ISO27001 seminar. Kom godt i gang. Charlotte Pedersen 23. november 2015
|
|
- Victoria Brandt
- 6 år siden
- Visninger:
Transkript
1 ISO27001 seminar Kom godt i gang Charlotte Pedersen 23. november 2015
2 Program Kl Velkomst Kl Introduktion til ISO27001 på en praktisk måde Kl ISO27001 kundeerfaring, Enhedsleder for it-sikkerhedsenheden, Direktoratet for Kriminalforsorgen, Mads Jespersen Kl Pause Kl trin på vejen til ISO workshop Kl Sandwich og netværk 2015 Deloitte 2 2
3 Præsentation Charlotte Pedersen Director Cand.scient.pol. CIS LA, CIS 2013 UP, CIIP, CISM, CRISC, CGEIT, G31000 mv. Medlem af S411 hos Dansk Standard Cyber Risk Services Telefon: Mail: Kernekompetencer: Cyber Security Management sikkerhedsledelse, risikoanalyse, politik, governance Privacy analyse, strategi og rapportering vedr. personoplysninger Risikoledelse og -styring, mål- og resultatstyring Proces- og implementeringskonsulent Kommunikation og awarenessaktiviteter Projektledelse - forandringsledelse Deloitte Security Management team mit fundament nogle af dem er her i dag Deloitte
4 ISO - agenda Præsentation ISO familien ISO 27001:2013 Risikovurdering Risikohåndtering og ISO27002:2014 ISMS Ledelsesforankring Politik Leverandørstyring It-beredskab Overvågning, måling, analyse og evaluering (intern audit og ledelsens review) 4
5 ISO familien 5
6 Nøglestandarderne ISO/IEC Information security management systems Overview and vocabulary ISO/IEC Information security management systems Requirements ISO/IEC Code of practice for information security management ISO/IEC Information security management system implementation guidance ISO/IEC Information security management Measurement ISO/IEC Information security risk management ISO/IEC Requirements for bodies providing audit and certification of information security management systems ISO/IEC Guidelines for information security management systems auditing (focused on the management system) ISO27001 er den der kan certificeres efter - er en ledelsesstandard Deloitte
7 7
8 ISO 27001:2013 8
9 Formål med revision af ISO27001:2005 Revisionen af ISO27001 skal ses i sammenhæng med streamlining af hele rækken af ledelsesstandarder Ny generation af standarder for ledelsessystemer. Same procedure standardprocedure for standarder: efter 5 år tages de op til review med henblik på: 1) bekræftelse, 2) revision, 3) tilbagekaldelse Grundlag for revision: udgangspunkt i gennemført analyse af status og rundspørge blandt brugere af standarden i 2008/2009: sikre standardens aktualitet og brugbarhed imødekomme feedback fra interessenter mht. anvendelse og effektivitet af ledelsessystemet i markedet og i forbindelse med certificering sikre overensstemmelse med næste generations standarder for ledelsessystemer 9
10 Overblik over ISO27001:2013 Der er nye krav i standarden og nogle af kravene i ISO27001:2005 er blevet modificeret eller slettet. Annex A referencekontrolmål og kontroller er tilpasset, så de er i overensstemmelse med ISO27002:2013. ISO27001 rammer for risikostyring nu i overensstemmelse med ISO Risikostyring - ingen krav som tidligere til at identificere risici som identifikation af aktiver, trusler og sårbarheder det er muligt at anvende alternative metoder, som har vist sig lige så gode til at identificere, analysere og vurdere risici. Det med kravene i SoA er grundlæggende set det samme som tidligere men man skal ikke længere vælge kontroller fra Annex A. Man skal beslutte nødvendige kontroller til håndtering af risici og sammenligne disse med Annex A for at sikre, at man ikke har overset vigtige kontroller. Forebyggende handlinger - er helt slettet i den nye version det er underforstået, at forebyggende handlinger indgår mere eller mindre over det hele. Ingen beskrivelse af PLAN-DO-CHECK-ACT. 10
11 ISO27001 processer og opgaver 2015 Deloitte 11
12 12
13 Annex A Statement of Applicability (SoA) It-risikoanalyse, -vurdering og -håndtering 13
14 Risikovurdering ISO27001: Intet krav om risikovurdering med udgangspunkt i vurdering af aktiver - Overordnet risikovurdering ud fra kritiske processer vs. Systemvurdering. - Intet krav om vurdering af trusler og sårbarheder men heller ikke noget forbud mod at gøre det! Derimod vurdering af årsager. - Muligheder for at vælge en hvilken som helst metode/proces til at gennemføre risikovurderinger - Standarden introducerer risk owner, men aktivejer spiller stadig en rolle Kriterier for risici - Typer af årsager og konsekvenser - og hvordan de kan vurderes - Definition af sandsynlighed - Fastlæggelse af risikoniveau accept af risiko - Interessenters holdninger - Niveau for, hvornår risici kan accepteres - 14Om kombinationer af risici skal tages i betragtning 2015 Deloitte
15 ISO/IEC om risikovurdering Risikovurderinger skal gennemføres med planlagte intervaller og i forbindelse med væsentlige ændringer. Processen for risikovurdering skal løbende revurderes Deloitte
16 Risikoprofil 16
17 Trusselsvurdering og sandsynlighedsvurdering Trusselsvurdering Hvilke trusler fra trusselskataloget er aktuelle i forhold til jeres kritiske aktiver og eksisterende sårbarheder i kontrollerne? Sandsynlighedsvurdering Hvad er sandsynligheden for, at en trussel udnytter en sårbarhed Informationssikkerhedstrusler Ondsindede mennesker Hacker It-kriminelle Terrorister Spionage Menneskelige fejl Afskedigede, ondsindede, uærlige mm. medarbejdere Misbrug af rettigheder Benægtelse af handlinger Kompromittering af funktioner Brugerfejl (mangelfuld træning) Personafhængighed Tab af kritiske services Forsyningssvigt el/ telekommunikation Nedbrud af køling Fysisk skade Naturkatastrofer Klimatiske fænomener Oversvømmelse Brand Vandskade Forurening Ødelæggelse af udstyr Større ulykker Tekniske fejl Fejl i udstyr Overbelastning Softwarefejl Manglende vedligeholdelse 2015 Deloitte 17
18 Annex A Statement of Applicability (SoA) Risikohåndtering og ISO27002:2014 Annex A Statement of Applicability, SoA 18
19 Håndtering af de mest kritiske risici 19
20 ISO/IEC om informationssikkerhedsrisici Håndtering af informationssikkerhedsrisici Organisationen skal definere og anvende en proces til håndtering af informationssikkerhedsrisici for at: a) udvælge passende muligheder for håndtering af informationssikkerheds-risici ved at tage højde for resultaterne af risikovurderingen b) fastlægge alle de kontroller, som er nødvendige for at implementere den eller de valgte muligheder for håndtering af informationssikkerhedsrisici c) sammenligne de kontroller, som er fastlagt som nødvendige med kontrollerne i Annex A og sikre, at ingen nødvendige kontroller er udeladt d) tilvejebringe et Statement of Applicability, som indeholder de nødvendige kontroller og begrundelse for, hvorfor nogle kontroller er medtaget, hvad enten de er implementeret eller ej, samt begrundelse for, hvorfor andre er udeladt e) udarbejde en plan for håndtering af informationssikkerhedsrisici og f) indhente risikoejernes godkendelse af planen for håndtering af informationssikkerhedsrisici og accept af resterende informationssikkerhedsrisici Deloitte
21 ISO/IEC om Annex A Referencekontrolmål og kontroller!!!! Annex A er et referencebilag!!! Vejledning i ISO27002:2014 A.5 Informationssikkerhedspolitikker (2) A.6 Organisering af informationssikkerhed (7) A.7 Personalesikkerhed (6) A.8 Styring af aktiver (10) A.9 Adgangsstyring (14) A.10 Kryptografi (2) A.11 Fysisk sikring og miljøsikring (15) A.12 Driftssikkerhed (14) A.13 Kommunikationssikkerhed (7) A.14 Anskaffelse, udvikling og vedligeholdelse af systemer (13) A.15 Leverandørforhold (5) A.16 Styring af informationssikkerhedsbrud (7) A.17 Informationssikkerhedsaspekter ved beredskabsstyring (4) A.18 Overensstemmelse (8) 21 (= 14 kontrolområder = 114 kontroller) 2015 Deloitte
22 22
23 ISMS Informations Security Management System 23
24 ISMS - centrale begreber Ledelsessystem - rammer for retningslinjer, politikker, procedurer, processer og tilhørende ressourcer, som skal sikre, at en organisation opfylder sine målsætninger. Ledelsessystem for informationssikkerhed ISMS del af det samlede ledelsessystem. Med udgangspunkt i forretningsmæssige risici dækker ISMSet etablering, implementering, drift, overvågning, gennemgang, vedligeholdelse og forbedring af informationssikkerhed. (NOTE - Ledelsessystemet omfatter organisationsstruktur, politikker, planlægningsaktiviteter, ansvar og roller, praksis, procedurer, processer og ressourcer Deloitte
25 Hvorfor er det vigtigt med et ISMS? Sikkerhed handler ikke kun om it forstået som teknik Implementering af informationssikkerhed kræver, at risici styres i relation til tilhørende fysiske, menneskelige og teknologiske trusler Risici skal adresseres Indførelse af et ISMS er en strategisk beslutning for forretningen Design af ISMS skal afspejle den eksterne og interne kontekst samt relevante interessenters sikkerhedsmæssige krav og forventninger ISMS er i sig selv grundlaget for sikring af organisationens informationsaktiver ISMS skal/bør integreres i den samlede styring af organisationen Deloitte
26 ISO/IEC 27001:2013 om scope 4.3 Bestemmelse af omfanget af ledelsessystemet for informationssikkerhed Organisationen skal fastlægge grænserne og anvendelsesmulighederne for ISMS for at fastslå dets omfang. Når omfanget fastlægges, skal organisationen tage følgende i betragtning: a) de eksterne og interne spørgsmål omtalt i 4.1 b) kravene omtalt i 4.2 og c) grænseflader og afhængigheder mellem de aktiviteter, der udføres af organisationen selv og dem, som udføres af andre organisationer Omfanget skal være tilgængeligt som dokumenteret information. 4.4 Ledelsessystem for informationssikkerhed - ISMS! Organisationen skal etablere, implementere, vedligeholde og løbende forbedre et ledelsessystem for informationssikkerhed i overensstemmelse med kravene i denne internationale standard. 26
27 Annex A Statement of Applicability (SoA) Ledelsesforankring 27
28 ISO/IEC 27001:2013 om lederskab 5.1 Lederskab og engagement Topledelsen skal udvise lederskab og engagement, hvad angår ledelsessystemet for informationssikkerhed ved at: a) sikre, at informationssikkerhedspolitikken og -målsætningerne er fastlagt og er kompatible med organisationens strategiske retning b) sikre, at kravene til ledelsessystemet for informationssikkerhed integreres i organisationens processer c) sikre, at de ressourcer, der behøves til ledelsessystemet for informationssikkerhed, er tilgængelige d) kommunikere betydningen af effektiv informationssikkerhedsledelse og efterlevelse af kravene til ledelsessystemet for informationssikkerhed e) sikre, at ledelsessystemet for informationssikkerhed opnår den eller de tilsigtede resultater f) lede og støtte personer i at bidrage til effektiviteten af-ledelsessystemet for informationssikkerhed g) fremme løbende forbedring og h) understøtte andre relevante ledelsesroller for at udvise lederskab alt efter ansvarsområde. 28
29 Annex A Statement of Applicability (SoA) Sikkerhedspolitik 29
30 Kært barn har mange navne og lidt religiøst Hvad er en politik? hvad er forskellen på en strategi, en politik, en procedure, et direktiv og en håndbog? Kort eller lang? Flere politikker - flere dokumenter vis struktur- rød tråd Husk målgruppen Deloitte
31 ISO/IEC 27001:2013 om informationssikkerhedspolitikker 5.2 Politik Topledelsen skal fastlægge en informationssikkerhedspolitik, som a) passer til organisationens formål b) omfatter målsætninger for informationssikkerhed (se 6.2) eller opstiller rammer for fastlæggelse af målsætninger for informationssikkerhed c) indeholder en forpligtelse til at opfylde relevante krav i relation til informationssikkerhed og d) indeholder en forpligtelse til løbende forbedring af ledelsessystemet for informationssikkerhed. Informationssikkerhedspolitikken skal: e) være tilgængelig som dokumenteret information f) kommunikeres internt i organisationen og g) være tilgængelig for interessenter, hvis hensigtsmæssigt. 31
32 Implementering Hvor skal der bruges ressourcer? Ledelse Område Afdeling Rammer Strategi Politik Hvad skal vi? SOA Risikovurdering GAP/Risikohåndtering Politikker To-do Processer Vejledninger Måling og intern opfølgning Hvad gør vi? Hvordan gør vi? Deloitte 32
33 Annex A Statement of Applicability (SoA) Leverandørstyring 33
34 Ingen direkte krav i 27001: Men relevante kontroller i Annex A A.15 Leverandørforhold A.15.1 Informationssikkerhed i leverandørforhold Formål: At beskytte de af organisationens aktiver, som leverandører har adgang til. A Politik om informationssikkerhed vedrørende leverandørforhold Kontrol Der skal aftales og dokumenteres krav til informationssikkerhed med leverandøren for at mindske risici i forbindelse med leverandørens adgang til organisationens aktiver. A Behandling af sikkerhed i leverandøraftaler Kontrol Der skal aftales og dokumenteres krav til informationssikkerhed med leverandøren for at mindske risici i forbindelse med leverandørens adgang til organisationens aktiver. A Supply chain for informations- og kommunikationsteknol ogi Kontrol Aftaler med leverandører skal indeholde krav om at være opmærksom på de informationssikkerhedsrisici, der knytter sig til ydelser forbundet med informations- og kommunikationsteknologi samt produkternes supply chain. 34
35 Ingen direkte krav i 27001: Men relevante kontroller i Annex A 35
36 Trin i leverandørstyringsprocessen: BIA skabelon til risikovurdering af eksisterende og nye leverandører Udarbejdelse af bruttolise over sikkerhedskrav til leverandører samt metode til at prioritere krav baseret på risici Evaluering af leverandørens risici og sikkerhedsniveau Udarbejdelse af skriftlig aftale Idé om outsourcing, køb af ydelse, ny aftale Opfølgning på leverandørens overholdelse af krav eller genudbud Dataklassifikation, lov- og risikovurdering Opfølgning og vurdering af leverance Krav- Løbende opfølgning specifikation og styring Test, revisionserklæring mv. Vurdering og valg af leverandør Kontrakt, SLA mv Deloitte 36
37 Annex A Statement of Applicability (SoA) It-beredskab 37
38 Kontroller i Annex A A.17 Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring A.17.1 Informationssikkerhedskontinuitet Formål: Informationssikkerhedsberedskabet skal være forankret i organisationens ledelsessystemer for beredskabsstyring. A Kontrol Planlægning af informationssikkerhedsk Organisationen skal fastlægge krav til informationssikkerhed og informationssikkerhedskontinuitet i kritiske situationer, fx i tilfælde af en ontinuitet krise eller katastrofe. A Kontrol Implementering af informationssikkerheds- Organisationen skal fastlægge, dokumentere, implementere og vedligeholde processer, procedurer og kontroller for at sikre den kontinuitet nødvendige informationssikkerhedskontinuitet i en kritisk situation. A Verificer, gennemgå og evaluer informationssikkerhedskontinuitet A.17.2 Redundans Kontrol Organisationen skal verificere de etablerede og implementerede kontroller vedrørende informationssikkerhedskontinuiteten med jævne mellemrum med henblik på at sikre, at de er tidssvarende og effektive i kritiske situationer. Formål: At sikre tilgængelighed af informationsbehandlingsfaciliteter. A Kontrol Tilgængelighed af informationsbehandlings Informationsbehandlingsfaciliteter skal implementeres med tilstrækkelig faciliteter redundans til at kunne imødekomme tilgængelighedskrav. 38
39 Overvågning, måling, analyse og evaluering (intern audit og ledelsens review) 39
40 Ledelsens gennemgang Metoder til overvågning, måling, analyse og evaluering Intern audit Auditprogram med auditkriterier Informationssikkerhedsprocesser Organisationens egne krav til ISMS Kontroller Kravene i ISO 27001:2013 Dokumentation af resultater af overvågning og måling Dokumentation af audit og auditresultater Ændringer i ekstern og intern kontekst Afvigelser og korrigerende handlinger Opfyldelse af målsætninger for informationssikkerhed Tilbagemeldinger fra interessenter Resultater af risikovurderingen Status for risikohåndtering (Sikkerhedshændelser) Muligheder for løbende forbedringer Løbende forbedringsmuligheder 40 Behov for ændringer i ISMS 2015 Deloitte
41 Kriminalforsorgens erfaringer med implementering af ISO27001 Oplæg Deloitte ISO Mandag den 23. november 2015 Mads Jespersen Leder af it-sikkerhedsenheden, Kriminalforsorgen
42 Kriminalforsorgen, Koncern-IT (IT-SIK) Kriminalforsorgens opgaver At fuldbyrde straf og medvirke til at begrænse kriminalitet Ansvaret for fængsler, arrester, pensioner og KiFafdelinger fx: Beskæftigelse og behandling af indsatte (varetægt, fængsel) Personundersøgelser af sigtede at administrere frihedsberøvelse efter udlændingeloven tilsyn med psykisk syge kriminelle, som får behandling i psykiatrien og drive Koncern-IT for Justitsministeriet 42
43 Kriminalforsorgen, Koncern-IT (IT-SIK) Kriminalforsorgens organisation Kriminalforsorgen har et personaleforbrug på cirka 4400 årsværk, der fordeler sig med Uniformeret personale (fængselsbetjente og værkmestre) 3175 årsværk Forsorg og undervisning 585 årsværk Sundhedspersonale 150 årsværk Ledelse og administration 675 årsværk Andre funktioner 240 årsværk 43
44 Kriminalforsorgen, Koncern-IT (IT-SIK) Opmærksomhed frabedes 44
45 Kriminalforsorgen, Koncern-IT (IT-SIK) Implementering af ISO i Justitsministeriets IT-Fællesskab December 2014 Statslige institutioner skal implementere ISO December 2014 GAP-analyse udført i samarbejde med Deloitte Januar 2015 Udbud Af opgaven med at levere konsulentbist and til projektet Februar 2015 Juni 2016 Projekt igangsættes Implementering af ISO i Justitsministeriets ITFællesskab - Q1: Projektplan klar - Q2: Dokumentpakke - Q4: Implementering afsluttet
46 Kriminalforsorgen, Koncern-IT (IT-SIK) JIF Kriminalforsorgen JIFbestyrelsen Kriminalforsorgens Koncernledelse Partnerskaber Kriminalforsorgens IT Sikkerhedskomité IT Samarbejdsforum for JIF IT Sikkerhedsforum for JIF IT-SER (SIK-ADM) IT-SIK Koncern-IT
47 Kriminalforsorgen, Koncern-IT (IT-SIK) ISO27001-projektet i Kriminalforsorgen og JIF Kriminalforsorgens IT-sikkerhedsenhed og Deloitte styrer projektet Løbende Koordinering i JIF IT-samarbejdsforum & afrapportering i JIF-bestyrelsen 7 fastansatte og 3 Deloitte-konsulenter + de ansatte i de enkelte myndigheder 47
48 Kriminalforsorgen, Koncern-IT (IT-SIK) Hvem gør hvad? Koncern-IT i Kriminalforsorgen Uddannelse for IT-sikkerhedsansvarlige og -medarbejdere Skabeloner til informationssikkerhedspolitikker Teknisk sårbarhedsvurdering Implementering af Log Management System Myndighederne i Justitsministeriet Risikovurdering og -håndtering Tilpasning af politikker + konkretisering i procedurer, vejledninger mv. Implementering inkl. ledelsesforankring, awareness 48
49 Kriminalforsorgen, Koncern-IT (IT-SIK) Fuld skrue på risikovurdering, politikker og forankring Risikovurderinger Egne kritiske systemer er risikovurderet Plan for håndtering af risici på vej Tekniske sårbarhedsvurdering på 23 systemer (input til JIF Fællesskabet) I gangværende håndtering af identificerede tekniske sårbarheder Politikker 23 informationssikkerhedspolitikker klar til godkendelse Et ukendt antal underliggende processer, instrukser og vejledninger på vej Forankring Ledelse og organisation Formel forankring (ledelse) Ud i dagligdagen (awareness og levendegørelse i hverdagen) 49
50 IT-SIK, DfK Hvordan lærer vi lige medarbejdere om ISO27001? Deloitte afholder en kursusrække på 11 kurser om ISO Emner ISO27001 Risikovurdering Risikohåndtering Leverandørstyring Klassifikation Beredskab Awareness ISMS Måling og audit Ledelsens evaluering
51 Kriminalforsorgen, Koncern-IT (IT-SIK) Vi udnytter tværfagligheden 51
52 IT-SIK, Df Kriminalforsorgen, Koncern-IT (IT-SIK) Hvordan bliver alt dette virkelighed? Kommunikation, kommunikation, kommunikation Sætte strøm til politikkerne og formidle Ledelsen går forrest En god beredskabstest giver god awareness IT-sikkerhedsenheden går på tværs i organisationen og synliggør værdien af ISO27001 Awareness til alle medarbejdere 52
53 Kriminalforsorgen, Koncern-IT (IT-SIK) Stor fokus på informationssikkerhed Informationssikkerhedskomité med direktør Johan Reimann for bordenden Informationssikkerhed bliver til et Princip Resultatkontrakter skal også fremover have informationssikkerhed på agendaen 53
54 Kriminalforsorgen, Koncern-IT (IT-SIK) Take aways Lokaliser de vigtigste forretningsprocesser Kortlæg jeres sikkerhedsniveau Forklar gevinsterne til ledelsen Pluk de lavthængende frugter Inddrag hele forretningen de skal gøre arbejdet!
55 Kriminalforsorgen, Koncern-IT (IT-SIK) Spørgsmål? 55
56 Pause 2015 Deloitte 56 56
57 10 skridt til at komme godt i gang med ISO27001:2013 Forundersøgelse research af kontekst Etabler ledelsesforankring Den ene vej etablere sikkerhedsorganisation, da opbakning er tilstede Den anden vej afhold trusselsworkshop Interessent analyse (internt og eksternt) herunder leverandører (krav og værdier), lovgivningskrav, eksisterende sikkerhedsudfordringer, hændelser mv. Kortlæg forretningsprocesser og it Forretningsmæssige og organisatoriske mål og processer Tilknyttede kritiske it-systemer og ansvarlige personer Kortlægning af data Kortlægning af data Identifikation af persondata privacy overvejelser Kommunikation og awareness Kommunikationsplan og awareness program Gennemfør aktiviteter Trusselsvurdering Vurdering af trusselsbillede inkl. beredskab Vurdering af relevans for forretningen og FIT Risikovurdering Konsekvens og sandsynlighedsvurdering for kritiske systemer og processer FIT Vurdering af sårbarheder Governance struktur Etablering af sikkerhedskomite Etablering af samarbejde til implementering af tiltag Risikohåndteringsplan Handlingsplan for prioriterede risici SOA dokument udarbejd og opdater Årsplan handlingsplan for næste forløb 2015 Deloitte GAP analyse ifht. ISO27001:2013 Konkret plan for næste periode Dette er for dem som ikke er gået i gang sådan helt for alvor 57
58 1. Forundersøgelse research af kontekst Interessent analyse: Internt ledelsesstruktur, mål og resultatplaner, forretningsprocesser og it. Nøglepersoner og ambassadører Eksternt - leverandører, lovgivningskrav, samarbejdsparter, kunder, brugere mv. Eksisterende sikkerhedsudfordringer, hændelser mv. Tidligere erfaringer med sikkerhedsstyring Andre ledelsessystemer Omfang af arbejdet 2015 Deloitte 58
59 2. Etabler ledelsesforankring Noget af det vigtigste og det sværeste Salgsarbejde hvilke argumenter kan bruges? To veje: Den ene vej etablere sikkerhedsorganisation, da opbakning er tilstede Den anden vej afhold trusselsworkshop og illustrer trusselsbilledet 2015 Deloitte 59
60 3. Kortlæg forretningsprocesser og it Hvordan løser I jeres opgaver og hvilke mål har I? Forretningsprocesser og mål Organisationen den formelle og den uformelle De kritiske it-systemer som understøtter processerne og systemerne Hvem er ansvarlige personer og kan de bruges i det videre arbejde Eksterne leverandører 2015 Deloitte 60
61 4. Kortlægning af data Hvilke data arbejder vi med i processer og it? Er de kritiske for vores forretning/mål? Ved vi hvor de er eller skal det kortlægges? Identifikation af persondata privacy overvejelser forordningen kommer Evt. tjek overholdelse af gældende persondatalovgivning 2015 Deloitte 61
62 5. Kommunikation og awareness Det kan være trin nr. 1, 2, 5 eller 10 - løbende Mennesker og handling er ca. 80% af sikkerheden it er kun ca. 20% Interne trusler bevidste eller ubevidste Hvilke budskaber vil vi kommunikere? Hvem skal vi kommunikere til og med? Lav kommunikationsplan og awareness program Kommuniker 2015 Deloitte 62
63 6. Trusselsvurdering Gennemfør trusselsvurdering hvad kan forårsage sikkerhedshændelser Find et trusselskatalog - ISO ENISA + cybertrusler+. Vurder modstandsdygtighed og beredskab Involver forretningen og lade dem vurdere relevans for forretningen Sæt trusler i relation til fortrolighed, integritet og tilgængelighed Udpeg evt. særligt udsatte processer og systemer 2015 Deloitte 63
64 7. Risikovurdering Gennemføres med it, forretning og. Gennemfør it-risikovurderingen konsekvens- og sandsynlighedsvurdering for FIT Kritiske systemer og/eller processer Inddrag trusselsvurderingen Vurdering af sårbarheder udpegning af områder til videre analyse 2015 Deloitte 64
65 8. Governance struktur Hvornår det sker er forskelligt pas på med at det sker for sent - etablering af sikkerhedskomite Bestå af forretning, HR, kommunikation, it, sikkerhed og ledelse Kommissorium og mødestruktur Myndighed ift. IT og referere til topledelse Godkender og sætter rammerne Arbejdsgrupper projektgrupper på de identificerede områder, hvor der skal gennemføres tiltag 2015 Deloitte 65
66 9. Risikohåndteringsplan Nogle risici er højere prioriteret end andre af forskellige årsager Nogle risici skal der laves handlingsplan for Vælg dem som I vil gøre noget ved andre lever I med dokumenter det Beskriv, vælg og implementer kontroller udarbejd eller opdater SOA dokumentet 2015 Deloitte 66
67 10. Årsplan handlingsplan for næste forløb Det stopper ikke nu er vi i gang Udarbejd GAP analyse ifht. ISO27001:2013 (digst.dk) og handlingsplan Konkret plan for næste periode hvad mangler hvad er næste skridt Der er et liv efter standarden er implementeret eller vi er certificeret 2015 Deloitte 1. periode 2. periode Næste periode 67
68 Frokost 2015 Deloitte 68
69 Om Deloitte Deloitte leverer ydelser indenfor Revision, Skat, Consulting og Financial Advisory til både offentlige og private virksomheder i en lang række brancher. Vores globale netværk med medlemsfirmaer i mere end 150 lande sikrer, at vi kan stille stærke kompetencer til rådighed og yde service af højeste kvalitet, når vi skal hjælpe vores kunder med at løse deres mest komplekse forretningsmæssige udfordringer. Deloittes ca medarbejdere arbejder målrettet efter at sætte den højeste standard. Deloitte Touche Tohmatsu Limited Deloitte er en betegnelse for Deloitte Touche Tohmatsu Limited, der er et britisk selskab med begrænset ansvar, og dets netværk af medlemsfirmaer. Hvert medlemsfirma udgør en separat og uafhængig juridisk enhed. Vi henviser til for en udførlig beskrivelse af den juridiske struktur i Deloitte Touche Tohmatsu Limited og dets medlemsfirmaer.
Digitaliseringsstyrelsen Risikovurdering Marts 2018
www.pwc.dk Risikovurdering Revision. Skat. Rådgivning. www.pwc.dk Klaus Ravn Cyber security specialist Baggrund Akkreditering af systemer og apps Risikovurdering af systemer Facilitator af it-beredskabsøvelser
Læs mereVejledning i informationssikkerhedspolitik. Februar 2015
Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:
Læs mereModenhed og sikkerhed hos databehandlere Charlotte Pedersen
Modenhed og sikkerhed hos databehandlere Charlotte Pedersen 28. Januar 2014 Præsentation Charlotte Pedersen Director Cand.scient.pol. ISO27001:2013 Certified ISMS Lead Auditor (IBITG accredited) mv., CIIP,
Læs mereSkanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017
Skanderborg Kommune ISMS-regler Informationssikkerhedsregler for hvert krav i ISO 27001:2017 02-04-2018 Indholdsfortegnelse 4 Organisationens kontekst 1 4.1 Forståelse af organisationen og dens kontekst
Læs mereKursus: Ledelse af it- sikkerhed
Kursus: Ledelse af it- sikkerhed Neupart tilbyder en kursusrække, som vil sætte dig i stand til at arbejde struktureret efter best practice og de internationale standarder for informationssikkerhed. Alle
Læs mereInformationssikkerhedspolitik for Horsens Kommune
Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...
Læs mereISO Ledelsesværktøj til digital risikostyring
ISO 27001 Ledelsesværktøj til digital risikostyring John Wiingaard, GRC konsulent, Dubex Bygholm Park, Horsens, den 12. maj 2016 Agenda 1. Formål 2. IT-sikkerhedsudfordringer anno 2016 3. Hvorfor ISO27001
Læs mereRegion Hovedstadens Ramme for Informationssikkerhed
Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...
Læs mereFællesregional Informationssikkerhedspolitik
24. Januar 2018 Side 1/5 Fællesregional Informationssikkerhedspolitik Indhold 1. Formål... 1 2. Organisation... 3 3. Gyldighedsområde... 4 4. Målsætninger... 4 5. Godkendelse... 5 1. Formål Den Fællesregionale
Læs mereVirksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:
DS/ISO 31000 Risikoledelse ISO 31000 - Risikoledelse Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: overordnede
Læs mereErfaringer fra innføring av ISO i danske kommuner (styringssystem for informasjonssikkerhet)
Erfaringer fra innføring av ISO 27001 i danske kommuner (styringssystem for informasjonssikkerhet) Lars Neupart S,-er, Direktør i Neupart A/S LN@neupart.com twi
Læs mereMedComs informationssikkerhedspolitik. Version 2.2
MedComs informationssikkerhedspolitik Version 2.2 Revisions Historik Version Forfatter Dato Bemærkning 2.2 20.02.17 MedComs Informationssikkerhedspolitik Side 2 af 7 INDHOLDSFORTEGNELSE 1 INDLEDNING...
Læs mereISO Styr på Arbejdsmiljøet på din virksomhed
ISO 45001 Styr på Arbejdsmiljøet på din virksomhed Hvem er med Topledelsen Mellemledere Medarbejdere Eksterne Kunder Leverandører Besøgerne Outsoucering Kontractors Gevinst Styr på Arbejdsmiljøet Mindre
Læs mereLinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK
GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK LinkGRC A Nordic leader in all aspects of Governance, Risk and Compliance Virksomhedens informationssikkerhedspolitik er i sin enkelhed et modsvar til en virksomheds
Læs mereVejledning i etablering af forretningsoverblik. Januar 2018
Vejledning i etablering af forretningsoverblik Januar 2018 Indhold 1. Forretningsoverblikket 4 1.1 De interne forhold og interessenter 4 1.2 De eksterne forhold og interessenter 5 2. Kortlægning af processer
Læs mereDenne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk
Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN:
Læs mereFællesregional Informationssikkerhedspolitik
Udbud nr. 2016/S 199-358626 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 13.1 - Fællesregional Informationssikkerhedspolitik Underbilag 13.1 Fællesregional Informationssikkerhedspolitik Side 1/6
Læs mereHalsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.
Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens
Læs mereNyt om ISO-standarder ISO 14001:2015 ISO 9001:2015 ISO 45001:2016. Jan Støttrup Andersen. Lidt om mig:
Velkommen til Nyt om ISO-standarder ISO 14001:2015 ISO 9001:2015 ISO 45001:2016 1 Lidt om mig: Jan Støttrup Andersen Force Technology; Audit og Forretningsudvikling Konsulent indenfor ledelsessystemer
Læs mereForordningens sikkerhedskrav
Forordningens sikkerhedskrav Klaus Kongsted, Dubex DI, 12. oktober 2016 Agenda Hvordan håndteres Risikovurdering Passende tekniske og organisatoriske foranstaltninger Godkendte adfærdskodekser og certificering
Læs mereserien og nyheder i ISO og ISO 27002
27000- serien og nyheder i ISO 27001 og ISO 27002 Dansk Industri/ITEK 3. juni 2014 Jesper E. Siig Senior Security Advisor Om Neupart ISO 27001 certificeret virksomhed. Udvikler og sælger SecureAware, en
Læs mereIt-sikkerhedspolitik for Farsø Varmeværk
It-sikkerhedspolitik for Farsø Varmeværk Introduktion Denne it-sikkerhedspolitik, som er besluttet af bestyrelsen, udgør den overordnede ramme for at opretholde it-sikkerheden hos Farsø Varmeværk. Hermed
Læs mereVejledning i informationssikkerhedsstyring. Februar 2015
Vejledning i informationssikkerhedsstyring (ISMS) Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt
Læs mereISO/IEC 27001:2013. Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent nm@ds.dk 4121 8304
1 ISO/IEC 27001:2013 Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent nm@ds.dk 4121 8304 Deltaget i det internationale arbejde omkring revisionen af ISO/IEC 27001 og 27002,
Læs mereRisikostyring ifølge ISO27005 v. Klaus Kongsted
Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister
Læs mereArbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87
Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS 18001 og bek. 87 Punkt Emne Bemærkninger Handlingsplan 4.1 Generelle krav Organisationen skal etablere og vedligeholde et arbejdsmiljøledelses-system
Læs mereKOMBIT sikkerhedspolitik
KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER
Læs mereLeverandørstyring: Stil krav du kan måle på
Leverandørstyring: Stil krav du kan måle på 1. Marts 2018 Rikke Saltoft Andersen, Teamleder, Kontor for Systemforvaltning Hovedbudskaber ISO 27001 standarden muliggør reference til standard leverancer
Læs mereNår Compliance Bliver Kultur
Når Compliance Bliver Kultur ISO27001, ISAE 3402/3000 & EU GDPR i teori og praksis Siscon & HeroBase 17. Januar 2019 AGENDA KORT OM SISCON & HEROBASE KRAV, STANDARDER OG LOVGIVNING ET SAMSPIL HEROBASE
Læs mereHos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:
ISO 9001:2015 Side 1 af 8 Så ligger det færdige udkast klar til den kommende version af ISO 9001:2015. Standarden er planlagt til at blive implementeret medio september 2015. Herefter har virksomhederne
Læs mereCertificering ISO 14001:2015
Certificering ISO 14001:2015 Nr. Æ-1B, Rev. Dato: 29-8.2018 Sagsnummer: E-mail: Rekvirent: Adresse(r): Auditor Dato: 2017.0070.0006 co@sk-as.dk Søborg Køl A/S Brøndbytoften 13, 2605 Brøndby PBP 05-12-2018
Læs mereTrusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang
Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Denne
Læs mereLANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED
LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke
Læs mereVelkommen Gruppe SJ-1
Velkommen Gruppe SJ-1 Lasse Ahm Consult Tirsdag, den 17. marts 2015 21:05 1 Program Programmet ser således ud: Kl. 10.00 Velkomst ved Lasse Michael Ahm - Info om ændringer blandt medlemmerne Kl. 10.05
Læs mereHos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:
ISO 9001:2015 Side 1 af 8 Så blev den nye version af ISO 9001 implementeret. Det skete den 23. september 2015 og herefter har virksomhederne 36 måneder til at implementere de nye krav i standarden. At
Læs mereOrganisering og styring af informationssikkerhed. I Odder Kommune
Organisering og styring af informationssikkerhed I Odder Kommune Indhold Indledning...3 Organisationens kontekst (ISO kap. 4)...3 Roller, ansvar og beføjelser i organisationen (ISO kap. 5)...4 Risikovurdering
Læs mere1. Introduktion til SoA Indhold og krav til SoA 4
Indhold 1. Introduktion til SoA 3 2. Indhold og krav til SoA 4 3. Roller og proces 6 3.1 Dokumentejer og beslutningstager 6 3.2 Inputgivere 6 3.3 Godkender 6 4. Valg af sikringsforanstaltninger 8 4.1 Tilvalgte
Læs mereÅrshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.
Årshjul Formål For at styre informationssikkerheden og for at sikre, at ledelsen har de rette styringsværktøjer, gentages en række aktiviteter løbende år efter år, men andre er enkeltstående aktiviteter.
Læs merePræsentation af Curanets sikringsmiljø
Præsentation af Curanets sikringsmiljø Version: 1.1 Dato: 1. marts 2018 Indholdsfortegnelse Indledning: side 3 Organisering af sikkerhed: side 3 Politikker, procedurer og standarder: side 3 Medarbejdersikkerhed:
Læs mereSikkerhedsvurderinger
Sikkerhedsvurderinger CERTA har specialiseret sig i at yde uafhængig og sagkyndig bistand til virksomheder i forbindelse med håndteringen af sikkerhedsmæssige trusler og risici. Et væsentlig element i
Læs mereStatus for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2
Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse
Læs mereHenrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør
Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring
Læs mereGDPR Leverandørstyring og revisionserklæringer EU-persondatakonferencen 2017
www.pwc.dk GDPR Leverandørstyring og revisionserklæringer GDPR Leverandørstyring og revisionserklæringer v. Jess Kjær Mogensen og Charlotte Pedersen, Agenda Leverandørstyring Erklæringer Spørgsmål 3 Leverandørstyring
Læs mereInformationssikkerhedspolitik for <organisation>
1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger
Læs mereKontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1
Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?
Læs mereVi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.
Som hostingleverandør er vores vigtigste sikkerhedsopgave at passe godt på dine data og sørge for, at du til enhver tid lever op til sikkerhedskravene fra dine kunder. Sikkerhed er derfor et område, som
Læs mereStruktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?
Struktureret compliance 9 måneder med GDPR-compliance krav hvordan er det gået? Introduktion Agenda Kort om Siscon og Jesper GDPR projektet OVERSTÅET eller tid til eftersyn!!? Eftersyn AS-IS GAPs? Struktur
Læs mereGuide til SoA-dokumentet - Statement of Applicability. August 2014
Guide til SoA-dokumentet - Statement of Applicability August 2014 Guide til SoA-dokumentet - Statement of Applicability Udgivet august 2014 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet
Læs mereEU Persondataforordningen, ISO/IEC og de nye privacy-standarder. ItSMF-konferencen, oktober 2017
EU Persondataforordningen, ISO/IEC 27001 - og de nye privacy-standarder ItSMF-konferencen, 25.-26. oktober 2017 It s gonna cost you! 25. Maj 2018 En revolution af nye krav til persondatabeskyttelse? Databeskyttelsesrådgivere
Læs mereNår compliance bliver kultur
Når compliance bliver kultur Multidimensional compliance i teori og praksis Siscon & HeroBase 1. maj 2019 info@siscon.dk Kort om Siscon & HeroBase Multidimensional compliance Krav, standarder og lovgivning
Læs mereDenne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk
Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN:
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereVersion: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium
Version: 1.0 Maj 2019 Informationssikkerhedspolitik for Struer Statsgymnasium Indholdsfortegnelse 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 1 1.3 Sikkerhedsniveau:... 1 1.4 Sikkerhedsbevidsthed:...
Læs mereInformationssikkerhedspolitik
Holbæk Kommunes Informationssikkerhedspolitik 2013 Informationssikkerhedspolitik Indhold 1. Indledning 3 2. Formål 3 3. Holdning og principper 4 4. Omfang 4 5. Informationssikkerhedsniveau 5 6. Organisering
Læs mereVelkommen Grupperne SJ-1 & SJ-2
Velkommen Grupperne SJ-1 & SJ-2 Lasse Ahm Consult Tirsdag, den 1. december 2015 20:33 1 Program Kl. 10.00 Velkomst ved Lasse Michael Ahm - Info om ændringer blandt medlemmerne og nye grupper Kl. 10.05
Læs mereFaxe Kommune. informationssikkerhedspolitik
Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en
Læs mereSystemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,
Systemforvaltning for SDN Temadag om SDN og VDX den 9. november 2016 Peder Illum, konsulent, pi@medcom.dk Agenda Vi fik besøg af Rigsrevisionen.. Hvordan forløb det, hvordan var det, og hvad blev resultatet?
Læs mereOverordnet Informationssikkerhedspolitik
Overordnet Informationssikkerhedspolitik Denne politik er godkendt af byrådet d. 4. juni 2018 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sagsnr.
Læs mereVer. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK
GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK 1 INDHOLDSFORTEGNELSE 30-04-2018 1. Indledning... 3 1.1. Formål og målsætning... 3 1.2. Gyldighedsområde... 3 1.3. Godkendelse... 3 1.4. Gentofte Kommunes
Læs mereSikkerhedsledelsen SIKKERHEDSSPOLITIK FOR DSB. April Version 1.0
Sikkerhedsledelsen SIKKERHEDSSPOLITIK FOR DSB April 2008 Version 1.0 Indhold 1. Indledning... 3 2. Mission... 3 3. Målsætning... 3 4. Dækningsområde og afgrænsning... 4 5. Ansvar og organisering... 4 6.
Læs mereEMIR Nye krav for virksomheders anvendelse af OTC-derivater
Yderligere krav for anvendelse af derivatkontrakter 7. august 2013 EMIR Nye krav for virksomheders anvendelse af OTC-derivater OTC-derivater dækker kontrakter, som handles direkte mellem to parter. Eksempler
Læs mereVelkommen Gruppe SJ-2
Velkommen Gruppe SJ-2 Lasse Ahm Consult Torsdag, den 19. marts 2015 23:23 1 Program Programmet ser således ud: Kl. 10.00 Velkomst ved Lasse Michael Ahm - Info om ændringer blandt medlemmerne Kl. 10.05
Læs mereEvaluering af forløbet og analyserne v/virksomhederne Konklusioner på forløbet til Miljøstyrelsen v/greenet
2 VELKOMMEN Opsamling på resultaterne v/greenet Evaluering af forløbet og analyserne v/virksomhederne Konklusioner på forløbet til Miljøstyrelsen v/greenet Hvordan kommer vi videre? Matchmaking: Parring
Læs mereVejledning i evaluering og opfølgning. Juni 2016
Vejledning i evaluering og opfølgning Juni 2016 Indhold Indledning 3 1. Metoder og værktøjer til overvågning, måling, analyse og evaluering 4 1.1 Formålet med overvågning, måling, analyse og evaluering
Læs mere1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2
Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering
Læs mereSamarbejde, konsortier og netværk Workshop om juridiske og økonomiske udfordringer
Samarbejde, konsortier og netværk Workshop om juridiske og økonomiske udfordringer v/ Betina Nørgaard, Manager Deloitte Consulting Holmegaard, 15. marts 2012 Agenda Opstart af samarbejdet Afgivelse af
Læs mereGuide til implementering af ISO27001
Guide til implementering af ISO27001 Professionel styring af informationssikkerhed September 2015 Indhold 10 punkter til implementering af ISO27001 3 Hvad er informations sikkerhed? 5 Overblik over forretningen
Læs mereAgenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)
IT-sikkerhed med Agenda Introduktion: Rasmus & CyberPilot Eksempler fra det virkelig verden Persondataforordningen & IT-sikkerhed (hint: ISO27001) Risikovurdering som værktøj til at vælge tiltag Tiltag
Læs mereBUSINESS ASSURANCE. Fødevaresikkerhed SAFER, SMARTER, GREENER
BUSINESS ASSURANCE Fødevaresikkerhed SAFER, SMARTER, GREENER 2 ISO 22000 Formålet med dette dokument er at give jer indsigt i overgangen til ISO 22000:2018, den reviderede standard for fødevaresikkerhed.
Læs mereInformationssikkerhedspolitik. for Aalborg Kommune
Informationssikkerhedspolitik for Aalborg Kommune Indhold Formål... 2 Gyldighedsområde... 2 Målsætning... 2 Sikkerhedsniveau... 3 Organisation og ansvarsfordeling... 3 Kontrol... 4 Sikkerhedsbrud og sanktionering...
Læs mereKommunens nuværende politik stammer fra 2008 og bygger på en gammel dansk standard, DS484.
Baggrund Kommunens nuværende politik stammer fra 2008 og bygger på en gammel dansk standard, DS484. Den nationale strategi for cyber- og informationssikkerhed (2014) stiller krav til statslige myndigheder
Læs mereAssens Kommune Sikkerhedspolitik for it, data og information
Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,
Læs mereLedelse og kvalitet i bestyrelsesarbejdet
Ledelse og kvalitet i bestyrelsesarbejdet Hanne Harmsen Deloitte Consulting Akkrediteringsrådet Styrk arbejdet i bestyrelserne, 17. september 2014 Inputtet udefra Universitetsbaggrund. Forskning og undervisning
Læs mereLedelsesforankret informationssikkerhed. med ISO/IEC 27001
Ledelsesforankret informationssikkerhed med ISO/IEC 27001 02 Indhold > Forord... 03 INTRODUKTION ISO/IEC 27001... 05 Ansvar og opgaver... 07 Standardens indhold... 09 PROCESSEN Procesmodellen... 13 Afstem
Læs mereIT-sikkerhedspolitik for
Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs
Læs mereMÅLING AF INFORMATIONSSIKKERHED
MÅLING AF INFORMATIONSSIKKERHED Beth Tranberg, Programleder betr@kl.dk 3370 3064 LOKAL OG DIGITAL et sammenhængende Danmark Den fælleskommunale handlingsplan 2016-2020 Programmet skal følge op på og dokumentere,
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mere1 Informationssikkerhedspolitik
Indholdsfortegnelse 1 Informationssikkerhedspolitik... 1 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 2 1.3 Sikkerhedsniveau:... 2 1.4 Sikkerhedsbevidsthed:... 3 1.5 Brud på informationssikkerheden:...
Læs mereIMPLEMENTERING AF MILJØLEDELSE
IMPLEMENTERING AF MILJØLEDELSE MODUL 1 MODUL 2 MODUL 3 MODUL 4 TRIN 1 Indledende kortlægning TRIN 2 Ledelsens involvering i projektet TRIN 3 Projektplan TRIN 4 Projektopstart og organisering TRIN 5 Detailkortlægning
Læs mereDER ER GÅET SPORT I INFORMATIONSSIKKERHED
DER ER GÅET SPORT I INFORMATIONSSIKKERHED SISCON KONFERENCE SEPTEMBER 2018 KENNY ANDREASEN CTO HEROBASE A/S V. 1.2 Fortællingen Kooooooort om HeroBase A/S Hvad betyder sport? Hvorfor er sport godt (og
Læs mereHvordan kan det private og offentlige få mere ud af ressourcerne inden for taxi og befordring? En afskedssalut?
Hvordan kan det private og offentlige få mere ud af ressourcerne inden for taxi og befordring? En afskedssalut? TØF 7. oktober 2014 Morten Hvid Pedersen morpedersen@deloitte.dk 3093 6508 Et par enkelte
Læs mereRevideret Miljøledelsesstandard
Revideret Miljøledelsesstandard ISO 14001:2015 Ændringer ift. DS/EN ISO 14001:2004 Dokumentationskrav i ny ISO 14001 GREENET- Revideret ISO 14001 1 MiljøForum Fyn - Revideret ISO 14001 2 1 Termer og definitioner
Læs mereSådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed
Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget
Læs mereDenne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk
Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN:
Læs mereDigitaliseringsstyrelsens konference 1. marts 2018
www.pwc.dk Leverandørstyring Digitaliseringsstyrelsens konference 1. marts 2018 Revision. Skat. Rådgivning. Overordnet agenda Introduktion af oplægsholder og workshopholder Oplæg Workshop Afrunding 2 3
Læs mereectrl Modtagelse af elektroniske
ectrl Modtagelse af elektroniske fakturaer. ectrl vejledning 1 ectrl Modtagelse af elektroniske fakturaer Modtagelse af elektroniske fakturaer OBS: Dette dokument opdateres løbende med nye funktioner efterhånden
Læs mereIT-sikkerhedspolitik S i d e 1 9
IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER
Læs mereInformationssikkerhedspolitik for Odder Gymnasium
Informationssikkerhedspolitik for Odder Gymnasium Version: 1.0 Maj 2018 Indholdsfortegnelse 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 1 1.3 Sikkerhedsniveau:... 1 1.4 Sikkerhedsbevidsthed:... 2 1.5
Læs mereIndholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4
Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 Sammenhæng med IT- og forretningsstrategier 4 Risikostyring og sikring af informationsaktiver og systemer 5 Overvågning af risici og regionens IT-sikkerhedsniveau
Læs mereFredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT
Fredericia Kommunes Informationssikkerhedspolitik 2018 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT 12-11-2018 Indholdsfortegnelse Indledning Hvad og hvem er omfattet? Ansvar og konsekvens Vision,
Læs mereInfoblad. IATF Automotive
Side 1 af 5 IATF 16949 - Automotive Standarden IATF 16949 indeholder særlige krav gældende for bilindustrien og for relevante reservedelsvirksomheder. Standardens struktur er opbygget som strukturen i
Læs mereUdkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]
Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016] Indhold 1. Indledning... 2 2. Kommentarer til de enkelte punkter... 2 2.1. Hensigtsmæssig
Læs mereKoncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.
vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Bilag 9b IT-sikkerhedsdokumenter Bilag 9b 1 1 INDHOLDSFORTEGNELSE 1. IT-sikkerhedspolitik for Københavns Kommune
Læs mereRISIKOVURDERING I PRAKSIS
RISIKOVURDERING I PRAKSIS AGENDA INTRODUKTION AF Jesper B. Hansen Siscon TRUSSELSBILLEDET RISIKOVURDERING Trusler -> konsekvenser Metode ISO 27005 Håndtering af risici OPSAMLING ControlManager by Siscon
Læs mereVelkommen Gruppe SJ-1
Velkommen Gruppe SJ-1 Lasse Ahm Consult Torsdag, den 25. september 2014 15:35 1 Program Programmet ser således ud: Kl. 10.00 Velkomst ved Lasse Michael Ahm - Info om ændringer blandt medlemmerne Kl. 10.05
Læs mereBusiness Consulting New manager programme
Business Consulting New manager programme Velkommen som manager i Business Consulting Faglig specialisering, bred orientering Vi søger talentfulde managere med lederkompetencer, der trives med udfordringer,
Læs mereOverordnet it-sikkerhedspolitik for Rødovre Kommune
Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,
Læs mereKrav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter
Dansk standard DS 3999 1. udgave 2010-10-12 Krav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter Requirements for security of cash centers, transit stations
Læs mereHvis I vil vide mere. Kom godt i gang med standarder. Hvordan arbejder I med et fælles ledelsessystem og skaber synergi?
Tryksag 541-643 Hvis I vil vide mere Kom godt i gang med standarder I er velkomne til at kontakte vores erfarne konsulenter inden for integreret ledelse på telefon 39 96 61 01 eller consulting@ds.dk. Helhedsorienteret
Læs mereLars Neupart Director GRC Stifter, Neupart
PROCESSER FOR BEVISSIKRING I ET ISO 27000 PERSPEKTIV. Lars Neupart Director GRC Stifter, Neupart LNP@kmd.dk @neupart Om Neupart (nu KMD) KMD s GRC afdeling: Udvikler og sælger SecureAware : En komplet
Læs mere