En mærkningsordning for it-sikkerhed

Relaterede dokumenter
ANBEFALING: En mærkningsordning for it-sikkerhed

Et konkurrencedygtigt dansk erhvervsliv gennem styrket IT-sikkerhed

DI ITEK-gennemgang: National strategi for cyber- og informationssikkerhed

Programbeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

IT-SIKKERHED SET FRA LEVERANDØRENS SIDE

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Bilag 1.Talepapir ved samråd i KOU den 8. oktober

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed

Kickstart din virksomheds digitale rejse

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

Sådan får du styr på de digitale risici

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI Rådgiverne. DI Rådgiverne. H.C. Andersens Boulevard København V raadgiverne.di.dk

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

KRAVSPECIFIKATION Udvikling og udbredelse af et sikkerhedstjek. 28. september 2015 Sagsnr.

> DKCERT og Danskernes informationssikkerhed

IT-SIKKERHED. Michael Hald, konsulent, KL INFORMATIONSDAG OM DEN FÆLLESKOMMUNALE HANDLINGSPLAN OG DEN FÆLLESOFFENTLIGE DIGITALISERINGSSTRATEGI

Torben Waage Partner

Deloitte Cyber Awareness Training Træning af medarbejderne i informationssikkerhed er med til at beskytte virksomheden mod cyberkriminalitet.

National strategi for cyber- og informationssikkerhed. Finansministeriet

O Guide til it-sikkerhed

Digitalisering i den offentlige sektor i fremtiden Adam Lebech, digitaliseringschef. DUBEX Security & Risk Management Summit 30.

Hvordan styrer vi leverandørerne?

Trusselsvurdering Cyberangreb mod leverandører

guide til it-sikkerhed

It-sikkerhedspolitik for Farsø Varmeværk

DFM netværks Årskonference dage med intensiv FM

ANALYSENOTAT It-kriminalitet mod danske virksomheder vokser

Informationssikkerhedspolitik for Horsens Kommune

Vejledning om informationssikkerhed

Titel Område National/Regional Periode Resumé Den fællesoffentlige digitaliseringsstrategi. Digitalisering i det offentlige National

IT Forum Hackerangreb: Sådan kan din virksomhed blive ramt 14 April 2016

Persondataforordningen...den nye erklæringsstandard

Privatlivspolitik for

HVAD ER GOD ERHVERVS- OG INNOVATIONSFREMME I ET VIRKSOMHEDSPERSPEKTIV?

GENVEJEN TIL AT FÅ VERDENSMÅLENE IND I VIRKSOMHEDENS KERNEFORRETNING

Tillid og sikkerhed om data

Overordnet Informationssikkerhedspolitik

INFORMATIONS- SIKKERHEDSPOLITIK

IT-sikkerhedspolitik S i d e 1 9

CYBERFORSIKRING OFFENTLIG KONFERENCE

SAMARBEJDE MELLEM POLITIET OG VIRKSOMHEDERNE MOD CYBERKRIMINALITET

DK-CERT Orienteringsmøde 8. marts 2010 Eigtveds Pakhus. Shehzad Ahmad, DK-CERT

Indholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4

Säker Digital Post från myndigheterna

Tjekliste til arbejde med persondata. Branchefælleskab for Intelligent Energi

ANALYSE Informationssikkerhed blandt DI s medlemmer

Tryghed i den digitale verden - It-sikkerhed og persondata

Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb

Digital service i verdensklasse. 26. november 2018

Hvordan understøtter Vækstforum erhvervslivets behov for at blive klar til Industri 4.0 (digital omstilling)?

Forfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø

STYRKEN I DET ENKLE. Business Suite

FORSLAG TIL BESLUTNING

Informationssikkerhedspolitik. for Aalborg Kommune

Persondataforordningen

Med henvisning til analysen Mistede oplysninger. i forbindelse med fravalg af revision Analyse af

MÅLING AF INFORMATIONSSIKKERHED

Bilag 4. Diskussionsoplæg: Dataetik

Center for Cybersikkerheds beretning Center for Cybersikkerheds beretning 2014

POLITIK FOR INFORMATIONSSIKKERHED

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Sikkerhed i en digitaliseret sundhedssektor. Sikkerhed og Revision 8. September 2017

Politik for informationssikkerheddatabeskyttelse

FRA PERSONDATALOV TIL PERSONDATAFORORDNING

INFORMATIONSSIKKERHED I

Målrettet arbejde med persondataforordningen for

En mere sammenhængende offentlig sektor

Kontraktstyring en rejse fra gensidig kontrol til gensidig forretningsudvikling

Vejledende tekst om risikovurdering. Datatilsynet og Rådet for Digital Sikkerhed

Nationale cybersikkerhedsinitiativer. Peter Munch Jensen, sektionsleder

Kursus: Ledelse af it- sikkerhed

CYBER RISIKOAFDÆKNING

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Flere virksomheder har sat digitalisering på dagsordenen

Assens Kommune Sikkerhedspolitik for it, data og information

Workshop 2. Hvilke processer skal sikre os en god databeskyttelse? Hvordan uddanner vi medarbejdere i det offentlige til at håndtere data forsvarligt?

De første 350 dage med den nye databeskyttelsesforordning

Sundhedsministeren. Statsrevisorerne Sekretariatet Folketinget Christiansborg 1240 København K

Lokalafdeling Skive Viborg & Omegn. Ansøgning

Ministerens tale ved ITOP15 den 22. september kl (10 min.)

Privatlivspolitik (ekstern persondatapolitik)

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Europaudvalget (2. samling) EUU Alm.del Bilag 4 Offentligt

Ny lov for Center for Cybersikkerhed. En analyse blandt IDAs it-politiske panel

Privatlivspolitik for

GREATER COPENHAGEN GIGABIT Fælles charter for digital infrastruktur og digitalisering

Ballerup Kommune Politik for databeskyttelse

Etisk leverandørstyring

Europaudvalget 2010 KOM (2010) 0571 Bilag 1 Offentligt

H AC K ING OG D ATASIKKERHED I SU N DHEDSVÆSENET

VALG Hvad kan sætte gang i dansk erhvervsliv? FSR survey Juni

Status for den nationale strategi for digitalisering af sundhedsvæsenet ++ Lisbeth Nielsen Direktør for Sundhedsdatastyrelsen

Retsudvalget REU Alm.del Bilag 353 Offentligt. Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Transkript:

Anbefaling: En mærkningsordning for it-sikkerhed Virksomhedsrådet for IT-SIKKERHED

Virksomhedsrådet for IT-sikkerhed anbefaler Der skal etableres et mærke for it-sikkerhed, der signalerer, at en virksomhed har implementeret it-sikkerhedsforanstaltninger, som beskytter mod de mest almindelige sikkerhedshændelser. Mærket skal: være frivilligt have små og mellemstore virksomheder som primær målgruppe reducere virksomhedernes risiko for itsikkerhedshændelser herunder ved hjælp af medarbejder-awareness hjælpe kunder, afagere, forbrugere og samarbejdspartnere med at vælge virksomheder, der har styr på it-sikkerhed og ansvarlig dataanvendelse kickstarte virksomhedernes arbejde med itsikkerhed, så rejsen mod endnu bedre og mere avancerede tiltag bliver lettere og mere overskuelig være en ramme for dialog om it-sikkerhed mellem kunder, leverandører, medarbejdere og alle øvrige samarbejdspartnere være et skridt i den rigtige retning mod eferlevelse af krav til virksomheders datasikkerhed i leverandørafaler samtænkes med andre relevante initiativer, og udvikles i samarbejde med relevante parter.

Baggrund: SMV erne har ikke godt nok styr på it-sikkerheden 3 Flere tilfælde af bredt omtalte og omkostningsfulde it-sikkerhedsbrud har betydet, at mange større danske virksomheder er begyndt at forbedre deres it-sikkerhed. Samtidig stilles der i dag lovmæssige krav til it-sikkerheden i forsyningsvirksomheder og udbydere af digitale tjenester i NIS-direktivet, mens den danske regering med Den nationale strategi for cyber- og informationssikkerhed har stillet krav til de samfundskritiske sektorer. Udfordring Mange danske virksomheder, herunder særligt SMV er, har ikke implementeret basale it-sikkerhedsforanstaltninger og er derfor unødigt sårbare over for de mest almindelige it-sikkerhedshændelser.. Disse indsatser er vigtige og afgørende for Danmarks sikkerhed. Men en meget stor del af dansk erhvervsliv består af små og mellemstore virksomheder, som også er sårbare over for it-sikkerhedshændelser. En undersøgelse fra 2018 viste for eksempel, at fre ud af ti små og mellemstore virksomheder ikke har et passende it-sikkerhedsniveau i forhold til deres risikoprofl (deloitte/erhvervsstyrelsen: IT-sikkerhed og datahåndtering i danske SMV er). Der er derfor behov for en fokuseret indsats for at løfe it-sikkerhedsniveauet i danske SMV er. Løsning: Et mærke for IT-sikkerhed Heldigvis kan mange danske virksomheder reducere deres risiko for it-sikkerhedshændelser betydeligt, hvis de får styr på de mest grundlæggende it-sikkerhedstiltag. Derfor anbefaler Virksomhedsrådet for IT-sikkerhed, at der etableres en frivillig mærkningsordning for it-sikkerhed, der kan give virksomhederne et incitament til at påbegynde arbejdet med it-sikkerhed. Langt de feste it-sikkerhedshændelser er nemlig nemme at dæmme op for, og med den basale it-sikkerhed på plads, er det Virksomhedsrådets vurdering, at virksomhederne kan imødegå op til 90 procent af it-sikkerhedshændelserne. Formål Et mærke for it-sikkerhed skal gøre det lettere for virksomhederne at strukturere deres arbejde med it-sikkerhed og opnå et basalt it-sikkerhedsniveau, såvel som guide kunder, afagere og forbrugere til at vælge de virksomheder, der har styr på it-sikkerhed og dataanvendelse. Mærket kan samtidig hjælpe virksomhederne på vej mod ansvarlig dataanvendelse samt skabe gennemsigtighed om it-sikkerhed og dataanvendelse

i virksomhederne og dermed i fremtiden blive en konkurrencefordel. 4 Mærkets indhold, organisation, pris og certifceringsproces mv. fastlægges senere i samarbejde med relevante parter. Virksomhedsrådet anser det dog som vigtigt, at medarbejder-awareness inkluderes i mærkets krav. Andre indholdskrav kunne være back-up eller løbende opdatering. Et frivilligt mærke målrettet SMV er Mærket skal være frivilligt, så der ikke stilles unødige krav til virksomheder, der allerede er langt med it-sikkerhedsarbejdet. Dermed målrettes mærket de danske virksomheder særligt blandt SMV erne der ikke arbejder med it-sikkerhed, eller dem, som søger en mere struktureret tilgang til it-sikkerhedsarbejdet. Mærkets indholdskrav skal derfor balanceres, så det ikke bliver for omfattende og omkostningstungt at implementere og opnå, men så det samtidig fører til en betydelig reduktion i virksomhedernes risiko. Administrative byrder i forbindelse med mærket skal minimeres. Et signal til kunder, afagere, forbrugere og samarbejdspartnere Med mærket kan virksomhederne signalere til kunder, afagere, forbrugere og samarbejdspartnere, at de har forholdt sig til it-sikkerhed og ansvarlig dataanvendelse. På den måde kan mærket, i tillæg til at hjælpe virksomhederne på vej med it-sikkerhedsarbejde, være eferspørgselsdrevet og blive en indgang til og ramme for dialogen om it-sikkerhed, for eksempel mellem virksomheder og deres leverandører. Og dermed også på sigt blive et konkurrenceparameter. En kickstarter til arbejdet med it-sikkerhed Mærket skal sikre, at virksomhederne bliver fortrolige med grundlæggende terminologi og metodik inden for it-sikkerhed. Det gør det lettere senere hen at arbejde videre mod endnu bedre it-sikkerhed, for eksempel i form af mere omfattende standarder og certifceringer. Det kan således bidrage til at sænke kognitive barrierer i forhold til it-sikkerhed, og opbygge virksomhedernes tro på, at området er til at gå til. Mærket skal således være en lettere måde at gøre det nødvendige på. Et første skridt mod eferlevelse af leverandørkrav om datasikkerhed Med GDPR-lovgivningens indførelse har virksomheder fået pligt til at risikovurdere sine partnere og leverandører, når der indgår persondata i en afale. Et mærke for it-sikkerhed kan hjælpe virksomhederne med at tage et skridt i den rigtige retning, når de skal eferleve andre virksomheders krav om datasikkerhed hos deres leverandører. Det vil i praksis reducere risikoen for, at mindre virksomheder uden styr på it-sikkerheden, fravælges som leverandører til større virksomheder. Et løf af it-sikkerhedsniveauet kan også hjælpe virksomhederne på vej med de generelle sikkerhedskrav i GDPR.

Et løf af Danmarks it-sikkerhed 5 Endelig vil et løf af SMV ernes it-sikkerhed styrke det danske samfunds generelle modstand mod kritiske it-sikkerhedshændelser, idet SMV erne leverer produkter og ydelser til de samfundskritiske sektorer, store virksomheder og myndigheder. Hvis det lykkes for en stor del af SMV erne at løfe deres it-sikkerhedsniveau, er Danmark derfor kommet langt i kampen mod it-kriminelle. Konstruktion: Et bredt funderet mærke samtænkt med andre tiltag og ordninger For at sikre, at en mærkningsordning giver reelle resultater for erhvervslivet, anbefaler Virksomhedsrådet, at mærkets konstruktion og indhold udvikles i samarbejde med relevante parter, herunder myndigheder, brancheorganisationer, Industriens Fond og Dansk Standard. Det skal blandt andet gøre mærket relevant for virksomhederne, og skabe en relation til andre initiativer såsom sikkerdigital.dk og sikkerhedstjekket.dk. En sådan samtænkning skal sikre, at it-sikkerhed og ansvarlig dataanvendelse bliver enkelt og nemt for virksomhederne at forholde sig til. Det skal også sikre, at der er en naturlig overgang fra simple råd og vejledninger over et it-sikkerhedsmærke og til de mere omfattende internationale standarder og rammeværker. Figur 1 Kompleksitet i it-sikkerhedsarbejdsformer iš. en virksomheds modenhed ARBEJDSFORMENS KOMPLEKSITET ISO NIST Nyt mærke Sikkerhedstjekket De fem råd på sikkerdigital VIRKSOMHEDENS MODENHED

Det er altså vigtigt, at mærket etableres i relation til eksisterende arbejdsformer som sikkerhedstjekket.dk, ISO27001 og NIST-rammeværket, som vist på fgur 1 herover. Figuren illustrerer, at jo mere moden og fortrolig en virksomhed bliver med it-sikkerhedsarbejdet, jo mere komplekse arbejdsformer og redskaber kan den tage i brug. Det kan også ses, hvordan et nyt it-sikkerhedsmærke kan udfylde gabet i kompleksitet mellem sikkerhedstjekket.dk og ISO27001. Mærket kan desuden udvikles med inspiration fra lignende, internationale mærkningsordninger, såsom det britiske Cyber Essentials, der er beskrevet herunder. Case: Cyber Essentials Cyber Essentials er et britisk mærke for it-sikkerhed, der skal beskytte virksomheder mod de mest almindelige cyberangreb. Mærkningsordningen har to niveauer:»cyber Essentials«og»Cyber Essentials Plus«. Der var i 2017 udstedt mere end 9000 mærker. Med mærket signalerer virksomheden til kunder, at den arbejder med at sikre sin it og data samtidig med, at virksomheden får opbygget et tillidsbaseret forhold til en it-leverandør. Nogle lokale og nationale myndigheder kræver, at virksomheder skal have mærket, hvis de skal indgå kontrakter med det ofentlige. Virksomheder, der har opnået mærket, kan søges frem på en database på Cyber Essentials hjemmeside. Mærket stiller krav om, at alle enheder og al sofware i virksomhedens it-infrastruktur skal leve op til fem tekniske krav: 6 1. Brug af frewall 2. Brug af de mest sikre indstillinger 3. Kontrol af brugeradgang til data og enheder 4. Beskyttelse mod virus og andet malware 5. Løbende opdatering af enheder og sofware Et»Cyber Essentials«-mærke koster ca. 300 for en virksomhed, mens»cyber Essentials Plus«-mærket koster ca. 1300. Kilde: https://www.cyberessentials.ncsc.gov.uk.

Medlemmer af Virksomhedsrådet for IT-sikkerhed Tom Engly (formand) koncernsikkerhedschef, Tryg Ann Harkjær Frederiksen Økonomichef, Svend Frederiksen Maskinfabrik A/S Annette Falberg Branchedirektør, DI Handel Benjamin Nordentof Vejgaard Områdedirektør, Security Services, KMD Charlotte Pedersen Director, PwC Claus Bak Petersen CEO, Auditdata A/S Henning Mortensen CISO/CPO, Brødrene A&O Johansen A/S Ingrid Colding-Jørgensen Director, Global Information Security Management, Novo Nordisk 7 - Jacob Herbst CTO, Dubex Lars Ramkilde Knudsen Professor, DTU Compute og Dencrypt Max Gersvang Sørensen Advokat, LIGA Advokatpartnerselskab Merete Søby Managing Director, Hitachi Vantara Michael Busk-Jepsen Digitaliseringsdirektør, Finans Danmark Rasmus Theede CEO, Sparkle Security

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback