DER ER GÅET SPORT I INFORMATIONSSIKKERHED SISCON KONFERENCE SEPTEMBER 2018 KENNY ANDREASEN CTO HEROBASE A/S V. 1.2
Fortællingen Kooooooort om HeroBase A/S Hvad betyder sport? Hvorfor er sport godt (og sjovt)? Udgangspunktet Den famøse 25. maj og kobling med kundebehov GDPR, ISO og 3402 den store sammenhæng Fra high-level til lavpraktisk Konkrete gevinster De tre væsentligste betragtninger det eneste I behøver huske ;)
Kooooooort om HeroBase A/S Kontaktcenter-software og marketing automation 30 mand i Søborg 10(isch) år på bagen
Hvad betyder sport? At udmærke sig At konkurrere At udvikle sig
Hvorfor er sport godt (og sjovt)? Du engagerer dig Du gør det ikke (nødvendigvis) af pligt Du husker
Hvorfor er sport godt (og sjovt)?
Hvorfor er sport godt (og sjovt)?
Udgangspunktet Vi vil gerne bede om lidt udførlig information om: Organisering af informationssikkerhed Personalesikkerhed Styring af aktiver Adgangsstyring Kryptografi Fysisk sikring og miljøsikring Driftssikkerhed Kommunikationssikkerhed Anskaffelse, udvikling og vedligeholdelse af systemer Leverandørforhold Styring af informationssikkerhedsbrud og hændelser og så bare lige lidt om hvordan I sikrer disse forhold løbende, og hvordan I dokumenterer det naturligvis.
Udgangspunktet
Den famøse 25. maj og kobling med kundebehov
Den famøse 25. maj og kobling med kundebehov 4. 5. Artikel 28 - Databehandler 4. 5. 1. stk. 1 Den dataansvarlige må udelukkende benytte databehandlere, der kan dokumentere tilstrækkelig garanti for, at passende tekniske og organisatoriske foranstaltninger er implementeret.
Sammenhængen GDPR (-efterlevelse) ISO27001 ISAE3402 (+3000)
ISAE3000 Sammenhængen ISAE3402 (type I) Formålet med denne beskrivelse er at levere information til HeroBases kunder og deres interessenter (herunder revisorer) vedrørende kravene i den internationale revisionsstandard for erklæringsopgaver om kontroller hos en serviceleverandør, ISAE3402. Beskrivelsen har herudover det formål at give information om vores informationssikkerhedsregelsæt, procedurer og kontroller, som er gældende for vores leverance af produktet og ydelsen Hero Outbound til vores kunder. Formålet med denne beskrivelse er at levere information til HeroBases kunder og deres interessenter (herunder revisorer) vedrørende kravene og indholdet i databeskyttelsesforordningen ( GDPR ), beskrevet ud fra rammerne givet i den internationale revisionsstandard ISAE3000, herunder også standarden for erklæringsopgaver om kontroller hos en serviceleverandør, ISAE3402. Beskrivelsen har herudover det formål at give specifik information om forhold vedrørende behandlingssikkerked, tekniske og organisatoriske foranstaltninger, ansvar mellem dataansvarlige (vores kunder) og databehandler (HeroBase), og hvordan løsningen Hero Outbound gennem funktioner til bl.a. understøttelse af datasubjekternes rettigheder, understøtter vores kunder (de dataansvarlige) i at leve op til GDPR, for så vidt angår deres aktiviteter i Hero Outbound. Det beskrevne er altså gældende for vores leverance af produktet og ydelsen Hero Outbound til vores kunder.
Sammenhængen Regler Procedurer Kontroller Politikker Noget som LEVER Quizzer og awareness ISMS (efterlevelse dokumenteret med ISAE3402 og ISAE3000) Uddannelse og træning Databehandleraftaler Underdatabehandleraftaler Kortlægning: Processer og dataflows
Fra high-level til lavpraktisk * *) Kunsten
Fra high-level til lavpraktisk
Konkrete gevinster
Konkrete gevinster
Konkrete gevinster
Konkrete gevinster
De tre væsentligste (Det eneste I behøver* huske) *) kan Hvis du først har solgt dit budskab ind, engagerer du folk mere end de bedste bøger (eller dyreste konsulenter) nogensinde kan gøre det 30 hoveder som tænker i stedet for 1 Spin-off på vores løsninger GDPR FTW! Den 25. maj er begyndelsen ikke en afslutning KLICHÉ