Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN: 987-87-93073-17-3 Publikationen kan hentes på Digitaliseringsstyrelsens hjemmeside www.digst.dk
Indledning Et af de første og vigtige skridt i arbejdet med ISO27001 er at skabe et overblik over den organisation og den forretning, der skal arbejde med standarden. Formålet med denne vejledning er at give input til etablering af forretningsoverblikket og belyse hvilken betydning det har for afgrænsningen af det ledelsessystem, der skal etableres for styring af informationssikkerhed (ISMS). Etablering af forretningsoverblikket er forudsætningen for at kunne etablere og organisere et ledelsessystem for informationssikkerhed, som passer til organisationen og dens udfordringer, ressourcer og ambitioner. 1 Det er vigtigt, at der både er fokus på og prioritering af organisationens vigtigste informationer og ligeledes de største risici. Dette kan identificeres med etableringen af forretningsoverblikket. En væsentlig forudsætning for, at arbejdet med informationssikkerhed bliver en succes, er, at arbejdets organisering, mål og indsatser er afstemt med organisationens mål, ønsker, ressourcer og udfordringer. Der skal være et godt overblik over, hvilke informationer der er vigtige for forretningen, og hvad det kan få af konsekvenser, hvis der sker en kompromittering af informationernes fortrolighed, integritet eller tilgængelighed. Ledelse af informationssikkerhed, ud fra en risikobetragtning, er at sikre, at indsatsen er passende i forhold til de risici, der er til stede, for at organisationen kan nå sine mål. I afsnit 4 i ISO27001 er det beskrevet, at organisationen dels skal faslægge, hvilke eksterne og interne forhold, der er relevante for organisationen og dens formål, dels hvilke interne og eksterne interessenter, der er relevante for organisationen. Dette skal lede frem til omfanget af ledelsessystemet. Sammenhængen mellem de enkelte elementer i afsnit 4 er illustreret i figur 1. 1 Guide til implementering af ISO27001 Udgivet af Digitaliseringsstyrelsen i september 2015 på digst dk
1. Forretningsoverblikket internt Enhver organisation består af nogle komponenter, det er vigtigt at have overblik over, og have en høj grad af forståelse for, hvis informationssikkerhedsarbejdet skal blive en succes. Figur 2 illustrerer de komponenter, der skal analyseres internt i en organisation for at danne overblikket. Noget af det vigtigste er, hvilket formål organisationen er sat i verden for, og hvilke mål organisationen vil nå. Ofte vil det være beskrevet i en resultatkontrakt, en vision, en strategi eller lignende. Heraf kan det udledes, hvilke opgaver, organisationen skal løse, og hvilke informationer, kompetencer og andre ressourcer, som er nødvendige for at nå målene. Derudover vil modtageren af organisationens ydelser være beskrevet. Det kan være andre organisationer, virksomheder eller borgere. Figur 2. Organisationens interne komponenter For at en organisation kan nå sine mål, har den implementeret en række forretningsprocesser, der skal sikre opfyldelse af målene. Med udgangspunkt i procesbeskrivelserne kan vigtige informationer og underliggende it-systemer identificeres. 4 Vejledning i etablering af forretningsoverblik Juni 2016
2. Forretningsoverblikket eksternt En organisations eksterne interessenter har indflydelse på, hvordan organisationens ledelsessystem for informationssikkerhed skal udformes og afgrænses. De fleste organisationer er bundet af kontraktlige forpligtelser, lovkrav, brancheaftaler eller andre udefrakommende forhold. Mange offentlige myndigheder er forpligtet til at overholde aftaler indgået i internationale samarbejder (f.eks. EU og NATO). Nogle organisationer, i f.eks. finanssektoren, medicinalbranchen eller telesektoren, er bundet af branchenormer, og alle organisationer er på en eller anden måde reguleret via lov. Der kan f.eks. være krav til tilgængelighed af data og frist for aflevering eller løsning af opgaverne. Samtidig er der krav til beskyttelse af nogle bestemte former for informationer, f.eks. persondata. Figur 3. Organisationens eksterne interessenter Andre af organisationens eksterne interessenter har ligeledes ønsker, krav og behov i relation til det ønskede niveau af informationssikkerhed. Interessenter kan både være de kunder/borgere, som modtager organisationens opgaveløsning, og samarbejdspartnere, myndigheder og leverandører, der indgår i opgaveløsningen. Mange organisationer har en meget vigtig ekstern interessent, nemlig deres it-driftsleverandør. Når hele eller dele af it-driften er outsourcet, stiller det særlige krav til organisationens leverandørstyring. 6 Vejledning i etablering af forretningsoverblik Juni 2016
Figur 5. Eksempel på en organisation, dens processer og forretningsprocesser Forretningsprocesser er de processer, der indgår direkte i organisationens kerneopgaver, det er f.eks. mælkeproduktion for et mejeri eller ministerbetjening for et departement. Støtteprocesser er de processer, der hjælper med at holde forretningsprocesserne i gang. Det er f.eks. HR-processer, der sørger for rekruttering, lønudbetaling m.m., eller serviceprocesser, der sørger for bygningsvedligehold, rengøring m.m. Både forretningsprocesser og støtteprocesser er afhængige af informationer og it-systemer, f.eks. har HR et lønsystem, og service har planer over bygningerne. Den mørkeblå linje i figur 5 illustrerer, hvordan organisationen har afgrænset sit ledelsessystem for informationssikkerhed til kun at dække dele af organisationens processer, informationer og it-systemer. I sådanne tilfælde må de dele af organisationen, der ligger uden for ledelsessystemet for informationssikkerhed, betragtes som eksterne leverandører. Vejledning i etablering af forretningsoverblik Juni 2016 9
4. Omfang og afgrænsning af ledelsessystemet for informationssikkerhed Når en organisation skal definere omfanget af ledelsessystemet for informationssikkerhed, skal den, på baggrund af det etablerede forretningsoverblik, bestemme sig for, hvad der skal dækkes af ledelsessystemet. Afgrænsningen kan foretages i forhold til mange forskellige aspekter og ud fra eksempelvis følgende overvejelser: Hvilke dele af organisationen skal indgå? Der kan være en del af en organisation, der med fordel kan udelades, fordi den ikke er informationstung, eller fordi det kan give mening at den etablerer et selvstændigt ledelsessystem. Skal alle informationer indgå? Der er måske visse dele af organisationens informationer, der ikke er kritiske for forretningen. Skal alle informationsaktiver indgå? Der kan være it-systemer, man ønsker at holde uden for et ledelsessystem for informationssikkerhed, det kan f.eks. være produktionssystemer, der ikke er på netværk eller på anden måde har en beskyttelse i sig selv. Ønsker organisationen at starte med en lille del af organisationen, informationerne eller it-systemerne, for så gradvist at udvide omfanget over tid? Som regel er det bedre at starte med en lille del og ikke prøve at få alt med i første omgang. Det giver organisationen mulighed for at drage erfaringer og bringe læring med ind i det fortsatte arbejde, når omfanget af ledelsessystemet udvides. Grænseflader mellem processer, der udføres af organisationen selv, og processer, der udføres af andre organisationer, kan også have indflydelse på, hvordan ledelsessystemet afgrænses. For mange organisationer med outsourcet it-drift gør det sig gældende, at meget af styringen med informationssikkerheden sker gennem leverandørstyring, og det vil have indflydelse på afgrænsningen. Husk, at et ledelsessystem for informationssikkerhedens omfang og afgrænsning skal dokumenteres og vurderes løbende. 10 Vejledning i etablering af forretningsoverblik Juni 2016