RÅDET FOR DIGITAL SIKKERHED



Relaterede dokumenter
RÅDET FOR DIGITAL SIKKERHED

Persondataforordningen og ISO 27001

Nyt om ISO-standarder ISO 14001:2015 ISO 9001:2015 ISO 45001:2016. Jan Støttrup Andersen. Lidt om mig:

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

Nyheder inden for drift og outsourcing

Information Lifecycle Management

Lars Neupart Director GRC Stifter, Neupart

Security & Risk Management Summit

Velkommen til den nye ISO Glaesel HSEQ Management

Security as a Service hvorfor, hvornår og hvordan. Gorm Mandsberg, gma@dubex.dk Aarhus,

Fællesregional Informationssikkerhedspolitik

Få en globalt anerkendt persondatacertificering

TEMAMØDE 16. MARTS 2016

Arkitektur, der understøtter risikostyring i den digitaliserede virksomhed. Jan Johannsen SE Manager Nordics

VELKOMMEN. Introduktion til den nye ISO SAFER, SMARTER, GREENER

Målrettet arbejde med persondataforordningen for

Få en globalt anerkendt persondatacertificering

Ma lrettet arbejde med persondataforordningen for

Persondataforordningen. Konsekvenser for virksomheder

Maskindirektivet og Remote Access. Arbejdstilsynet Dau konference 2015 Arbejdsmiljøfagligt Center Erik Lund Lauridsen

OFFENTLIG DIGITALISERING NYE DIGITALE SIKKERHEDSMODELLER DANSK IT - ÅRHUS 23. MAJ 2012

Revision af risikorapportering V. Claus Sonne Linnedal og Steen Jensen. Sikkerhed & Revision 2015

Standardiseret tilgang til Software Asset Management. ISACA Medlemsmøde 2013 Jan Øberg ØBERG Partners

Må lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk

Konsekvensanalyser i praksis: hvorfor, hvornår og hvordan

Målrettet arbejde med persondataforordningen for

Må lrettet årbejde med persondåtåforordningen for Vejby Smidstrup Våndværk

Sikkerhed på nettet for applikationer og identiteter

page 1 SSE/XXXXX/YYY/ZZZZ $Revision: xx.xx $ Cybersecurity COMMERCIAL IN CONFIDENCE

Online kursus: Certified Information Security Manager (CISM)

Danske virksomheders erfaringer med outsourcing

Velkommen VI BYGGER DANMARK MED IT

Ma lrettet arbejde med persondataforordningen for

Nye EU regler for flyvepladser

Må lrettet årbejde med persondåtåforordningen for

Accountability Hvad kan vi lære af den finansielle sektor

PEMS RDE Workshop. AVL M.O.V.E Integrative Mobile Vehicle Evaluation

HACKERNE BLIVER BEDRE, SYSTEMERNE BLIVER MERE KOMPLEKSE OG PLATFORMENE FORSVINDER HAR VI TABT KAMPEN? MARTIN POVELSEN - KMD

Målrettet arbejde med persondataforordningen for Østermarie Vandværk

Kursus: Ledelse af it- sikkerhed

Avnbøl-Ullerup Våndværk A.m.b.å. CVR-nr

Ma lrettet arbejde med persondataforordningen for Helberskov Vandværk

RFID teknologien 4 Privacy & Sikkerhed. Henrik B. Granau

GDPR og ISO-standarderne Få styr på værktøjskassen af ISO-standarder

Forordningens sikkerhedskrav

Målrettet arbejde med persondataforordningen for

GENEREL KRAVSPECIFIKATION TILLÆG

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Persondataforordningen & kommuner. Vejle, 5. maj 2015 Advokat, partner Nis Peter Dall. Baseret på persondatadirektivet (fra 1995)

Erfaringer fra innføring av ISO i danske kommuner (styringssystem for informasjonssikkerhet)

Interviewskema Udgangspunkt

It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources?

Data protection impact assessment

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S

Strategisk informationssikkerhed

En praktisk tilgang til at skabe en langvarig og levedygtig praksis

Byg din informationsarkitektur ud fra en velafprøvet forståelsesramme The Open Group Architecture Framework (TOGAF)

Implementering af EU Persondataforordningen

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014

Hvornår skal digitale løsninger CE-mærkes som medicinsk udstyr? v/ Kristoffer Madsen, specialist i Delta part of FORCE Technology

Security & Risk Management Update 2017

EU GDPR Endnu en Guide

PERSONDATAFORORDNINGEN - TOPDANMARKS ARBEJDE MED AT SKABE COMPLIANCE. DI ITEK 14. juni 2016 Koncern IT-sikkerhedschef Brian Lind

4. Oktober 2011 EWIS

VELKOMMEN. Introduktion til den nye ISO SAFER, SMARTER, GREENER

Tjekliste: Sådan laver du en it-risikovurdering i TRIN. Sikker it-drift. Leveret af specialister.

Security & Risk Management Update 2017

Lovkrav vs. udvikling af sundhedsapps

Rollen som DPO. September 2016

Financing and procurement models for light rails in a new financial landscape

South Arne HSEQ Esbjerg 30-03

Kursus-introduktion. IT Sikkerhed Efterår /09/2012 ITU 0.1

FOLKETINGETS RETSUDVALG HØRING OM CFCS-LOVEN 8. MAJ 2014

Identity Access Management

kliniske forsøg og indføre processer for at forhindre disse i at gentage sig?"

Roadshow: ITIL V3. hvordan træder man ud af børneskoene?

Kravspecifikationen er udformet med vekslende tekstuel beskrivelse af behov og krav og de relevante behov og krav.

Vær i kontrol! Compliantkan du være ved et tilfælde!

Personcertificering - Energiledelse. Beskrivelse af certificeringsordning for Energiledelse

Roadshow: ITIL V3 hvordan træder man ud af børneskoene?

INTRO TIL PERSONDATAFORORDNINGEN. Væsentligste nyskabelser af relevans for IT-leverandører 8. juni 2016

HVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING

Foreningen for certificerede IT-advokater

Encryption for the cloud. secure convenient cost efficient

Certificering Navn: Atea A/S,

Notifikation om markedsføring i Danmark af alternative inve- steringsfonde etableret i et EU/EØS land af en forvalter etable- ret i Danmark

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Persondataretlig compliance - Hvordan bliver din organisation klar?

Konsekvensanalyse/Data Protection Impact Assessment (DIA)

GDPR En praktisk tilgang

Roadmap til håndtering af EU-persondataforordningen. Klaus Kongsted, Vejle, den 21. maj 2015

Hvad kommer ITIL V3 og Cobit til at betyde for IT-supporten? Ole Westergaard Westergaard CSM

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

GDPR erklæringer - nu er det nu Claus Hartmann Lund september 2018

Cloud Computing De juridiske aspekter

Det digitale landskab & GDPR

Har din virksomhed styr på persondata og datasikkerhed?

En måling er bedre end 100 mavefornemmelser

Medinddragelse af patienter i forskningsprocessen. Hanne Konradsen Lektor, Karolinska Institutet Stockholm

Retningslinier for implementering af statistisk processtyring (SPC) Del 1: Forudsætninger og aktiviteter

Transkript:

RÅDET FOR DIGITAL SIKKERHED Retsudvalget 2014-15 REU Alm.del Bilag 21 Offentligt Retsudvalgets høring om myndigheders behandling af personoplysninger Sikkerheden i den outsourcede it-drift Christiansborg, 21. oktober 2014 Birgitte Kofod Olsen, Formand Partner, phd, Carve Consulting

Robust sikkerhed Effektiv beskyttelse af borgernes data kan kun opnås gennem Konkret vurdering af sikkerhedsbehovet Præcise krav til leverandører Forventningsafstemning og løbende dialog

#1 Konkret vurdering af sikkerhed Sikkerheden i den outsourcede it-drift Sikkerheden i outsourcing afhænger af det konkrete behov for at outsource drift forhold hos kunden - datatype, it-drift, organiastion, procedurer forhold hos leverandøren, geografi, organisation, procedurer, itdrift, brug af privacy enhancing techonologies, PETs Vurderingen heraf skal være på plads før den rigtige beslutning kan træffes.

#2 Præcise krav til leverandører Sikkerheden i den outsourcede it-drift Den offentlige myndighed skal stille specifikke sikkerhedskrav i udbudsmateriale og i kontrakten: Sikkerhedsniveau for almindelige hhv følsomme persondata Krav om privacy by design Udarbejdelse af risikovurdering, evt. sammen med leverandøren, herunder Privacy Impact Assessment, PIA Udarbejdelse af plan til forebyggelse og mitigering af sikkerhedsbrud Sikkerhedsprocedurer, herunder kontrol og rapportering

#3 Forventningsafstemning Sikkerheden i den outsourcede it-drift Sikker outsourcing kræver forventningsafstemning og løbende dialog mellem offentlig myndighed og leverandør om: opfyldelse af konkrete formål med at outsource det relevante sikkerhedsniveau nødvendige justeringer Forventningsafstemningen mangler i dag derfor ser vi: lavere sikkerhed, end den der er brug for udgifter til højere sikkerhed, end der reelt er brug for outsourcing vælges fra

Bilag Privacy Impact Assesment ISO27001 ISO27018

Privacy Impact Assesment Identifikation af al persondata, der håndteres i et system og af måden data anvendes på Vurdering af nødvendigheden og proportionaliteten af anvendelse og opbevaring Kortlægning af, hvordan persondata håndteres efter indsamling (adgang, logning) Identifikation af privacy risici og risikoniveauet Formulering af løsninger til at eliminere eller reducere privacy risici til et acceptabelt niveau. Læs mere om den canadiske metode og den danske vejledning her: http://www.priv.gc.ca/resource/fs-fi/02_05_d_33_e.asp http://www.digst.dk/~/media/files/arkitektur%20og%20standarder/informationssikkerhed %20efter%20ISO27001/Guide%20til%20konsekvensvurdering%20af%20privatlivsbesk yttelsen_ver3.pdf

ISO 27001 Information Security Management System Context of the organisation Planning Actions to adress risks and opportunities Information security risk treatment Support Operation Performance evaluation Improvement

ISO 27001Control objectives and controls: (A.9-12) Access control User access management System and application access control n Information access restrictions n Secure log-on-procedures n Password managment system ensure quality PWs Crytographic controls n Policy on the use of cryptographic controls n Key management Backup Protection from malware Implementation of detection, prevention and recovery controls User awareness Logging and monitoring Events Protection of log-info Administrator and system operator log

ISO 27001Privacy Classification of information (A.8.2.1) Information shall be classified in terms of legal requirements, value, criticality and sensitivity to unauthorised disclosure or modification Compliance control (A.18.14) Privacy and protection of personally identifiable information shall be ensured as required in relevant legislation and regulation where applicable http://www.iso.org/iso/home/standards/managementstandards/iso27001.htm

ISO 27018 personally identifiable information in public clouds ISO/IEC 27018:2014 - Information technology - Security techniques - Code of practice for protection of Personally Identifiable Information (PII) in public clouds acting as PII processors http://www.iso27001security.com/html/27018.html

Kontaktinformation Rådet for Digital Sikkerhed Toldbodgade 12 1253 København K Formand Birgitte Kofod Olsen Mobil +45 41 42 83 81 Mail birgitte.kofod.olsen@digitalsikkerhed.dk Web digitalsikkerhed.dk

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback