Mapning af forretningsprocesserne og IAM

Relaterede dokumenter
Grundlæggende processer du skal have styr på ift. Informationsaktiv beskyttelse

Byg din informationsarkitektur ud fra en velafprøvet forståelsesramme The Open Group Architecture Framework (TOGAF)

Sikkerhed & Revision 2013

Standardiseret tilgang til Software Asset Management. ISACA Medlemsmøde 2013 Jan Øberg ØBERG Partners

Nyt om ISO-standarder ISO 14001:2015 ISO 9001:2015 ISO 45001:2016. Jan Støttrup Andersen. Lidt om mig:

Online kursus: Certified Information Security Manager (CISM)

Projektledelse i praksis

GDPR erklæringer - nu er det nu Claus Hartmann Lund september 2018

Director Onboarding Værktøj til at sikre at nye bestyrelsesmedlemmer hurtigt får indsigt og kommer up to speed

ESG reporting meeting investors needs

Revision af risikorapportering V. Claus Sonne Linnedal og Steen Jensen. Sikkerhed & Revision 2015

Lars Neupart Director GRC Stifter, Neupart

Accountability Hvad kan vi lære af den finansielle sektor

Fra ERP strategi til succesfuld ERP implementering. Torben Storgaard HerbertNathan & Co

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

Dokumentation af produktionsudstyr til fødevarer

YDEEVNEDEKLARATION. Nr DA

Managing Risk Enabling Growth Through Compliance! Alex Sinvani Copenhagen,

Hvad kommer ITIL V3 og Cobit til at betyde for IT-supporten? Ole Westergaard Westergaard CSM

Succesfuld Problem management. 2. December 2015 Laurine Halkjær

Velkommen til den nye ISO Glaesel HSEQ Management

Roadshow: ITIL V3 hvordan træder man ud af børneskoene?

Seminar d Klik for at redigere forfatter

WINDCHILL THE NEXT STEPS

DIRF Samspil mellem IR og øvrig ekstern kommunikation

Maskinsikkerhed Risikovurdering Del 2: Praktisk vejledning og metodeeksempler

Vejledning i projektledelse

Introduktion til NNIT

KALK- OG TEGLVÆRKSFORENINGEN. CPR Sustainable Construction

YDEEVNEDEKLARATION. Nr DA

YDEEVNEDEKLARATION. Nr DA

Aktivitet Dag Start Lektioner Uge BASP0_V1006U_International Human Resource Management/Lecture/BASP0V1006U.LA_E15 onsdag 11:

DIRF. Medlemsmøde om Best Practice Disclosure policy and process. 22. Juni 2015

YDEEVNEDEKLARATION. Nr DA

Bestyrelser og revisors rolle. Julie Galbo Vicedirektør, Finanstilsynet

YDEEVNEDEKLARATION. Nr DA

Test af Cloud-baserede løsninger DSTB Ole Chr. Hansen Managing Consultant

Roadshow: ITIL V3. hvordan træder man ud af børneskoene?

Krav til bestyrelser og arbejdsdeling med direktionen

4. Oktober 2011 EWIS

YDEEVNEDEKLARATION. Nr DA

MELLEM GRUNDTVIG OG GOOD GOVERNANCE

YDEEVNEDEKLARATION. Nr DA

MOC On-Demand Administering System Center Configuration Manager [ ]

DIS ISO Status Maj 2017

YDEEVNEDEKLARATION. Nr DA

YDEEVNEDEKLARATION. Nr DA

Solvency II Clarification of current regulations

EU GDPR Endnu en Guide

YDEEVNEDEKLARATION. Nr DA

Testing Tuesday 07.Juni Aarhus. CapgeminiSogeti

RISK MANGEMENT OG CSR I AMBU Ved CFO Anders Arvai

Bilag 6.2 IT-Revision

The SourceOne Family Today and Tomorrow. Michael Søriis Business Development Manager, EMC FUJITSU

Bedømmelse af klinisk retningslinje foretaget af Enhed for Sygeplejeforskning og Evidensbasering Titel (forfatter)

YDEEVNEDEKLARATION. Nr DA. appendiks B 1 - B 4

YDEEVNEDEKLARATION. Nr DA. Anvendelsesområde/r Post-installeret befæstigelse i ikke-revnet beton, Se appendiks, specifikt appendiks B 1 - B 3

Brug af OAIS til udarbejdelse af omkostningsmodel til digital bevaring. Anders Bo Nielsen, Rigsarkivet, Danmark Alex Thirifays, Rigsarkivet, Danmark

RÅDET FOR DIGITAL SIKKERHED

SAS Data Governance Hvad er det, og hvordan kommer man i gang? Frans Holm, Advisor Data Management/SAS Platform

Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes. Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5.

MOC On-Demand Identity with Windows Server 2016 [20742]

Molio specifications, development and challenges. ICIS DA 2019 Portland, Kim Streuli, Molio,

Ole Westergaard, partner

YDEEVNEDEKLARATION. Nr DA

YDEEVNEDEKLARATION. Nr DA

CONNECTING PEOPLE AUTOMATION & IT

Information Lifecycle Management

Integrated Coastal Zone Management and Europe

ISO-standarder for sikkerhed på store og små anlæg. Dansk Træpillekonference 2015 Niels Peter K. Nielsen

Learnings from the implementation of Epic

Informationsteknologi Sikkerhedsteknikker. Informationssikkerhed (ISMS) Krav

Privat-, statslig- eller regional institution m.v. Andet Added Bekaempelsesudfoerende: string No Label: Bekæmpelsesudførende

Bestyrelsens beretning

Jobkatalog Udvikling og fastholdelse af medarbejdere

Appendix 1: Interview guide Maria og Kristian Lundgaard-Karlshøj, Ausumgaard

Informationsteknologi Sikkerhedsteknikker

International Workshop on Language Proficiency Implementation

Forslag til implementering af ResearcherID og ORCID på SCIENCE

1. Formål og mål med indførelsen af værktøjet

YDEEVNEDEKLARATION. Nr DA

Engelsk. Niveau C. De Merkantile Erhvervsuddannelser September Casebaseret eksamen. og

YDEEVNEDEKLARATION. Nr DA

Udrulning af globalt Intranet I Novo Nordisk. Henrik Nordtorp Senior Solution Architect esolutions NNIT A/S

IT risici og compliance. Hvad driver mig? Det gode råd med på vejen?

Erfaringer fra innføring av ISO i danske kommuner (styringssystem for informasjonssikkerhet)

ISO/IEC 27001:2013. Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent

YDEEVNEDEKLARATION. DoP: 0084 til fischer Highbond-Anchor FHB II Inject (Limanker til anvendelse i beton) DA

Finn Gilling The Human Decision/ Gilling September Insights Danmark 2012 Hotel Scandic Aarhus City

YDEEVNEDEKLARATION. Nr DA

Portal Registration. Check Junk Mail for activation . 1 Click the hyperlink to take you back to the portal to confirm your registration

Vejledning i udvikling af standarder om tjenesteydelser

YDEEVNEDEKLARATION. Nr DA

Installation Venligst bemærk, håndpumpen kun må monteres i lodret position.

Sikkerhed og Revision. 3 Lines of Defence. 5. September Kim Stormly Hansen

Nyheder inden for drift og outsourcing

Shooting tethered med Canon EOS-D i Capture One Pro. Shooting tethered i Capture One Pro 6.4 & 7.0 på MAC OS-X & 10.8

applies equally to HRT and tibolone this should be made clear by replacing HRT with HRT or tibolone in the tibolone SmPC.

Aktivitet Dag Start Lektioner Uge BASP0_V1006U_International Human Resource Management/Lecture/BASP0V1006U.LA_E15onsdag 11:

Øvelse Slides må ikke deles uden godkendelse fra Anne Holmbæck

Transkript:

Mapning af forretningsprocesserne og IAM 1

Agenda Kort om LinkGRC Omfanget af præsentationen Overordnet metodik Kravstyring Implementering af krav i organisationen IAM relateret processer Assurance 2

Agenda Kort om LinkGRC Omfanget af præsentationen Overordnet metodik Kravstyring Implementering af krav i organisationen IAM relateret processer Assurance 3

Kort om LinkGRC Stiftet i 2006 af Tomas Hellum tidligere it-chef (del af TUI koncernen), management konsulent og it-revisor (PwC) LinkGRC s vision er at hjælpe virksomheder og offentlige organisationer med simple og operationelle initiativer og værktøjer og linke dem sammen for at sikre bedre governance. LinkGRC s kunder er inden for forsikring og pension, finans, kommuner og andre regulerede sektorer LinkGRC har lang erfaring med at hjælpe med risikominimerende tiltag, herunder governance frameworks, udarbejdelse af dokumentation og kontrolmiljøer samt operationelle it-værktøjer og systemer. Vi hjælper vores kunder med at kunne fokusere på deres værdiskabende processer inden for governance, enterprise risk management og compliance. Tomas Hellum er medlem as SC27 (bla. ISO27001/2 udarbejdelse), bestyrelsesmedlem i den skandinaviske del af thebci.org, Professionelt medlem af IOR (Institute of Operational Risk i UK, og er ved at hjælpe med at starte den skandinaviske del af instituttet. Tomas Hellum har assisteret ISACA med følgende publikationer internationalt: Security Incident Management Audit / Assurance program (SME) Access Management Audit / Assurance program (SME) Configuration management using Cobit 5 (SME) Risk Scenarios using Cobit 5 for Risk (SME) Q1/Q2 2015 Basel and Cobit book (Contributor) 4

Kort om LinkGRC Virksomheds strategi HVAD ER DET VI VIL? Salgs Strategi IT Strategi Compliance & IT- Governance Strategi BASEL II Gramm Leach Bliley 71 Finanstilsynet GLBA FFIEC HVAD SKAL VI GØRE? Directive 2002 58 EC Persondataloven OECD EU Safe Harbor Markedsandele ISA 315 RS315 PCAOB IFAC EBIT GxP Annex 11 PAL HIPAA Nye markeder HVORDAN GØR VI DET? Politikker Forretningsgange Arbejdsinstruktioner Andre HVORDAN SIKRER VI AT VI GØR DE RIGTIGE TING RIGTIGT? Check af efterlevelse Måling på effektivitet Performance indikatorer 5

Agenda Kort om LinkGRC Omfanget af præsentationen Overordnet metodik Kravstyring Implementering af krav i organisationen IAM relateret processer Assurance 6

Omfanget af præsentationen Fokuseret på at forklare hvordan risikostyringen, herunder gennemgang af forretningens hovedaktiviteter, kan give værdifulde informationer til IAM Typiske processer der kan indeholdes i et IAM governance setup Dokumentations niveau og omfang Hvordan krav kan identificeres og hvordan de kan sikres (assurance) 7

Agenda Kort om LinkGRC Omfanget af præsentationen Overordnet metodik Kravstyring Implementering af krav i organisationen IAM relateret processer Assurance 8

Overordnet metodik 9

Overordnet metodik Hovedaktivitet Underaktivitet og processer Systemer Risici Kontroller Udbedringer Personer Volume of process- /business Informationsaktiver 10

Udbytte Afhold risikoworkshops på hovedaktiviteter og bearbejd hver underaktivitet / proces Identificer nøgle attributter som specificeret Implementer governance processer til periodisk opdatering af risikoworkshops 11

Agenda Kort om LinkGRC Omfanget af præsentationen Overordnet metodik Kravstyring Implementering af krav i organisationen IAM relateret processer Assurance 12

Kravstyring 13

Kravstyringsproces Fortolkning Manuelt / UCF Workshops Legal, Compliance, Risk Ekstern advokat Byg strategi Policy A Policy A Policy C Policy D Policy E Policy F Standard A Standard A Procedure B Procedure C Standard B 14

Kravstyring forklar hvorfor Forklar Hvorfor POLICY General management statements A policy is written in clear, simple statements of how organization intends to conduct its services, actions or business. Policies provide a set of guiding principles to help with decision making. Policies must be approved my board of management or board of directors. PROCEDURES Overall description of who, what, where, when and why in relation to activities A procedure is a document written to support a policy areas collection of statements. A procedure is designed to describe who, what, where, when, and why in relation to activities by means of establishing corporate accountability in support of the implementation of a policy or policy area. Procedures must be approved by management. INSTRUCTIONS Specific step-by-step instructions in relation to activities An instruction present a sequence of steps to execute a task or activity. The format is typically text, but a visual depiction of the steps can also constitute instructions. A mix of text, hyperlinks, and pictures are typically included in documenting the process steps. Instructions must be approved by the Subject Matter Expert (SME) for the area described. CONTROLS Specific mandatory key controls A control must be designed to provide reasonable assurance that the information security setup by organization operates as intended, that data is reliable and that organization is in compliance with applicable laws, regulation, standards and good practice. Controls must be approved by the management. 15

Eksempel på kravstyring 16

Udbytte Identificer krav, fortolkninger o.a. Beskriv metoden og start proces for governance af fortolkninger Grupper krav til dokumentation (politikker) for at sikre at vi kun beskriver hvad der er krævet. Byg et dokumentations hieraki og sørg for fx at krav er implementeret i politikker, som så de underliggende niveauer skal beskrive og sikre de efterlever Skub det ud i organisationen, så efterlevelsen skal sikres et niveau tilbage. 17

Agenda Kort om LinkGRC Omfanget af præsentationen Overordnet metodik Kravstyring Implementering af krav i organisationen IAM relateret processer Assurance 18

Implementering af krav i organisationen Hvor mange flere dokumenter tror du vi skal udarbejde 19

Implementering af krav i organisationen POLICY General management statements PROCEDURES Overall description of who, what, where, when and why in relation to activities INSTRUCTIONS Specific step-by-step instructions in relation to activities a) Skabeloner til understøttelse af framework b) Procedure omkring udarbejdelse af dokumentation c) Strategi for hvor dokumentation gemmes d) Implementer oppe fra og ned gerne med understøttelse fx i form af review, interview eller eksempler CONTROLS Specific mandatory key controls 20

Udbytte Byg et dokumentations hierarki fx Politikker/Retningslinjer, Standarder, Forretningsgange og arbejdsbeskrivelser Definer hvor styret dokumentation er placeret, og beskriv processen Forsøg så vidt muligt at relatere dokumentation til interne processer Forsøg så vidt muligt at relatere dokumentations hierarki og krav Anvend simple værktøjer som fx SharePoint workflows til at sikre ejerskab i virksomheden og at dokumentationen opdateres og godkendes Skab et overblik over hvad der ikke er godkendt, og hvornår det skal godkendes. 21

Agenda Kort om LinkGRC Omfanget af præsentationen Overordnet metodik Kravstyring Implementering af krav i organisationen IAM relateret processer Assurance 22

IAM relateret processer Definitions Access Concept Role types Role Assignment Calculated Role Assignments Role scopes Who can request it Role risk assessment and control Naming concept Application role naming and descriptions Enterprise role naming and description Daily administration User lifecycle Internals Externals Service accounts Secondary user accounts Envelope users Assignment of roles Self service Governance Access Matrix Audit of access management life cycle Assigned to users Maintenance of roles New or changes to organization New or changes to business applications New or changes to functionality New or changes to process Control and follow-up of assignments Attestation Approval of CRAs Control and follow-up of roles, role content and descriptions Maintenance processes of access management environments Roles and responsibilities Resource ownerships and responsibilities Business applications Roles CRAs Role scopes Organizational ownerships and responsibilities Internal Audit Access Administration IAM application and role Maintenance Operational Risk Appendix - Access model 23

Agenda Kort om LinkGRC Omfanget af præsentationen Overordnet metodik Kravstyring Implementering af krav i organisationen IAM relateret processer Assurance 24

Assurance Væbnet røveri?, jeg sidder inde for ikke at efterleve offentlige krav 25

Assurance Never in all history have we harnessed such formidable technology. Every scientific advancement known to man has been incorporated into its design. The operational controls are sound and foolproof! 26

Assurance Never in all history have we harnessed such formidable technology. Every scientific advancement known to man has been incorporated into its design. The operational controls are sound and foolproof! - E. J. Smith,, Captain of the Titanic 27

Udbytte Identificer og registrer virksomhedens kontroller fx i risikoworkshops Relater kontroller til metadata (fx processer) og risici for at sikre at der fx ikke er dobbelt kontroller og der i den årlige risikovurdering kan vurderes sandsynlighed og konsekvens Vurder om det er nøgle kontroller og vurder om de giver den fornødne minimering Brug fx t-shirt sizes (small, medium etc.) til tidsestimat for at kunne beregne omkostninger for kontroller 28

A Nordic Leader in all aspects of Governance, Risk and Compliance 29

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback