Implementering af informationssikkerhed

Transkript

1 Implementering af informationssikkerhed

2 Historiske milepæle 1915 Holger Sørensen grundlægger Vejle Caramel- og Tabletfabrik senere kaldet Dansk Tyggegummi Fabrik A/S 1927 Virksomhedens første tyggegummi, Vejle Tyggegummi, bliver lanceret 1939 Brand-navnet Dandy optræder første gang 1972 Den nuværende fabrik på Dandyvej åbner 1978 Bagger-Sørensen Gruppen opkøber det svenske firma Fertin, som er kendt for deres V6 tyggegummi 2001 Fertin Pharma A/S etableres som et helejet datterselskab i Bagger-Sørensen & Co. A/S 2004 Fertin Pharma åbner FDA-godkendt fabrik 2011 Fertin Pharma åbner R&D-center i Mumbai, Indien

3 Bagger-Sørensen Gruppen

4 Fakta om Fertin Pharma A/S» Største produktkategori er nikotintyggegummi (årlig kapacitet: over 2 milliarder stykker tyggegummi)» Privatejet af Bagger-Sørensen Gruppen» Fertin Pharma har fremstillet medicinsk tyggegummi siden 1991» Medicinsk tyggegummi produceres i henhold til cgmp i to fabrikker, hvoraf den ene er FDA-godkendt» Omsætning i 2014 var 694 mio. kr.» 650 medarbejdere» Ligger i Vejle, Danmark

5 Min baggrund og IT afdelingen Økonomifasen : HD i regnskab Økonomichef i ARLA Foods IT fasen : SAP Projektleder i ARLA IT konsulent i Dandy IT projektleder i Fertin IT procedure skrivning Ansvarlig for implementering af informationssikkerhed IT afdelingen (13 personer): Fuld support til 650 personer Arbejder under GMP regler Alt IT er inhouse Anciennitet fra 7 til 20+ år

6 Ledelsesmæssige overvejelser: 2013 Ny amerikansk kunde krav om at følge NIST standarden incl. en årlig sårbarhedsvurdering fra en uvildig tredje part. Lægemiddelstyrelsen og FDA (US) er begyndt at stille spørgsmål om informationssikkerhed. Enig bestyrelse i BS&Co beslutter at vi skal have udarbejdet en sårbarhedsvurdering fra en uvildig tredje part. Det var vigtigt for BS&Co, at beslutninger omkring informationssikkerhed blev forankret i både forretningen og IT, men med forretningen som overordnet ansvarlig. ITC (IT Committee) bliver etableret med CFO, Vice President - Quality and Supply og IT manager.

7 Kronologisk rækkefølge på implementeringen 2013 Ny amerikansk kunde. Foråret 2014 IT begynder det indledende arbejde. April 2014 Beslutning om informationssikkerhed i BS&Co bestyrelsen. Juni 2014 SecureAware fra Neupart installeret og arbejdet begynder. August 2014 Neupart laver audit på vores politik, regelsæt og risikovurdering. September 2014 Første audit rapport forelægges bestyrelsen. April 2015 Roadshow for hele koncernen udrulles 650 personer. Juni 2015 Audit fra amerikansk kunde de stiller 4 mand i 2 dage.

8 Juni 2014 SecureAware fra Neupart: Facts: 10 dages konsulentbistand. Godt 200 interne timer til og med audit rapport til bestyrelsen. Knap 100 interne timer til efterfølgende drift.

9 Juni 2014 Politik og regelsæt

10 Juni 2014 Risikovurdering Facts: Tager udgangspunkt i forretningsprocesserne. IT tager udgangspunkt i sårbarheder interviews med forretningen og IT.

11 August 2014 Audit rapport Konklusioner fra rapporten: Rapporten blev accepteret og godkendt af bestyrelsen. Konkrete opgaver blev overført til ITCs handlingsplan for informationssikkerhed. Udvalgte punkter blev overført til ledernes og direktionens funktionskontrakter for Rapporten for 2015 indeholder opfølgning på 2014 opgaver og punkter, med en status for hvor langt vi er nået.

12 Forår 2015 Roadshow og uddannelse Roadshow skulle indlede selve uddannelsen. Fortæller om den menneskelige faktor. Gennemgang af udvalgte informationssikkerhedsregler. Vi har brugt godt 400 timer de første 8 måneder af 2015 til roadshows, risikovurdering m.m

13 Efteråret 2015 Beredskabsplaner

14 Informationssikkerhed årshjul Q1: Opgaver (fx beredskabsorganisation) Q2: Opdatering af politik og regelsæt Q3: Risikovurdering og auditrapport til bestyrelsen Q4: Opgaver (opdatering af procedurer)

15 Spørgsmål:

16 Kontakt info: Jens Erik Møller Fertin Pharma A/S Dandyvej Vejle Mail: Mobil: