Ledelsesforankret informationssikkerhed. med ISO/IEC 27001
|
|
- Caroline Brodersen
- 8 år siden
- Visninger:
Transkript
1 Ledelsesforankret informationssikkerhed med ISO/IEC 27001
2 02 Indhold > Forord INTRODUKTION ISO/IEC Ansvar og opgaver Standardens indhold PROCESSEN Procesmodellen Afstem forventninger til sikkerhed (Plan) Implementér sikkerhedsarbejdet (Do) Måling, test og rapportering på sikkerhed (Check) Eventuelle forbedringer i sikkerhedsarbejdet (Act) Litteraturliste... 28
3 03 Forord > De statslige organisationer er kommet langt i arbejdet med informationssikkerhed. Sikkerhedsarbejdet i organisationerne er modnet, og der er etableret et grundlag for det fremadrettede arbejde. Der er blandt andet skabt et fælles sprog for informationssikkerhed i staten, og samtidig er organisationernes ledelse i højere grad blevet involveret, så arbejdet med informationssikkerhed ikke længere alene drives af f.eks. it-afdelingen eller it-sikkerhedslederne. Endelig har arbejdet med informationssikkerhed fået større fokus på risikovurdering set i forhold til organisationens samlede mål og risikobillede. Modenheden i sikkerhedsarbejdet, statens generelle ønske om at vedligeholde et sæt af obligatoriske åbne standarder og regeringens ønske om en enklere administration 1 gør, at den nuværende standard for informationssikkerhed DS 484 erstattes med den internationale standard ISO/IEC Overgangen til ISO/IEC vil bidrage til etablering af et afstemt og passende sikkerhedsniveau i organisationerne, samtidig med at sikkerhedsarbejdet forankres yderligere i organisationens ledelse. Indtil den næste revision af ISO/IEC er det frivilligt for organisationerne i staten, om de vælger at anvende den ene eller anden standard. Der er endvidere ikke krav om certificering efter standarden, men alene om, at organisationerne arbejder efter den. Hvem henvender vejledningen sig til? Vejledningen er henvendt dels til dem, som implementerer og beskæftiger sig med informationssikkerhedsarbejdet i det daglige, og dels til den ansvarlige ledelse. Ledelsen kan primært have glæde af at læse afsnittet om ansvar og opgaver for ledelsen i organisationen. 1 Se publikationen Enkel administration i staten på
4 04 > ISO/IEC indeholder i princippet de samme sikringsforanstaltninger som DS 484, men der er ikke minimumskrav til, hvilke sikringsforanstaltninger som skal implementeres. Der er ikke tale om, at organisationerne i staten nu skal starte forfra med sikkerhedsarbejdet. De kan bygge videre på det eksisterende informationssikkerhedsarbejde, men i højere grad fokusere på etablering af ledelsesopbakning, risikovurdering og tilstrækkelige sikringsforanstaltninger. Det er forventningen, at det arbejde, der skal udføres i forbindelse med ISO/IEC 27001, er begrænset til nogle enkelte aktiviteter, da meget allerede er gennemført som en del af den eksisterende DS 484-implementering. Hvor meget, der skal justeres, afhænger dog af, hvor langt organisationen er i sikkerhedsarbejdet, og organisationens risikoprofil. Det er hensigten, at vejledningen er praktisk anvendelig og kan hjælpe de informationssikkerhedsansvarlige over de forhindringer, der ellers vil kunne forsinke processen. Konkrete implementeringsaktiviteter i forhold til detaljerede problemstillinger falder uden for vejledningens formål. Vejledningen indeholder to dele: Dels en introduktion til ISO/IEC og dels en beskrivelse af processen for sikkerhedsarbejdet efter standarden. Læs standarden Denne vejledning kan ikke stå alene. Det anbefales, at organisationen anskaffer standarden og læser den sammen med denne vejledning. Standarden kan erhverves igennem standardiseringsorganisationer, som f.eks. Dansk Standard på
5 05 Introduktion > ISO/IEC ISO/IEC er en standard, som beskriver, hvordan en organisation kan opbygge et ledelsessystem for informationssikkerhed, et såkaldt ISMS 2. Systemet betoner en ledelsesforankret, forretningsorienteret og risikovurderingsbaseret tilgang til sikkerhed. Standarden lægger op til, at der tages udgangspunkt i den enkelte organisations risikoprofil. Med afsæt heri vælges implementering af de sikkerhedstiltag, der er passende og tilstrækkelige for den enkelte organisation. forbindelse med outsourcing og samarbejdsprojekter. Udbredelsen af standarden i staten vil give staten adgang til et større marked af sikkerhedsydelser. Den involvering af ledelsen i fastlæggelsen af et tilstrækkeligt sikkerhedsniveau ud fra en risikobaseret tilgang, som ISO/IEC lægger op til, ligger i forlængelse af de udmeldte principper for god intern statslig administration, hvor der bl.a. er fokus på nødvendighed og proportionalitet i administration og regulering. Valget af en international standard, der vedligeholdes af eksperter på tværs af landegrænser, sikrer, at kvaliteten af standarden er høj. Endvidere er sikkerhedsudfordringer i dag internationale, og sikkerhedstiltag vil derfor skulle koordineres på tværs af landegrænser. 2 Information Security Management System Endelig er ISO/IEC en standard, som både private og offentlige virksomheder arbejder efter, og den vil derfor kunne udgøre et fælles sprog i
6 06 > ISO/IEC fokuserer på tre centrale områder: En risikobaseret stillingtagen til sikkerhed, dvs. proportionalitet i valget af sikringsforanstaltninger og procedurer i informationssikkerhedsarbejdet. Det bidrager til etablering af et passende sikkerhedsniveau, der er afstemt i forhold til organisationens forretning og risikobillede. Ledelsesforankring, hvor organisationens ledelse involveres direkte i fastlæggelsen af et tilstrækkeligt sikkerhedsniveau og godkender hvilket risikoniveau, der er acceptabelt for organisationen. Dokumentation af ledelsens involvering i arbejdet med informationssikkerhed. Dokumentationen har til formål at sikre ledelsens involvering samt synliggøre ledelsens ansvar for informationssikkerheden i organisationen.
7 07 Ansvar og opgaver > De roller i arbejdet med informationssikkerhed, som var beskrevet i DS 484, og som staten derfor hidtil har arbejdet med, er ikke forandret i ISO/IEC Opgaver for lederen af organisationen Arbejdet med informationssikkerhed er en løbende proces, som skal integreres i det samlede arbejde med ledelse og styring af organisationen. Informationssikkerhed er et ledelsesansvar ligesom økonomistyring, arbejdsmiljø, service eller borgerbetjening. Det er et krav i standarden, at ledelsen er involveret i arbejdet med informationssikkerhed, og at dette er dokumenteret. Eksempler på dokumentation af ledelsesinvolveringen kan f.eks. være godkendte sikkerhedsdokumenter eller referater fra aktiviteter, hvor ledelsen har deltaget. I forbindelse med sikkerhedsarbejdet udarbejdes nogle dokumenter, som beskriver organisationens væsentligste sikkerhedsmål og tiltag. Disse dokumenter, som er behandlet senere i vejledningen, bør indgå i den eksisterende ledelsesproces i organisationen, så de drøftes i de relevante ledelsesfora, der kan tage beslutninger og sikre opfølgning. Ledelsens primære opgave i sikkerhedsarbejdet er ikke ændret i forhold til tidligere. Opgaven er stadig at fastlægge niveauet for sikkerhed i organisationen og at sikre, at informationssikkerhedsarbejdet i organisationen bliver en naturlig og integreret del af det daglige arbejde. Et effektivt og tilstrækkeligt sikkerhedsniveau fordrer, at ledelsen sikrer, at sikkerhedstiltagene vælges, prioriteres og tilpasses organisationens behov og imødegår de risici, som er identificeret som de kritiske. Risikovurderingen tager udgangspunkt i de informationsaktiver, der er væsentlige for organisationen. Identifikationen af aktiverne foretages ved en gennemgang af de mest kritiske og centrale forretningsprocesser/aktiviteter, som institutionen udfører, og de dertil knyttede informationer og data. Ledelsen skal være aktiv aktør i denne analyse.
8 08 > 3 Denne vil f.eks. have titel af informationssikkerhedskoordinator, informationssikkerhedschef eller informationssikkerhedsleder. Den ledelsesgodkendte risikovurdering danner grundlaget for at fastsætte de mål og sikringsforanstaltninger, der løbende rapporteres på. I rapporteringer kan ledelsen løbende følge med i og vurdere tilstrækkeligheden af indsatsen i arbejdet med styring af informationssikkerheden. Opgaver for lederen af informationssikkerhedsarbejdet 3 Lederen af informationssikkerhedsarbejdet skal bidrage til, at opgaverne vedrørende informationssikkerhed bliver udført i organisationen på en måde, som er i overensstemmelse med den overordnede ledelses beslutninger. Lederen af informationssikkerhedsarbejdet skal sikre, at ledelsen kender sammenhængen mellem organisationens forretning, risikoprofil og de valgte sikringsforanstaltninger. Lederen af informationssikkerhedsarbejdet skal understøtte og sikre disse foranstaltningers stabilitet og resultater. Lederen af informationssikkerhedsarbejdet er faglig ekspert på området og skal omsætte standardens indhold og eventuelle lovkrav til konkrete aktiviteter og sikringsforanstaltninger, der kan implementeres i organisationen. I forlængelse heraf skal der følges op på, om arbejdet giver det ønskede resultat. Det konkrete arbejde udføres ofte i samarbejde med andre, f.eks. it-afdelingen, indkøbsafdelingen, personaleafdelingen og eksterne samarbejdsparter. Lederen af informationssikkerhedsarbejdet har typisk en koordinerende og vigtig rolle i organisations arbejde med informationssikkerhed. Ledelsesopbakning forudsætter en fyldestgørende og operationel rapportering på informationssikkerhedsarbejdet til den overordnede ledelse. I nogle organisationer har man oplevet, at et fokus på sikkerhedspolitikken fra revisionens side har gjort dialogen nemmere. I de fleste situationer er det en udfordring at skaffe ledelsesopbakning. Mange ledere af informationssikkerhedsarbejdet opfatter det som en salgs- og markedsføringsopgave, som man må være parat til at tage, når muligheden er der for at få en dialog med den ansvarlige leder. Det er altid at foretrække at få et egentligt møde.
9 09 Standardens indhold > ISO/IEC beskriver en model for etablering, implementering, drift, overvågning, revudering/ vedligeholdelse og forbedring af et dokumenteret ledelsessystem for informationssikkerhed (det såkaldte ISMS). Standarden er beregnet til brug for alle virksomheder og organisationer uanset type og størrelse. Standarden omhandler informationssikkerhed og ikke alene it-sikkerhed. Den omhandler således alle informationsaktiver (fysiske, medarbejdere, it-mæssige mv.), der lagrer eller behandler informationer og er nødvendige, for at organisationen kan nå sine mål. Den konkrete udformning, omfanget og detaljeringsgraden af ledelsessystemet for informationssikkerhed fastlægges af organisationens ledelse ved at gennemføre en risikovurdering og en analyse af organisationens ønsker, krav og risikoprofil. Styring af lovmæssige krav og kontraktkrav Styring af mennesker processer, træning og kommunikation Styring af informationssikkerhed Styring af it-systemer og fysisk sikkerhed Figur 1: Elementer af informationssikkerhed På baggrund af en ledelsesforankret risikovurdering skal ledelsen vælge relevante og passende sikkerhedsforanstaltninger, som beskytter infor-
10 10 > mationsaktiverne og skaber tillid hos organisationens samarbejdspartnere, brugere og andre interessenter. De enkelte opgaver i standarden følger en model, der kan opdeles i fire faser. På engelsk benævnes modellen Plan, Do, Check, Act (forkortet PDCA) planlæg, udfør, kontrollér og handl. Denne faseopdeling ligger til grund for procesmodellen, som beskrives i denne vejlednings anden halvdel. Udover de opgaver, som er beskrevet i selve standarden, er der i anneks A en række forslag til sikringsforanstaltninger. For hver sikringsforanstaltning vurderes det, hvorvidt den er relevant at implementere i forhold til virksomhedens risikobillede. Enkelte af sikringsforanstaltningerne er påkrævet ifølge ISO/IEC og kan således ikke fravælges. Sikringsforanstaltningerne er opdelt i 11 domæner (figur 3), der svarer til de områder, der kendes fra det eksisterende informationssikkerhedarbejde. P D A C Figur 2: Procesmodel - PDCA
11 11 > Den risikobaserede tilgang Arbejdet med informationssikkerhed går på tværs af organisationen og omfatter både teknik, processer og adfærd. Traditionelt er der fokus på teknik og processer, men den menneskelige faktor må medtænkes. Inden for hvert fokusområde kan der være risici, som skal identificeres, vurderes og håndteres. Arbejdet med informationssikkerhed skal passe til hverdagens udfordringer, og det er muligt med ISO/IEC En risikobaseret tilgang opfattes måske som en forandring, som vil kunne møde modstand. Men det er netop gennem en vurdering af hvilke risici organisationen står over for, hvilke risici organisationen skal håndtere, og hvilke den kan leve med, at informationssikkerhedsarbejdet får værdi. Den risikobaserede tilgang er altså en lejlighed til at identificere muligheder for at justere organisationens ressourceforbrug og administrative byrder i forbindelsen med sikkerhedsarbejdet til det risikobillede, som organisationen reelt står overfor. Samtidig er den grundlaget for vurderingen af, om de implementerede sikringsforanstaltninger er passende. ISO/IEC A.5 A.6 A.7 A.8 A.9 A.10 A.11 A.12 A.13 A.14 A.15 Sikkerhedspolitik Organisering af informationssikkerhed Styring af aktiver Medarbejdersikkerhed Fysisk og miljømæssig sikkerhed Styring af kommunikation og drift Adgangsstyring Anskaffelse, udvikling og vedligeholdelse af informationssystemer Styring af informationssikkerhedshændelser Beredskabsstyring Compliance - Overensstemmelse med krav og politikker Figur 3: De 11 domæner i ISO/IEC 27001
12 12 Gode råd > 1 Arbejdet med informationssikkerhed skal give værdi og mening for den enkelte medarbejder What is in it for me?. 2 Der skal være et ledelsessystem og en medarbejderpolitik, som understøtter medarbejdernes arbejde med informationssikkerhed, f.eks. udtrykt i jobprofilen, medarbejdersamtalen eller medarbejderevalueringen. 3 Ikke alle har kvalifikationer på informationssikkerhedsområdet. Der bør kommunikeres og trænes i de nye kompetencer, der er behov for. 4 Der er brug for rollemodeller. Det er tit de ildsjæle, der er kendt i arbejdet med informationssikkerhed, men det kan også være medarbejdere, som i forvejen er faglige rollemodeller i andre sammenhænge.
13 13 Processen > Procesmodellen I resten af vejledningen gennemgås de fire faser i procesmodellen (figur 4). For hver fase er der fokuseret på de væsentligste aktiviteter og resultaterne heraf. Samtidig omtales for hver fase nogle af de udfordringer, der kan være ved aktiviteterne, og der gives nogle gode råd til at håndtere disse udfordringer. Afstem forventninger til sikkerhed Plan Do Implementer sikkerhedsarbejdet Hvor starter man? Da alle statslige organisationer har arbejdet med en informationssikkerhedsstandard, er det forskelligt hvor i procesmodellen, der er behov for at starte. Hvis organisationen står over for at skulle opdatere risikovurderingen, vil det være naturligt at starte i planlægningsfasen (Plan). Er der derimod et behov for at følge op på det sikkerhedsarbejde, der allerede er implementeret, eller at vurdere sikkerhedsniveauet og effektiviteten af de implementerede sikringsforanstaltninger, vil det være mere naturligt at starte i kontrolfasen (Check). Act Eventuelle forbedringer i sikkerhedsarbejdet Check Måling, test og rapportering på sikkerhed Figur 4: Procesmodel for ledelsesforankret informationssikkerhed
14 14 Afstem forventninger til sikkerhed (Plan) > Plan Plan Do Væsentlige aktiviteter og dokumenter Udfordringer Act Check Definér og afgræns omfanget af ledelsessystemet for informationssikkerhed (ISMS) Definér ISMS-politik Gennemfør risikovurdering Udvælg sikringsforanstaltninger Udarbejd Statement of Applicability (SoA-dokumentet) Ledelsen godkender risikovurderingens resultat, SoA-dokumentet og ISMSpolitikken Sammenhæng mellem mål for informationssikkerhed, forretningens mål og behov Begreber og metode i risikovurderingen Opbakning og involvering af relevante aktører Udvælgelse af relevante og kritiske informationsaktiver Kommunikation til alle målgrupper / awareness Definér og afgræns ledelsessystem for informationssikkerhed (ISMS) Erfaringerne fra arbejdet med DS 484 viser, at det er centralt at etablere ledelsesmæssig opbakning, fokus i organisationen og ressourcer til arbejdet med informationssikkerhed. Overgangen til ISO/IEC ændrer ikke på dette. Informationssikkerhed er stadig et ledelsesansvar, og det er stadig nødvendigt for lederen af informationssikkerhedsarbejdet at tilrettelægge en proces, der i organisationen opleves som et konstruktivt og positivt bidrag til organisationens kerneaktiviteter. Organisationen skal identificere sine væsentligste opgaver og kritiske informationsaktiver til en risikovurdering. Med risikovurderingen vurderes konse-
15 15 > kvensen ved og sandsynligheden for tab af fortrolighed, integritet eller tilgængelighed af informationsaktiver. Resultatet af risikovurderingen danner grundlag for fastlæggelsen af omfanget og afgrænsningen af ledelsessystemet for informationssikkerhed (ISMS) og for en udvælgelse og implementering af passende sikringsforanstaltninger. Organisationens erfaringer fra det hidtidige sikkerhedsarbejde og eventuelle sikkerhedshændelser kan indgå i grundlaget for vurderingen. Ledelsessystem for informationssikkerhed (ISMS) definitionen i ISO/IEC Den del af det samlede ledelsessystem, der med udgangspunkt i en vurdering af forretningsmæssige risici dækker etablering, implementering, drift, overvågning, revurdering, vedligeholdelse og forbedring af informationssikkerhed. Et ISMS omfatter organisationsstruktur, politikker, planlægningsaktiviteter, ansvarsområder, skikke, procedurer, processer og ressourcer. Beslutningen om afgrænsning af opgaven og prioritering af aktiviteter bør beskrives i en egentlig handlingsplan, der godkendes af ledelsen. Definér ISMS-politik De fleste organisationer har allerede en informationssikkerhedspolitik. Der er ikke nødvendigvis nogen forskel på den nuværende politik og en politik baseret på ISO/IEC Formulering af en informationssikkerhedspolitik udtrykker de forventninger, krav, mål, prioriteringer og konkrete beslutninger, som ledelsen har vedtaget for sikkerheden i en organisation. Politikken skal passe til organisationens forretningsmålsætning og sætte rammerne for formulering af formålet med informationssikkerhedsarbejdet. Gennemfør risikovurdering I statens hidtidige arbejde med informationssikkerhed har det været meget forskelligt, hvilken metode organisationerne har anvendt til risikovurderingen.
16 16 > Nogle har brugt en kvantitativ metode, mens andre mere kvalitativt har vurderet trusler og risici. Denne forskellighed afspejler bl.a. variationen i, hvad statens organisationer beskæftiger sig med. ISO/IEC ændrer ikke ved dette. Det vigtigste i arbejdet med en risikovurdering er fortsat at beskrive organisationens specifikke risici, beskrive den valgte metode og anvende metoden konsekvent. I analysen vurderes risici for tab af tilgænge-lighed, fortrolighed og integritet i forhold til de forretningsmæssige konsekvenser af en sikkerhedshændelse samt sandsynligheden for, at den indtræffer. Risikovurderingen gennemføres på det, som i standarden kaldes informationsaktiver. Det er både it-systemer og applikationer, fysiske informationsaktiver i form af f.eks. papiraktiver, væsentlige arbejdsprocesser, medarbejdere mv. Langt de fleste organisationer har foretaget en risikovurdering mindst én gang. Er der endnu ikke foretaget en risikovurdering, er det vigtigt at starte med de aktiver eller processer, som er vigtigst for organisationen. I gennemførelsen af risikovurderingen skal som minimum inddrages dem, der ejer informationsaktiverne, og den ansvarlige ledelse. Det kan dog være en rigtig god ide at inddrage flere personer, da risikovurderingen er en god lejlighed til holdningsbearbejdning og kommunikation om informationssikkerhed. Risikovurderingen vil give deltagerne en bedre forståelse af det samlede risikobillede og dermed af behovet for sikringsforanstaltninger. Hvis organisationens informationssikkerhedsarbejde er opdelt på flere områder i organisationen, er det vigtigt, at risici vurderes efter samme metode på tværs af organisationen, og at sikringsforanstaltningerne koordineres. Det er vigtigt at vælge den metode til risikovurdering, som passer til organisationen. De begreber og metoder, der er brugt i det hidtidige informationssikkerhedsarbejde, kan med fordel videreføres, hvis de har fungeret godt.
17 17 > Eksempler på trusler og sårbarheder I ISO/IEC (som er en tilhørende standard, se litteraturlisten) findes nogle eksempler og vejledninger, som organisationen kan vælge at tage udgangspunkt i. Uanset den valgte metode skal risikovurderingen indeholde en vurdering af konsekvensen ved, at en sikkerhedshændelse indtræffer. Denne konsekvens kan opgøres ud fra forskellige forhold som økonomi, image, politisk og strategisk konsekvens. Den samlede konsekvens kan udtrykkes i både kvalitative størrelser og i egentlige økonomiske omkostninger. Konsekvensvurderingen skal suppleres med en vurdering af sandsynligheden for, at risikoen indtræffer. Denne sandsynlighed kan vurderes generelt eller i relation til konkrete trusler. Vurderingen er ofte svær, da der sjældent findes oplysninger om de forskellige truslers reelle sandsynlighed. Her kan der med fordel tages udgangspunkt i organisationens erfaringer med truslen. Udvælg sikringsforanstaltninger Når risikovurderingen er gennemført, bør der tages stilling til de enkelte risici med udgangspunkt i de mest kritiske risici først. Risikovurderingen danner grundlag for behovet for beskyttelse af informationsaktiverne, og skal sammenholdes med de sikringsforanstaltninger, som er implementeret i organisationen. Effektiviteten af disse sikringsforanstaltninger bestemmer den faktiske risikominimering. På de punkter, hvor risikovurderingen af det samlede sikkerhedsniveau viser, at niveauet ikke opfylder behovet, må nødvendigheden af yderligere sikringsforanstaltninger vurderes. Sikkerhedsarbejdet kan ikke fjerne risici fuldstændigt. Der vil aldrig være en situation, hvor der ingen risiko er, uanset hvor mange sikringsforanstaltninger der måtte være implementeret. Sikkerhedsarbejdet kan derimod gøre, at risici er vurderet og minimeret i passende grad til, at restrisikoen er overskuelig og acceptabel.
18 18 > Valget af passende sikringsforanstaltninger vurderes bl.a. ud fra den omkostning, der er ved foranstaltningen, sammenholdt med den omkostning, som konsekvensen af en sikkerhedshændelse vil kunne have, hvis den indtræffer, og sandsynligheden herfor. Det er hensigtsmæssigt, at denne afvejning forelægges ledelsen, idet niveauet af resterende risiko skal godkendes af ledelsen. Udarbejd Statement of Applicability (SoA-dokumentet) Standardens anneks A indeholder en samling sikringsforanstaltninger. Organisationen kan med udgangspunkt heri vurdere og begrunde til- og fravalg af sikringsforanstaltninger ud fra den risikovurdering, der er gennemført. SoA-dokumentet er centralt og bør være et af nøgledokumenterne i arbejdet med informationssikkerhed. Det kan betragtes som et statusnotat for organisationens arbejde med informationssikkerhed og som beslutningsdokumentation for valg og fravalg. Organisationen skal ved udarbejdelsen af SoAdokumentet som minimum forholde sig til, hvilke sikringsforanstaltninger i standardens anneks A, som er relevante. Anneks A svarer i store træk til de sikringsforanstaltninger, der kendes fra DS 484. Anneks A er ikke nødvendigvis fyldestgørende, og organisationen kan eventuelt tilføje andre sikringsforanstaltninger, som er relevante i forhold til det vurderede risikobillede. Anneks A indeholder de relevante sikkerhedsområder, som den gennemførte risikovurdering principielt må omfatte. I SoA-dokumentet anføres det og begrundes, hvorvidt sikringsforanstaltninger på et givet område er relevant for organisationen eller ej. SoA-dokumentet giver således et overblik over arbejdet med informationssikkerhed og input til den fortsatte proces. Ledelsens godkendelse Som afslutning på Plan-fasen skal der foreligge ledelsesgodkendt dokumentation vedrørende resultatet af organisationens risikovurdering, ISMS-politik og SoA-dokumentet.
19 19 Implementér sikkerhedsarbejdet (Do) > Plan Do Do Væsentlige aktiviteter og dokumenter Udfordringer Act Check Udarbejd plan for risikohåndtering Opdater informationssikkerhedspolitik, retningslinjer og beredskabsplan mm. Implementér procedure til registrering af sikkerhedshændelser Ledelsen godkender sikkerhedspolitik, regningslinjer og beredskabsplan Gennemfør intern kommunikation om informationssikkerhed Prioritering og vurdering af risici Valg af kommunikationsform og gennemførelse af kommunikation om informationssikkerhed Udarbejd plan for risikohåndtering Forslag til sikringsforanstaltninger skal tage udgangspunkt i resultatet af risikovurderingen, og det skal beskrives, hvordan der opnås det sikkerhedsniveau på de enkelte områder, som er beskrevet i politikken.
20 20 > Risikohåndtering kan gennemføres på fire måder: Minimering. Risici, som i praksis kan reduceres, kan imødegås med sikringsforanstaltninger af teknisk eller organisatorisk art. Omgåelse. Risici kan gøres irrelevant ved en ændring af arbejdsopgaver, organisation eller processer. Overførsel. Risici kan overføres til andre, f.eks. ved at organisationen tegner en forsikring. Accept. Risici kan accepteres, som de er. Langt de fleste risici er nemme at vurdere og finde passende sikringsforanstaltninger imod. Andre sikringsforanstaltninger kan være mere komplicerede at identificere eller implementere, og her kan det være nødvendigt at inddrage andre for at vurdere, hvad der kan gøres. I risikohåndteringen skal der tages udgangspunkt i de risici, som i risikovurderingen ønskes minimeret eller omgået, og der skal designes relevante sikringsforanstaltninger og ændrede procedurer af teknisk eller organisatorisk art. For risici, som i risikovurderingen er vurderet at kunne overføres til andre, skal denne overførsel konkretiseres. Risici, som er vurderet som acceptable, skal der ikke gøres noget ved. Sikkerhedsforanstaltningerne implementeres ifølge en plan for konkrete aktiviteter. Information om konkrete sikringsforanstaltninger falder uden for denne vejlednings formål, men der kan findes nærmere retningslinjer for implementering i ISO/ IEC (som er en tilhørende standard, se litteraturlisten). Planen for informationssikkerhedsstyringen skal omfatte en identifikation af ansvarlige personer og mål for arbejdet. Endvidere beskrives den samlede ressourceanvendelse med hensyn til årsværk og omkostninger til tekniske og organisatoriske foranstaltninger.
21 21 > Hændelsesstyring Som en del af implementeringen af informationssikkerhedsstyringen udarbejdes der retningslinjer og procedurer for at følge op på, om de valgte sikringsforanstaltninger har den ønskede effekt på de risici, organisationen ønsker at styre. Registrering af sikkerhedshændelser er en vigtig opgave i dette arbejde. Medarbejdernes bevidsthed om brud på sikkerhed, viden om rapporteringskanaler og planer for håndtering af sikkerhedshændelser er derfor vigtige led i implementeringsprocessen. Resultatet af denne aktivitet kan være en retningslinje, der beskriver, hvordan man i organisationen identificerer, analyserer og rapporterer sikkerhedshændelser. Det anbefales, at retningslinjen udarbejdes i samarbejde med de it-ansvarlige, da det ofte er dem, der først modtager information om sikkerhedshændelser. behovet for at udbrede sikkerheds- awareness i organisationen. Da politikken udtrykker ledelsens forventninger til og mål for sikkerhedsarbejdet og prioriteringer og konkrete beslutninger, kan informationssikkerhedspolitikken med fordel udbredes internt i organisationen og til relevante interessenter uden for organisationen. Et vigtigt element i kommunikation til medarbejderne er, hvorfor sikkerhedsarbejdet er vigtigt, og hvilken rolle og opgave den enkelte medarbejder har. Det er en god idé at tænke i flere kommunikationsformer og målrette kommunikationen til de forskellige målgrupper. Skriftlig information, mundtlige oplæg, informationsbreve, interne kurser, opslag, quizzer og konkurrencer kan alle være relevante måder at kommunikere på. Indholdet tager afsæt i informationssikkerhedspolitikken med fokus på det, som er relevant for den enkelte medarbejder. Kommunikation og kompetence Når der foreligger en oversigt over passende sikringsforanstaltninger, skal der træffes beslutning om behovet for træning af medarbejdere og om
22 22 > Udarbejd en kommunikationsplan Formål og målsætninger Nøglebudskaber og vigtigste mål Målgrupper Kommunikationskanaler og medievalg tilpasset målgrupperne Aktiviteter, ansvarlige personer og deadlines Økonomi og ressourceanvendelse Opfølgning og tilpasning af kommunikationen Ledelsens godkendelse Det samlede resultatet af denne fase er en handlingsplan, hvor overvejelser og beslutninger dokumenteres. Ledelsen skal godkende elementerne i handlingsplanen, herunder planen for risikohåndtering, sikkerhedspolitikken, procedure for hændelsesstyring, kommunikationsplan og den samlede ressourceanvendelse på sikkerhedsarbejdet.
23 23 Måling, test og rapportering på sikkerhed (Check) > Plan Do Væsentlige aktiviteter og dokumenter Udfordringer Act Check Check Mål og test sikkerhedsniveauet Vurder om der er sket ændringer, som påvirker informationssikkerheden Rapportér sikkerhedsniveauet til ledelsen Ledelsen godkender sikkerhedsrapportering Fastlægge målepunkter Vurdere og teste sikringsforanstaltningerne Rapportere på en forståelig og interessant måde Måling, test og rapportering I denne fase gennemføres en opfølgning eller egentlig test af, om sikringsforanstaltningerne er tilstrækkelige og effektive til håndtering af risici og sikkerhedshændelser, samt om ressourceanvendelsen er hensigtsmæssig og står mål med resultatet. Der evalueres, om informationssikkerhedspolitikken og de tilhørende retningslinjer efterleves, og hvad der er det faktiske sikkerhedsniveau i organisationen.
24 24 > Testmetoder og opfølgning Opfølgningen kan udføres på flere måder. Der kan gennemføres tekniske test af systemer og applikationer for at afdække deres eventuelle sårbarheder. Der kan samles op på, hvad der er sket af sikkerhedshændelser og gennemført af korrigerende handlinger. Der kan gennemføres interviews eller indhentes anden feedback fra medarbejdere, f.eks. ved at gennemføre en spørgeskemaundersøgelse om organisationens implementering, forståelse og efterlevelse af informationssikkerhedspolitikken og retningslinjer. Tests og rapportering bør foretages af en kvalificeret og uafhængig person, som ikke er direkte involveret i den daglige drift af de sikringsforanstaltninger, som evalueres. I tilfælde, hvor sikringsforanstaltninger er meget komplekse at vurdere og forudsætter specialviden, kan der med fordel anvendes eksterne eksperter til test og vurdering. Organisationen bør gennemføre tekniske test af de væsentligste sikringsforanstaltninger for at sikre, at de virker efter hensigten. Hvor der er implementeret nye løsninger, eller risikobilledet har ændret sig, bør der gennemføres en fornyet risikovurdering og en test for at få fastlagt det reelle risikobillede. Risikobilledet kan have ændret sig, hvor der er sket ændringer i organisationens struktur, i dens informationssystemer eller i fysiske eller tekniske anlæg eller ved ydre påvirkninger såsom ændrede mål for organisationen eller et ændret regelgrundlag. Ledelsens godkendelse Resultatet af evalueringen består af dokumentationen for de gennemførte test og en samlet vurdering af sikringsforanstaltningernes tilstrækkelighed og effektivitet. Evalueringen skal godkendes af ledelsen. Det anbefales, at der i rapporteringen fokuseres på de væsentligste risici og de vigtigste områder af SoA-dokumentet. Vær opmærksom på, at risici
25 25 > og resultater skal kommunikeres på et niveau og i et sprog, som giver mening for ledelsen, og skal kunne danne grundlag for ledelsesbeslutninger. Med ledelsens godkendelse af rapporteringen er der samtidig tilvejebragt et opdateret grundlag for forslag til nødvendige, korrigerende handlinger og forbedringer af informationssikkerheden eller til afskaffelse af sikringsforanstaltninger, som ikke længere vurderes at være nødvendige. Der er dermed etableret et kvalificeret grundlag for at træffe beslutninger om vurderingen af ændrede risici, om implementering af ændrede sikringsforanstaltninger og om behov for kompetenceudvikling og ressourcer til vedligeholdelsen af sikkerhedsniveauet. Evalueringen af informationssikkerhedsarbejdet og ledelsens godkendelse heraf bør ske som minimum én gang om året.
26 26 Eventuelle forbedringer i sikkerhedsarbejdet (Act) > Plan Do Væsentlige aktiviteter og dokumenter Udfordringer Act Act Check Implementér ændringer i risikovurderinger, sikringsforanstaltninger mv. Ledelsen godkender forbedringsforslag Kommuniker ændringer til organisationen Afklaring af, om de foreslåede ændringer er de rigtige Opfølgning på risikovurderingen Som opfølgning på ledelsens godkendelse af sikkerhedsrapporteringen på sikkerhedsniveauet i organisationen og relevante opdateringer i risikovurderingen skal der eventuelt gennemføres en opdatering af den eksisterende plan for håndtering af risici. Opdateringen af risikovurderingen kan være mere eller mindre omfattende. Det vil afhænge af resultatet af de gennemførte test og målinger, ledelsens evaluering af hele informationssikkerhedsstyringen, eventuelle ændringer i trussels- eller risikoniveau, større organisatoriske ændringer eller andre relevante forhold. Hvis der er konstateret afvigelser i forhold til de definerede sikkerhedskrav og -politikker, bør de imødegås med korrigerende handlinger. Det er en god idé at udarbejde en konkret handlingsplan eller konkrete forslag til forbedringer i arbejdet med informationssikkerhed.
27 27 > På grundlag af den justerede plan for risikohånd-tering udarbejdes en mere overordnet plan for eventuelle forbedringer af styringen af informa-tionssikkerhed i overensstemmelse med organisationens målsætninger. De påtænkte forbedringer og ændringer beskrives for og godkendes af ledelsen. Der skal herefter ske relevant kommunikation til organisationen. På de områder, hvor handlingsplanen anviser nye indsatsområder, skal der ske planlægning og implementering af informationssikkerhedstiltag og sikringsforanstaltninger jf. de forudgående afsnit herom. Når ændringerne i informationssikkerhedsarbejdet er gennemført, kan de pågældende tiltag herefter indgå i den normale tilbagevendende måling, test og rapportering jf. afsnittet herom. Processen forsætter Arbejdet med informationssikkerhedsstyring er et af mange vigtige elementer i ledelsesarbejdet i organisationen og vil med tiden blive synkroniseret til den cyklus for ledelsesrapportering, som organisationen i øvrigt har. Om ressourcetrækket og omkostningerne ved sikkerhedsarbejdet med tiden tager af eller tager til, afhænger af udviklingen i organisationens risiko- og trusselbillede, og ikke mindst af at man kommer godt i gang med at implementere effektive og passende sikringsforanstaltninger. ISO/IEC hjælper organisationen med at løfte denne opgave og med at udvikle et ledelsessystem for informationssikkerhed, som passer til organisationens behov og risikoprofil.
28 28 Litteraturliste > ISO familien (ISO/IEC ) ISO/IEC indgår i en række af standarder om informationssikkerhed. ISO/IEC udgør den styringsmæssige ramme, mens de øvrige standarder udfylder denne ramme inden for områderne: Grundprincipper og ordliste (ISO/IEC 27000) Ledelsessystemer for informationssikkerhed (ISMS) krav (ISO/IEC 27001) Kontroller Regelsæt for styring af informationssikkerhed (ISO/IEC 27002) Implementering (ISO/IEC 27003) Effektivitetsmåling (ISO/IEC 27004) Risikovurdering (ISO/IEC 27005) Krav til organisationer der udfører revision og certificering (ISO/IEC 27006) Anden litteratur Humphreys, Edward: Information Security Risk Management: Handbook for ISO/IEC London: BSI, 2010 ISO/IEC for Small Businesses: Practical Advice. Genève: ISO, 2010
29 > Tekstforfattere på publikationen er Jørgen Sørensen og Charlotte Pedersen, Deloitte. IT- og Telestyrelsen Holsteinsgade København Ø Tlf
Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017
Skanderborg Kommune ISMS-regler Informationssikkerhedsregler for hvert krav i ISO 27001:2017 02-04-2018 Indholdsfortegnelse 4 Organisationens kontekst 1 4.1 Forståelse af organisationen og dens kontekst
Læs mere1. Introduktion til SoA Indhold og krav til SoA 4
Indhold 1. Introduktion til SoA 3 2. Indhold og krav til SoA 4 3. Roller og proces 6 3.1 Dokumentejer og beslutningstager 6 3.2 Inputgivere 6 3.3 Godkender 6 4. Valg af sikringsforanstaltninger 8 4.1 Tilvalgte
Læs mereInformationssikkerhedspolitik
Holbæk Kommunes Informationssikkerhedspolitik 2013 Informationssikkerhedspolitik Indhold 1. Indledning 3 2. Formål 3 3. Holdning og principper 4 4. Omfang 4 5. Informationssikkerhedsniveau 5 6. Organisering
Læs mereFællesregional Informationssikkerhedspolitik
24. Januar 2018 Side 1/5 Fællesregional Informationssikkerhedspolitik Indhold 1. Formål... 1 2. Organisation... 3 3. Gyldighedsområde... 4 4. Målsætninger... 4 5. Godkendelse... 5 1. Formål Den Fællesregionale
Læs mereGuide til SoA-dokumentet - Statement of Applicability. August 2014
Guide til SoA-dokumentet - Statement of Applicability August 2014 Guide til SoA-dokumentet - Statement of Applicability Udgivet august 2014 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet
Læs mereInformationssikkerhedspolitik for Horsens Kommune
Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...
Læs mereVejledning i informationssikkerhedspolitik. Februar 2015
Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:
Læs mereAssens Kommune Sikkerhedspolitik for it, data og information
Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,
Læs mereVejledning i informationssikkerhedsstyring. Februar 2015
Vejledning i informationssikkerhedsstyring (ISMS) Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt
Læs mereKontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1
Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?
Læs mereInformationssikkerhedspolitik for <organisation>
1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger
Læs mereRegion Hovedstadens Ramme for Informationssikkerhed
Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...
Læs mereOverordnet it-sikkerhedspolitik for Rødovre Kommune
Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,
Læs mereStatus for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2
Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse
Læs mereFaxe Kommune. informationssikkerhedspolitik
Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en
Læs mereOverordnet Informationssikkerhedspolitik
Overordnet Informationssikkerhedspolitik Denne politik er godkendt af byrådet d. 4. juni 2018 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sagsnr.
Læs mereFællesregional Informationssikkerhedspolitik
Udbud nr. 2016/S 199-358626 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 13.1 - Fællesregional Informationssikkerhedspolitik Underbilag 13.1 Fællesregional Informationssikkerhedspolitik Side 1/6
Læs mereIT-sikkerhedspolitik S i d e 1 9
IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER
Læs mereIT-sikkerhedspolitik for
Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereOverordnet It-sikkerhedspolitik
Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285
Læs mereMedComs informationssikkerhedspolitik. Version 2.2
MedComs informationssikkerhedspolitik Version 2.2 Revisions Historik Version Forfatter Dato Bemærkning 2.2 20.02.17 MedComs Informationssikkerhedspolitik Side 2 af 7 INDHOLDSFORTEGNELSE 1 INDLEDNING...
Læs mereHalsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.
Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens
Læs mereInformationssikkerhedspolitik. Frederiksberg Kommune
Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger
Læs mereInformationssikkerhedspolitik Frederiksberg Kommune
Maj 2018 Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler
Læs merePOLITIK FOR INFORMATIONSSIKKERHED
POLITIK FOR INFORMATIONSSIKKERHED Indledning Dette er Statsbibliotekets politik for informationssikkerhed, som skal beskrive: Formål og baggrund om Statsbibliotekets hovedopgaver Mål og afgrænsning af
Læs mereDenne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk
Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN:
Læs mereInformationssikkerhedspolitik For Aalborg Kommune
Click here to enter text. Infor mationssi kkerhedspoliti k 2011 «ed ocaddressci vilcode» Informationssikkerhedspolitik For Aalborg Kommune Indhold Formål... 3 Gyldighedsområde... 3 Målsætning... 3 Sikkerhedsniveau...
Læs mereKoncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.
vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Bilag 9b IT-sikkerhedsdokumenter Bilag 9b 1 1 INDHOLDSFORTEGNELSE 1. IT-sikkerhedspolitik for Københavns Kommune
Læs mereHjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune
Hjørring Kommune Sag nr. 85.15.00-P15-1-17 12-03-2018 Side 1. Overordnet I-sikkerhedspolitik for Hjørring Kommune Indledning Informationssikkerhedspolitikken (I-sikkerhedspolitikken) udgør den overordnede
Læs mereKursus: Ledelse af it- sikkerhed
Kursus: Ledelse af it- sikkerhed Neupart tilbyder en kursusrække, som vil sætte dig i stand til at arbejde struktureret efter best practice og de internationale standarder for informationssikkerhed. Alle
Læs mereInformationssikkerhedspolitik for Region Midtjylland
Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereLinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK
GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK LinkGRC A Nordic leader in all aspects of Governance, Risk and Compliance Virksomhedens informationssikkerhedspolitik er i sin enkelhed et modsvar til en virksomheds
Læs mereOrganisering og styring af informationssikkerhed. I Odder Kommune
Organisering og styring af informationssikkerhed I Odder Kommune Indhold Indledning...3 Organisationens kontekst (ISO kap. 4)...3 Roller, ansvar og beføjelser i organisationen (ISO kap. 5)...4 Risikovurdering
Læs mereRisikostyring ifølge ISO27005 v. Klaus Kongsted
Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister
Læs mereInformationssikkerhedspolitik. for Aalborg Kommune
Informationssikkerhedspolitik for Aalborg Kommune Indhold Formål... 2 Gyldighedsområde... 2 Målsætning... 2 Sikkerhedsniveau... 3 Organisation og ansvarsfordeling... 3 Kontrol... 4 Sikkerhedsbrud og sanktionering...
Læs mereHenrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør
Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring
Læs merePolitik <dato> <J.nr.>
Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .
Læs mere1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2
Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering
Læs mereISO Styr på Arbejdsmiljøet på din virksomhed
ISO 45001 Styr på Arbejdsmiljøet på din virksomhed Hvem er med Topledelsen Mellemledere Medarbejdere Eksterne Kunder Leverandører Besøgerne Outsoucering Kontractors Gevinst Styr på Arbejdsmiljøet Mindre
Læs mereKommunens nuværende politik stammer fra 2008 og bygger på en gammel dansk standard, DS484.
Baggrund Kommunens nuværende politik stammer fra 2008 og bygger på en gammel dansk standard, DS484. Den nationale strategi for cyber- og informationssikkerhed (2014) stiller krav til statslige myndigheder
Læs mereISO27001 som ledelsesværktøj en pragmatisk tilgang. Lars Boye, lab@dubex.dk Søborg, den 6. november 2014
ISO27001 som ledelsesværktøj en pragmatisk tilgang Lars Boye, lab@dubex.dk Søborg, den 6. november 2014 DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2014 Informationssikkerhed på dagsordenen Det seneste års
Læs merePolitik for informationssikkerheddatabeskyttelse
BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for informationssikkerheddatabeskyttelse Politik for databeskyttelse i Ballerup Kommune Denne informationssikkerhedspolitikdatabeskyttelsespolitik
Læs mereGuide til implementering af ISO27001
Guide til implementering af ISO27001 Professionel styring af informationssikkerhed September 2015 Indhold 10 punkter til implementering af ISO27001 3 Hvad er informations sikkerhed? 5 Overblik over forretningen
Læs mereIt-sikkerhedspolitik for Farsø Varmeværk
It-sikkerhedspolitik for Farsø Varmeværk Introduktion Denne it-sikkerhedspolitik, som er besluttet af bestyrelsen, udgør den overordnede ramme for at opretholde it-sikkerheden hos Farsø Varmeværk. Hermed
Læs mereFredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT
Fredericia Kommunes Informationssikkerhedspolitik 2018 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT 12-11-2018 Indholdsfortegnelse Indledning Hvad og hvem er omfattet? Ansvar og konsekvens Vision,
Læs mereIndholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4
Halsnæs Kommune Informationssikkerhedspolitik 2012 Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Omfang... 4 4. Holdninger og principper... 4 5. Sikkerhedsbevidsthed,
Læs mereBallerup Kommune Politik for databeskyttelse
BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for databeskyttelse 85.15.00-P30-1-18 Politik for databeskyttelse i Ballerup Kommune Denne databeskyttelsespolitik er den overordnede ramme
Læs mereDenne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk
Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN:
Læs mereISO Ledelsesværktøj til digital risikostyring
ISO 27001 Ledelsesværktøj til digital risikostyring John Wiingaard, GRC konsulent, Dubex Bygholm Park, Horsens, den 12. maj 2016 Agenda 1. Formål 2. IT-sikkerhedsudfordringer anno 2016 3. Hvorfor ISO27001
Læs mereIt-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.
Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning
Læs mereGuide til awareness om informationssikkerhed. Marts 2013
Guide til awareness om informationssikkerhed Marts 2013 Udgivet marts 2013 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:
Læs mereIt-sikkerhedspolitik for Københavns Kommune
Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål
Læs mereVirksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:
DS/ISO 31000 Risikoledelse ISO 31000 - Risikoledelse Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: overordnede
Læs merePSYKIATRIFONDENS Informationssikkerhedspolitik
PSYKIATRIFONDENS Informationssikkerhedspolitik Indhold Indledning... 3 Formål... 3 Omfang og ansvar... 3 Sikkerhedsniveau... 4 Beredskab... 4 Sikkerhedsbevidsthed... 5 Brud på informationssikkerheden...
Læs mereForslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed
Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.
Læs mereAgenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)
IT-sikkerhed med Agenda Introduktion: Rasmus & CyberPilot Eksempler fra det virkelig verden Persondataforordningen & IT-sikkerhed (hint: ISO27001) Risikovurdering som værktøj til at vælge tiltag Tiltag
Læs mereProgrambeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016
Programbeskrivelse 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning 1. Formål og baggrund Afhængigheden af digitale løsninger vokser, og udfordringerne med at fastholde et acceptabelt
Læs mereMålbillede for risikostyring i signalprogrammet. Juni 2018
Målbillede for risikostyring i signalprogrammet Juni 2018 1 Introduktion Opstilling af målbillede Målbilledet for risikostyringen i Signalprogrammet (SP) definerer de overordnede strategiske mål for risikostyring,
Læs mereKrav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter
Dansk standard DS 3999 1. udgave 2010-10-12 Krav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter Requirements for security of cash centers, transit stations
Læs mereIT-SIKKERHEDSPOLITIK UDKAST
IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens
Læs mereHvis I vil vide mere. Kom godt i gang med standarder. Hvordan arbejder I med et fælles ledelsessystem og skaber synergi?
Tryksag 541-643 Hvis I vil vide mere Kom godt i gang med standarder I er velkomne til at kontakte vores erfarne konsulenter inden for integreret ledelse på telefon 39 96 61 01 eller consulting@ds.dk. Helhedsorienteret
Læs mereForfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø
spolitik 28.02.2017 Banedanmark IT Amerika Plads 15 2100 København Ø www.banedanmark.dk Forfatter: Carsten Stenstrøm Mail: cstr@bane.dk Telefon: 41881976 Indhold Side 1 spolitik 4 1.1 Indledning 4 1.2
Læs mereIT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group
IT- og informationssikkerheds- politik (GDPR) For Kontrapunkt Group Versionshistorik Version Beskrivelse Dato Udarbejdet af V. 0.1 Initiel draft 26 Oktober 2018 Kontrapunkt Group V.0.2 1. Edition 13. November
Læs mereFra ad hoc-tilgang til en struktureret CSR-indsats
Tryksag 541-643 Gode råd Her er nogle gode råd til, hvordan I griber CSR-processen an. Kom godt i gang med standarder > > Sæt et realistisk ambitionsniveau > > Sørg for, at CSR er en integreret del af
Læs mereREGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED
11101010100010 10101001011011 10101001101010 10101010001010 10100101101110 10100110101010 10101000101010 10010110111010 10011010101010 10100010101010 01011011101010 01101010101001 10001010101001 REGIONERNES
Læs mereIt-sikkerhed - ledelsens ansvar
Hvordan ser en sikkerhedskoordinator ud? It-sikkerhedsledelse er en profession. Af samme grunde, som man benytter medarbejdere med en regnskabsuddannelse i økonomifunktionen, skal man sikre sig, at it-sikkerhedskoordinatoren
Læs mereINFORMATIONS- SIKKERHEDSPOLITIK
Halsnæs Kommune INFORMATIONS- SIKKERHEDSPOLITIK Vedtaget af Halsnæs Byråd 202. 25-09-207 FORSIDE Halsnæs Kommune Informationssikkerhedspolitik 202 INDLEDNING Denne informationssikkerhedspolitik udgør den
Læs mereVer. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK
GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK 1 INDHOLDSFORTEGNELSE 30-04-2018 1. Indledning... 3 1.1. Formål og målsætning... 3 1.2. Gyldighedsområde... 3 1.3. Godkendelse... 3 1.4. Gentofte Kommunes
Læs mereITA-konferencen 2009. Projektchef: Martin Pedersen. Sikkerhed fra vugge til grav
ITA-konferencen 2009 Projektchef: Martin Pedersen Sikkerhed fra vugge til grav Hvorfor sikkerhed initielt Sund fornuft Bidrager til at etablere overblik Bidrager til en stringent styring af informationssikkerheden
Læs merePolitik for informationssikkerhed 1.2
Fredensborg Kommune Politik for informationssikkerhed 1.2 23-11-2017 Informationssikkerhedspolitik for Fredensborg Kommune Informationssikkerhedspolitik Sikkerhedspolitikken skal til enhver tid understøtte
Læs mereMÅLING AF INFORMATIONSSIKKERHED
MÅLING AF INFORMATIONSSIKKERHED Beth Tranberg, Programleder betr@kl.dk 3370 3064 LOKAL OG DIGITAL et sammenhængende Danmark Den fælleskommunale handlingsplan 2016-2020 Programmet skal følge op på og dokumentere,
Læs mereISO/IEC 27001:2013. Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent nm@ds.dk 4121 8304
1 ISO/IEC 27001:2013 Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent nm@ds.dk 4121 8304 Deltaget i det internationale arbejde omkring revisionen af ISO/IEC 27001 og 27002,
Læs mereSikkerhed og Revision 2015
Sikkerhed og Revision 2015 Erfaringer fra It-tilsynet med virksomhedernes brug af risikovurderinger REAL kontoret 3. sep. 2015 Velkommen til Århusgade! Fra Finanstilsynets hjemmeside Agenda Hjemmel It-tilsynets
Læs mereVejledning om funktionsbeskrivelse for intern revision
Vejledning om funktionsbeskrivelse for intern revision Eksempel på funktionsbeskrivelse for intern revision Version 1.0 Indhold Forord... 3 Funktionsbeskrivelse for intern revision... 4 1. Arbejdets formål
Læs mereVelkommen Grupperne SJ-1 & SJ-2
Velkommen Grupperne SJ-1 & SJ-2 Lasse Ahm Consult Tirsdag, den 1. december 2015 20:33 1 Program Kl. 10.00 Velkomst ved Lasse Michael Ahm - Info om ændringer blandt medlemmerne og nye grupper Kl. 10.05
Læs mereIndholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4
Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 Sammenhæng med IT- og forretningsstrategier 4 Risikostyring og sikring af informationsaktiver og systemer 5 Overvågning af risici og regionens IT-sikkerhedsniveau
Læs mereKOMBIT sikkerhedspolitik
KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER
Læs mereAftalestyringskoncept for Syddjurs Kommune
1 of 6 26-11-2015 Sagsnummer.: 14/37310 Aftalestyringskoncept for Syddjurs Kommune Indledning Dialogbaseret aftalestyring er et af de centrale styringsværktøjer i Syddjurs Kommune, der er baseret på dialog
Læs mereIT- og Informationssikkerhed
IT- og Informationssikkerhed Bestyrelsesmøde nr. 95, d. 12. juni 2018 Pkt. 10. Bilag 1 Orientering til Bestyrelsen Poul Halkjær Nielsen, Informationssikkerhedschef, 12. Juni 2018 30/05/2018 2 Indledende
Læs mereDS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484
DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres
Læs mereÅrshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.
Årshjul Formål For at styre informationssikkerheden og for at sikre, at ledelsen har de rette styringsværktøjer, gentages en række aktiviteter løbende år efter år, men andre er enkeltstående aktiviteter.
Læs mereSikkerhedskultur Hvordan går det med sikkerheden? Hvad er en god sikkerhedskultur?
Sikkerhedskultur Hvordan går det med sikkerheden? Virksomheder er i stigende grad udsatte og sårbare over for såvel eksterne som interne sikkerhedstrusler. Truslerne kan være rettet mod mennesker, it-systemer,
Læs mereVelkommen Gruppe SJ-1
Velkommen Gruppe SJ-1 Lasse Ahm Consult Torsdag, den 25. september 2014 15:35 1 Program Programmet ser således ud: Kl. 10.00 Velkomst ved Lasse Michael Ahm - Info om ændringer blandt medlemmerne Kl. 10.05
Læs mereBekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.
Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. 1 I bekendtgørelse nr. 1026 af 30. juni 2016 om ledelse og styring af pengeinstitutter m.fl., som ændret ved
Læs mereAssens Kommune Politik for databeskyttelse og informationssikkerhed
Assens Kommune Politik for databeskyttelse og informationssikkerhed Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 4 3. Holdninger og principper... 4 4. Omfang... 5 5. Sikkerhedsbevidsthed,
Læs mereAabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09
Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede
Læs mereIT- og Informationssikkerhed
Bestyrelsesmøde nr. 89 d. 6. juni 2017 Punkt 10, bilag 1 IT- og Informationssikkerhed Orientering til Bestyrelsen Poul Halkjær Nielsen, Informationssikkerhedschef, 6.Juni 2017 30/05/2017 2 Indledende kommentar
Læs mereIt-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015
It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat
Læs mereIdentificering og imødegåelse af farer og risici
dato 05.11.2012 Side 1 af 5 Identificering og imødegåelse af farer og risici Formål: At sikre, at risici bliver vurderet og at der tages passende forholdsregler til at imødegå ulykker og andre arbejdsmiljøbelastninger.
Læs mereForordningens sikkerhedskrav
Forordningens sikkerhedskrav Klaus Kongsted, Dubex DI, 12. oktober 2016 Agenda Hvordan håndteres Risikovurdering Passende tekniske og organisatoriske foranstaltninger Godkendte adfærdskodekser og certificering
Læs mereDUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT
DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2016 Søren Kromann, Forvaltningsdirektør, KOMBIT Om KOMBIT KOMBIT er et aktieselskab, som er 100% ejet af KL (kommunerne) Finansielt skal KOMBIT hvile i sig selv
Læs mereErfaringer fra innføring av ISO i danske kommuner (styringssystem for informasjonssikkerhet)
Erfaringer fra innføring av ISO 27001 i danske kommuner (styringssystem for informasjonssikkerhet) Lars Neupart S,-er, Direktør i Neupart A/S LN@neupart.com twi
Læs mereStruktureret Compliance
Struktureret Compliance FRA DEN SURE GAMLE MAND. Compliance, Quality og ControlManager - del1 2 DEL 1 STRUKTURERET COMPLIANCE (INFORMATIONSSIKKERHED) DEL 2 COMPLIANCE OG DE MANGE EKSTERNE KRAV DEL 1 STRUKTURERET
Læs mereMålbillede for kontraktstyring. Juni 2018
Målbillede for kontraktstyring Juni 2018 1 Introduktion Opstilling af målbillede Målbilledet for kontraktstyringen i Signalprogrammet (SP) definerer de overordnede strategiske mål for kontraktstyring,
Læs mereIT- og Informationssikkerhed
IT- og Informationssikkerhed Orientering til Bestyrelsen Poul Halkjær Nielsen, Informationssikkerhedschef, 11. December 2017 04/12/2017 2 Indledende kommentar IT- og informationssikkerhed er i den universitære
Læs mereVejledning i etablering af forretningsoverblik. Januar 2018
Vejledning i etablering af forretningsoverblik Januar 2018 Indhold 1. Forretningsoverblikket 4 1.1 De interne forhold og interessenter 4 1.2 De eksterne forhold og interessenter 5 2. Kortlægning af processer
Læs mereFællesregional Informationssikkerhedspolitik
Fællesregional Informationssikkerhedspolitik Indhold 1. Formål...1 2. Organisation...2 3. Gyldighedsområde...3 4. Målsætninger...3 5. Godkendelse...4 1. Formål Den Fællesregionale Informationssikkerhedspolitik
Læs mereTrusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang
Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Denne
Læs mere