EU-GDPR i ControlManager

Transkript

1 EU-GDPR i ControlManager

2 HVEM ER JEG? LARS BÆRENTZEN HAR 20+ ÅRS ERFARING, INDENFOR FORSKELLIGE IT-SIKKERHED, INFORMATIONSSIKKERHED OG DATABESKYTTELSESDISCIPLINER. SOM KONSULENT HAR JEG BLA. HJULPET MED: OPBYGNING AF ISMS EFTERLEVELSESDOKUMENTATION INFORMATIONSSIKKERHEDSPOLITIKKER GENNEMFØRELSE AF RISIKOVURDERINGER UDARBEJDELSE AF BEREDSKABSPLANER GENNEMFØRELSE AF BEREDSKABSTEST GDPR DATAKORTLÆGNING GDPR GAP-ANALYSER AWARENESS KAMPAGNER KONTAKT CHRISTINA WULFF JENSEN HVIS DU VIL VIDE MERE OM HVAD SISCON KAN! MAIL: TEL:

3 OM SISCON Dansk konsulenthus og softwareleverandør siden 2004 ControlManager - værktøjet der giver et helhedsbillede og dokumentere virksomhedens data- og informationssikkerhed Konsulentydelser der matcher og udnytter ControlManagers potentiale Kontor i Allerød med kursusfaciliteter 10 medarbejdere en virksomhed i vækst Mere end 120 kunder i Danmark og Norge ControlManager by Siscon AAA rating for 2010, 2011, 2012, 2013, 2014,

4 I SAMARBEJDER MED VORES KUNDER SKABER VI SUCCES

5 CONTROLMANAGER - DEN ULTIMATIVE VÆRKTØJSKASSE Databehandler Aftaler Revisionserklæringer Dokumentstyring ControlManager TM IT-Risikostyring GDPR-Risikostyring EU-GDPR Efterlevelse Efterlevelse Kontrolkatalog GAP-Analyse Awareness & ledelsesforankring Data Breach Notification Beredskab Dataflow ControlManager by Siscon 5

6 EU-GDPR IMPLEMENTERET I CONTROLMANAGER

7 PROJEKTET - DET VI MENER MAN SKAL UNDGÅ - MEN SOM ER PÅ VEJ NOGEN STEDER EU-GDPR Eksisterende Compliance ControlManager by Siscon 7

8 ERFARINGER MED EU-GDPR PROJEKTER Projekt Drift Projektopstart Overblik GAP/RISK Implementering Forvaltning Etablér projektet Formål/Mål Roller/ansvar Ressourcetræk Internt Eksternt Etablér projektgruppen IT-sikkerhed IT-arkitektur Jura Compliance / DPO Dataindsamling Behandling Funktionsområder Processer Systemer Data Gennemfør GAP/RISK vurdering pr. proces af Dataansvarlighed Databehandling Datarettigheder Sikringstiltag GAP/RISK på forordningen som helhed Håndter GAPs Skab rammerne - udarbejdelse af Politikker Regler Kontroller Beredskabsplaner Træn og uddan ledere og medarbejdere Følg op opfølgende på kontroller revurdering af GAP analyser kontinuert awareness Håndter ændringer Rapporter Alle faser understøttes C af ControlManager 25. maj 2018 ControlManager by Siscon 8

9 PROJEKTGRUPPENS SAMMENSÆTNING OG MANDAT - SIKRER SUCCESEN DE PROJEKTER SOM SER UD TIL PT. AT HAVE DEN STØRSTE SUCCES HAR EN RIGTIG GOD FORSTÅELSE FOR: Forretningen IT-landskabet En stærk projektledelse De juridiske problemstillinger (Pragmatisk!) Løsningen skal: virke i praksis passe ind i organisationen Eksisterende kontrolstrukturer Ønsker til fremadrettet dokumentation af kontrolstrukturer, rapportering og compliance Et vågent øje på den kulturelle forandring Projektgruppen er/skal være garant for at projektet integreres i eksisterende processer/strukturer ControlManager by Siscon 9

10 DATAFLOWANALYSER EU-GDPR KRÆVER VURDERING AF KONSEKVENSERNE AF DATABEHANDLINGEN FOR AT EVALUERE RISICIENES OPRINDELSE, NATUR, EGENART OG ALVORLIGHED DET FORUDSÆTTER OVERBLIK OVER DATA FUNKTIONSOMRÅDER Identificér relevante funktionsområder processer systemer aktiver DATAFLOWS Beskriv dataflows: datakilder dataelementer datatyper videregivelse af data DPIA Vurdér: Dataansvarlighed Databehandling Datarettigheder Datasikkerhed ControlManager by Siscon IT-landskabet 10

11 RELEVANTE OMRÅDER Overblik over databehandlingen Overblik over faktuelt complianceniveau Opbevaring og vedligeholdelse revisionserklæringer og databehandleraftaler ControlManager by Siscon 11

12 HVAD DIKTERER NIVEAUET? 1) DEN JURIDISKE GAP-ANALYSE - I PROJEKTET 2) HVAD ØNSKER DPO AF INDBLIK - I DRIFTEN Forordningen som helhed Databehandlingen (Procesmæssig GAP) Tekniske og organisatoriske sikringsforanstaltninger Samlet GAP I HVILKE PROCESSER OG SYSTEMER INDGÅR PERSONHENFØRBARE OPLYSNINGER? HVILKE PROCESSER ER UNDERSTØTTET AF DATABEHANDLERAFTALER? HVOR HAR VI OVERFØRSEL TIL 3. LANDE? HVILKE KANALER ANVENDER VI TIL DATAUDVEKSLING? HVOR SKER DER FORMÅLSFORSKYDNING? HVORDAN DOKUMENTERER VI, AT DATAKORTLÆGNINGEN ER TILSTRÆKKELIG ControlManager by Siscon 12

13 FOR SCREENING HVOR SKAL VI GENNEMFØRE ANALYSE? R&D IT HR System Service Virksomhed Produktion Salg og marketing Kunde Service Økonomi ControlManager by Siscon 13

14 NIVEAUET AF ANALYSEN? Modtagelse af ansøgninger Virksomhedsområde Rekruttering Screening og personlighedstest Udarbejdelse af ansættelseskontrakt Fastholdelse Funktionsområde Gennemførelse af MUS Proces ControlManager by Siscon 14

15 DATAFLOW ELEMENTER HR Rekruttering Modtagelse af ansøgninger Screening og personlighedstest Udarbejdelse af ansættelseskontrakt Online screening Datasæt 1 Mail/kalender (Vedhæftet resultater) Datasæt 2 Filserver (Resultater gemt) Datasæt 3 Data: - A - B Data: - E - F - G Data: - C - H - I Fastholdelse Gennemførelse af MUS HR system Datasæt 4 ControlManager by Siscon 15

16 MINIMUMSNIVEAUET? Datasæt 1 Datasæt 2 Datasæt 3 Datasæt 4 ControlManager skærmbillede ControlManager by Siscon 16

17 DET SOM MANGLER TIL DEN KLASSISKE RISIKO MODEL - IKKE UDTØMMENDE LISTE KORTLÆGNING HVILKE DATA(TYPER) ER PLACERET HVOR? Typer (Følsomme/Almindelige etc.) SIKKERHED PÅ KANAL FOR UDVEKSLING Mail, WWW, SMS, Brev GAP ER DER TÆNKT OVER DATAMINIMERING? HVOR OFTE/HVORDAN SLETTES DATA? ER DER TILSTRÆKKELIG LOVHJEMMEL? samtykke kontrakt samfundets interesse ER DER (UNDER)DATABEHANDLERE? Databehandleraftaler Revisionserklæringer ER DER STYR PÅ TEKNISKE OG ORGANISATORISKE SIKRINGSFORANSTALTNINGER (I FORHOLD TIL DATA)? Logning Brugerstyring Beredskab ControlManager by Siscon 17

18 EU-GDPR PROJEKTMODEL Projekt Drift Projektopstart Overblik GAP/RISK Implementering Forvaltning Skab projektet Formål/Mål Roller/ansvar Ressourcetræk Internt Eksternt Skab projektgruppen IT-sikkerhed IT-arkitektur Jura Compliance / DPO Dataindsamling Behandling Funktionsområder Processer Systemer Data Proces GAP Gennemfør GAP/RISK vurdering pr. proces af Dataansvarlighed Databehandling Datarettigheder Sikringstiltag GAP/RISK på forordningen som helhed Håndter GAPs Skab rammerne - udarbejdelse af Politikker Regler Kontroller Beredskabsplaner Træn og uddan ledere og medarbejdere Følg op opfølgende på kontroller revurdering af GAP analyser kontinuert awareness Håndter ændringer Rapporter Alle faser kan understøttes C af ControlManager 25. maj 2018 ControlManager by Siscon 18

19 GAP/RISK/DPIA Model 1 - Ren GAP GAP/DPIA/Risk Model 2 - DPIA (med risikovurdering) ControlManager by Siscon 19

20 RELEVANTE OMRÅDER Overblik over databehandlingen Overblik over faktuelt complianceniveau Opbevaring og vedligeholdelse revisionserklæringer og databehandleraftaler ControlManager by Siscon 20

21 EFTERLEVELSESDOKUMENTATION HÅNDBOGEN SIKRER: Klare rammer for arbejdet Beskrivelse af konkrete tiltag, både tekniske og administrative En rød tråd fra krav til tiltag til opfølgning Direkte dokumentation af efterlevelse af standarder Dokumentation for kontrol af tiltag Forankring i organisationen ControlManager by Siscon 21

22 Sammenhæng fra top til bund ET SAMLET REGELSÆT Standarder F.eks. ISO Love / Bekendtgørelser Persondata forordningen Branchespecifikke vejledninger Publikationer F.eks. Cyberforsvar der virker Et samlet regelsæt Kontrol Dimension IT Drift IT Udvikling ISMS Styring Kontroller Periodisk review af brugere Kontrol af patchniveau Penetrationstest Risikovurdering ControlManager by Siscon 22

23 VURDERING AF COMPLIANCE-NIVEAU TAG UDGANGSPUNKT I LOV/STANDARD Der skal hver 3. måned revurderes brugerrettigheder, med udgangspunkt i arbejdsbetinget behov ILLUSTRER HVILKE REGLER DER ER ETABLERET FOR AT UNDERSTØTTE OVERHOLDELSE AF LOV ILLUSTRER HVILKE KONTROLLER DER ER PÅ PLADS, FOR AT SIKRE OVERHOLDELSE AF REGEL DOKUMENTER EVIDENS PÅ KONTROLLER ControlManager by Siscon 23

24 I PRAKSIS EU-GDPR EKSEMPEL EU-GDPR AFDELING 3 BERIGTIGELSE OG SLETNING 17, stk. 1 (a), (b), (c ), (d), (e ), (f) DATASUBJEKTET HAR RET TIL AT FÅ SLETTET PERSONDATA OM SIG SELV UDEN UNØDIG FORSINKELSE, OG DEN DATAANSVARLIGE HAR PLIGT TIL AT SLETTE PERSONOPLYSNINGER UDEN UNØDIG FORSINKELSE, HVIS DATA IKKE LÆNGERE ER NØDVENDIGE I FORHOLD TIL FORMÅLET ELLER, DATASUBJEKTET TRÆKKER SIT SAMTYKKE TILBAGE ELLER GØR INDSIGELSE ELLER MODSÆTTER SIG DATABEHANDLINGEN, SAMT I TILFÆLDE, HVOR DATABEHANDLINGEN ER ULOVLIG, ELLER SKAL SLETTES SOM FØLGE AF LOVGIVNING ELLER ANGÅR INDHENTNING AF PERSONDATA OM BØRN TIL BRUG I INFORMATIONSTJENESTER. ControlManager by Siscon 24

25 MAPNING AF EU-GDPR -> REGEL -> KONTROL EU-GDPR Kontrol Regel egel Regel Hvordan/detaljer Hvordan ControlManager by Siscon 25

26 FASTLÆGGELSE AF ROLLER OG ANSVAR GENNEM REGLER Lov-tekst Regler Kontroller ControlManager by skærmbillede Siscon 26

27 OVERBLIK OVER GENNEMFØRTE KONTROLLER - FAKTUELT COMPLIANCEOVERBLIK ControlManager skærmbillede ControlManager by Siscon 27

28 OVERBLIK OVER GENNEMFØRTE KONTROLLER - FAKTUELT COMPLIANCEOVERBLIK ControlManager skærmbillede ControlManager by Siscon 28

29 RELEVANTE OMRÅDER Overblik over databehandlingen Overblik over faktuelt complianceniveau Opbevaring og vedligeholdelse revisionserklæringer og databehandleraftaler ControlManager by Siscon 29

30 DOKUMENTARKIV OPBEVARING AF Sletteinstrukser Databehandleraftaler Revisionserklæringer PERIODISK REVURDERING AF Gyldighed RELATERET TIL Processer/Services/ Aktiver/Datakortlægning ControlManager by Siscon 30

31 DATAFLOW ELEMENTER Online screening HR Rekruttering Modtagelse af ansøgninger Screening og personlighedstest Udarbejdelse af ansættelseskontrakt Mail/kalender (Vedhæftet resultater) Filserver (Resultater gemt) HR system Fastholdelse Gennemførelse af MUS ControlManager by Siscon 31

32 EU-GDPR PROJEKTMODEL Projekt Drift Projektopstart Overblik GAP/RISK Implementering Forvaltning Skab projektet Formål/Mål Roller/ansvar Ressourcetræk Internt Eksternt Skab projektgruppen IT-sikkerhed IT-arkitektur Jura Compliance / DPO Dataindsamling Behandling Funktionsområder Processer Systemer Data Gennemfør GAP/RISK vurdering pr. proces af Dataansvarlighed Databehandling Datarettigheder Sikringstiltag GAP/RISK på forordningen som helhed Håndter GAPs Skab rammerne - udarbejdelse af Politikker Regler Kontroller Beredskabsplaner Træn og uddan ledere og medarbejdere Følg op opfølgende på kontroller revurdering af GAP analyser kontinuert awareness Håndter ændringer Rapporter Alle faser kan understøttes C af ControlManager 25. maj 2018 ControlManager by Siscon 32

33 DRIFTSFASEN GÅR UD PÅ AT UNDGÅ - (KORT SAGT) 1. AT ÆNDRINGER ØDELÆGGER SETUP ET Ændringer vil kunne rykke det billede vi har af: processer systemer data tiltag Disse ændringer kan blive initialiseret flere steder, det er derfor vigtigt, at i har styr på ændringsprocesser : Forretningsudvikling Indkøb Projektstyring IT - Change Management 2. MANGLENDE KONTROL MED DET PROJEKTET HAR IMPLEMENTERET ControlManager by Siscon 33

34 JUST DO IT!!!! Projekt Drift Projektopstart Overblik GAP/RISK Implementering Forvaltning Etablér projektet Formål/Mål Roller/ansvar Ressourcetræk Internt Eksternt Etablér projektgruppen IT-sikkerhed IT-arkitektur Jura Compliance / DPO Dataindsamling Behandling Funktionsområder Processer Systemer Data Gennemfør GAP/RISK vurdering pr. proces af Dataansvarlighed Databehandling Datarettigheder Sikringstiltag GAP/RISK på forordningen som helhed Håndter GAPs Skab rammerne - udarbejdelse af Politikker Regler Kontroller Beredskabsplaner Træn og uddan ledere og medarbejdere Følg op opfølgende på kontroller revurdering af GAP analyser kontinuert awareness Håndter ændringer Rapporter Alle faser understøttes C af ControlManager 25. maj 2018 ControlManager by Siscon 34

35 KONTAKT KONTAKT CHRISTINA WULFF JENSEN HVIS DU VIL VIDE MERE OM HVORDAN SISCON KAN UNDERSTØTTE DIN VIRKSOMHED MED INFORMATIONSSIKKERHED OG GDPR MAIL: TEL: ControlManager by Siscon