Grundlæggende processer du skal have styr på ift. Informationsaktiv beskyttelse

Transkript

1 Grundlæggende processer du skal have styr på ift. Informationsaktiv beskyttelse 1

2 Agenda Kort om LinkGRC Omfanget af præsentationen Analyse Den røde tråd Implementering af krav i organisationen Informationsaktivers processer og kontroller Læring og forandring 2

3 Agenda Kort om LinkGRC Omfanget af præsentationen Analyse Den røde tråd Implementering af krav i organisationen Informationsaktivers processer og kontroller Læring og forandring 3

4 Kort om LinkGRC Stiftet i 2006 af Tomas Hellum tidligere it-chef (del af TUI koncernen), management konsulent og it-revisor (PwC) LinkGRC s vision er at hjælpe virksomheder og offentlige organisationer med simple og operationelle initiativer og værktøjer og linke dem sammen for at sikre bedre governance. LinkGRC s kunder er inden for forsikring og pension, finans, kommuner og andre regulerede sektorer LinkGRC har lang erfaring med at hjælpe med risikominimerende tiltag, herunder governance frameworks, udarbejdelse af dokumentation og kontrolmiljøer samt operationelle it-værktøjer og systemer. Vi hjælper vores kunder med at kunne fokusere på deres værdiskabende processer inden for governance, enterprise risk management og compliance. Tomas Hellum er medlem as SC27 (bla. ISO27001/2 udarbejdelse), bestyrelsesmedlem i den skandinaviske del af thebci.org, Professionelt medlem af IOR (Institute of Operational Risk i UK, og er ved at hjælpe med at starte den skandinaviske del af instituttet. Tomas Hellum har assisteret ISACA med følgende publikationer internationalt: Security Incident Management Audit / Assurance program (SME) Access Management Audit / Assurance program (SME) Configuration management using Cobit 5 (SME) Risk Scenarios using Cobit 5 for Risk (SME) Q1/Q Basel and Cobit book (Contributor) 4

5 Kort om LinkGRC 5

6 Kort om LinkGRC Virksomheds strategi HVAD ER DET VI VIL? Salgs Strategi IT Strategi Compliance & IT- Governance Strategi BASEL II Gramm Leach Bliley 71 Finanstilsynet GLBA FFIEC HVAD SKAL VI GØRE? Directive EC Persondataloven OECD EU Safe Harbor Markedsandele ISA 315 RS315 PCAOB IFAC EBIT GxP Annex 11 PAL HIPAA Nye markeder HVORDAN GØR VI DET? Politikker Forretningsgange Arbejdsinstruktioner Andre HVORDAN SIKRER VI AT VI GØR DE RIGTIGE TING RIGTIGT? Check af efterlevelse Måling på effektivitet Performance indikatorer 6

7 Risiko LinkGRC Rosenvængets Allé 20A 2100 København Ø Denmark P:

8 Hændelse LinkGRC Rosenvængets Allé 20A 2100 København Ø Denmark P:

9 Agenda Kort om LinkGRC Omfanget af præsentationen Analyse Den røde tråd Implementering af krav i organisationen Informationsaktivers processer og kontroller Læring og forandring 9

10 Omfanget af præsentationen Forklarer hvordan analyser kan foretages for at identificere kritiske informationsaktiver Forklarer overordnet hvordan krav til informationsaktiver kan identificeres og implementeres i virksomheden (den røde tråd) Dokumentations niveau og omfang Giver eksempler på hoved processer der skal være på plads i forbindelse med beskyttelse af informationsaktiver Læring og forandringer 10

11 Agenda Kort om LinkGRC Omfanget af præsentationen Analyse Den røde tråd Implementering af krav i organisationen Informationsaktivers processer og kontroller Læring og forandring 11

12 Analyser Risikoanalyse / Beredskabsanalyse Hovedaktivitet Underaktivitet og processer Systemer Kontroller Risici Udbedringer Personer System analyse System Informationsaktiver Informationsaktiver Kontrolmiljø 12

13 Analyser Afhold risikoworkshops på hovedaktiviteter og bearbejd hver underaktivitet / proces Identificer nøgle attributter som fx informationsaktiver Foretag en system analyse for at identificere informationsaktiver og etablerede kontroller Implementer governance processer til periodisk opdatering af risikoworkshops Placer ejerskaber for informationsaktiver og definer dokument omhandlende roller og ansvar 13

14 Agenda Kort om LinkGRC Omfanget af præsentationen Analyse Den røde tråd Implementering af krav i organisationen Informationsaktivers processer og kontroller Læring og forandring 14

15 Den røde tråd Sporbarhed og gennemsigtighed Fortolkning Manuelt / UCF Workshops Legal, Compliance, Risk Ekstern advokat Udarbejdelse af stragei Politik Område 1 Område 2 Område 3 Område 4 Område 5 Område. Procedure Procedure A Procedure B Procedure C Procedure D Procedure. Kontrol Kontrol 1 15

16 Kravstyring og den røde tråd POLITIK Overordnede retningslinjer PROCEDURER Beskrivelser af hvem, hvad, hvor, hvornår og hvorfor i forhold til arbejdsgange i organisationen KONTROLLER Obligatoriske nøglekontroller En politik er skrevet i klare og simple vendinger, og forklarer hvordan et firma har til hensigt at drive forretningen, levere services og handle i diverse situationer. Politikker er et sæt guidelines, som hjælper til i beslutningsfasen. Politikker skal være godkendt på direktør og/eller bestyrelsesniveau. En procedure er et dokument, som er skrevet for at understøtte de retningslinjer som politikkerne beskriver. En procedure har til formål at beskrive hvem, hvad, hvor, hvornår og hvorfor i forhold til arbejdsgange, og understøtter derved implementeringen af politikker i de enkelte forretningsområder. Procedurer skal godkendes af ledelsen i det berørte forretningsområde. En kontrol skal designes så den yder den bedst mulige sikkerhed for, at informationssikkerheden i firmaet fungerer efter hensigten, at dataintegriteten er intakt, og at firmaet efterlever lovgivningen, standarder og god skik på området. Kontroller skal godkendes af ledelsen i det berørte forretningsområde. VEJLEDNINGER Specifikke trin for trin instruktioner til understøttelse af arbejdsgange En vejledning repræsenterer en række trin som udmønter sig i en proces eller en handling. Formatet i vejledninger er typisk tekst, links og billeder. Vejledninger skal godkendes af en specialist på det af vejledningen berørte fagområde. 16

17 Den røde tråd Identificer krav, fortolkninger o.a. Beskriv metoden og start proces for governance af fortolkninger Grupper krav til dokumentation (politikker) for at sikre at vi kun beskriver hvad der er krævet. Byg et dokumentations hieraki og sørg for fx at krav er implementeret i politikker, som så de underliggende niveauer skal beskrive og sikre de efterlever Skub det ud i organisationen, så efterlevelsen skal sikres et niveau tilbage. 17

18 Agenda Kort om LinkGRC Omfanget af præsentationen Analyse Den røde tråd Implementering af krav i organisationen Informationsaktivers processer og kontroller Læring og forandring 18

19 Hvornår er nok, nok? Hvor mange flere dokumenter tror du vi skal udarbejde 19

20 Implementering af krav i organisationen POLITIK Overordnede retningslinjer PROCEDURER Beskrivelser af hvem, hvad, hvor, hvornår og hvorfor i forhold til arbejdsgange i organisationen KONTROLLER Obligatoriske nøglekontroller a) Skabeloner til understøttelse af framework b) Procedure omkring udarbejdelse af dokumentation c) Strategi for hvor dokumentation gemmes d) Implementer oppe fra og ned gerne med understøttelse fx i form af review, interview eller eksempler VEJLEDNINGER Specifikke trin for trin instruktioner til understøttelse af arbejdsgange 20

21 Implementering af krav i organisationen Byg et dokumentations hierarki fx Politikker/Retningslinjer, Standarder, Forretningsgange og arbejdsbeskrivelser Definer hvor styret dokumentation er placeret, og beskriv processen Forsøg så vidt muligt at relatere dokumentation til interne processer Forsøg så vidt muligt at relatere dokumentations hierarki og krav Anvend simple værktøjer som fx SharePoint workflows til at sikre ejerskab i virksomheden og at dokumentationen opdateres og godkendes Skab et overblik over hvad der ikke er godkendt, og hvornår det skal godkendes. 21

22 Agenda Kort om LinkGRC Omfanget af præsentationen Analyse Den røde tråd Implementering af krav i organisationen Informationsaktivers processer og kontroller Læring og forandring 22

23 Informations aktivers processer Asset Registration Asset Classification Incidents and plans Initial registration Information update Archive information Information analysis Business Impact Analysis (BIA) Classification and control selection Reporting incidents Assessment Reviewing Asset information Archived asset information Access Control Encryption Logging and Monitoring Evidence Response plans Asset Maintenance Asset Disposal Roles and Responsibilities Monitor Report Periodic review Identify asset for disposal Physical disposal Retain Period reached Yes Sanitize Yes No Define period Storage The data owner is the person responsible for information as defined in the Handling Information Assets Procedure. This typically covers Product, Business Service, Process and System owners but may cover other employees (e.g. contract managers, reception and secretariat for top management). The responsibility covers all processing, transportation and storing of the information in its full lifecycle. Data owners are in other words responsible for all use of the information in projects, systems, processes, products and business services (e.g. during test, development, support, sales, IT operation and financial processing). 23

24 Informations aktivers kontroller Baseline controls Confidentiality controls Integrity controls Availability controls To ensure that the procedure for IS/IT Asset Management is in place, and is followed, used and understood. To ensure that key information for the IS/IT asset is registered correctly according to policies and procedures. To ensure that IS/IT assets such as mobile devices are protected to ensure confidentiality and data integrity. To ensure that management processes are in place to ensure that access permissions are defined, updated and enforced for IS/IT assets. To ensure that the IS/IT asset owner has defined which To ensure that a set of access permissions is defined training activities must be implemented before the for each relevant IS/IT asset. IS/IT asset can be used. To ensure that classification of the IS/IT asset is performed as necessary and handled according to the requirements stated in policies and procedures. To ensure that policies and procedures are in place to intercept all changes to key IS/IT asset information, and that such information is updated correctly and in a timely manner. Policies and procedures must be in place to ensure that changes to IS/IT asset information are updated correctly and in a timely manner. To ensure that the IS/IT asset owner defines the process for IS/IT asset maintenance. To ensure that Installation checklists are in place for IS/IT assets. IS/IT assets must be documented and inventoried. To ensure that the IS/IT asset owner defines and regularly reviews access requirements for an IS/IT asset. To ensure that the key information about the IS/IT asset is registered correctly according to the requirements. To ensure that an owner is registered and identified, and that other key information is entered correctly into the IS/IT Asset Management System. To ensure that IS/IT assets have been classified and are handled accordingly. To ensure that policies and procedures are in place to ensure that the IS/IT Asset Management database is updated to reflect the disposal of any asset. To ensure that a list of IS/IT assets can be produced for any given group at any time. To ensure that a register of IS/IT assets is in place. To ensure that IS/IT assets are disposed of securely. To ensure that IS/IT asset owners define disposal requirements for individual IS/IT assets. LinkGRC Rosenvængets Allé 20A 2100 København Ø Denmark P: [email protected] 24

25 Agenda Kort om LinkGRC Omfanget af præsentationen Overordnet metodik Den røde tråd Implementering af krav i organisationen Informationsaktivers processer og kontroller Læring og forandring 25

26 Hvorfor forandring LinkGRC Rosenvængets Allé 20A 2100 København Ø Denmark P:

27 Læring og forandring Definer og etabler proces for hændelses håndtering for hele virksomheden Evaluer løbende hændelser og opdater risici, processer og kontroller til at afspejle læringspunkter Anvend gerne modenhedsmodeller til måling af nuværende niveau, acceptabelt niveau og strategisk niveau 27

28 Konsekvens? Væbnet røveri?, jeg sidder inde for ikke at efterleve persondatalovens krav 28

29 A Nordic Leader in all aspects of Governance, Risk and Compliance 29