Foundationkursus ControlManager Version 10.x
VELKOMMEN OG AGENDA VELKOMST INTRO Hvad er ControlManager? Opbygning af ControlManager VIRKSOMHEDEN / BASISINFORMATION Organisering Systemer Services Processer Dataflow Dokumenter ControlManager by Siscon 2
AGENDA - FORTSAT RISIKOSTYRING Konsekvensanalyse Sårbarhedsanalyse Risikovurdering Risiko og DPIA COMPLIANCE Politik Regler Procedure Standarder Dispensationer ControlManager by Siscon 3
AGENDA - FORTSAT AWARENESS Quiz Underskriftindsamling BEREDSKAB Beredskabsplaner Beredskabsorganisation Nødplaner Reetableringsplaner Alarmeringslister Status / Simulering ControlManager by Siscon 4
AGENDA - FORTSAT UDFØRELSE Kontroller Aktiviteter Gap-analyser Hændelser Revision ADMINISTRATION Opstart Brugere Brugergrupper Rettighedsroller ControlManager by Siscon 5
FORM OG FORVENTNINGER FORM Gennemgang af de enkelte moduler I laver noter i bøgerne Spørgsmål Funktionalitet Ikke metoder HVAD FORVENTER I? ControlManager by Siscon 6
CONTROLMANAGER INDHOLD OG OPBYGNING
CONTROLMANAGER - BINDER DET HELE SAMMEN ControlManager Dokumentstyring IT-Risikostyring Efterlevelse Kontrolkatalog GAP-Analyse Awareness Beredskab GDPR-Risikostyring Dataflow ControlManager by Siscon 8
CONTROLMANAGER - FRONT END / BACK END ControlManager by Siscon 9
CONTROLMANAGER - MENU BACK END OVERORDNET MENU EKSEMPEL PÅ MENUPUNKTER PÅ EN ENKELT SIDE ControlManager by Siscon 10
CONTROLMANAGER VIRKSOMHEDSMODULET
VIRKSOMHED ControlManager by Siscon Side 12
FORMÅL MED ORGANISATION FORMÅLET MED ORGANISATION ER AT UNDERSTØTTE: overblik over de relevante enheder fra organisationen til at udpege/forankre ejerskaber overblik over interessenter (interne / eksterne), der ønskes at bruges til målgruppe overblik over interessenter hvorfra der sendes / modtages information (personhenførbar) BEST PRACTICE Oprette følgende: Virksomhedsnavn Funktion (gruppe) Funktion (enkelt person) Eksterne Leverandør Evt. ControlManager by Siscon Side 13
ORGANISATION INDSTILLINGER Type (Forskellige typer af enheder) Roller (Der kan bruges i enhederne IKKE systemejer osv., da disse tilknyttes aktiver/services) Brug ikke denne funktion Rapportindstillinger ControlManager by Siscon 14
ORGANISATION OVERSIGT Tilføj Type valg Rapport Diagrammer med hierarki ENKELT VISNING / REDIGER Beskrivelse Medlemmer Relationer Relaterede processer Relaterede aktiver Relaterede services Menu Slet Vedhæft Rapport ControlManager by Siscon 15
CONTROLMANAGER VIEW ControlManager by Siscon 16
FORMÅL MED AKTIVER FORMÅLET MED AKTIVER ER: at skabe overblik over infrastrukturkomponenter (netværks-, server- og databaseinfrastruktur), der kan benyttes i forbindelse med risikostyring, beredskabsplaner og datakortlægning at opbygge en liste over netværks-, server- og databaseinfrastruktur, der kan relateres til fra andre opgaver opbygge afhængigheder til andre aktiver - > viden om påvirkning BEST PRACTICE Vær opmærksom på at ikke at være for detaljeret fra start Opdel i typer / grupper -> skaber overblik ControlManager by Siscon Side 17
AKTIVER INDSTILLINGER Type ( Forskellige typer af aktiver basissystem, brugersystem osv.) Grupper (Opdeling i visning på oversigtside) Roller (Systemejer, systemadministrator osv.) Felter Fysisk placering Sikkerhedsklassifikation Egne felter Review frekvens Filtre (Gemte filtre) E-mail (Skabeloner der udsendes ved handlinger) Import fra fil Eksport til fil SharePoint integration Indstillinger Rapport indstillinger ControlManager by Siscon 18
AKTIVER OVERSIGT Tilføj nye Rapportering Gruppe visning Filter Roller VISNING MENU Diagrammer Menu funktion Slet Mail Vedhæft Kopi Rapport VISNING / REDIGER Beskrivelse Ansvar Baseret på Afhængighed Relationer ControlManager by Siscon 19
CONTROLMANAGER VIEW ControlManager by Siscon 20
FORMÅL MED SERVICES FORMÅLET MED SERVICES ER: at skabe overblik over services/forretningssystemer (f.eks. it-services, bygningsservices ) der skal benyttes i forbindelse med risikostyring, beredskabsplaner og datakortlægning en liste over services/forretningssystemer der kan relateres til fra andre opgaver opbygge afhængigheder til services/aktiver - > viden om påvirkning BEST PRACTICE Vær opmærksom på at ikke at være for detaljeret fra start Opdel i typer / grupper -> med til at skabe overblik ControlManager by Siscon Side 21
SERVICES INDSTILLINGER Type (Forskellige typer af services basissystem, brugersystem osv.) Grupper (Opdeling i visning på oversigtside) Roller (Systemejer, systemadministrator osv.) Felter Fysisk placering Sikkerhedsklassifikation Egne felter Review frekvens Filtre ( Gemte filtre) E-mail (Skabeloner der udsendes ved handlinger) Import fra fil Eksport til fil SharePoint integration Indstillinger Rapport indstillinger ControlManager by Siscon 22
SERVICES OVERSIGT Tilføj nye Rapportering gruppe visning Filter Roller VISNING MENU Diagrammer Menu funktion Slet Mail Vedhæft Kopi Rapport VISNING / REDIGER Beskrivelse Ansvar Afhængighed Konsekvensanalyse Baseret på Relationer Dataflow ControlManager by Siscon 23
CONTROLMANAGER VIEW ControlManager by Siscon 24
FORMÅL MED PROCESSER FORMÅLET MED PROCESSER ER: at skabe overblik over forskellige typer af forretningsprocesser, der skal benyttes i forbindelse med risikostyring, beredskabsplaner og datakortlægning opbygge afhængigheder til processer / services / aktiver og dermed forstå it-understøttelsen og forretningens afhængighed af denne - > viden om påvirkning BEST PRACTICE Vær opmærksom på at ikke at være for detaljeret fra start 3 5 processer pr. afdeling ControlManager by Siscon Side 25
PROCESSER INDSTILLINGER Type (Forskellige typer af processer overordnet, delproces, behandlingsaktivitet osv.) Grupper (Opdeling i visning på oversigtside) Roller (Procesejer osv.) Felter Egne felter Review frekvens Filtre (Gemte filtre) E-mail (Skabeloner der udsendes ved handlinger) Import fra fil Eksport til fil SharePoint integration Indstillinger Rapport indstillinger ControlManager by Siscon 26
PROCESSER OVERSIGT Tilføj nye Rapportering gruppe visning Filter Roller VISNING MENU Diagrammer Menu funktion Slet Mail Vedhæft Kopi Rapport VISNING / REDIGER Beskrivelse Ansvar Afhængighed Konsekvensanalyse Baseret på Relationer Dataflow ControlManager by Siscon 27
CONTROLMANAGER VIEW ControlManager by Siscon 28
FORMÅL MED DATAFLOW FORMÅLET MED DATAFLOW ER: at skabe et overblik over Persondata (eller andre typer) internt i organisationen Imellem afdelinger På systemer persondata der modtages og sendes ud af organisationen Evt. hvilke protokoller bruges til hvilken udveksling. berige processer og systemer med viden om de data der er i disse opfylde dokumentationskravet fra EU GDPR BEST PRACTICE Vær opmærksom på, ikke at at være for detaljeret i niveau på datasætindhold og dataelementer forsøg at arbejde generisk med Art. 6 Almindelige oplysninger Art. 9 Følsomme oplysninger Art. 10 Straffedomme Art. 87 CPR Nr. Start evt. ud uden at beskrive flow, men alene kortlægning ControlManager by Siscon Side 29
DATAFLOW INDSTILLINGER Felter for dataflow Dataflow aftaler (Kommunikationskanal, overførsel til 3. lande) Felter for datasæt E-mail Lovligt grundlag (Samtykke, kontrakt osv.) Filtre (Gemte filtre) Aftale typer (Ekstern overførsel-manuel, Ekstern overførselautomatisk og lign.) Datatyper (Art. 6, Art. 9 osv.) Dataflow elementer (Navn, adresse, kontonummer osv.) Datasæt typer (EU-GDPR datasæt) Datasæt indhold (Medarbejder info, kunde info) Rapport ControlManager by Siscon 30
SAMMENHÆNGEN Datasæt indhold En samling af attributter i en skabelon af et datasæt. Datasætindhold og elementer, er det som man kan vælge når man genererer et dataflow. Datasæt elementer Beskrivelse af mulige attributter i et datasæt. Tilknyttet en bestemt kategori (Art. 6, 9, 10, 87) Datatyper Kategorisering af data i forhold til GDPR artikler - Art. 6, 9,10, 87 ControlManager by Siscon 31
DATAFLOW OVERSIGT Tilføj Rapportering Filter ENKELT VISNING Diagrammer Menu funktioner (Slet og rapport) ENKELT VISNING / REDIGER Beskrivelse Datasæt Dataflowaftaler ControlManager by Siscon 32
DATAFLOW - FORTSAT DATASÆT ENKELTVISNING / REDIGER Beskrivelse Datasæt indhold Menu funktioner (Slet og rapport) DATASÆT ENKELTVISNING / REDIGER Beskrivelse Dataaftale indhold Godkender Ansvarlig Relationer (Dokumenter) Menu funktioner (Slet og rapport) ControlManager by Siscon 33
CONTROLMANAGER VIEW ControlManager by Siscon 34
FORMÅL MED DOKUMENTER FORMÅLET MED DOKUMENTER ER: at skabe struktur og overblik over dokumenter der er understøttende for Aktiver Services Processer Dataflow Sikre at der sker løbende opfølgning af dokumenter At kunne publicere dokumenter (Viden) til relevante målgrupper BEST PRACTICE Opbyg grupper til at strukturere dokumenter Benyt mulighed for at kunne linke til dokumenter der ligger eksternt (der udstilles via HTTP(S), File eller andre web-protokoller) Fil-shares Website (Wiki, SharePoint) ESDH systemer ControlManager by Siscon Side 35
DOKUMENTER INDSTILLINGER Grupper (Opdeling i visning på oversigtside) Sikkerhedsklassifikation Review frekvens Filtre ( Gemte filtre) E-mail (Skabeloner der udsendes ved handlinger) SharePoint dokument bibliotek Filtre Skabeloner Rapportindstillinger ControlManager by Siscon 36
DOKUMENTER OVERSIGT Tilføj ny (Html / MS Word ) Søg Arkiv Filter Rapport Importer ENKELT VISNING / REDIGER Stamdata Dokument Relationer Kommentar Menu Godkend hvis endelig Publicering (Målgruppe og notifikation) hvis godkendt Send e-mail Kopi Slet Rapport ControlManager by Siscon 37
CONTROLMANAGER VIEW ControlManager by Siscon 38
NOTER ControlManager by Siscon 39
NOTER ControlManager by Siscon 40
CONTROLMANAGER RISIKOSTYRINGSMODULET
RISIKOSTYRING ControlManager by Siscon 42
FORMÅL MED KONSEKVENSANALYSE FORMÅLET MED KONSEKVENSANALYSEN ER: at afdække de forretningsmæssige konsekvenser såfremt en given forretningsprocesser eller services oplever brud på Fortrolighed, Integritet eller tilgængelighed at opnå viden om hvilke områder (F, I, T) der påvirker virksomheden og i hvilket omfang at få overblik over maksimal tålelig nedetid (MTD) og datatab BEST PRACTICE Begræns antallet af konsekvenstyper og perioder for tilgængelighed Anvend en særlig periode på tilgængelighed til at opfange måneds- /årsskifte problematik Understøt analysen med dialogmøder / interview ControlManager by Siscon Side 43
KONSEKVENSANALYSE INDSTILLINGER Almindelige indstillinger Konsekvensniveauer Review frekvens Perioder for konsekvensanalyse Vægtning Konsekvenstyper Skabelon for konsekvenstyper Kritikalitet Økonomisk konsekvens Filter Accepteret nedetid Accepteret datatab E-mail Rapport ControlManager by Siscon 44
KONSEKVENSANALYSE OVERSIGT Tilføj / Arv Oversigt Processer Services Konsekvenstyper Scenarier Diagram Arkiv Filter Rapport UDFOLDET VISNING Afsluttede / Ikke afsluttede Resultat ControlManager by Siscon 45
KONSEKVENSANALYSE ENKELT VISNING / REDIGER Menu Indstilling / Opsætning Rapport DETAIL VISNING Menu Slet Arkiv Kopi Vedhæft E-mail Rapport ControlManager by Siscon 46
KONSEKVENSANALYSE IGANGSÆTNING AF KONSEKVENSANALYSE Udvælg Proces / Service Indstillinger Dato for udførelse Tilføj enhed og person for ansvarlig og udførende Vælg konsekvenstyper E-mail notifikation Gennemførelse Start analyse Indtast informationer Rediger resultat Indstillinger Samme som opstart ControlManager by Siscon 47
CONTROLMANAGER VIEW ControlManager by Siscon 48
FORMÅL MED SÅRBARHEDSANALYSER FORMÅLET MED SÅRBARHEDSANALYSEN ER: afdække trusselsbilledet for aktiver / services med udgangspunkt i (F, I, T) afdække genetableringshastigheder og -punkter viden om mulige indsatsområder BEST PRACTICE Begræns antallet af trusler der vurderes på Byg en semi-detaljeret model med afhængigheder og understøt dette med gode skabeloner således der kun vurderes på relevante trusler ift. det enkelte aktiv / service Understøt analysen med dialogmøder / interview ControlManager by Siscon Side 49
SÅRBARHEDSANALYSE INDSTILLINGER Almindelige indstillinger Sandsynlighedsniveau Sandsynlighed og sårbarhed Sandsynlighed og afhængighed Review frekvens Trusselstyper Trusler Skabelon for trusselstyper Sikringsforanstaltning Reetableringstid Datatab Accepteret datatab Filter E-mail Rapport ControlManager by Siscon 50
SÅRBARHEDSANALYSE OVERSIGT Tilføj Oversigt Aktiver Services Trusler Trusseltyper Scenarier Diagram Arkiv Filter Rapport ENKELT VISNING / REDIGER Menu Indstilling / Rediger Arkiv Kopi Vedhæft E-mail Rapport ControlManager by Siscon 51
SÅRBARHEDSANALYSE IGANGSÆTNING AF SÅRBARHEDSANALYSE Udvælg aktiv / service Indstillinger Vælg person for ansvarlig og udførende Vælg type Vælg dimension Vælg trusselskabelon Start tidspunkt E-mail notifikation Gennemførelse Start analyse Indtast informationer Rediger resultat Indstillinger Samme som opstart ControlManager by Siscon 52
CONTROLMANAGER VIEW ControlManager by Siscon 53
FORMÅL MED RISIKOVURDERING FORMÅLET MED RISIKOVURDERINGEN ER: Overblik over det samlede risikobillede, set ud fra en forretningsvinkel Grupperet på F, I, T GAP analyse mellem forretningskrav til Oppetider og Datatab kontra IT s muligheder for at levere dette Viden til at fortage en ledelsesmæssig stillingtagen BEST PRACTICE Udvælg niveau for risikoappetit og konfigurer Rød/Gul derefter Overfør alle risks som der ønskes arbejdet med til Revision og tilføj aktiviteter til dette ControlManager by Siscon Side 54
RISIKOVURDERING INDSTILLINGER Almindelige indstillinger Risikoniveauer Konsekvens og Sandsynlighed Filter Scenarier Risikotyper Rapport ControlManager by Siscon 55
RISIKOVURDERING OVERSIGT Oversigt 1 & 2 dimensioner Filter Rapport Risikovurdering Datatab Nedetid Detaljer Filter Rapport Risikovurdering Datatab Nedetid Trusseltyper Scenarier Vigtighed GKV SKV ROI ControlManager by Siscon 56
CONTROLMANAGER VIEW ControlManager by Siscon 57
FORMÅL MED RISIKOANALYSE / DPIA-ANALYSE FORMÅLET MED RISIKOANALYSE/DPIA ER: Understøtte en risikostyringsmodel der tager udgangspunkt i specifikke trusler, dekoblet fra processer/systemer/aktiver (som er udgangspunkt for meget risikostyring inden for informationssikkerhed) Kan bruges til at vurdere sandsynlighed og konsekvens for konkrete trusler for Projekter Afdelinger Virksomheden Datasubjekter BEST PRACTICE Vurder hvilke områder der ønskes vurdere Vurder hvordan en eventuel aggregering ønskes ControlManager by Siscon Side 58
RISIKOANALYSE / DPIA-ANALYSE INDSTILLINGER Almindelige indstillinger Konsekvens & Sandsynlighed Review frekvens Konsekvensniveauer Sandsynlighedsniveauer Risikoniveauer Risikoobjekter Tilføj + efterfølgende svarmulighed Grupper af risikoobjekter Tilføj Filter E-mail Skabelon for risikoobjekter DPIA skabelon Typer Typer af risikoanalyser Rapport ControlManager by Siscon 59
RISIKOANALYSE / DPIA-ANALYSE OVERSIGT Tilføj ( Risikoanalyse eller DPIA) Oversigt Filter Rapport Arkiv Diagram Arkiv ENKELT VISNING / REDIGER Menu Indstilling / Rediger Arkiv Kopi Vedhæft E-mail Rapport ControlManager by Siscon 60
CONTROLMANAGER VIEW ControlManager by Siscon 61
NOTER ControlManager by Siscon 62
CONTROLMANAGER COMPLIANCEMODULET
COMPLIANCEMODULET ControlManager by Siscon 64
FORMÅL MED POLITIK FORMÅLET MED POLITIK ER: at skabe struktur og overblik over de overordnede styrende dokumenter sikre at der sker løbende opfølgning på dokumenter BEST PRACTICE Sørg for, at politikken er overordnet og kort det er et ledelsesdokument Brug skabelonfunktionen til at ensarte eventuelle lokale politikker Opbyg grupper til at strukturer dokumenter Benyt evt. mulighed for at have dokumenter liggende eksternt ControlManager by Siscon Side 65
POLITIK INDSTILLINGER Review frekvens Skabeloner Rapport indstillinger E-mail (Skabeloner der udsendes ved handlinger) SharePoint dokument bibliotek Grupper (Opdeling i visning på oversigtside) Filtre (Gemte filtre / Arkiv) ControlManager by Siscon 66
POLITIK OVERSIGT Tilføj ny (Html / MS Word for IE ) Søg Arkiv Grupper Filter Rapport Importer ENKELT VISNING / REDIGER Stamdata Dokument Kommentar Menu Godkend hvis endelig Publicering (Målgruppe og notifikation) hvis godkendt Send e-mail Kopi Slet Rapport ControlManager by Siscon 67
CONTROLMANAGER VIEW ControlManager by Siscon 68
FORMÅL MED REGLER FORMÅLET MED REGLER ER: at skabe en struktureret samling af konkrete og målbare tiltag at der er beskrevet et sikkerhedsmæssigt minimumsniveau at sikre, at der er ejerskab på de enkelte tiltag, således implementeringen er målrettet at kunne bruges som udgangspunkt for GAP analyser BEST PRACTICE Strukturer efter ISO27001 eller anden anerkendt standard Genbrug regler til at understøtte flere forskellige standarder (lovgivningstekster) Understøt de enkelte regler med procedurer (detaljer hører hjemme i procedurer) Kontrollér efterlevelse med kontroller på relevante områder ControlManager by Siscon Side 69
REGLER INDSTILLINGER Rapport indstillinger E-mail (Skabeloner der udsendes ved handlinger) Filter oversigt (Gemte filtre / Arkiv) Filter regelsæt ControlManager by Siscon 70
REGLER OVERSIGT Tilføj regler Filter Importer ENKELT VISNING Relationsvisning Forklaring Menu Rediger Kopi Slet Godkend hvis endelig Filter Publicering (Målgruppe og notifikation) hvis godkendt Arkiv Send e-mail Rapport Eksporter ControlManager by Siscon 71
REGLER REDIGER Menu Tilføj kapitel Tilføj afsnit Tilføj regel Tilføj underregel Filter ControlManager by Siscon 72
CONTROLMANAGER VIEW ControlManager by Siscon 73
FORMÅL MED PROCEDURE FORMÅLET MED PROCEDURER ER: at skabe struktur og overblik over dokumenter der er understøttende for regler (operationel) at sikre, at der sker løbende opfølgning af dokumenter BEST PRACTICE Opbyg grupper til at strukturer dokumenter Brug skabelonfunktionen til at ensarte eventuelle lokale procedurer Benyt mulighed for at have dokumenter liggende eksternt ControlManager by Siscon Side 74
PROCEDURE INDSTILLINGER Review frekvens Skabeloner Rapport indstillinger E-mail (Skabeloner der udsendes ved handlinger) Grupper (Opdeling i visning på oversigtside) SharePoint dokument bibliotek Filtre (Gemte filtre / Arkiv) ControlManager by Siscon 75
PROCEDURE OVERSIGT Tilføj ny (Html / MS Word for IE ) Søg Arkiv Grupper Filter Rapport Importer ENKELT VISNING / REDIGER Stamdata Dokument Relationer Kommentar Menu Arkiv Godkend hvis endelig Publicering / Fjern publicering (Målgruppe og notifikation) hvis godkendt Send e-mail Kopi Slet Rapport Eksporter ControlManager by Siscon 76
CONTROLMANAGER VIEW ControlManager by Siscon 77
FORMÅL MED STANDARDER FORMÅLET MED STANDARDER ER: at have referencerammer til at skabe struktur i regler og procedurer at kunne dokumentere efterlevelse i forhold til standarden/lovteksten -> SoA at kunne bruges som udgangspunkt for GAP analyser opslagsværk til krav BEST PRACTICE Benyt strukturen Kapitel Afsnit Paragraf (krav) Der kan KUN mappes regler til paragraffer ikke til afsnit eller underparagraffer ControlManager by Siscon Side 78
STANDARDER INDSTILLINGER Standarder Standarder arkiv Wizard Compliance Rapport indstillinger Filtre ControlManager by Siscon 79
STANDARDER OVERSIGT Filter ENKELT VISNING Søg Relationsvisning Menu Tilføj Rediger Kopi Filter Rapport ControlManager by Siscon 80
CONTROLMANAGER VIEW ControlManager by Siscon 81
FORMÅL MED DISPENSATIONER FORMÅLET MED DISPENSATIONER ER: at skabe en flow for håndtering af dispensationer, dvs. områder hvor IT-sikkerhedspolitik og regler ikke kan overholdes at have et samlet overblik over dispensationer med tilhørende status således at disse kan blive lukket at kunne sikre opfølgning og rapportering BEST PRACTICE Benyt Front End til at anmode Start med at informerer de involverede omkring arbejdsgangen ControlManager by Siscon Side 82
DISPENSATIONER INDSTILLINGER Typer Dispensationsansvarlig Rapport indstillinger Filtre (Arkiv) ControlManager by Siscon 83
DISPENSATIONER OVERSIGT Tilføj Arkiv Filter Rapport ENKELT VISNING Menu Slet Arkiv Vedhæft dokument Rapport ControlManager by Siscon 84
CONTROLMANAGER VIEW ControlManager by Siscon 85
NOTER ControlManager by Siscon 86
CONTROLMANAGER AWARENESSMODULET
AWARENESS ControlManager by Siscon 88
FORMÅL MED QUIZ KAMPAGNER FORMÅLET MED QUIZ KAMPAGNER ER: at gennemføre undervisning på et let måde opnå viden om hvorvidt et emne / budskab er forstået sikre forståelse for, og implementering af, nye emner opfølgning på allerede kendte emner BEST PRACTICE Start med få emner udbyg langsomt Vær opmærksom på tidsforbruget ved spørgsmål / quiz Sørg for at emnerne matcher målgruppen i niveau og viden ControlManager by Siscon Side 89
QUIZ KAMPAGNER INDSTILLINGER Emner Oprette og vedligeholde emner Quiz spørgsmål Oprettet og tilføje spørgsmål Diplom Tilpasning af baggrundsbillede E-mail Rapport Filter ControlManager by Siscon 90
QUIZ KAMPAGNER OVERSIGT Tilføj ny kampagne Arkiv Diagram Filter ENKELT VISNING / REDIGER Stamdata Målgruppe Emne resultat Menu Rapport Filter E-mail Rediger Arkiv Slet Send diplom til deltager ControlManager by Siscon 91
CONTROLMANAGER VIEW ControlManager by Siscon 92
FORMÅL MED UNDERSKRIFTKAMPAGNE FORMÅLET MED UNDERSKRIFTKAMPAGNE ER: opnå tilkendegivelse for at et emne er læst og forstået dokumentation for at der sket en tilkendegivelse overblik over hvem der har afgivet underskrift og hvem der udestår BEST PRACTICE Brug evt. links til procedure/dokumenter, hvis der behov for at få underskrevet at et givent dokument er læst. ControlManager by Siscon Side 93
UNDERSKRIFTKAMPAGNE INDSTILLINGER E-mail Rapport Filter ControlManager by Siscon 94
UNDERSKRIFTKAMPAGNE OVERSIGT Arkiv Diagram Arkiv diagram E-mail Filter ControlManager by Siscon 95
CONTROLMANAGER VIEW ControlManager by Siscon 96
FORMÅL MED KAMPAGNE DELTAGERE FORMÅLET MED KAMPAGNE DELTAGERE ER: opnå viden om hvordan den enkelte / gruppe af deltagere har klaret sig i en quiz kampagne rapportering på deltagelse og resultat udsende reminder til personer som ikke er kommet igennem quizzen ControlManager by Siscon Side 97
KAMPAGNE DELTAGERE INDSTILLINGER E-mail Rapport Filter ControlManager by Siscon 98
KAMPAGNE DELTAGERE OVERSIGT Arkiv Arkiv diagram E-mail Filter Rapport ENKELT VISNING Emner Aktivitet Filter ControlManager by Siscon 99
CONTROLMANAGER VIEW ControlManager by Siscon 100
NOTER ControlManager by Siscon 101
NOTER ControlManager by Siscon 102
CONTROLMANAGER BEREDSKABSMODULET
BEREDSKAB ControlManager by Siscon 104
BEREDSKABSPLAN FORMÅLET MED BEREDSKABSPLAN ER: at skabe struktur og overblik over de overordnede styrende beredskabsdokumenter sikre at der sker løbende opfølgning på dokumenter BEST PRACTICE Brug skabelonfunktionen til at ensarte beredskabsplaner Opbyg grupper til at strukturer dokumenter Benyt evt. mulighed for at have dokumenter liggende eksternt ControlManager by Siscon 105
BEREDSKABSPLAN INDSTILLINGER Review frekvens Skabeloner E-mail (Skabeloner der udsendes ved handlinger) Rapport indstillinger SharePoint dokument bibliotek Filtre (Gemte filtre / Arkiv) ControlManager by Siscon 106
BEREDSKABSPLAN OVERSIGT Tilføj ny (Html / MS Word for IE ) Søg Arkiv Filter Rapport Importer ENKELT VISNING / REDIGER Stamdata Dokument Kommentar Menu Arkiv Godkend hvis endelig Publicering / Fjern publicering (Målgruppe og notifikation) hvis godkendt Send e-mail Kopi Slet Rapport ControlManager by Siscon 107
CONTROLMANAGER VIEW ControlManager by Siscon 108
FORMÅL MED BEREDSKABSORGANISATION FORMÅLET MED BEREDSKABSORGANISATION ER: at have en kort rolle/ansvarsbeskrivelse for udvalgte dele af beredskabsorganisationen at have et kommissorium for hver af de enkelte dele af beredskabsorganisationen ControlManager by Siscon Side 109
BEREDSKABSORGANISATION INDSTILLINGER Roller E-mail (Skabeloner der udsendes ved handlinger) Rapport indstillinger ControlManager by Siscon 110
BEREDSKABSORGANISATION OVERSIGT Tilføj Rapport ENKELT VISNING / REDIGER Beskrivelse Medlemmer Ansvar Menu Vedhæft Slet Publicering / Fjern publicering (Målgruppe og notifikation) hvis godkendt Rapport ControlManager by Siscon 111
CONTROLMANAGER VIEW ControlManager by Siscon 112
FORMÅL MED ALARMERINGSLISTE FORMÅLET MED ALARMERINGSLISTEN ER: at have en liste med kontaktoplysninger, som automatisk opdateres fra AD, og som kan publiceres til relevante dele af beredskabet ControlManager by Siscon Side 113
ALARMERINGSLISTE INDSTILLINGER Roller E-mail (Skabeloner der udsendes ved handlinger) Rapport indstillinger Filter ControlManager by Siscon 114
ALARMERINGSLISTE OVERSIGT Beredskabsorganisation Aktiver Services Processer Publicering Rapport ENKELT VISNING / REDIGER Beskrivelse Menu Rapport ControlManager by Siscon 115
CONTROLMANAGER VIEW ControlManager by Siscon 116
FORMÅL MED NØDPLANER FORMÅLET MED NØDPLANER ER: at sikre, planer for forretningens videreførelse i tilfælde af f.eks. it-nedbrud at sikre, at der er klarhed over hvilke opgaver og hvilke forudsætninger der er for at videreføre forretningen BEST PRACTICE Udarbejd kun nødplaner for de mest kritiske forretningsprocesser Sørg for at nødplanerne er integreret med den overordnede beredskabsplan ControlManager by Siscon Side 117
NØDPLANER INDSTILLINGER Review frekvens SharePoint indstilling Skabeloner Beredskabskonfigurationer Tekst fra andre moduler E-mail (Skabeloner der udsendes ved handlinger) Rapport indstillinger ControlManager by Siscon 118
NØDPLANER OVERSIGT Processer Services Arkiv Filter Rapport ENKELT VISNING / REDIGER Reetableringstid Diagram for relationer Stamdata Dokument Kommentar Menu Arkiv Vedhæft Godkend hvis endelig Publicering / Fjern publicering (Målgruppe og notifikation) hvis godkendt Send e-mail Tilføj Kopi Slet Rapport ControlManager by Siscon 119
CONTROLMANAGER VIEW ControlManager by Siscon 120
FORMÅL MED REETABLERINGSPLANER FORMÅLET MED REETABLERINGSPLANER ER: at sikre, planer for hurtig og effektiv genskabelse af itsystemer i tilfælde af f.eks. it-nedbrud at sikre, at der er klarhed over hvordan og hvilke forudsætninger der er for at genskabe det enkelte system BEST PRACTICE Udarbejd kun reetableringsplaner for de mest kritiske itsystemer Sørg for at reetableringsplanerne er integreret med den overordnede beredskabsplan ControlManager by Siscon Side 121
REETABLERINGSPLANER INDSTILLINGER Review frekvens SharePoint indstilling Skabeloner Beredskabskonfigurationer Tekst fra andre moduler E-mail (Skabeloner der udsendes ved handlinger) Rapport indstillinger ControlManager by Siscon 122
REETABLERINGSPLANER OVERSIGT Aktiver Services Arkiv Filter Rapport ENKELT VISNING / REDIGER Diagram for relationer Understøttede enheder Stamdata Dokument Kommentar Menu Arkiv Vedhæft Godkend hvis endelig Publicering / Fjern publicering (Målgruppe og notifikation) hvis godkendt Send e-mail Tilføj Kopi Slet Rapport ControlManager by Siscon 123
CONTROLMANAGER VIEW ControlManager by Siscon 124
FORMÅL MED NØDFORANSTALTNINGER (LOGBOG*) FORMÅLET MED NØDFORANSTALTNINGER ER: at skabe en logbog i beredskabssituationen, som sikrer dokumentation af iværksatte tiltag at skabe overblik over de meldinger der sendes mellem de enkelte dele af beredskabsorganisationen BEST PRACTICE ControlManager by Siscon Side 125
BEREDSKAB NØDFORANSTALTNINGER (LOGBOG*) INDSTILLINGER Logbog typer* De enkelte elementer der indgår i skabelonen Log bog skabeloner* Skabeloner til forskellige personer ControlManager by Siscon 126
NØDFORANSTALTNINGER (LOGBOG*) OVERSIGT Tilføj aktivitet ENKELT VISNING / REDIGER Stamdata Dokument Menu Rediger Slet ControlManager by Siscon 127
CONTROLMANAGER VIEW ControlManager by Siscon 128
FORMÅL MED BEREDSKAB STATUS FORMÅLET MED BEREDSKABSSTATUS ER: Kontinuert at have et overblik over status på samtlige processer/services/aktiver, efterhånden som en eller flere af disse bliver fejl- eller klarmeldt At illustrerer hvordan en fejl- eller klarmelding påvirker alle andre processer/services/aktiver BEST PRACTICE Ingen ControlManager by Siscon Side 129
BEREDSKAB STATUS INDSTILLINGER E-mail Rapport Filter ControlManager by Siscon 130
BEREDSKAB STATUS OVERSIGT Filter ENKELT VISNING / REDIGER Stamdata Ansvar Afhængighed Anvendelse Relationer Dataflow Menu E-mail Rapport ControlManager by Siscon 131
CONTROLMANAGER VIEW ControlManager by Siscon 132
NOTER ControlManager by Siscon 133
NOTER ControlManager by Siscon 134
CONTROLMANAGER OPFØLGNINGSMODULET
FORMÅL MED KONTROLLER ControlManager by Siscon Side 136
FORMÅL MED KONTROLLER FORMÅLET MED KONTROLLER ER: at sikre, at rolle/ansvarsmodellen, som typisk er beskrevet i regler, også bliver implementeret praksis, ved at foretage kontrol af at det aftalte er gennemført at tilbyde en simpel og ensartet metode til at få gennemført kontroller at opsamle og centralisere dokumentation for de gennemførte kontroller ControlManager by Siscon Side 137
FORMÅL MED KONTROLLER BEST PRACTICE kontrollér om det ønskede resultat er tilstede i organisationen Ikke om patch-proceduren findes, men om systemerne rent faktisk er patchet grupper kontroller i kontrol-dimensioner anvend scores, til at illustrere resultatet af en kontrol tilknyt procedurer til en kontrol, hvis gennemførelsen er kompleks relatér kontroller til de kontrolobjekter som de vedrører Regler Behandlingsaktiviteter (processer) / Services anvend multi-kontroller, hvis den samme kontrol skal udføres på flere processer/services/aktiver anvend skabeloner for at sikre, at kontroller udfyldes ensartet ControlManager by Siscon Side 138
KONTROLLER INDSTILLINGER Generelle informationer Review frekvens SharePoint indstillinger Skabeloner Status Typer Metoder Dimensioner Score niveau E-mail Rapport Filter ControlManager by Siscon 139
KONTROLLER OVERSIGT Tilføj (enkel / multi) Diagram Tidsplan Relationer Arkiv Filter Rapport ENKELT VISNING / REDIGER Beskrivelse Yderligere indstillinger Ajourføring Historik Relationer Menu Kopi Vedhæft Arkiv Slet Rapport ControlManager by Siscon 140
KONTROLLER LOG-BOG Tidsperiode Rapport Detaljeinformation om den enkelte kontrolaktivitet ControlManager by Siscon 141
CONTROLMANAGER VIEW ControlManager by Siscon 142
FORMÅL MED AKTIVITETER FORMÅLET MED AKTIVITETER ER: at tildele opgaver til enkeltpersoner og derved sikre forankring af enkeltstående opgaver at have overblik over alle informationssikkerhedsrelaterede opgaver, som er i gang BEST PRACTICE tilknyt aktiviteter til de objekter, hvor der er opgaver som skal gennemføres Revision, Hændelser, Gap-analyser etc. ControlManager by Siscon Side 143
AKTIVITETER INDSTILLINGER SharePoint indstillinger E-mail Rapport Filter (nye og arkiv) ControlManager by Siscon 144
AKTIVITETER OVERSIGT Tilføj Arkiv Rapport Filter ENKELT VISNING / REDIGER Beskrivelse Relationer Menu Kopi Slet Vedhæft Godkend Arkiv Rapport ControlManager by Siscon 145
CONTROLMANAGER VIEW ControlManager by Siscon 146
FORMÅL MED GAP-ANALYSER FORMÅLET MED GAP-ANALYSER ER: At evaluere et givent område, ud fra en række forhåndsdefinerede krav, som er beskrevet i Regler, Standarder At kunne igangsat aktiviteter som kan udbedre eventuelle GAPs BEST PRACTICE Overvej om ens svar eller forskellige svar giver det bedste resultat på GAP-analysen Sørg for at spørgsmålene er formuleret ensartet, så det rigtige svar altid er det rigtige (Helst ja) ControlManager by Siscon Side 147
GAP-ANALYSER INDSTILLINGER Niveauer Alvorlighed Skabelon samme svar Sammensætning af niveauer Skabelon forskellig svar Sammensætning af samme svar relateret til regler / standard E-mail Rapport Filter ControlManager by Siscon 148
GAP-ANALYSER OVERSIGT Tilføj (enkel / multi) Regelsæt / Standarder Arkiv ENKELT VISNING / REDIGER Info Forklaring Indhold Diagram / Compliance Menu Indstillinger Arkiv Slet Rapport Rapport (rediger) Filter ControlManager by Siscon 149
CONTROLMANAGER VIEW ControlManager by Siscon 150
FORMÅL MED HÆNDELSER FORMÅLET MED HÆNDELSER ER: at få registreret hændelser, således at det er muligt at skabe et overblik over hvor og hændelser forekommer, og hvilke konsekvenser de har for organisationen at få sikre, at hændelser bliver håndteret BEST PRACTICE registrer alle hændelser over en given tærskel løb jævnligt servicedesk-tickets igennem, for at se om nogle af disse er sikkerhedshændelser som skal registreres tilknyt aktiviteter til hændelser ControlManager by Siscon Side 151
HÆNDELSER INDSTILLINGER Skabeloner Almindelige indstillinger Hændelsesansvarlig Alvorlighed Typer Felter E-mail Rapport Baseret på en kontrol (e-mail) ControlManager by Siscon 152
HÆNDELSER OVERSIGT Tilføj Statistik Arkiv Filter Rapport ENKELT VISNING / REDIGER Aktion Beskrivelse Påvirkning Processer, Services, Aktiver, Konsekvenser, Trusler, F,I,T og Økonomi Relationer Regler, Aktiviteter, Kontroller, Scenarier Kommentar Menu Kopi Vedhæft Arkiv Slet Rapport Tilføj aktivitet ControlManager by Siscon 153
CONTROLMANAGER VIEW ControlManager by Siscon 154
FORMÅL MED REVISION FORMÅLET MED REVISION ER: at skabe overblik over de revisions -udeståender som der er i organisationen at sikre fremdrift på de fundne udeståender BEST PRACTICE brug revisionsmodulet til alle former for opgaver, hvor der skal sikres forankring og fremdrift Risikoanalyseresultater Penetrationstest Intern- og ekstern revisionsresultater Non-compliance i forhold til interne regelsæt ControlManager by Siscon Side 155
REVISION INDSTILLINGER Skabeloner Alvorlighed Typer Felter (Revisionsanbefalinger) E-mail Rapport ControlManager by Siscon 156
REVISION OVERSIGT Tilføj Arkiv Filter Rapport ENKELT VISNING / REDIGER Info Beskrivelse Påvirkning Processer, Services, Aktiver, Konsekvenser, Trusler, F,I,T og Økonomi Relationer Regler, Aktiviteter, Kontroller, Scenarier Kommentar Menu Kopi Arkiv Slet Rapport Tilføj aktivitet ControlManager by Siscon 157
CONTROLMANAGER VIEW ControlManager by Siscon 158
NOTER ControlManager by Siscon 159
NOTER ControlManager by Siscon 160
CONTROLMANAGER ADMINISTRATIONSMODULET
FORMÅL MED OPSTART FORMÅLET MED OPSTART ER: at samle alle de parametre som oftest kun tilpasses én gang, i forbindelse med installation af ControlManager BEST PRACTICE Sæt indledningsvist ControlManager i test-mode, imens det konfigureres Sæt en BCC adresse på alle mails, så du altid kan se og genfinde de mails ControlManager sender ud. Sæt en pæn fodnote på alle mails der sendes ud ControlManager by Siscon Side 162
OPSTART INDSTILLINGER Organisering af basis enheder Aktiver, services, processer Failover og afhængighedsniveau Sprog / Møntfod Program tekst Rapport indstillinger Logo, rapport bruger Perioder Hændelser, revision, nyeste information E-mail Server, til og fra, header, footer, prioritet, test-mode AD-indstillinger AD-server Single Sign On SharePoint indstillinger Link indstillinger MS Word indstillinger ControlManager by Siscon 163
CONTROLMANAGER VIEW ControlManager by Siscon 164
FORMÅL MED BRUGERE FORMÅLET MED BRUGERE ER: at skabe overblik over de brugere som er i ControlManager at kunne se Hvilke brugere som er aktive Hvilke som modtager mails Hvilke grupper en given bruger er i Hvilke rettigheder en given bruger har BEST PRACTICE Undgå i videst muligt omgang anvendelse af lokal brugere Skaber behov for lokal brugeradministration ControlManager by Siscon Side 165
BRUGERE INDSTILLINGER Rapport Vis bruger-id ved navn Bruges kun ved mange personer med samme navn i organisationen ControlManager by Siscon 166
BRUGERE OVERSIGT Tilføj Login log Log ind tidspunkter Modul skabelon Hvilke moduler / undermoduler der skal vises i menuen Adgang til Back End For at begrænse antallet af personer i drop down lister Synkroniser Rapport ENKELT VISNING / REDIGER Brugeransvar Indstillinger Info Brugergrupper Rettighedsroller Rettigheder Menu Slet Nyt password Rapport ControlManager by Siscon 167
BRUGERE LOKAL OPRETTELSE Navn, E-mail, Brugernavn, Telefon, Mobil, Beskrivelse Standard sprog kun nødvendig hvis det afviger fra default sprog Synlig skal brugeren være synlig i andre moduler Aktiv skal brugeren kunne logge ind Spær ved 3 forkerte forsøg -> Inaktiv Adgang til ControlManager Back End Send ikke e-mail Rettigheder tildeles individuelt eller ud fra rettigheds roller ControlManager by Siscon 168
CONTROLMANAGER VIEW ControlManager by Siscon 169
FORMÅL MED BRUGERGRUPPER FORMÅLET MED BRUGERGRUPPER ER: At importere AD brugere til ControlManager ved at linke ControlManager brugergrupper til ADbrugergrupper at administrere brugere i ControlManager herunder styre rettigheder og menu-punkter på brugere BEST PRACTICE Prefix brugergrupper som synkroniserer med AD: AD_xxxx Prefix brugergrupper som administreres lokalt i ControlManager : CM_xxxx ControlManager by Siscon Side 170
SAMMENHÆNGEN AD -> BRG. GRP -> ORG. ENHED AD gruppe ControlManager Brugergruppe Rettighedsroller Modulskabelon Send ikke e-mail (ja/nej) Sprog Organisationsenhed ControlManager by Siscon 171
BRUGERGRUPPER OVERSIGT Tilføj Synkroniser ENKELT VISNING / REDIGER Info Medlemmer og rettighedsroller ControlManager by Siscon 172
CONTROLMANAGER VIEW ControlManager by Siscon 173
FORMÅL MED RETTIGHEDSROLLER FORMÅLET MED RETTIGHEDSROLLER ER: at tildele brugere tilstrækkelige rettigheder til at kunne gennemføre deres arbejde BEST PRACTICE undgå at granulere brugerrettigheder unødigt importer gerne brugere flere gange, anvend f.eks. både AD-bruger og ledergrupper til at få sat de rigtige rettigheder på medarbejdere (ganske få) og ledere (ganske mange) ControlManager by Siscon Side 174
RETTIGHEDSROLLER OVERSIGT Tilføj ENKELT VISNING / REDIGER Slet Indstillinger ControlManager by Siscon 175
RETTIGHEDSROLLER 6 TYPER LÆSE / SKRIVE / GODKENDER / ADMINISTRATOR: Læse Vil kunne se alt og udskrive rapporter i det pågældende område UDEN at kunne ændre noget Skrive Vil kunne skrive nye samt redigere dokumenter og lign. i det pågældende område Godkender Vil kunne udpeges som godkender i det pågældende område Administrator Vil kunne: Administrere analyser (konsekvens, sårbarhed og gap-analyser) Publicere beredskabsplaner Have oversigt over samtlige kontroller Tilpasse og ændre hændelser Tilpasse og ændre aktiviteter Slette Kan slette objektet Arkivere Kan få liv til at arkivere objektet ControlManager by Siscon 176
OBS DEN KLASSISKE FEJL MAN DUKKER IKKE OP I DROP-DOWN LISTER MED MINDRE: 1. Man har adgang til ControlManager Back End 2. Man har de rigtige rettigheder CONTROLMANAGER FORVENTER, AT MAN HAR RETTIGHEDER, FORDI DET ER MENINGEN AT MAN F.EKS. SOM ANSVARLIG GÅR IND I CONTROLMANAGER OG TILRETTER PROCESSER, SERVICES OG AKTIVER. ControlManager by Siscon 177
CONTROLMANAGER VIEW ControlManager by Siscon 178
NOTER ControlManager by Siscon 179
NOTER ControlManager by Siscon 180
OPGAVER ControlManager by Siscon 181
OPGAVE - VIRKSOMHED OPRET EN ORGANISATORISK ENHED KALDET GRUPPE_X Tilføj medlem AA til denne enhed OPRET ET AKTIV KALDET AKTIV_X Udfyld nødvendige felter til aktivet OPRET EN SERVICE KALDET SERVICE_X Udfyld nødvendige felter til servicen Gør servicen afhængig af dit aktiv OPRET EN PROCES KALDET PROCES_X Udfyld felter til processen Gør processern afhængig af din service Se diagram under din proces ControlManager by Siscon 182
OPGAVE - RISIKOSTYRING KONSEKVENSANALYSE OPRET EN NY KONSEKVENSTYPE OFFENTLIG OMDØMME Lav en meget kort beskrivelse af de enkelte niveauer SÅRBARHEDSANALYSE OPRET EN NY SKABELON FOR TRUSLER DER BESTÅR AF 12 TRUSLER ControlManager by Siscon 183
OPGAVE - COMPLIANCE OPRET ET POLITIK DOKUMENT DER IKKE LIGGER I CONTROLMANAGER MEN BLIVER IMPORTERET FRA EN FIL TILFØJ EN NY REGEL TIL DET EKSISTERENDE REGELSÆT Reglen hedder kursus indeholdende teksten test OPRET ET NYT COMPLIANCE DOKUMENT (SOA / EFTERLEVELSE) OG KALD DET KURSUS ControlManager by Siscon 184
OPGAVE - AWARENESS OPRET ET NYT EMNE KALDET KURUS Opret én lektion kaldet Gruppe_X Opret et nyt spørgsmål Relater spørgsmålet til Gruppe_X lektionen ControlManager by Siscon 185
OPGAVE - BEREDSKAB OPRET EN BEREDSKABSORGANISATION KURSUS Tildel 4 medlemmer PUBLICER KURSUS TIL CONTROLMANAGER FRONT END UNDER STATUS SLUK FOR DIT AKTIV Hvilken farve for din service og din proces? ControlManager by Siscon 186
OPGAVE - OPFØLGNING OPRET EN KONTROL FRA JERES HVERDAG, KALDET KONTROL_GRP_X MED AA SOM UDFØRENDE Den skal køre en gang i kvartalet Den skal kunne scores Beskriv i beskrivelsesfeltet: Hvad går kontrollen ud på? Hvordan skal den scores? Hvad skal der afleveres af evidens? Opret en relation til en regel i regelsættet fra kontrollen ControlManager by Siscon 187
ØVELSE - BRUGERE OPRET EN BRUGERGRUPPE I CONTROLMANAGER TILFØJ JERES EGNE BRUGERE TIL DENNE GRUPPE TILDEL GRUPPEN ADMINISTRATORRETTIGHEDER (BASERET PÅ EN RETTIGHEDSROLLE) ControlManager by Siscon 188
OPGAVE - DIVERSE CONTROLMANAGER FRONT END OPGAVER Lav et PDF dokument af regler udelukkende med målgruppen IT-chef ControlManager by Siscon 189