Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk

Relaterede dokumenter
Vejledning i etablering af forretningsoverblik. Januar 2018

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon digst@digst dk

Vejledning i informationssikkerhedspolitik. Februar 2015

Vejledning i informationssikkerhedsstyring. Februar 2015

Guide til SoA-dokumentet - Statement of Applicability. August 2014

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk

1. Introduktion til SoA Indhold og krav til SoA 4

Fællesregional Informationssikkerhedspolitik

MÅLING AF INFORMATIONSSIKKERHED

Vejledning om evaluering af beredskab. April 2015

POLITIK FOR INFORMATIONSSIKKERHED

Informationssikkerhedspolitik for Horsens Kommune

Forfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø

Fællesregional Informationssikkerhedspolitik

Digitaliseringsstyrelsens konference 1. marts 2018

Guide til awareness om informationssikkerhed. Marts 2013

Kommunens nuværende politik stammer fra 2008 og bygger på en gammel dansk standard, DS484.

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

Kl Indledning v. Lone Strøm, Rigsrevisor

Guide til implementering af ISO27001

MedComs informationssikkerhedspolitik. Version 2.2

Informationssikkerhedspolitik for Region Midtjylland

Region Hovedstadens Ramme for Informationssikkerhed

Overordnet Informationssikkerhedspolitik

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Fredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT

Vejledning i it-risikostyring og -vurdering. Februar 2015

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

Bilag 1.Talepapir ved samråd i KOU den 8. oktober

ISO27001 som ledelsesværktøj en pragmatisk tilgang. Lars Boye, Søborg, den 6. november 2014

Kulturministeriets vejledning til retningslinjer for køb af konsulenter September 2015 KØB AF KONSULENTOPGAVER I KULTURMINISTIET 1

Informationssikkerhedspolitik for <organisation>

Hvad er Informationssikkerhed

Overordnet It-sikkerhedspolitik

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Faxe Kommune. informationssikkerhedspolitik

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED

Guide til bedre beredskabsstyring. April 2015

Udarbejdet den: 06. august 2012 Version: 4 Revideret den: Dokumentejer: Ole Steensberg Øgelund Side 1 af 8

IT-sikkerhedspolitik for

Kommissorium for analyse og ny strategi i Ældre og Sundhed, Frederikssund Kommune

IT-SIKKERHEDSPOLITIK UDKAST

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden

KURS KOORDINERING ENGAGEMENT

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

POLITIK FOR INFORMATIONSSIKKERHED

Assens Kommune Sikkerhedspolitik for it, data og information

Pensionstabeller 1. april marts 2017

Hovedresultater: ISO modenhed i staten. December 2018

Ældre- og Handicapforvaltningen, Aalborg Kommune Aalborg på Forkant Innovativ udvikling i sundhed og velfærd. Forundersøgelse. Aalborg på Forkant

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Skanderborg Forsyningsvirksomhed

Præsentation af Curanets sikringsmiljø

Programbeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016

Referencedatamodelprojektet. Overblik over DDV Governance-modellen

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

Ver. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK

Overordnet Informationssikkerhedsstrategi. for Odder Kommune

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

It-beredskabsstrategi for Horsens Kommune

Fællesregional Informationssikkerhedspolitik

konkurrenceudsættelse på dagsordenen

Informationssikkerhed

Odsherred Kommune. Strategi for velfærdsteknologi

Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning

ISO Styr på Arbejdsmiljøet på din virksomhed

HOLBÆK KOMMUNES STRATEGI FOR VELFÆRDSTEKNOLOGI. Version 1 (2013)

Indholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4

Overordnet informationssikkerhedsstrategi

Tilsyn med Databehandlere

Mål og resultatstyring i den offentlige sektor. Kursusnr

SOPHIAGÅRD ELMEHØJEN

Kontrakt om Testressourcer. Bilag 1a - Situationsbeskrivelse. 23. oktober Version 1.0

Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.

IT- og Informationssikkerhed

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

Vejledning for tilsyn med databehandlere

GDPR Leverandørstyring og revisionserklæringer EU-persondatakonferencen 2017

Procedurer for styring af softwarearkitektur og koordinering af udvikling

Udviklingsstrategi Billedet på forsiden: Temamøde om Skolereformen 18. januar 2014 på Hedelyskolen med bl.a. skoleledere, lærere og forældre.

Når compliance bliver kultur

Professionalisering af arbejdsmiljøindsatsen i virksomhederne - nye roller og tilgange

Mål- og resultatplan. for anklagemyndigheden

Hvis I vil vide mere. Kom godt i gang med standarder. Hvordan arbejder I med et fælles ledelsessystem og skaber synergi?

Strategiplan

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed

Guide til konsekvensvurdering af privatlivsbeskyttelsen

Roller og ansvar Grundlaget for ledelse i en ny organisationsstruktur

SAS Institute CIO networking

SIKKERHEDS- PROGRAMMET

Overordnet organisering af personoplysninger

Når Compliance Bliver Kultur

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

Velfærd gennem digitalisering

Databeskyttelsespolitik for DSI Midgård

INFORMATIONSSIKKERHED. En rejsefortælling om funktioner, roller og ledelse

Overordnet organisering af personoplysninger

Artikel trykt i ERP. Gengivelse af denne artikel eller dele heraf er ikke tilladt ifølge dansk lov om ophavsret.

Transkript:

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN: 987-87-93073-17-3 Publikationen kan hentes på Digitaliseringsstyrelsens hjemmeside www.digst.dk

Indledning Et af de første og vigtige skridt i arbejdet med ISO27001 er at skabe et overblik over den organisation og den forretning, der skal arbejde med standarden. Formålet med denne vejledning er at give input til etablering af forretningsoverblikket og belyse hvilken betydning det har for afgrænsningen af det ledelsessystem, der skal etableres for styring af informationssikkerhed (ISMS). Etablering af forretningsoverblikket er forudsætningen for at kunne etablere og organisere et ledelsessystem for informationssikkerhed, som passer til organisationen og dens udfordringer, ressourcer og ambitioner. 1 Det er vigtigt, at der både er fokus på og prioritering af organisationens vigtigste informationer og ligeledes de største risici. Dette kan identificeres med etableringen af forretningsoverblikket. En væsentlig forudsætning for, at arbejdet med informationssikkerhed bliver en succes, er, at arbejdets organisering, mål og indsatser er afstemt med organisationens mål, ønsker, ressourcer og udfordringer. Der skal være et godt overblik over, hvilke informationer der er vigtige for forretningen, og hvad det kan få af konsekvenser, hvis der sker en kompromittering af informationernes fortrolighed, integritet eller tilgængelighed. Ledelse af informationssikkerhed, ud fra en risikobetragtning, er at sikre, at indsatsen er passende i forhold til de risici, der er til stede, for at organisationen kan nå sine mål. I afsnit 4 i ISO27001 er det beskrevet, at organisationen dels skal faslægge, hvilke eksterne og interne forhold, der er relevante for organisationen og dens formål, dels hvilke interne og eksterne interessenter, der er relevante for organisationen. Dette skal lede frem til omfanget af ledelsessystemet. Sammenhængen mellem de enkelte elementer i afsnit 4 er illustreret i figur 1. 1 Guide til implementering af ISO27001 Udgivet af Digitaliseringsstyrelsen i september 2015 på digst dk

1. Forretningsoverblikket internt Enhver organisation består af nogle komponenter, det er vigtigt at have overblik over, og have en høj grad af forståelse for, hvis informationssikkerhedsarbejdet skal blive en succes. Figur 2 illustrerer de komponenter, der skal analyseres internt i en organisation for at danne overblikket. Noget af det vigtigste er, hvilket formål organisationen er sat i verden for, og hvilke mål organisationen vil nå. Ofte vil det være beskrevet i en resultatkontrakt, en vision, en strategi eller lignende. Heraf kan det udledes, hvilke opgaver, organisationen skal løse, og hvilke informationer, kompetencer og andre ressourcer, som er nødvendige for at nå målene. Derudover vil modtageren af organisationens ydelser være beskrevet. Det kan være andre organisationer, virksomheder eller borgere. Figur 2. Organisationens interne komponenter For at en organisation kan nå sine mål, har den implementeret en række forretningsprocesser, der skal sikre opfyldelse af målene. Med udgangspunkt i procesbeskrivelserne kan vigtige informationer og underliggende it-systemer identificeres. 4 Vejledning i etablering af forretningsoverblik Juni 2016

2. Forretningsoverblikket eksternt En organisations eksterne interessenter har indflydelse på, hvordan organisationens ledelsessystem for informationssikkerhed skal udformes og afgrænses. De fleste organisationer er bundet af kontraktlige forpligtelser, lovkrav, brancheaftaler eller andre udefrakommende forhold. Mange offentlige myndigheder er forpligtet til at overholde aftaler indgået i internationale samarbejder (f.eks. EU og NATO). Nogle organisationer, i f.eks. finanssektoren, medicinalbranchen eller telesektoren, er bundet af branchenormer, og alle organisationer er på en eller anden måde reguleret via lov. Der kan f.eks. være krav til tilgængelighed af data og frist for aflevering eller løsning af opgaverne. Samtidig er der krav til beskyttelse af nogle bestemte former for informationer, f.eks. persondata. Figur 3. Organisationens eksterne interessenter Andre af organisationens eksterne interessenter har ligeledes ønsker, krav og behov i relation til det ønskede niveau af informationssikkerhed. Interessenter kan både være de kunder/borgere, som modtager organisationens opgaveløsning, og samarbejdspartnere, myndigheder og leverandører, der indgår i opgaveløsningen. Mange organisationer har en meget vigtig ekstern interessent, nemlig deres it-driftsleverandør. Når hele eller dele af it-driften er outsourcet, stiller det særlige krav til organisationens leverandørstyring. 6 Vejledning i etablering af forretningsoverblik Juni 2016

Figur 5. Eksempel på en organisation, dens processer og forretningsprocesser Forretningsprocesser er de processer, der indgår direkte i organisationens kerneopgaver, det er f.eks. mælkeproduktion for et mejeri eller ministerbetjening for et departement. Støtteprocesser er de processer, der hjælper med at holde forretningsprocesserne i gang. Det er f.eks. HR-processer, der sørger for rekruttering, lønudbetaling m.m., eller serviceprocesser, der sørger for bygningsvedligehold, rengøring m.m. Både forretningsprocesser og støtteprocesser er afhængige af informationer og it-systemer, f.eks. har HR et lønsystem, og service har planer over bygningerne. Den mørkeblå linje i figur 5 illustrerer, hvordan organisationen har afgrænset sit ledelsessystem for informationssikkerhed til kun at dække dele af organisationens processer, informationer og it-systemer. I sådanne tilfælde må de dele af organisationen, der ligger uden for ledelsessystemet for informationssikkerhed, betragtes som eksterne leverandører. Vejledning i etablering af forretningsoverblik Juni 2016 9

4. Omfang og afgrænsning af ledelsessystemet for informationssikkerhed Når en organisation skal definere omfanget af ledelsessystemet for informationssikkerhed, skal den, på baggrund af det etablerede forretningsoverblik, bestemme sig for, hvad der skal dækkes af ledelsessystemet. Afgrænsningen kan foretages i forhold til mange forskellige aspekter og ud fra eksempelvis følgende overvejelser: Hvilke dele af organisationen skal indgå? Der kan være en del af en organisation, der med fordel kan udelades, fordi den ikke er informationstung, eller fordi det kan give mening at den etablerer et selvstændigt ledelsessystem. Skal alle informationer indgå? Der er måske visse dele af organisationens informationer, der ikke er kritiske for forretningen. Skal alle informationsaktiver indgå? Der kan være it-systemer, man ønsker at holde uden for et ledelsessystem for informationssikkerhed, det kan f.eks. være produktionssystemer, der ikke er på netværk eller på anden måde har en beskyttelse i sig selv. Ønsker organisationen at starte med en lille del af organisationen, informationerne eller it-systemerne, for så gradvist at udvide omfanget over tid? Som regel er det bedre at starte med en lille del og ikke prøve at få alt med i første omgang. Det giver organisationen mulighed for at drage erfaringer og bringe læring med ind i det fortsatte arbejde, når omfanget af ledelsessystemet udvides. Grænseflader mellem processer, der udføres af organisationen selv, og processer, der udføres af andre organisationer, kan også have indflydelse på, hvordan ledelsessystemet afgrænses. For mange organisationer med outsourcet it-drift gør det sig gældende, at meget af styringen med informationssikkerheden sker gennem leverandørstyring, og det vil have indflydelse på afgrænsningen. Husk, at et ledelsessystem for informationssikkerhedens omfang og afgrænsning skal dokumenteres og vurderes løbende. 10 Vejledning i etablering af forretningsoverblik Juni 2016

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback