MÅLING AF INFORMATIONSSIKKERHED

Relaterede dokumenter
INFORMATIONSSIKKERHED. En rejsefortælling om funktioner, roller og ledelse

HVORFOR ER INFORMATIONSSIKKERHED DEN NYE SORT?

Resultatet af undersøgelse af status på implementering af ISO27001-principper i staten

Leverandørstyring: Stil krav du kan måle på

Sikkerhedsprogrammet Aktivitets- og leveranceplan 3 kvt kvt. 2018

Årshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.

Hovedresultater: ISO modenhed i staten. December 2018

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

Tilsyn med Databehandlere

Guide til SoA-dokumentet - Statement of Applicability. August 2014

Vejledning i informationssikkerhedspolitik. Februar 2015

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon digst@digst dk

Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning

Region Hovedstadens Ramme for Informationssikkerhed

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

Guide til implementering af ISO27001

Fællesregional Informationssikkerhedspolitik

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Organisering og styring af informationssikkerhed. I Odder Kommune

HVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

ISO Styr på Arbejdsmiljøet på din virksomhed

Vejledning i informationssikkerhedsstyring. Februar 2015

Målbillede for risikostyring i signalprogrammet. Juni 2018

Digitaliseringsstyrelsens konference 1. marts 2018

INFORMATIONS- SIKKERHEDS- AKTIVITETER

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001

Certificering ISO 14001:2015

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Guide til bedre beredskabsstyring. April 2015

Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk

Informationssikkerhedspolitik for Horsens Kommune

Revideret Miljøledelsesstandard

Politik <dato> <J.nr.>

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

Modenhed og sikkerhed hos databehandlere Charlotte Pedersen

Kl Indledning v. Lone Strøm, Rigsrevisor

Assens Kommune Sikkerhedspolitik for it, data og information

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden

Velkommen Grupperne SJ-1 & SJ-2

Sådan udvikler I en Statement of Applicability i henhold til ISO 27001:2013

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm

KOMBIT OG SIKKERHED NU, OM LIDT OG FREMTIDEN

Velkommen Gruppe SJ-2

Informationssikkerhedspolitik for <organisation>

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Kursus: Ledelse af it- sikkerhed

Digitaliseringsstyrelsen Risikovurdering Marts 2018

IT-SIKKERHED. Michael Hald, konsulent, KL INFORMATIONSDAG OM DEN FÆLLESKOMMUNALE HANDLINGSPLAN OG DEN FÆLLESOFFENTLIGE DIGITALISERINGSSTRATEGI

leverer forventet udbytte Kun 10% af strategiske projekter

KOMBIT sikkerhedspolitik

1. Introduktion til SoA Indhold og krav til SoA 4

It-beredskabsstrategi for Horsens Kommune

Guide til awareness om informationssikkerhed. Marts 2013

ISO Ledelsesværktøj til digital risikostyring

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Overordnet Informationssikkerhedspolitik

Infoblad. IATF Automotive

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87

POLITIK FOR INFORMATIONSSIKKERHED

It-sikkerhedspolitik for Københavns Kommune

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Overordnet It-sikkerhedspolitik

LOKAL OG DIGITAL ET SAMMENHÆNGENDE DANMARK

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

Transkript:

MÅLING AF INFORMATIONSSIKKERHED Beth Tranberg, Programleder betr@kl.dk 3370 3064

LOKAL OG DIGITAL et sammenhængende Danmark Den fælleskommunale handlingsplan 2016-2020 Programmet skal følge op på og dokumentere, at arbejdet med sikkerhed styrkes i de danske kommuner, som aftalt med regeringen 2

Kommunal baseline analyse 2016-2020 Projekt 1 Baseline analyse Projekt 2 Awareness Projekt 2 ISO 27000 Projekt 3 Rammearkitektur Praksis Praksis Praksis Brug for viden og ikke tro 3

Afsættet for spørgerammen 2016-2020 Persondataloven og sikkerhedsbekendtgørelsen Interesseområder fra datatilsynet ISO 27001 Praksisområder ift. aktuelle problemstillinger, herunder Hensyn til stigende grad af outsourcing og cloudservices Historik ift. undersøgelse 2010-2012-2014 Sammenhæng den svenske undersøgelse (SKL) 2017 2020 EU GDPR 4

Forventet OUTPUT fra informationssikkerhedsarbejdet Definering af processer og principper Implementering af principper Eksekvering som konsekvens af principper Evaluering af efterlevelse af effektivitet (evaluering og opfølgning) Der er et dokumenteret overblik over organisationen samt dens kontekst og interessenter Forretningsoverblik og informationssikkerhedsledelsessystem Informationssikkerhedsledelsessystemet er afledt af et aktuelt forretningsoverblik Roller, ansvar og opgaver er defineret med udgangspunkt i forretningsoverblikket Forretningsoverblikket revurderes en gang om året og i forbindelse med større ændringer Politikker/instrukser Overordnede politikker og mål for informationssikkerhed er beskrevet Overordnede politikker og mål er kommunikerede til organisationen Politikkerne er forankrede i instrukser, kontrakter, det daglige arbejde, processer, osv. Politikkerne revurderes en gang om året og i forbindelse med større ændringer Leverandørstyring Der er beskrevet en proces for leverandørstyring De valgte kontroller og leverandørkrav er opdaterede i forhold til det nyeste risikobillede Der følges op på om leverandørerne kan dokumentere deres kapabilitet Leverandørernes produkter testes og det verificeres, at de efterlever relevante krav Hændelseshåndtering Der er beskrevet en proces for hændelseshåndtering Hændelser bliver rapporteret via faste kanaler Rapporterede hændelser bliver vurderet og behandlet inden for en acceptabel tidsramme Effektiviteten af processen bliver målt i opnået læring (fx øget antal af hændelsesrapporteringer) Beredskabsplan Der er beskrevet en proces for planlægningen og styringen af beredskabet Der er etableret beredskabsplaner Medarbejdere, leverandører og interessenter har modtaget undervisning i beredskabsplanen Effektiviteten af beredskabet bliver testet Awareness og uddannelse Der er beskrevet et awarenessprogram Uddannelse og kommunikation eksekveres i overensstemmelse med planen Opdateringer til awarenessprogrammet sker i overensstemmelse med de evt. ændrede behov Effektiviteten af awareness-program bliver verificeret Opdatering af risikovurdering og SoA Der er beskrevet en proces for risikovurderinger Risikovurderinger gennemføres i henhold til processen og risici Risikoejere følger op på handleplaner, der er afledt af risikovurderingerne Effektiviteten af kontroller bliver verificeret Planer for sikkerhedsaktiviteter Der er bekrevet en proces for måling af informationssikkerheden Målinger gennemføres i henhold til processen Handleplaner bliver eksekveret baseret på identificerede mangler Effektiviteten af kontroller bliver verificeret Kilde: En rejsefortælling om funktioner, roller og ledelse planche 20 5

Fælleskommunal analyse Awareness & uddannelse Filter 1 = 2016 Filter 2 = 2017 6

Definering af processer og principper 7

Implementering af principper 8

Eksekvering som konsekvens af principper 9

Evaluering af efterlevelse af effektivitet 10

Informationssikkerhed i din organisation Udvælg de områder/leverancer fra modellen I ønsker at inddrage i workshoppen? Spørgsmål til inspiration: Politikker/instrukser Leverandørstyring Har din organisation en implementeringsorganisation? Hvis nej hvad er årsagen? Hvis ja Hvilke erfaringer har I gjort jer? Forretningsoverblik og informationssikkerhedsledelsessystem Hændelseshåndtering Beredskabsplan Har din organisation en struktureret proces for måling af informationssikkerhed? Hvis nej hvad er årsagen? Hvis ja hvad gjorde I med succes? Hvad var/er svært? Evaluering og efterlevelse Har din organisation implementeret et årshjul, hvor der indgår processer for kontrol og opfølgning? Hvis nej hvad er årsagen? Hvad tror du, der skal til hos jer for at øge modenheden? Hvis ja Har din organisation en høj modenhed. Hvordan er I nået hertil? Hvad virker godt og hvorfor? Awareness og uddannelse Opdatering af risikovurdering og SoA Planer for sikkerhedsaktiviteter 11

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback