Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

Transkript

1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO for kvaliteten af dokumentationen? Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning 5. 1

2 FAKTA OM DIGITALISERINGSSTYRELSEN Ca. 170 medarbejdere Direktør Lars Frelle-Petersen og vicedirektør Rikke Hougaard Zeberg og Carsten Møller Jensen Styrelse etableret i Finansministeriet i efter regeringsskifte 2011 Sat i verden for at skabe et mere digitalt offentligt Danmark, der effektiviserer og frigør ressourcer og moderniserer servicen Opgaver: strategi og politikudvikling, implementering af standarder, øget udbredelse af velfærdsteknologi, nye styringsmodeller, bedre brugervenlighed og tilgængelighed, udvikling og drift af infrastruktur mv. 2

3 MANDATET IT- og Telestyrelsen nedlægges med den kongelige resolution af 3. oktober 2011, og ansvaret for it-sikkerhedsområdet deles mellem Forsvarsministeriet, Erhvervs- og Vækstministeriet og Finansministeriet. Forsvarsministeriet har ansvar for statens varslingstjeneste for internettrusler (GovCERT) og kritisk infrastruktur. Erhvervs- og Vækstministeriet har ansvar for persondatasikkerhed, opgaver vedr. privatlivsbeskyttelse på nettet, netneutralitet, DNS-blokering af hjemmesider og logning. Finansministeriet har ansvar for informationssikkerhed og privatlivsbeskyttelse i den offentlige sektor Ministeriet for Børn og Undervisning har ansvar for det faglige arbejde med it i folkeskolen. Bjarne Corydon, 8. november 2011 i Kommunaludvalget 3

4 INDSATSER I FORHOLD TIL SIKKERHED Digitaliseringsstyrelsens aktuelle fokus på sikkerhed: Strategi for cyber- og informationssikkerhed Anbefalinger til styrkelse af outsourcet drift Vejledningen Cyberforsvar, der virker Statens Informationssikkerhedsforum Vejledninger på Digst.dk Regeringens sikkerhedstiltag Ny fælles digitaliseringsstrategi skal blandt andet styrke arbejdet med it-sikkerhed i den fællesoffentlige digitale infrastruktur. ØA15 om næste generation af NemID og videreudvikling af Digital Post. 4

5 INFORMATIONSSIKKERHED Fokus på organisationers informationssikkerhed Fortrolighed Tilgængelighed Integritet Viden Handler om at beskytte IT-systemer Information Processer Viden Processer It-systemer 5

6 Definition Informationssikkerhed defineres som de samlede foranstaltninger til at sikre informationer og informationssystemer i forhold til Fortrolighed, Integritet og Tilgængelighed (FIT) Informationssikkerhed - er det hele. Dækker også styring og ledelse af informationssikkerhed (ISMS). It-sikkerhed - er en delmængde. Dækker teknologisk sikring af data i systemer og tekniske produkter. Cybersikkerhed - er en delmængde. Dækker Internet-relateret sikring og anvendelse af data og systemer. 6

7 ISO27001 International standard til styring af informationssikkerhed Afløser DS484 som obligatorisk i staten fra januar Ledelsesinvolvering gennem Risikovurdering Organisation, processer og dokumentation Beslutningsdokument (statement of applicability) Øget fokus på området. 7

8 ISO SERIEN

9 TI BASALE SIKKERHEDSKRAV 1. Sikkerhedsudvalg 2. Sikkerhedspolitik 3. Risikovurdering 4. Beslutningsdokument 5. Årsplan 6. Retningslinjer og procedurer 7. Opfølgning og kvalitetstjek 8. Leverandørstyring 9. Beredskabsplan 10.Sikkerhedsbevidsthed 9

10 1. SIKKERHEDSUDVALG Etabler et ledelsesudvalg der varetager ansvaret for risikostyring af den fysiske, forretningsmæssige og organisatoriske sikkerhed samt udpeg en it-sikkerhedskoordinator. Forretningsorden Dokumentation for mødebeslutninger Sagsbehandling af sikkerhedshændelser Identificer kritiske forretningsområder Handlingsplan og årshjul 10

11 2. OVERORDNET SIKKERHEDSPOLITIK Formuler en overordnet sikkerhedspolitik der beskriver ledelsens målsætninger og regler for institutionens forretningsområder samt tilhørende informationer og systemer. Omfang 1½ - 3 sider Ledelsens forventninger til sikkerhed Forretningsmæssige krav og love Beskriver retning og principper Ledelsesgodkendt 11

12 3. RISIKOVURDERING Identificer de kritiske forretningsområder samt foretag en risikovurdering af de forretnings- og it-mæssige risici i tilknytning til interessenter, forretningsområder og - systemer samt lovgivning.

13 4. BESLUTNINGSDOKUMENT Udarbejd et beslutningsnotat på baggrund af resultatet fra risikovurderingen, som beskriver hvad ledelsen aktivt har besluttet og hvorfor (SoA-Statement of Applicability). Begrunder til- og fravalg Beskriv indsatsområder Vælg kontrolområder Rapport-, notat- eller skemaform Ledelsesgodkendt 13

14 5. KONTINUERLIG PLAN En kontinuerlig plan for realisering af planlagte aktiviteter Kritikalitet Prioritering Handling Tidsplan Ansvarlig Forbedring Sikkerhedstiltag justeres og ændres i forhold til den reelle situation Opfølgning Der følges op på de implementerede sikkerhedstiltag Planlægning Mål og omfang defineres fx risikovurdering, politik og handlingsplan Implementering De planlagte sikkerhedstiltag implementeres i praksis 14

15 6. RETNINGSLINJER OG PROCEDURER Udform relevante retningslinjer og procedurer for forretningsgange med udgangspunkt i resultatet fra risikovurderingen. Personale Praktisk redskab i hverdagen Kommunikeres på fx intranettet Kort og pædagogisk 15

16 7. OPFØLGNING OG KVALITETSTJEK 14 kontrolområder beskrevet i ISO Identificer kontroller Etabler en plan Udfør kontroller Dokumenter som bevis Vurder effektivitet 16

17 8. LEVERANDØRSTYRING Forretningsmæssige styring af leverandører, kontrakter og projekter. Dokumenter og skab overblik Risikovurdering Krav kontra kvalitet Økonomi og ressourcer Efterlevelse af lovkrav 17

18 9. BEREDSKABSPLAN Udarbejd en beredskabsplan der beskriver tiltag i tilfælde af en nødsituation og etabler en generel plan for kommunikation. Fokus på kritiske forretningsområder Præciser opgaver, roller og ansvar Både fysisk og digital sikkerhed Genskab Test 18

19 10. SIKKERHEDSBEVIDSTHED Bevidsthed om et givent emne. Kommunikation skal fremme forståelsen for sikkerhed og ændre vores adfærd. Roller, ansvar og beføjelser Persondataloven Brugen af adgangskort, nøgler og koder Anvendelse af Smartphone, tablet og bærbar Gøres nærværende, så det opleves som værdiskabende. 19

20 FINANSMINISTERIETS MÅL Professionel informationssikkerhedsstyring i det offentlige Viden og erfaringer deles. Bevarelse af borgernes tillid til det offentlige 20

21 BALANCE Sikkerhed Brugervenlighed Økonomi 21

22 ØVRIGE TILTAG Regeringsstrategi for cyber og informationssikkerhed Se og Hør sagen JMs arbejdsgruppe til kortlægning af databeskyttelse på kortbetalingsområdet mv. Retsudvalgets og Kulturudvalgets arbejdsgrupper til kortlægning af databeskyttelse 22

23 SPØRGSMÅL 23