serien og nyheder i ISO og ISO 27002
|
|
- Holger Therkildsen
- 7 år siden
- Visninger:
Transkript
1 serien og nyheder i ISO og ISO Dansk Industri/ITEK 3. juni 2014 Jesper E. Siig Senior Security Advisor
2 Om Neupart ISO certificeret virksomhed. Udvikler og sælger SecureAware, en komplet og effektiv ISMS- løsning, som hjælper virksomheder med it- risikovurdering og enklere efterlevelse af deres it- sikkerhedskrav Leverer SecureConsult, som er rådgivning og hjælp fra erfarne it- sikkerhedskonsulenter. Mere end 200+ kunder i mange brancher og størrelser IT GRC = IT Governance, Risk & Compliance Management
3 Indhold 1. Overblik over ISO serien 2. Hvad blev der lige af DS 484? 3. ISO vs. ISO vs. DS Nyheder i udgaven af ISO Nyheder i udgaven af ISO Hvordan skifter man fra den gamle ISO til den nye? 7. Hvordan skifter man fra DS 484 til ISO 27001? Neupart A/S
4 Hele ISO Familien ISO/IEC 27000:2014
5 Hvad blev der lige af DS 484? DS Dansk norm Checkliste- sikkerhed Opera<onelle krav One size fits all ISO Interna<onal Standard Risikobaseret Krav <l ledelsessystem Tilpasses virksomheden Det formelle krav om efterlevelse DS 484 indenfor Staten er udfaset, da ISO kom på dansk d. 23. januar 2014
6 ISO ISMS: Ledelsesforankring Risikostyring Statement of Applicability Performance- måling Konstant forbedring ISO Annex A... A shall.. A shall.. A shall.. A shall.. A shall.. A shall... LEDELSES-OVERBYGNING ISO should should should should should should... DS skal skal skal skal skal skal a,b,*c,*d a,b,c a,*b,*c,*d a,b,*c,*d,e,*f a,b,c,d,e,*f a,*b,*c,*d,*e,f,*g. 35 styringsmål ( objectives ) foranstaltninger ( controls ) som skal vælges til eller fra i Statement of Applicability 35 objectives, 113 controls ~600 guidances should.. 39 mål, 135 foranstalt- ninger..skal.. ~600 implementerings- retningslinjer..skal.. Dvs. det er absolutte krav ift. efterlevelse af DS 484
7 Hvad er der af nyt i ISO 27002? (ift. DS 484) Flere kapitler Færre krav En del kontroller har holdt flyttedag Kapitel 3 Termer og definitioner er flyttet hjemmefra, til ISO Kapitel 4 Risikovurdering og håndtering er flyttet hjemmefra, til ISO Men ellers er tankegang og opbygning bevaret Bonus: Den engelske version følger med (på hver anden side)
8 Fra DS 484 til ISO Risikovurdering og håndtering 5 Overordnede retningslinjer 6 Organisering af informa<onssikkerhed 7 Styring af informa<onsrelaterede ak<ver 8 Medarbejdersikkerhed 9 Fysisk sikkerhed 10 Styring af netværk og drit 11 Adgangsstyring 12 Indkøb, udvikling og vedligeholdelse af informa<onsbehandlingssystemer 13 Styring af sikkerhedshændelser 14 Beredskabsstyring 15 Overensstemmelse med lovbestemte og kontraktlige krav 11 nye kontroller en masse flyttet 20 slettet ISO Informa<onssikkerhedspoli<kker 6 Organisering af informa<onssikkerhed 7 Medarbejdersikkerhed 8 Styring af ak<ver 9 Adgangsstyring 10 Kryptografi 11 Fysisk sikring og miljøsikring 12 DriTssikkerhed Nyt 13 Kommunika<onssikkerhed 14 Anskaffelse, udvikling og vedlige- holdelse af systemer 15 Leverandørforhold 16 Styring af informa<onssikkerhedsbrud 17 Informa<onssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring 18 Overensstemmelse Nyt Opsplitning
9 Er der noget om Cloud? Ikke direkte, men afsnittet om leverandører er nyt og indholdet strammet op. Og der er en ny standard på vej: ISO Code of practice for information security controls based on ISO/IEC for cloud services (ETA 2015)
10 Hvad så med BYOD? Kontroller i ISO 27002: Politikker for informations- sikkerhed Politik for mobilt udstyr
11 5.1.1 Politikker for informationssikkerhed ISO Afsnit (uddrag) Eksempler på sådanne emner omfatter: Slutbrugerorienterede emner som fx:... d) mobilt udstyr og mernarbejdspladser
12 6.2.1 Politik for mobilt udstyr ISO Afsnit (uddrag) Politikken for mobilt udstyr bør omfatte: a) Registrering af mobilt udstyr b) Krav til fysisk beskyttelse c) Begrænsning af softwareinstallation d) Krav til softwareversioner i mobilt udstyr og anvendelse af patches e) Begrænsninger af forbindelse til informationstjenester f) Adgangsstyring g) Kryptografi h) Malwarebeskyttelse i) Deaktivering, sletning og spærring j) Backup k) Brug af webtjenster og webapps
13 Så hvad er der sket med ISO 27001? En ny struktur Nyt indhold Den er stadig kort: 9 sider med krav til et ISMS Konkrete kontroller findes stadig i Annex A, som refererer til ISO Den er rimeligt bagud- kompatibel
14 ISO : 2013 indhold 4 Organisa<onens kontekst 5 Lederskab 6 Planlægning 7 Support 8 DriT 9 Evaluering 10 Forbedring
15 Hvad skete der lige med PDCA? Der er stadig krav løbende forbedringer Plan - Do Check Act kan vælges til at opnå dette. Og metoden ligger stadig nedenunder, som vi skal se
16 4 Organisationens kontekst 1. Forståelse af organisationen og dens kontekst 2. Forståelse af interessenters behov og forventninger 3. Bestemmelse af omfanget af ledelsessystemet for informationssikkerhed 4. Ledelsessystem for informationssikkerhed Kontekst Lederskab Planlægning Support DriT Evaluering Forbedring PLAN DO CHECK ACT
17 5 Lederskab 1. Lederskab og engagement 2. Politik 3. Roller, ansvar og beføjelser i organisationen Kontekst Lederskab Planlægning Support DriT PLAN DO Evaluering CHECK Forbedring ACT
18 6 Planlægning 1. Handlinger til håndtering af risici og muligheder 2. Informationssikkerheds målsætninger og planlægning for opnåelse heraf Kontekst Lederskab Planlægning Support DriT PLAN DO Evaluering CHECK Forbedring ACT
19 Hovedbudskabet: Virksomheden skal have en proces til at håndtere risici
20 Mere frihed i dit valg af risikometode Krav til processen: 1. Kriterier for risiko, også for risikoappetit 2. Risikovurderinger 3. Fortløbende, konsistent proces, der sikrer sammenlignelige og korrekte resultater Men bemærk: Der er ikke længere krav om at det skal være ISO 27005, der anvendes
21 Et enkelt nyt begreb: Risiko- ejer Godkender handlingsplaner for risikohåndtering og accepterer/afviser risici Bemærk: Aktiv- ejerskab er ikke længere et formelt krav, men findes som kontrol i Annex A/ISO 27002
22 SoA = Statement of Applicability Risikohåndtering SoA hænger tæt sammen med risikohåndtering Vælg behandlingsform Vælg tiltag/kontroller Check Annex A for om alle nødvendige kontroller er med Begrund fravalg OG tilvalg
23 7 Support 1. Ressourcer 2. Kompetencer 3. Bevidsthed 4. Kommunikation 5. Dokumenteret information Kontekst Lederskab Planlægning Support DriT PLAN DO Evaluering CHECK Forbedring ACT
24 8 Drift 1. Driftplanlægning og styring 2. Vurdering af informationssikkerheds- risici 3. Håndtering af informationssikkerheds- risici Kontekst Lederskab Planlægning Support DriT Evaluering PLAN DO CHECK Forbedring ACT
25 Risikostyring = Risikovurdering + Risikohåndtering Risikoejer (Aktiver) Trusler Business Impact Assessment Sårbarhedsvurdering Rapportering og evaluering Håndtering: Acceptér, Reducér, Del eller Undgå
26 Risikohåndtering Accepter Reducér Del Undgå Dette er valgmulighederne jævnfør ISO 27001:2005 og ISO ISO 27001:2013 kræver ikke netop disse 4 former. Kravet er, at der er findes en struktureret proces for risikohåndtering. Man kan selvfølgeligt stadig vælge disse 4 måder
27 9 Evaluering 1. Overvågning, måling, analyse og evaluering 2. Intern audit 3. Ledelsens gennemgang Kontekst Lederskab Planlægning PLAN Support DriT DO Evaluering CHECK Forbedring ACT
28 10 Forbedring 1. Afvigelser og korrigerende handlinger 2. Løbende forbedring Kontekst Lederskab Planlægning PLAN Support DriT DO Evaluering CHECK Forbedring ACT
29 Hvad skal jeg gøre for at skifte fra den gamle til den nye? Ingenting!
30 Ok, måske ikke, men næsten Der er meget der kan genbruges Med enkelte ændringer kan dit eksisterende ISMS tilpasses ISO27001:2013 SoA bør omstruktureres jf. den nye ISO Udnyt fleksibiliteten (Hvis man ikke er så erfaren i ISMS, så kan det være sværere at starte helt fra bunden)
31 Hvor kan man optimere? Mindre form, mere funktion Hvis man allerede har et ERM vil integrere til Hvis man vil simplificere eller ændre risikoprocessen Hvis man har implementeret management review efter ISO27001:2005 kan man nok simplificere Hvis man vil tilpasse sit ISMS endnu bedre til sin egen virksomhed
32 4 gode steder at starte Risk Metrikker Mgmt. review SoA Evaluer din riskmetode Risikohåndtering er central Husk opportuni<es Særskilt emne på Neupart Webinar Neupart Whitepaper* Start pragma<sk Mål hvad du kan måle Rafinér i takt med at modenheden i dit ISMS s<ger Neupart Whitepaper* Smid din nuværende proces ud! Lav review af det der giver mening Du skal sikre dig dit ISMS kører som det skal Der er nye sikrings<ltag i Begrund <lvalg og fravalg Husk sammen- hæng med risiko- håndtering Særskilt emne på Neupart Webinar * aspx
33 Men vi bruger DS 484! Den var straks værre Det er virkelig synd for jer! Modtag vores dybeste medfølelse J Spøg til side. I får mere at lave end dem der bruger ISO 27001:2005 For, hvad er det I mangler?
34 ISO ISMS: Ledelsesforankring Risikostyring Statement of Applicability Performance- måling Konstant forbedring ISO Annex A... A shall.. A shall.. A shall.. A shall.. A shall.. A shall... LEDELSES-OVERBYGNING ISO should should should should should should... DS skal skal skal skal skal skal a,b,*c,*d a,b,c a,*b,*c,*d a,b,*c,*d,e,*f a,b,c,d,e,*f a,*b,*c,*d,*e,f,*g. 35 styringsmål ( objectives ) foranstaltninger ( controls ) som skal vælges til eller fra i Statement of Applicability 35 objectives, 113 controls ~600 guidances should.. 39 mål, 135 foranstalt- ninger..skal.. ~600 implementerings- retningslinjer..skal.. Dvs. det er absolutte krav ift. efterlevelse af DS 484
35 Hvordan får i lavet overbygninger? 1. Ledelsesforankring Kig på organisationen 2. Etabler risikostyring Der findes ikke IT- risici kun forretningsrisici! 3. Vurder behovet for kontroller Dokumenteres i Statement of Applicability 4. Tænk i processer Plan- Do- Check- Act/Konstant forbedring
36 Læs mere (I) whitepaper- om- at- skifte- fra- ds til- iso aspx
37 Læs mere (II) statement- of- applicability.aspx
38 Ellers skriv gerne til
Erfaringer fra innføring av ISO i danske kommuner (styringssystem for informasjonssikkerhet)
Erfaringer fra innføring av ISO 27001 i danske kommuner (styringssystem for informasjonssikkerhet) Lars Neupart S,-er, Direktør i Neupart A/S LN@neupart.com twi
Læs mereKursus: Ledelse af it- sikkerhed
Kursus: Ledelse af it- sikkerhed Neupart tilbyder en kursusrække, som vil sætte dig i stand til at arbejde struktureret efter best practice og de internationale standarder for informationssikkerhed. Alle
Læs mereVejledning i informationssikkerhedspolitik. Februar 2015
Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:
Læs mereSkanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017
Skanderborg Kommune ISMS-regler Informationssikkerhedsregler for hvert krav i ISO 27001:2017 02-04-2018 Indholdsfortegnelse 4 Organisationens kontekst 1 4.1 Forståelse af organisationen og dens kontekst
Læs mereISO/IEC 27001:2013. Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent nm@ds.dk 4121 8304
1 ISO/IEC 27001:2013 Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent nm@ds.dk 4121 8304 Deltaget i det internationale arbejde omkring revisionen af ISO/IEC 27001 og 27002,
Læs mereFra DS 484 til ISO 27001
Fra DS 484 til ISO 27001 Hvordan kan din virksomhed efterleve den internationale standard for informationssikkerhed - ISO 27001? En praktisk vejledning i at skifte fra den udgående danske standard, DS
Læs mereEU Persondataforordningen, ISO/IEC og de nye privacy-standarder. ItSMF-konferencen, oktober 2017
EU Persondataforordningen, ISO/IEC 27001 - og de nye privacy-standarder ItSMF-konferencen, 25.-26. oktober 2017 It s gonna cost you! 25. Maj 2018 En revolution af nye krav til persondatabeskyttelse? Databeskyttelsesrådgivere
Læs mereISO Ledelsesværktøj til digital risikostyring
ISO 27001 Ledelsesværktøj til digital risikostyring John Wiingaard, GRC konsulent, Dubex Bygholm Park, Horsens, den 12. maj 2016 Agenda 1. Formål 2. IT-sikkerhedsudfordringer anno 2016 3. Hvorfor ISO27001
Læs mereLars Neupart Director GRC Stifter, Neupart
PROCESSER FOR BEVISSIKRING I ET ISO 27000 PERSPEKTIV. Lars Neupart Director GRC Stifter, Neupart LNP@kmd.dk @neupart Om Neupart (nu KMD) KMD s GRC afdeling: Udvikler og sælger SecureAware : En komplet
Læs mereISO Styr på Arbejdsmiljøet på din virksomhed
ISO 45001 Styr på Arbejdsmiljøet på din virksomhed Hvem er med Topledelsen Mellemledere Medarbejdere Eksterne Kunder Leverandører Besøgerne Outsoucering Kontractors Gevinst Styr på Arbejdsmiljøet Mindre
Læs mereGuide til SoA-dokumentet - Statement of Applicability. August 2014
Guide til SoA-dokumentet - Statement of Applicability August 2014 Guide til SoA-dokumentet - Statement of Applicability Udgivet august 2014 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet
Læs mere1. Introduktion til SoA Indhold og krav til SoA 4
Indhold 1. Introduktion til SoA 3 2. Indhold og krav til SoA 4 3. Roller og proces 6 3.1 Dokumentejer og beslutningstager 6 3.2 Inputgivere 6 3.3 Godkender 6 4. Valg af sikringsforanstaltninger 8 4.1 Tilvalgte
Læs mereLeverandørstyring: Stil krav du kan måle på
Leverandørstyring: Stil krav du kan måle på 1. Marts 2018 Rikke Saltoft Andersen, Teamleder, Kontor for Systemforvaltning Hovedbudskaber ISO 27001 standarden muliggør reference til standard leverancer
Læs mereRevideret Miljøledelsesstandard
Revideret Miljøledelsesstandard ISO 14001:2015 Ændringer ift. DS/EN ISO 14001:2004 Dokumentationskrav i ny ISO 14001 GREENET- Revideret ISO 14001 1 MiljøForum Fyn - Revideret ISO 14001 2 1 Termer og definitioner
Læs mereRegion Hovedstadens Ramme for Informationssikkerhed
Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...
Læs mereSådan udvikler I en Statement of Applicability i henhold til ISO 27001:2013
Statement of Applicability Hjørnestenen i jeres ISMS Sådan udvikler I en Statement of Applicability i henhold til ISO 27001:2013 Af Jesper E. Siig Senior Security Advisor hos Neupart 2014 Neupart 1 Introduktion
Læs mereVirksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:
DS/ISO 31000 Risikoledelse ISO 31000 - Risikoledelse Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: overordnede
Læs mereSådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed
Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget
Læs mereVejledning i informationssikkerhedsstyring. Februar 2015
Vejledning i informationssikkerhedsstyring (ISMS) Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt
Læs mereForordningens sikkerhedskrav
Forordningens sikkerhedskrav Klaus Kongsted, Dubex DI, 12. oktober 2016 Agenda Hvordan håndteres Risikovurdering Passende tekniske og organisatoriske foranstaltninger Godkendte adfærdskodekser og certificering
Læs mereISO27001 som ledelsesværktøj en pragmatisk tilgang. Lars Boye, lab@dubex.dk Søborg, den 6. november 2014
ISO27001 som ledelsesværktøj en pragmatisk tilgang Lars Boye, lab@dubex.dk Søborg, den 6. november 2014 DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2014 Informationssikkerhed på dagsordenen Det seneste års
Læs mereKrav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter
Dansk standard DS 3999 1. udgave 2010-10-12 Krav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter Requirements for security of cash centers, transit stations
Læs mereVelkommen Gruppe SJ-1
Velkommen Gruppe SJ-1 Lasse Ahm Consult Tirsdag, den 17. marts 2015 21:05 1 Program Programmet ser således ud: Kl. 10.00 Velkomst ved Lasse Michael Ahm - Info om ændringer blandt medlemmerne Kl. 10.05
Læs mereInformationsteknologi Sikkerhedsteknikker. Informationssikkerhed (ISMS) Krav
Dansk standard DS/ISO/IEC 27001 2. udgave 2007-06-06 Informationsteknologi Sikkerhedsteknikker Ledelsessystemer for Informationssikkerhed (ISMS) Krav Information technology Security techniques Information
Læs mereCertificering af ISO 45001
Business Assurance BUSINESS ASSURANCE Certificering af ISO 45001 SAFER, SMARTER, GREENER Lidt om mig Steen Christian Larsen Principal Lead Auditor Ansat 01-03-1995 Auditerer offentlige og private organisationer
Læs mereGuide til implementering af ISO27001
Guide til implementering af ISO27001 Professionel styring af informationssikkerhed September 2015 Indhold 10 punkter til implementering af ISO27001 3 Hvad er informations sikkerhed? 5 Overblik over forretningen
Læs mereBUSINESS ASSURANCE. Fødevaresikkerhed SAFER, SMARTER, GREENER
BUSINESS ASSURANCE Fødevaresikkerhed SAFER, SMARTER, GREENER 2 ISO 22000 Formålet med dette dokument er at give jer indsigt i overgangen til ISO 22000:2018, den reviderede standard for fødevaresikkerhed.
Læs mereVelkommen Grupperne SJ-1 & SJ-2
Velkommen Grupperne SJ-1 & SJ-2 Lasse Ahm Consult Tirsdag, den 1. december 2015 20:33 1 Program Kl. 10.00 Velkomst ved Lasse Michael Ahm - Info om ændringer blandt medlemmerne og nye grupper Kl. 10.05
Læs mereEvaluering af forløbet og analyserne v/virksomhederne Konklusioner på forløbet til Miljøstyrelsen v/greenet
2 VELKOMMEN Opsamling på resultaterne v/greenet Evaluering af forløbet og analyserne v/virksomhederne Konklusioner på forløbet til Miljøstyrelsen v/greenet Hvordan kommer vi videre? Matchmaking: Parring
Læs mereHenrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør
Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring
Læs mereAsset management GAP analyse
SAM fra IAM på dansk sprog DDV Vedligehold 4.0 Maj 2017 Formål med modenhedsmåling Fokus: værdiskabende asset management Status over hvor vi står i dag Grundlag for videre udvikling af asset management
Læs mereRisikostyring ifølge ISO27005 v. Klaus Kongsted
Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister
Læs mereGDPR Leverandørstyring og revisionserklæringer EU-persondatakonferencen 2017
www.pwc.dk GDPR Leverandørstyring og revisionserklæringer GDPR Leverandørstyring og revisionserklæringer v. Jess Kjær Mogensen og Charlotte Pedersen, Agenda Leverandørstyring Erklæringer Spørgsmål 3 Leverandørstyring
Læs mereKontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1
Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?
Læs mereLinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK
GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK LinkGRC A Nordic leader in all aspects of Governance, Risk and Compliance Virksomhedens informationssikkerhedspolitik er i sin enkelhed et modsvar til en virksomheds
Læs mereFærre fejl, hændelser og mangler Større interessenttilfredshed. Bedre image Større indtjening Forbedret dokumentation. Lektion 1 2
Lektion 1 1 Grundlæggende begreber for ledelse Færre fejl, hændelser og mangler Større interessenttilfredshed Bedre image Større indtjening Forbedret dokumentation Lektion 1 2 De 8 grundprincipper Interessent
Læs mereDenne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk
Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN:
Læs mereArbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87
Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS 18001 og bek. 87 Punkt Emne Bemærkninger Handlingsplan 4.1 Generelle krav Organisationen skal etablere og vedligeholde et arbejdsmiljøledelses-system
Læs mereHos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:
ISO 9001:2015 Side 1 af 8 Så ligger det færdige udkast klar til den kommende version af ISO 9001:2015. Standarden er planlagt til at blive implementeret medio september 2015. Herefter har virksomhederne
Læs mereNyt om ISO-standarder ISO 14001:2015 ISO 9001:2015 ISO 45001:2016. Jan Støttrup Andersen. Lidt om mig:
Velkommen til Nyt om ISO-standarder ISO 14001:2015 ISO 9001:2015 ISO 45001:2016 1 Lidt om mig: Jan Støttrup Andersen Force Technology; Audit og Forretningsudvikling Konsulent indenfor ledelsessystemer
Læs mereIt-sikkerhedspolitik for Farsø Varmeværk
It-sikkerhedspolitik for Farsø Varmeværk Introduktion Denne it-sikkerhedspolitik, som er besluttet af bestyrelsen, udgør den overordnede ramme for at opretholde it-sikkerheden hos Farsø Varmeværk. Hermed
Læs mereKOMBIT sikkerhedspolitik
KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER
Læs mereModenhed og sikkerhed hos databehandlere Charlotte Pedersen
Modenhed og sikkerhed hos databehandlere Charlotte Pedersen 28. Januar 2014 Præsentation Charlotte Pedersen Director Cand.scient.pol. ISO27001:2013 Certified ISMS Lead Auditor (IBITG accredited) mv., CIIP,
Læs mereLedelsesforankret informationssikkerhed. med ISO/IEC 27001
Ledelsesforankret informationssikkerhed med ISO/IEC 27001 02 Indhold > Forord... 03 INTRODUKTION ISO/IEC 27001... 05 Ansvar og opgaver... 07 Standardens indhold... 09 PROCESSEN Procesmodellen... 13 Afstem
Læs mereISO27001 seminar. Kom godt i gang. Charlotte Pedersen 23. november 2015
ISO27001 seminar Kom godt i gang Charlotte Pedersen 23. november 2015 Program Kl. 9.00 Velkomst Kl. 9.05 Introduktion til ISO27001 på en praktisk måde Kl. 10.00 ISO27001 kundeerfaring, Enhedsleder for
Læs mereFællesregional Informationssikkerhedspolitik
24. Januar 2018 Side 1/5 Fællesregional Informationssikkerhedspolitik Indhold 1. Formål... 1 2. Organisation... 3 3. Gyldighedsområde... 4 4. Målsætninger... 4 5. Godkendelse... 5 1. Formål Den Fællesregionale
Læs mereStatus for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2
Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse
Læs mereStilling+Brixen. Kvalitetsledelse. Opbygning og implementering af ledelsessystemer på vej mod certificering
` Stilling+Brixen Kvalitetsledelse Opbygning og implementering af ledelsessystemer på vej mod certificering ` Intro Vækst forudsætter dokumentation for kvalitet De fleste danske virksomheder har mødt kravet
Læs mereANALYSE Informationssikkerhed blandt DI s medlemmer
ANALYSE Informationssikkerhed blandt DI s medlemmer DI ITEK 1787 København V. 3377 3377 itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden for it, tele, elektronik
Læs mereMÅLING AF INFORMATIONSSIKKERHED
MÅLING AF INFORMATIONSSIKKERHED Beth Tranberg, Programleder betr@kl.dk 3370 3064 LOKAL OG DIGITAL et sammenhængende Danmark Den fælleskommunale handlingsplan 2016-2020 Programmet skal følge op på og dokumentere,
Læs mereHos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:
ISO 9001:2015 Side 1 af 8 Så blev den nye version af ISO 9001 implementeret. Det skete den 23. september 2015 og herefter har virksomhederne 36 måneder til at implementere de nye krav i standarden. At
Læs mereGDPR og ISO-standarderne Få styr på værktøjskassen af ISO-standarder
GDPR og ISO-standarderne Få styr på værktøjskassen af ISO-standarder Siscon Konference 2019 Standarder 1. JTC 1/SC 27: IT Security techniques 2. CEN-CENELEC: Cyber Security and Data Protection Den nationale
Læs mereInfoblad. IATF Automotive
Side 1 af 5 IATF 16949 - Automotive Standarden IATF 16949 indeholder særlige krav gældende for bilindustrien og for relevante reservedelsvirksomheder. Standardens struktur er opbygget som strukturen i
Læs mereHandlinger til adressering af risici og muligheder Risikovurdering, risikoanalyse, risikobaseret tilgang
Handlinger til adressering af risici og muligheder Risikovurdering, risikoanalyse, risikobaseret tilgang Eurolab Danmark Netværksmøde 6. november 2018 1 Risikovurdering i ISO 17025:2017 De væsentligste
Læs mereLANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED
LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke
Læs mereBranchens perspektiv på den gode indkøbs organisation. En måling er bedre end 100 mavefornemmelser. Per Hartlev
KL s Dialogforum for it-leverandører og konsulenthuse 7. november 2016 Branchens perspektiv på den gode indkøbs organisation En måling er bedre end 100 mavefornemmelser Per Hartlev ph@whitebox.dk 7/11-2016
Læs mereVelkommen Gruppe SJ-2
Velkommen Gruppe SJ-2 Lasse Ahm Consult Torsdag, den 19. marts 2015 23:23 1 Program Programmet ser således ud: Kl. 10.00 Velkomst ved Lasse Michael Ahm - Info om ændringer blandt medlemmerne Kl. 10.05
Læs mereISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015
ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til
Læs mereAgenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)
IT-sikkerhed med Agenda Introduktion: Rasmus & CyberPilot Eksempler fra det virkelig verden Persondataforordningen & IT-sikkerhed (hint: ISO27001) Risikovurdering som værktøj til at vælge tiltag Tiltag
Læs mereHvordan kommer vi videre og får alle med?
Hvordan kommer vi videre og får alle med? 1. Gennemfør handlingsplanerne 2. Sikre at miljøarbejdet fortsætter 3. Information og dialog 4. Nye input til den næste handlingsplan Gennemførelse af handlingsplanen
Læs mereISO 9001:2015 OG ISO 14001:2015 NYE VERSIONER AF STANDARDERNE ER PÅ VEJ ER DU KLAR? Move Forward with Confidence
ISO 9001:2015 OG ISO 14001:2015 NYE VERSIONER AF STANDARDERNE ER PÅ VEJ ER DU KLAR? Move Forward with Confidence HVORFOR 2015 REVISIONEN? I en verden hvor de økonomiske, teknologiske og miljømæssige udfordringer
Læs mereBranchens perspektiv på den gode indkøbs organisation. En måling er bedre end 100 mavefornemmelser. Per Hartlev
Branchens perspektiv på den gode indkøbs organisation En måling er bedre end 100 mavefornemmelser Per Hartlev ph@whitebox.dk 7/11-2016 Release-styring Hjælpe værktøjer Kvalitets sikring Leverandør kontrakter
Læs mereTilsyn med Databehandlere
Tilsyn med Databehandlere Jesper B. Hansen Fokusområder Styring af informationssikkerhed ISO27001/2 baseret ISMS EU-GDPR complianceanalyser og implementering Track record Chief Delivery Officer Siscon
Læs mereHVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING
HVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING - OPSAMLING PÅ SISCON S EFTERÅRSKONFERENCE ControlManager by Siscon 1 DAGEN I DAG Informationssikkerhed på agendaen i bestyrelsen EU-forordningen
Læs mereMedComs informationssikkerhedspolitik. Version 2.2
MedComs informationssikkerhedspolitik Version 2.2 Revisions Historik Version Forfatter Dato Bemærkning 2.2 20.02.17 MedComs Informationssikkerhedspolitik Side 2 af 7 INDHOLDSFORTEGNELSE 1 INDLEDNING...
Læs mereDS/EN ISO/IEC 27001:2017-standarden og dens opbygning og indhold
DS/EN ISO/IEC 27001:2017-standarden og dens opbygning og indhold Af Torben Abildgaard Pedersen Titel Informationsteknologi Sikkerhedsteknikker Ledelsessystemer for informationssikkerhed Krav Anvendelsesområde
Læs mereProces til vurdering af cloud løsning og risici
Proces til vurdering af cloud løsning og risici John Wiingaard, GRC konsulent, Dubex Bygholm Park, Horsens, den 12. maj 2016 Agenda 1. Definition af Cloud 2. Inspiration til procestrin 3. Indledende betragtninger
Læs mereProcesoptimering og Ledelsessystemer
Procesoptimering og Ledelsessystemer Den lette forståelse til ledelsessystemer og standardernes anvendelse. Optimer jeres processer og dokumenter det. Reducer drifts- omkostningerne. Styrk din konkurrenceevne.
Læs mereFællesregional Informationssikkerhedspolitik
Udbud nr. 2016/S 199-358626 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 13.1 - Fællesregional Informationssikkerhedspolitik Underbilag 13.1 Fællesregional Informationssikkerhedspolitik Side 1/6
Læs mereVersion: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium
Version: 1.0 Maj 2019 Informationssikkerhedspolitik for Struer Statsgymnasium Indholdsfortegnelse 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 1 1.3 Sikkerhedsniveau:... 1 1.4 Sikkerhedsbevidsthed:...
Læs mereQuality management systems Guidelines for quality plans
Dansk standard DS/ISO 10005 3. udgave 2006-12-05 COPYRIGHT Danish Standards. NOT FOR COMMERCIAL USE OR REPRODUCTION. DS/ISO 10005:2006 Kvalitetsstyringssystemer Retningslinjer for kvalitetsaktivitetsplaner
Læs mereInformationssikkerhedspolitik for Horsens Kommune
Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...
Læs mereSystemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,
Systemforvaltning for SDN Temadag om SDN og VDX den 9. november 2016 Peder Illum, konsulent, pi@medcom.dk Agenda Vi fik besøg af Rigsrevisionen.. Hvordan forløb det, hvordan var det, og hvad blev resultatet?
Læs mereInformationssikkerhedspolitik for <organisation>
1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger
Læs mereÅrshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.
Årshjul Formål For at styre informationssikkerheden og for at sikre, at ledelsen har de rette styringsværktøjer, gentages en række aktiviteter løbende år efter år, men andre er enkeltstående aktiviteter.
Læs mereDS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484
DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres
Læs mereEt godt og effektivt vedligehold af en ISO27001 certificering. Erwin Lansing Head of Security & Chief Technologist
Et godt og effektivt vedligehold af en ISO27001 certificering Erwin Lansing Head of Security & Chief Technologist Hvad laver DK Hostmaster? Register for.dk domæner 1.315.274 domænenavne Ca. 700.000 kunder
Læs mereOverordnet it-sikkerhedspolitik for Rødovre Kommune
Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,
Læs mereFriske Forsyninger - med sikkerhed Seminar om ledelsessystemer for vand- og spildevandsselskaber
Friske Forsyninger - med sikkerhed Seminar om ledelsessystemer for vand- og spildevandsselskaber Torsdag den 8. september 2011 Processen og vejen til certificeret ledelsessystem v./sektorchef Lars Vestergaard
Læs mereStruktureret Compliance
Struktureret Compliance FRA DEN SURE GAMLE MAND. Compliance, Quality og ControlManager - del1 2 DEL 1 STRUKTURERET COMPLIANCE (INFORMATIONSSIKKERHED) DEL 2 COMPLIANCE OG DE MANGE EKSTERNE KRAV DEL 1 STRUKTURERET
Læs mereInformationssikkerhedspolitik. Frederiksberg Kommune
Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger
Læs mereSOPHIAGÅRD ELMEHØJEN
Databeskyttelsespolitik for Sophiagård Elmehøjen Overordnet organisering af personoplysninger Sophiagård Elmehøjen ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger
Læs mereSikkerhedsledelsen SIKKERHEDSSPOLITIK FOR DSB. April Version 1.0
Sikkerhedsledelsen SIKKERHEDSSPOLITIK FOR DSB April 2008 Version 1.0 Indhold 1. Indledning... 3 2. Mission... 3 3. Målsætning... 3 4. Dækningsområde og afgrænsning... 4 5. Ansvar og organisering... 4 6.
Læs mereFra ad hoc-tilgang til en struktureret CSR-indsats
Tryksag 541-643 Gode råd Her er nogle gode råd til, hvordan I griber CSR-processen an. Kom godt i gang med standarder > > Sæt et realistisk ambitionsniveau > > Sørg for, at CSR er en integreret del af
Læs mereCertificering ISO 14001:2015
Certificering ISO 14001:2015 Nr. Æ-1B, Rev. Dato: 29-8.2018 Sagsnummer: E-mail: Rekvirent: Adresse(r): Auditor Dato: 2017.0070.0006 co@sk-as.dk Søborg Køl A/S Brøndbytoften 13, 2605 Brøndby PBP 05-12-2018
Læs mereManagement of Risks (M_o_R ) Professionel styring af risici
Management of Risks (M_o_R ) Professionel styring af risici Indholdsfortegnelse 1. Resume... 3 2. Hvad er en risiko og hvad er Management of Risks... 3 3. Introduktion til M_o_R Management of Risk... 3
Læs mereOrganisering og styring af informationssikkerhed. I Odder Kommune
Organisering og styring af informationssikkerhed I Odder Kommune Indhold Indledning...3 Organisationens kontekst (ISO kap. 4)...3 Roller, ansvar og beføjelser i organisationen (ISO kap. 5)...4 Risikovurdering
Læs mereInformationssikkerhedspolitik
Holbæk Kommunes Informationssikkerhedspolitik 2013 Informationssikkerhedspolitik Indhold 1. Indledning 3 2. Formål 3 3. Holdning og principper 4 4. Omfang 4 5. Informationssikkerhedsniveau 5 6. Organisering
Læs mereHvad er Informationssikkerhed
> Hvordan hænger GDPR og informationssikkerhed sammen? Dit arbejde med ISO 27000 understøtter din GDPR-compliance to separate øvelser med få indbyggede modsætninger 12 October, 2018 S 1 Hvad er Informationssikkerhed
Læs mereSecurity & Risk Management Summit 2016
Security & Risk Management Summit 2016 DGI Byen, den 3. november 2016 Premium partner: Partnere: Sikkerhedsanalyse - fundamentet for din sikkerhed! John Wiingaard og Lars Boye, Senior GRC Consultants,
Læs mereDigitaliseringsstyrelsen Risikovurdering Marts 2018
www.pwc.dk Risikovurdering Revision. Skat. Rådgivning. www.pwc.dk Klaus Ravn Cyber security specialist Baggrund Akkreditering af systemer og apps Risikovurdering af systemer Facilitator af it-beredskabsøvelser
Læs mereDatabeskyttelsespolitik for DSI Midgård
Databeskyttelsespolitik for DSI Midgård Overordnet organisering af personoplysninger DSI Midgård ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger hos eksterne leverandører,
Læs mereSeminar d. 19.9.2013. Klik for at redigere forfatter
Seminar d. 19.9.2013 Klik for at redigere forfatter M_o_R En risiko er en usikker begivenhed, der, hvis den indtræffer, påvirker en målsætning Risici kan dele op i to typer Trusler: Der påvirker målsætningen
Læs mereNår Compliance Bliver Kultur
Når Compliance Bliver Kultur ISO27001, ISAE 3402/3000 & EU GDPR i teori og praksis Siscon & HeroBase 17. Januar 2019 AGENDA KORT OM SISCON & HEROBASE KRAV, STANDARDER OG LOVGIVNING ET SAMSPIL HEROBASE
Læs mereHigh performance maksimér potentialet. En måling er bedre end 100 mavefornemmelser. Per Hartlev ph@whitebox.dk 30/9-2015
High performance maksimér potentialet En måling er bedre end 100 mavefornemmelser Per Hartlev ph@whitebox.dk 30/9-2015 Release-styring Hjælpe værktøjer Kvalitets sikring Leverandør kontrakter Kurser Opgave
Læs mereTeoretisk modul: Ledelse af Design og bæredygtighed. Forfatter: Cristina Rocha Med bidrag fra: Dionísia Portela Irina Celades Stig Hirsbak
Teoretisk modul: Ledelse af Design og bæredygtighed Forfatter: Cristina Rocha Med bidrag fra: Dionísia Portela Irina Celades Stig Hirsbak Introduktion til modulet Formål At præsentere forskellige typer
Læs mereStruktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?
Struktureret compliance 9 måneder med GDPR-compliance krav hvordan er det gået? Introduktion Agenda Kort om Siscon og Jesper GDPR projektet OVERSTÅET eller tid til eftersyn!!? Eftersyn AS-IS GAPs? Struktur
Læs mereNÅR BESLUTNING HEROM ER TAGET:
MARITIME SECURITY MANAGEMENT Managing risk the safe way BEVÆBNEDE VAGTER OMBORD! NÅR BESLUTNING HEROM ER TAGET: EN GENNEMGANG AF PROCES OG ANBEFALINGER VED ANVENDELSE AF BEVÆBNEDE VAGTER OMBORD PÅ SKIBE
Læs mereHovedresultater: ISO modenhed i staten. December 2018
Hovedresultater: ISO 27001-modenhed i staten December 2018 Indhold 1. Indledning 3 2. Resultat af ISO-målingen for 2018 4 3. Resultat af ISO-målingen for 2017 7 Side 3 af 8 1. Indledning Rapporten behandler
Læs mereVejledning i evaluering og opfølgning. Juni 2016
Vejledning i evaluering og opfølgning Juni 2016 Indhold Indledning 3 1. Metoder og værktøjer til overvågning, måling, analyse og evaluering 4 1.1 Formålet med overvågning, måling, analyse og evaluering
Læs mere