> Hvordan hænger GDPR og informationssikkerhed sammen? Dit arbejde med ISO 27000 understøtter din GDPR-compliance to separate øvelser med få indbyggede modsætninger 12 October, 2018 S 1
Hvad er Informationssikkerhed Fortrolighed Integritet Tilgængelighed Gennem risikostyringsproces sikre, at interessenter har tillid til, at risici hånderes på en ordentlig måde. 12 October, 2018 S 2
Hvad er ISO27001 En standard til etablering og implementering, af et ledelsessystem for informationssikkerhed. Det er en strategisk beslutning for en organisation. Ledelsessystemet er en del af organisationens processer og overordnede ledelsesstruktur 12 October, 2018 S 3
Fem områder, hvor ISO 27001 understøtter GDPR 1. Dokumentation 2. Oversigt over persondata 3. Risikovurdering 4. Databrud 5. Evaluering og løbende forbedring Kilde: Anders Linde, Dansk IT 12 October, 2018 S 4
> Dokumentation > GDPR > Krav om dokumentation af efterlevelse > ISO 27001 > Hvis det ikke er dokumenteret, anses kravene ikke for efterlevet > Der skal foreligge en oversigt over persondata, en rapport vedr. risikovurdering, en hændelseslog 12 October, 2018 S 5
> Oversigt over persondata > ISO 27001 > Overblik over kritiske og følsomme data udpege relevante sikkerhedsforanstaltninger > GDPR > Fortegnelsen kunne styre hvor, hvordan og hvor længe persondata er gemt, hvem der kan få adgang 12 October, 2018 S 6
> Risikovurdering > GDPR > Kunne identificere risici for kompromittering af EU-borgernes persondata > Også ved implementering af nye systemer eller nye forretningsprocesser > ISO 27001 > Etablere relevant sikkerhedsindsats via risikostyring > Vurdere sandsynlighed for og konsekvens af forskellige hændelser > Sårbarhedsvurderinger som grundlag 12 October, 2018 S 7
> Databrud > GDPR > Underrette myndighederne inden for 72 timer efter et muligt databrud > Også underretning af de registrerede > ISO 27001 > Krav om håndtering af afvigelser > Forslag til processer for hændelseshåndtering 12 October, 2018 S 8
> Hvad er et brud på persondatasikkerheden? > GDPR brud på persondatasikkerheden > Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger der er transmitteret, opbevaret eller på anden måde behandlet.. > ISO 27001 - informationssikkerhedshændelse > En identificeret forekomst af en system-, tjeneste- eller netværkstilstand, der indikerer et muligt brud på informationssikkerhedspolitikken eller svigt af kontroller, eller en tidligere ukendt situation der kan være relevant for sikkerheden 12 October, 2018 S 9
> Evaluering og løbende forbedring > GDPR > Etablere arbejdsgange, som sikrer vedblivende beskyttelse af persondata, uanset > Trusselbilledet ændrer sig > Nye behandlinger > Ændrede forretningsgange > ISO 27001 > Værktøjskasse af aktiviteter til beskyttelse af informationer > Evaluering af sikkerhedskontroller > Interne audits > Ledelsens evaluering 12 October, 2018 S 10
> Er der en modsætning mellem GDPR og ISO 27001? > GDPR > Beskyttelse af borgerne og data, der kan henføres til bestemte personer > Privatlivsbeskyttelse > DPO er de registreredes talsmand og beskytter > ISO 27001 > Handler om beskyttelse af alle virksomhedens eller myndighedens data > Skal beskytte forretningsdata > CISO er virksomhedens beskytter 12 October, 2018 S 11
> Hvordan understøtter DKCERT og DeiC efterlevelsen? > Dokumentation, oversigt over persondata > DPO-tjenesten > Rådgivning > Databehandleraftaler > Indlogning med WAYF dataminimering og transparens > Risikovurderinger > Trusselsbilledet generelt informationstjenesten > Sårbarhedsvurderinger baseret på dybdegående scanninger > Daglige sårbarhedsadvarsler fra tredjepart > Deling af information om malware, indicators of compromise 12 October, 2018 S 12
> Hvordan understøtter DKCERT og DeiC efterlevelsen? > Databrud > Formidling af anmeldelser fra tredjepart > Støtte til forensics > Kontakt til eksterne parter, fx Center for Cybersikkerhed > Evaluering og løbende forbedring > Awarenesstræning fx phishingkampagner > Benchmarking 12 October, 2018 S 13