede tilgang Arbejdet med informationssikkerhed går på tværs af organisationen og omfatter både teknik, processer og adfærd. Traditionelt er der fokus på teknik og processer, men den menneskelige faktor må medtænkes. Inden for hvert fokusområde kan der være risici, som skal identificeres, vurderes og håndteres. Arbejdet med informationssikkerhed skal passe til hverdagens udfordringer, og det er muligt med ISO/IEC En risikobaseret tilgang opfattes måske som en forandring, som vil kunne møde modstand. Men det er netop gennem en vurdering af hvilke risici organisationen står over for, hvilke risici organisationen skal håndtere, og hvilke den kan leve med, at informationssikkerhedsarbejdet får værdi. Den risikobaserede tilgang er altså en lejlighed til at identificere muligheder for at justere organisationens ressourceforbrug og administrative byrder i forbindelsen med sikkerhedsarbejdet til det risikobillede, som organisationen reelt står overfor. Samtidig er den grundlaget for vurderingen af, om de implementerede sikringsforanstaltninger er passende. ISO/IEC A.5 A.6 A.7 A.8 A.9 A.10 A.11 A.12 A.13 A.14 A.15 Sikkerhedspolitik Organisering af informationssikkerhed Styring af aktiver Medarbejdersikkerhed Fysisk og miljømæssig sikkerhed Styring af kommunikation og drift Adgangsstyring Anskaffelse, udvikling og vedligeholdelse af informationssystemer Styring af informationssikkerhedshændelser Beredskabsstyring Compliance - Overensstemmelse med krav og politikker Figur 3: De 11 domæner i ISO/IEC 27001

12 12 Gode råd > 1 Arbejdet med informationssikkerhed skal give værdi og mening for den enkelte medarbejder What is in it for me?. 2 Der skal være et ledelsessystem og en medarbejderpolitik, som understøtter medarbejdernes arbejde med informationssikkerhed, f.eks. udtrykt i jobprofilen, medarbejdersamtalen eller medarbejderevalueringen. 3 Ikke alle har kvalifikationer på informationssikkerhedsområdet. Der bør kommunikeres og trænes i de nye kompetencer, der er behov for. 4 Der er brug for rollemodeller. Det er tit de ildsjæle, der er kendt i arbejdet med informationssikkerhed, men det kan også være medarbejdere, som i forvejen er faglige rollemodeller i andre sammenhænge.

13 13 Processen > Procesmodellen I resten af vejledningen gennemgås de fire faser i procesmodellen (figur 4). For hver fase er der fokuseret på de væsentligste aktiviteter og resultaterne heraf. Samtidig omtales for hver fase nogle af de udfordringer, der kan være ved aktiviteterne, og der gives nogle gode råd til at håndtere disse udfordringer. Afstem forventninger til sikkerhed Plan Do Implementer sikkerhedsarbejdet Hvor starter man? Da alle statslige organisationer har arbejdet med en informationssikkerhedsstandard, er det forskelligt hvor i procesmodellen, der er behov for at starte. Hvis organisationen står over for at skulle opdatere risikovurderingen, vil det være naturligt at starte i planlægningsfasen (Plan). Er der derimod et behov for at følge op på det sikkerhedsarbejde, der allerede er implementeret, eller at vurdere sikkerhedsniveauet og effektiviteten af de implementerede sikringsforanstaltninger, vil det være mere naturligt at starte i kontrolfasen (Check). Act Eventuelle forbedringer i sikkerhedsarbejdet Check Måling, test og rapportering på sikkerhed Figur 4: Procesmodel for ledelsesforankret informationssikkerhed

14 14 Afstem forventninger til sikkerhed (Plan) > Plan Plan Do Væsentlige aktiviteter og dokumenter Udfordringer Act Check Definér og afgræns omfanget af ledelsessystemet for informationssikkerhed (ISMS) Definér ISMS-politik Gennemfør risikovurdering Udvælg sikringsforanstaltninger Udarbejd Statement of Applicability (SoA-dokumentet) Ledelsen godkender risikovurderingens resultat, SoA-dokumentet og ISMSpolitikken Sammenhæng mellem mål for informationssikkerhed, forretningens mål og behov Begreber og metode i risikovurderingen Opbakning og involvering af relevante aktører Udvælgelse af relevante og kritiske informationsaktiver Kommunikation til alle målgrupper / awareness Definér og afgræns ledelsessystem for informationssikkerhed (ISMS) Erfaringerne fra arbejdet med DS 484 viser, at det er centralt at etablere ledelsesmæssig opbakning, fokus i organisationen og ressourcer til arbejdet med informationssikkerhed. Overgangen til ISO/IEC ændrer ikke på dette. Informationssikkerhed er stadig et ledelsesansvar, og det er stadig nødvendigt for lederen af informationssikkerhedsarbejdet at tilrettelægge en proces, der i organisationen opleves som et konstruktivt og positivt bidrag til organisationens kerneaktiviteter. Organisationen skal identificere sine væsentligste opgaver og kritiske informationsaktiver til en risikovurdering. Med risikovurderingen vurderes konse-

15 15 > kvensen ved og sandsynligheden for tab af fortrolighed, integritet eller tilgængelighed af informationsaktiver. Resultatet af risikovurderingen danner grundlag for fastlæggelsen af omfanget og afgrænsningen af ledelsessystemet for informationssikkerhed (ISMS) og for en udvælgelse og implementering af passende sikringsforanstaltninger. Organisationens erfaringer fra det hidtidige sikkerhedsarbejde og eventuelle sikkerhedshændelser kan indgå i grundlaget for vurderingen. Ledelsessystem for informationssikkerhed (ISMS) definitionen i ISO/IEC Den del af det samlede ledelsessystem, der med udgangspunkt i en vurdering af forretningsmæssige risici dækker etablering, implementering, drift, overvågning, revurdering, vedligeholdelse og forbedring af informationssikkerhed. Et ISMS omfatter organisationsstruktur, politikker, planlægningsaktiviteter, ansvarsområder, skikke, procedurer, processer og ressourcer. Beslutningen om afgrænsning af opgaven og prioritering af aktiviteter bør beskrives i en egentlig handlingsplan, der godkendes af ledelsen. Definér ISMS-politik De fleste organisationer har allerede en informationssikkerhedspolitik. Der er ikke nødvendigvis nogen forskel på den nuværende politik og en politik baseret på ISO/IEC Formulering af en informationssikkerhedspolitik udtrykker de forventninger, krav, mål, prioriteringer og konkrete beslutninger, som ledelsen har vedtaget for sikkerheden i en organisation. Politikken skal passe til organisationens forretningsmålsætning og sætte rammerne for formulering af formålet med informationssikkerhedsarbejdet. Gennemfør risikovurdering I statens hidtidige arbejde med informationssikkerhed har det været meget forskelligt, hvilken metode organisationerne har anvendt til risikovurderingen.

16 16 > Nogle har brugt en kvantitativ metode, mens andre mere kvalitativt har vurderet trusler og risici. Denne forskellighed afspejler bl.a. variationen i, hvad statens organisationer beskæftiger sig med. ISO/IEC ændrer ikke ved dette. Det vigtigste i arbejdet med en risikovurdering er fortsat at beskrive organisationens specifikke risici, beskrive den valgte metode og anvende metoden konsekvent. I analysen vurderes risici for tab af tilgænge-lighed, fortrolighed og integritet i forhold til de forretningsmæssige konsekvenser af en sikkerhedshændelse samt sandsynligheden for, at den indtræffer. Risikovurderingen gennemføres på det, som i standarden kaldes informationsaktiver. Det er både it-systemer og applikationer, fysiske informationsaktiver i form af f.eks. papiraktiver, væsentlige arbejdsprocesser, medarbejdere mv. Langt de fleste organisationer har foretaget en risikovurdering mindst én gang. Er der endnu ikke foretaget en risikovurdering, er det vigtigt at starte med de aktiver eller processer, som er vigtigst for organisationen. I gennemførelsen af risikovurderingen skal som minimum inddrages dem, der ejer informationsaktiverne, og den ansvarlige ledelse. Det kan dog være en rigtig god ide at inddrage flere personer, da risikovurderingen er en god lejlighed til holdningsbearbejdning og kommunikation om informationssikkerhed. Risikovurderingen vil give deltagerne en bedre forståelse af det samlede risikobillede og dermed af behovet for sikringsforanstaltninger. Hvis organisationens informationssikkerhedsarbejde er opdelt på flere områder i organisationen, er det vigtigt, at risici vurderes efter samme metode på tværs af organisationen, og at sikringsforanstaltningerne koordineres. Det er vigtigt at vælge den metode til risikovurdering, som passer til organisationen. De begreber og metoder, der er brugt i det hidtidige informationssikkerhedsarbejde, kan med fordel videreføres, hvis de har fungeret godt.

17 17 > Eksempler på trusler og sårbarheder I ISO/IEC (som er en tilhørende standard, se litteraturlisten) findes nogle eksempler og vejledninger, som organisationen kan vælge at tage udgangspunkt i. Uanset den valgte metode skal risikovurderingen indeholde en vurdering af konsekvensen ved, at en sikkerhedshændelse indtræffer. Denne konsekvens kan opgøres ud fra forskellige forhold som økonomi, image, politisk og strategisk konsekvens. Den samlede konsekvens kan udtrykkes i både kvalitative størrelser og i egentlige økonomiske omkostninger. Konsekvensvurderingen skal suppleres med en vurdering af sandsynligheden for, at risikoen indtræffer. Denne sandsynlighed kan vurderes generelt eller i relation til konkrete trusler. Vurderingen er ofte svær, da der sjældent findes oplysninger om de forskellige truslers reelle sandsynlighed. Her kan der med fordel tages udgangspunkt i organisationens erfaringer med truslen. Udvælg sikringsforanstaltninger Når risikovurderingen er gennemført, bør der tages stilling til de enkelte risici med udgangspunkt i de mest kritiske risici først. Risikovurderingen danner grundlag for behovet for beskyttelse af informationsaktiverne, og skal sammenholdes med de sikringsforanstaltninger, som er implementeret i organisationen. Effektiviteten af disse sikringsforanstaltninger bestemmer den faktiske risikominimering. På de punkter, hvor risikovurderingen af det samlede sikkerhedsniveau viser, at niveauet ikke opfylder behovet, må nødvendigheden af yderligere sikringsforanstaltninger vurderes. Sikkerhedsarbejdet kan ikke fjerne risici fuldstændigt. Der vil aldrig være en situation, hvor der ingen risiko er, uanset hvor mange sikringsforanstaltninger der måtte være implementeret. Sikkerhedsarbejdet kan derimod gøre, at risici er vurderet og minimeret i passende grad til, at restrisikoen er overskuelig og acceptabel.

18 18 > Valget af passende sikringsforanstaltninger vurderes bl.a. ud fra den omkostning, der er ved foranstaltningen, sammenholdt med den omkostning, som konsekvensen af en sikkerhedshændelse vil kunne have, hvis den indtræffer, og sandsynligheden herfor. Det er hensigtsmæssigt, at denne afvejning forelægges ledelsen, idet niveauet af resterende risiko skal godkendes af ledelsen. Udarbejd Statement of Applicability (SoA-dokumentet) Standardens anneks A indeholder en samling sikringsforanstaltninger. Organisationen kan med udgangspunkt heri vurdere og begrunde til- og fravalg af sikringsforanstaltninger ud fra den risikovurdering, der er gennemført. SoA-dokumentet er centralt og bør være et af nøgledokumenterne i arbejdet med informationssikkerhed. Det kan betragtes som et statusnotat for organisationens arbejde med informationssikkerhed og som beslutningsdokumentation for valg og fravalg. Organisationen skal ved udarbejdelsen af SoAdokumentet som minimum forholde sig til, hvilke sikringsforanstaltninger i standardens anneks A, som er relevante. Anneks A svarer i store træk til de sikringsforanstaltninger, der kendes fra DS 484. Anneks A er ikke nødvendigvis fyldestgørende, og organisationen kan eventuelt tilføje andre sikringsforanstaltninger, som er relevante i forhold til det vurderede risikobillede. Anneks A indeholder de relevante sikkerhedsområder, som den gennemførte risikovurdering principielt må omfatte. I SoA-dokumentet anføres det og begrundes, hvorvidt sikringsforanstaltninger på et givet område er relevant for organisationen eller ej. SoA-dokumentet giver således et overblik over arbejdet med informationssikkerhed og input til den fortsatte proces. Ledelsens godkendelse Som afslutning på Plan-fasen skal der foreligge ledelsesgodkendt dokumentation vedrørende resultatet af organisationens risikovurdering, ISMS-politik og SoA-dokumentet.

19 19 Implementér sikkerhedsarbejdet (Do) > Plan Do Do Væsentlige aktiviteter og dokumenter Udfordringer Act Check Udarbejd plan for risikohåndtering Opdater informationssikkerhedspolitik, retningslinjer og beredskabsplan mm. Implementér procedure til registrering af sikkerhedshændelser Ledelsen godkender sikkerhedspolitik, regningslinjer og beredskabsplan Gennemfør intern kommunikation om informationssikkerhed Prioritering og vurdering af risici Valg af kommunikationsform og gennemførelse af kommunikation om informationssikkerhed Udarbejd plan for risikohåndtering Forslag til sikringsforanstaltninger skal tage udgangspunkt i resultatet af risikovurderingen, og det skal beskrives, hvordan der opnås det sikkerhedsniveau på de enkelte områder, som er beskrevet i politikken.

20 20 > Risikohåndtering kan gennemføres på fire måder: Minimering. Risici, som i praksis kan reduceres, kan imødegås med sikringsforanstaltninger af teknisk eller organisatorisk art. Omgåelse. Risici kan gøres irrelevant ved en ændring af arbejdsopgaver, organisation eller processer. Overførsel. Risici kan overføres til andre, f.eks. ved at organisationen tegner en forsikring. Accept. Risici kan accepteres, som de er. Langt de fleste risici er nemme at vurdere og finde passende sikringsforanstaltninger imod. Andre sikringsforanstaltninger kan være mere komplicerede at identificere eller implementere, og her kan det være nødvendigt at inddrage andre for at vurdere, hvad der kan gøres. I risikohåndteringen skal der tages udgangspunkt i de risici, som i risikovurderingen ønskes minimeret eller omgået, og der skal designes relevante sikringsforanstaltninger og ændrede procedurer af teknisk eller organisatorisk art. For risici, som i risikovurderingen er vurderet at kunne overføres til andre, skal denne overførsel konkretiseres. Risici, som er vurderet som acceptable, skal der ikke gøres noget ved. Sikkerhedsforanstaltningerne implementeres ifølge en plan for konkrete aktiviteter. Information om konkrete sikringsforanstaltninger falder uden for denne vejlednings formål, men der kan findes nærmere retningslinjer for implementering i ISO/ IEC (som er en tilhørende standard, se litteraturlisten). Planen for informationssikkerhedsstyringen skal omfatte en identifikation af ansvarlige personer og mål for arbejdet. Endvidere beskrives den samlede ressourceanvendelse med hensyn til årsværk og omkostninger til tekniske og organisatoriske foranstaltninger.

21 21 > Hændelsesstyring Som en del af implementeringen af informationssikkerhedsstyringen udarbejdes der retningslinjer og procedurer for at følge op på, om de valgte sikringsforanstaltninger har den ønskede effekt på de risici, organisationen ønsker at styre. Registrering af sikkerhedshændelser er en vigtig opgave i dette arbejde. Medarbejdernes bevidsthed om brud på sikkerhed, viden om rapporteringskanaler og planer for håndtering af sikkerhedshændelser er derfor vigtige led i implementeringsprocessen. Resultatet af denne aktivitet kan være en retningslinje, der beskriver, hvordan man i organisationen identificerer, analyserer og rapporterer sikkerhedshændelser. Det anbefales, at retningslinjen udarbejdes i samarbejde med de it-ansvarlige, da det ofte er dem, der først modtager information om sikkerhedshændelser. behovet for at udbrede sikkerheds- awareness i organisationen. Da politikken udtrykker ledelsens forventninger til og mål for sikkerhedsarbejdet og prioriteringer og konkrete beslutninger, kan informationssikkerhedspolitikken med fordel udbredes internt i organisationen og til relevante interessenter uden for organisationen. Et vigtigt element i kommunikation til medarbejderne er, hvorfor sikkerhedsarbejdet er vigtigt, og hvilken rolle og opgave den enkelte medarbejder har. Det er en god idé at tænke i flere kommunikationsformer og målrette kommunikationen til de forskellige målgrupper. Skriftlig information, mundtlige oplæg, informationsbreve, interne kurser, opslag, quizzer og konkurrencer kan alle være relevante måder at kommunikere på. Indholdet tager afsæt i informationssikkerhedspolitikken med fokus på det, som er relevant for den enkelte medarbejder. Kommunikation og kompetence Når der foreligger en oversigt over passende sikringsforanstaltninger, skal der træffes beslutning om behovet for træning af medarbejdere og om

22 22 > Udarbejd en kommunikationsplan Formål og målsætninger Nøglebudskaber og vigtigste mål Målgrupper Kommunikationskanaler og medievalg tilpasset målgrupperne Aktiviteter, ansvarlige personer og deadlines Økonomi og ressourceanvendelse Opfølgning og tilpasning af kommunikationen Ledelsens godkendelse Det samlede resultatet af denne fase er en handlingsplan, hvor overvejelser og beslutninger dokumenteres. Ledelsen skal godkende elementerne i handlingsplanen, herunder planen for risikohåndtering, sikkerhedspolitikken, procedure for hændelsesstyring, kommunikationsplan og den samlede ressourceanvendelse på sikkerhedsarbejdet.

23 23 Måling, test og rapportering på sikkerhed (Check) > Plan Do Væsentlige aktiviteter og dokumenter Udfordringer Act Check Check Mål og test sikkerhedsniveauet Vurder om der er sket ændringer, som påvirker informationssikkerheden Rapportér sikkerhedsniveauet til ledelsen Ledelsen godkender sikkerhedsrapportering Fastlægge målepunkter Vurdere og teste sikringsforanstaltningerne Rapportere på en forståelig og interessant måde Måling, test og rapportering I denne fase gennemføres en opfølgning eller egentlig test af, om sikringsforanstaltningerne er tilstrækkelige og effektive til håndtering af risici og sikkerhedshændelser, samt om ressourceanvendelsen er hensigtsmæssig og står mål med resultatet. Der evalueres, om informationssikkerhedspolitikken og de tilhørende retningslinjer efterleves, og hvad der er det faktiske sikkerhedsniveau i organisationen.

24 24 > Testmetoder og opfølgning Opfølgningen kan udføres på flere måder. Der kan gennemføres tekniske test af systemer og applikationer for at afdække deres eventuelle sårbarheder. Der kan samles op på, hvad der er sket af sikkerhedshændelser og gennemført af korrigerende handlinger. Der kan gennemføres interviews eller indhentes anden feedback fra medarbejdere, f.eks. ved at gennemføre en spørgeskemaundersøgelse om organisationens implementering, forståelse og efterlevelse af informationssikkerhedspolitikken og retningslinjer. Tests og rapportering bør foretages af en kvalificeret og uafhængig person, som ikke er direkte involveret i den daglige drift af de sikringsforanstaltninger, som evalueres. I tilfælde, hvor sikringsforanstaltninger er meget komplekse at vurdere og forudsætter specialviden, kan der med fordel anvendes eksterne eksperter til test og vurdering. Organisationen bør gennemføre tekniske test af de væsentligste sikringsforanstaltninger for at sikre, at de virker efter hensigten. Hvor der er implementeret nye løsninger, eller risikobilledet har ændret sig, bør der gennemføres en fornyet risikovurdering og en test for at få fastlagt det reelle risikobillede. Risikobilledet kan have ændret sig, hvor der er sket ændringer i organisationens struktur, i dens informationssystemer eller i fysiske eller tekniske anlæg eller ved ydre påvirkninger såsom ændrede mål for organisationen eller et ændret regelgrundlag. Ledelsens godkendelse Resultatet af evalueringen består af dokumentationen for de gennemførte test og en samlet vurdering af sikringsforanstaltningernes tilstrækkelighed og effektivitet. Evalueringen skal godkendes af ledelsen. Det anbefales, at der i rapporteringen fokuseres på de væsentligste risici og de vigtigste områder af SoA-dokumentet. Vær opmærksom på, at risici

25 25 > og resultater skal kommunikeres på et niveau og i et sprog, som giver mening for ledelsen, og skal kunne danne grundlag for ledelsesbeslutninger. Med ledelsens godkendelse af rapporteringen er der samtidig tilvejebragt et opdateret grundlag for forslag til nødvendige, korrigerende handlinger og forbedringer af informationssikkerheden eller til afskaffelse af sikringsforanstaltninger, som ikke længere vurderes at være nødvendige. Der er dermed etableret et kvalificeret grundlag for at træffe beslutninger om vurderingen af ændrede risici, om implementering af ændrede sikringsforanstaltninger og om behov for kompetenceudvikling og ressourcer til vedligeholdelsen af sikkerhedsniveauet. Evalueringen af informationssikkerhedsarbejdet og ledelsens godkendelse heraf bør ske som minimum én gang om året.

26 26 Eventuelle forbedringer i sikkerhedsarbejdet (Act) > Plan Do Væsentlige aktiviteter og dokumenter Udfordringer Act Act Check Implementér ændringer i risikovurderinger, sikringsforanstaltninger mv. Ledelsen godkender forbedringsforslag Kommuniker ændringer til organisationen Afklaring af, om de foreslåede ændringer er de rigtige Opfølgning på risikovurderingen Som opfølgning på ledelsens godkendelse af sikkerhedsrapporteringen på sikkerhedsniveauet i organisationen og relevante opdateringer i risikovurderingen skal der eventuelt gennemføres en opdatering af den eksisterende plan for håndtering af risici. Opdateringen af risikovurderingen kan være mere eller mindre omfattende. Det vil afhænge af resultatet af de gennemførte test og målinger, ledelsens evaluering af hele informationssikkerhedsstyringen, eventuelle ændringer i trussels- eller risikoniveau, større organisatoriske ændringer eller andre relevante forhold. Hvis der er konstateret afvigelser i forhold til de definerede sikkerhedskrav og -politikker, bør de imødegås med korrigerende handlinger. Det er en god idé at udarbejde en konkret handlingsplan eller konkrete forslag til forbedringer i arbejdet med informationssikkerhed.

27 27 > På grundlag af den justerede plan for risikohånd-tering udarbejdes en mere overordnet plan for eventuelle forbedringer af styringen af informa-tionssikkerhed i overensstemmelse med organisationens målsætninger. De påtænkte forbedringer og ændringer beskrives for og godkendes af ledelsen. Der skal herefter ske relevant kommunikation til organisationen. På de områder, hvor handlingsplanen anviser nye indsatsområder, skal der ske planlægning og implementering af informationssikkerhedstiltag og sikringsforanstaltninger jf. de forudgående afsnit herom. Når ændringerne i informationssikkerhedsarbejdet er gennemført, kan de pågældende tiltag herefter indgå i den normale tilbagevendende måling, test og rapportering jf. afsnittet herom. Processen forsætter Arbejdet med informationssikkerhedsstyring er et af mange vigtige elementer i ledelsesarbejdet i organisationen og vil med tiden blive synkroniseret til den cyklus for ledelsesrapportering, som organisationen i øvrigt har. Om ressourcetrækket og omkostningerne ved sikkerhedsarbejdet med tiden tager af eller tager til, afhænger af udviklingen i organisationens risiko- og trusselbillede, og ikke mindst af at man kommer godt i gang med at implementere effektive og passende sikringsforanstaltninger. ISO/IEC hjælper organisationen med at løfte denne opgave og med at udvikle et ledelsessystem for informationssikkerhed, som passer til organisationens behov og risikoprofil.

28 28 Litteraturliste > ISO familien (ISO/IEC ) ISO/IEC indgår i en række af standarder om informationssikkerhed. ISO/IEC udgør den styringsmæssige ramme, mens de øvrige standarder udfylder denne ramme inden for områderne: Grundprincipper og ordliste (ISO/IEC 27000) Ledelsessystemer for informationssikkerhed (ISMS) krav (ISO/IEC 27001) Kontroller Regelsæt for styring af informationssikkerhed (ISO/IEC 27002) Implementering (ISO/IEC 27003) Effektivitetsmåling (ISO/IEC 27004) Risikovurdering (ISO/IEC 27005) Krav til organisationer der udfører revision og certificering (ISO/IEC 27006) Anden litteratur Humphreys, Edward: Information Security Risk Management: Handbook for ISO/IEC London: BSI, 2010 ISO/IEC for Small Businesses: Practical Advice. Genève: ISO, 2010

29 > Tekstforfattere på publikationen er Jørgen Sørensen og Charlotte Pedersen, Deloitte. IT- og Telestyrelsen Holsteinsgade København Ø Tlf