Leverandørstyring: Stil krav du kan måle på

Relaterede dokumenter
Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

MÅLING AF INFORMATIONSSIKKERHED

Resultatet af undersøgelse af status på implementering af ISO27001-principper i staten

Modenhed og sikkerhed hos databehandlere Charlotte Pedersen

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

Årshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.

HVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING

Guide til implementering af ISO27001

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Digitaliseringsstyrelsens konference 1. marts 2018

Kl Indledning v. Lone Strøm, Rigsrevisor

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden

Handleplan for informationssikkerhed 2017 i Region Midtjylland - oversigt over initiativer/faser som forventes afsluttet i 2017

Procesoptimering og Ledelsessystemer

GDPR Leverandørstyring og revisionserklæringer EU-persondatakonferencen 2017

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Hovedresultater: ISO modenhed i staten. December 2018

serien og nyheder i ISO og ISO 27002

PERSONDATAFORORDNINGEN - TOPDANMARKS ARBEJDE MED AT SKABE COMPLIANCE. DI ITEK 14. juni 2016 Koncern IT-sikkerhedschef Brian Lind

Krav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter

INFORMATIONSSIKKERHED. En rejsefortælling om funktioner, roller og ledelse

It-revision af Sundhedsdatanettet januar 2016

Hvordan styrer vi leverandørerne?

Tilsyn med Databehandlere

Procedure for tilsyn af databehandleraftale

Informationssikkerhedspolitik for Horsens Kommune

Kursus: Ledelse af it- sikkerhed

KOMBIT sikkerhedspolitik

Sikkerhedsprogrammet Aktivitets- og leveranceplan 3 kvt kvt. 2018

Når compliance bliver kultur

Sikkerhed & Revision 2016 den 2. september B:4 Stream B Governance, Risk & Compliance

IT-sikkerhedspolitik S i d e 1 9

Struktureret Compliance

Målbillede for risikostyring i signalprogrammet. Juni 2018

EU-GDPR i ControlManager

Vejledning i informationssikkerhedspolitik. Februar 2015

NOTAT. Allerød Kommune Økonomi og It Udbud og indkøb Bjarkesvej Allerød

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Bilag 18, Revisionsstandard og audit

Erfaringer fra innføring av ISO i danske kommuner (styringssystem for informasjonssikkerhet)

IMPLEMENTERING AF MILJØLEDELSE

IT-sikkerhedspolitik for

General Data Protection Regulation

Birgitte Toxværd Bruun & Hjejle

Forordningens sikkerhedskrav

Region Hovedstadens Ramme for Informationssikkerhed

Organisering og styring af informationssikkerhed. I Odder Kommune

Informationssikkerhedspolitik for <organisation>

Fra DS 484 til ISO 27001

page 1 SSE/XXXXX/YYY/ZZZZ $Revision: xx.xx $ Cybersecurity COMMERCIAL IN CONFIDENCE

UDKAST: MedCom Systemforvaltning (SDN/VDX/KIH) Danske Regioner

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

Persondataforordningen...den nye erklæringsstandard

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

Rapport Intern Revision. It-revision af ændringsstyring. Direktørområdet SKAT IT. Modtager Direktør Jesper Rønnow Simonsen, SKAT

/2016. November Rigsrevisionens beretning om styring af it-sikkerhed hos it-leverandører

Modenhedsvurderinger. Mål hvad kan I tage med hjem?

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

EU Persondataforordningen, ISO/IEC og de nye privacy-standarder. ItSMF-konferencen, oktober 2017

Årshjul for persondata. v/henrik Pors

Fællesregional Informationssikkerhedspolitik

Overordnet it-sikkerhedspolitik for Rødovre Kommune

KONTRAKTSTYRING I PRAKSIS

Ny bekendtgørelse om krav til sikkerhedsledelsessystemer for virksomheder, der skal opnå sikkerhedscertifikat eller sikkerhedsgodkendelse

Finansministerens redegørelse vedrørende Statsrevisorernes bemærkninger til Rigsrevisionens beretning om revision af statsregnskabet for 2013

CONTRACT MANAGEMENT. - Forretningskritisk kompetence ved anskaffelser. 7. marts 2014 SKI Infodage

Informationssikkerhedspolitik. DokumentID / Dokumentnr /

Transkript:

Leverandørstyring: Stil krav du kan måle på 1. Marts 2018 Rikke Saltoft Andersen, Teamleder, Kontor for Systemforvaltning

Hovedbudskaber ISO 27001 standarden muliggør reference til standard leverancer og målbare metoder, der kan rapporteres og følges op på -muliggør sammenligning på tværs og bedre krav til fx revisionsrapporter. Målbare krav bringer os langt men er ikke en garanti for at komme i land med ISO ISO implementeringen stopper ikke kontinuerlig øvelse (plan-do-tjek-act) Medarbejdere skal klædes på til ISO; organisationen skal klædes på til forandringsledelse 2

agenda ISO basisprincipper Erfaringer Udfordringer ISO fremadrettet 3

ISO the basics Ophæng ift. staten: National strategi for cyber- og informationssikkerhed for 2015-16. Formål: Højne it-sikkerheden og professionalisere arbejdet gennem fælles sprog og fælles fremgangsmåder - en systematisk, standardiseret tværgående styring 10 punkter i arbejdet. Guider findes på Digst.dk 1. Ledelsens styring af informationssikkerhed 2. Politik for informationssikkerhed 3. Risikovurdering og -håndtering 4. Til- og fravalg SoA-dokumentet 5. Leverandørstyring 6. Hændelseshåndtering 7. Beredskabsplanlægning 8. Uddannelse og oplysning - Fra DS484 til ISO27001 hvad skal der til? 9. Evaluering og opfølgning 10. Planer for sikkerhedsaktiviteter 4

ISO i leverandørstyringen - standardklausuler på Digst.dk Formål: støtte myndigheder ifm. indgåelse af it-kontrakter og forenkle arbejdet med sikkerhedskrav Krav i kontrakter tre modeller: 1. Krav om, leverandør-dokumentation af 5 ISO-certificering 2. Krav om leverandør-dokumentation af efterlevelse af ISO27001 3. En kombination af krav, der imødekommer udsnit af sikkerhedsbehovene fx: Revision og tilsyn Risiko- og sårbarhedsvurdering Patch management Autorisation og adgangsstyring Logning Etc.

ISO i leverandørstyringen udvalgte ex: K Krav-ex ISO-elementer i leverandørstyring: Findes politik el. retningslinjer med principper for leverandørstyring inkl. risikovurderinger? Er ansvarsfordeling tydelig ml. kunde og leverandør v. hændelser og beredskab? Findes Databehandleraftaler? Krav om revisionsrapporter Arbejdes med awareness? Praksis Koncept god kontraktstyring, Contract management-system m. adviserings mulighed Processer for changes og incidents - inkl. rolle-beskrivelser dokumenterede, kendte? Databehandleraftaler Krav til revisionsrapporter Beredskabsplaner og -øvelser Sikkerhedsudvalgsmøder (plan, do tjeck, act) styrelsesniveau, kontor-niveau Sikkerhedsrapporter, afdækning af risici 6

Ex ISO-relevante krav i nuværende kontrakter 1.1.1 Revisionserklæring Tjenesteyder skal én gang årligt gennemføre it-revision i overensstemmelse med det i bilag 7 anførte. Såfremt Kunden ønsker en specifik sikkerhedsrapport om [xx]-løsningen hos Tjenesteyder, udarbejder Tjenesteyders eksterne sikkerhedsrevision en sådan rapport. Kunden afholder alle udgifter hertil. Vurderingen af de kontraktuelle konsekvenser, som de af revisor påpegede forhold giver anledning til, afgøres på grundlag af de konkrete forhold i henhold til kontraktens bestemmelser herom. Dog skal alle forhold, som påpeges af revisor, være bragt i orden uden ugrundet ophold. Angående brugeradministration, (Bilag vedr. Sikkerhedsprocedurer): 9.1.1.1.1 Tjenesteyder skal etablere og anvende politikker for styring af Tjenesteyders medarbejderes adgang til [xx]-løsningen og de deri lagrede data, således at kun medarbejdere med et dokumenteret, arbejdsbetinget behov får adgang. (mk) 9.1.1.1.2 Tjenesteyder skal anvende procedurer for styring af Tjenesteyders administratorers adgang og gennemgå disse rettigheder periodisk. (mk) M.m. 7

Udfordringer ift. ISO og leverandørstyringen? Kontrakter før 2016: kravene til IT Sikkerhed udarbejdelsen og graden af konkretisering er ændret med ISO 27001 Niveau for risikovurderinger for overordnede? hvilke dele af systemet? begrundede fravalg Krav til leverandører om adgangsstyring på forskellige niveauer samt logning forbedringsmuligheder? Generelle og upræcise krav giver rum for fortolkning i forhold til leverandør-forpligtelser Revisionsrapporter mere aktiv stillingtagen til indsatser og anvendelse/opfølgning Krav og leverancer skal løbende genbesøges Ældre kontrakter skærper krav til kompetencer og stillingtagen i systemforvaltningen ISO implementering er et løbende forandringsprojekt 8

Hvor sætter vi ind fremadrettet? - målbare krav bringer os langt, men ikke en garanti Klar beskrivelse af roller og ansvar sammenhæng ml. opfølgning på informationssikkerhed og operationel systemforvaltning Mappe iso-emner op, vurdere compliance - sikkerhedsårshjul Changes, incidents årshjul, løbende checklister Mere aktiv involvering i sikkerhedsrapporteringer fra leverandørerne, løbende læring En stor årligt risikovurdering - opsamling på årets løbende risiko-arbejde og findings Har vi processer på plads samt systemer til måling og rapportering og awareness? Uddannelse og øvelser ISO 27001 standarden: mulig reference til standard leverancer og målbare metoder, der kan rapporteres og følges op på muliggør sammenligning på tværs og bedre krav til fx revisionsrapporter Disse erfaringen sammenholdt med EU persondataforordningens krav til Audits muliggør at blive endnu bedre til ISO arbejdet og de revisioner som skal følge op på arbejdet. 9

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback