er en hjælp tuelle side og ryds ved Vis Implementering af ISO27001 to ind i feltet Eskil Sørensen Digitaliseringsstyrelsen 3. 1
FAKTA OM DIGITALISERINGSSTYRELSEN Direktør Lars Frelle-Petersen Styrelse etableret i Finansministeriet i 2011 (fusion af dele af DEP, ØS og ITST) Sat i verden for at skabe et mere digitalt offentligt Danmark, der effektiviserer og frigør ressourcer og moderniserer servicen (12 mia.) Ca. 170 årsværk i en skøn blanding af generalister og it-specialister Ny organisation etableret pr. 1. august 2014 nye store dagsordener som digital tryghed og brugervenlighed Organisatorisk vision om at blive Danmarks bedste styrelse 2
DIGITALISERINGSSTRATEGI 2011-2015 Trinvis overgang til digital selvbetjening lukke for adgangen til papirblanketter (fx flytning, skoler/børnehaver, kørekort) Alle skal have kunne modtage Digital Post fra 1. november 2014 (virksomheder på virk.dk i allerede i 2013) Teknologien rykker ud i de store velfærdssektorer (skole, ældrepleje, sygehuse mv.) særskilt strategi lanceret september 2013 Fortsat professionalisering af offentlige it-projekter (færre skandaler ) Bedre deling af data og mindre dobbeltindtastning (fx indkomst og adressedata) Mobil NemID og tilpasning af løsninger til ny mobil virkelighed Arbejdet med en ny fællesoffentlig digitaliseringsstrategi er igangsat 3
DIGITALISERING NØGLETAL (JULI 2015) 4,49 mio. har NemID har samlet set været anvendt mere end 2 milliarder gange 4,3 mio. har Digital Post ca. 500.000 er blevet fritaget. 2014: 48 mio. breve sendt via Digital Post Borger.dk: 17,5 mio besøg i første halvår 2015. 27,6 mio. besøg i 2014. 2,4 mio. besøg i juli. Ca. 3,2 mio. i januar 2015 Selvbetjeningsløsning har både høje digitaliseringsgrader : Indskrivning til skole (98 pct.) og lave: Ansøgning om pas (6 pct.) SKAT/årsberetning 2014: ca. 3,5 mio. tjekkede online [tjek ellers Tal og fakta på www.digst.dk] 4
VÆSENTLIGE ØKONOMISKE FORDELE VED DIGITAL KOMMUNIKATION Et manuelt, fysisk brev koster ca. 26 kr. pr. stk. for porto, materialer og håndtering Et manuelt, digitalt brev koster ca. 5 kr. pr. stk. Og når det offentlige sender ca. 120 mio. breve om året, så løber det op i ca. 1 mia. kr. om året En personlig henvendelse koster ca. 100 kr. i gennemsnit En god digital løsning koster ca. 20 kr. På de områder, der bliver digitale, kan det offentlige spare ca. 700 mio. kr. årligt. 5
UDFORDRINGER 6
TRUSLERNE ER FLERE 7
STRATEGISKE MÅLSÆTNINGER Borgere og virksomheder skal have tillid til, at cyber og informationssikkerheden i staten og blandt leverandører håndteres professionelt og betryggende Der skal ske en styrket beskyttelse af vigtige samfundsfunktioner mod cyberangreb 8
100 PCT. SIKKERHED FINDES IKKE 9
DIGITALISERINGSSTYRELSENS HIDTIDIGE TILTAG PÅ SIKKERHEDSOMRÅDET NemID Vejledninger om informationssikkerhed på digst.dk Frikøb af ISO-standarden til staten Anbefalinger til outsourcet drift Vejledningen Cyberforsvar, der virker Statens Informationssikkerhedsforum SISF Gode råd om sikker adfærd på borger.dk 10
1. INDSATSOMRÅDE PROFESSIONALISERING OG STYRKET IT-TILSYN Initiativ 1 Styrket arbejde med informationssikkerhed i staten Aktivitet Vejledning, herunder anvisning af modeller for en forenklet implementering af ISO27001 afhængig af organisatorisk størrelse og kompleksitet Målgruppe Topledelse og sikkerhedskoordinatorer i statslige institutioner Deadline Medio 2015 11
GUIDE TIL IMPLEMENTERING Målsætninger Lette arbejdet med implementering af ISO27001 Skabe forståelse for, hvad der er nødvendigt at gøre for at skabe professionel ledelsesmæssig styring af informationssikkerhed efter standardens principper. 12
BUDSKABER Retningsanvisende, ikke et implementeringskoncept alle organisationer er forskellige Ledelsens engagement og opbakning er en forudsætning Risikobaseret, dokumenteret Sikkerhed i balance Start i det små, stem af med ledelsen Modenhed opnås ikke med det første Noget fra DS484 kan genbruges 13
FORM OG INDHOLD Indledning sætter scenen 10 punkter, start ved punkt 0 Skabelonbaseret Henvisninger til vejledninger og værktøjer og relevante områder i standarden og Anneks A. Temasider Afslutning om modenhed 14
GUIDE TIL IMPLEMENTERING AF ISO27001 Guiden beskriver 10 punkter for et første gennemløb ved implementering af ISO27001 Kriterierne for udvælgelse af de 10 punkter: Krav til ledelsesinvolvering Erfaringer fra ISO implementering Bemærkninger fra revisions- og tilsynsmyndigheder Regeringens sikkerhedsinitiativer Persondataloven og sikkerhedsbekendtgørelsen 15
OVERBLIK OVER ARBEJDSTRIN Synliggørelse af sammenhænge i arbejdspunkter Ingen fast rækkefølge. Kan udføres parallelt. En rød tråd. 16
PUNKT 0-4 0. Overblik over forretningen 1. Ledelsens styring af informationssikkerheden 2. Politik for informationssikkerhed 3. Risikovurdering og -håndtering 4. Til- og fravalg SoA dokumentet Ledelsens involvering i disse punkter er i højsædet. 17
PUNKT 5-7 5. Leverandørstyring CSC sagen mv. 6. Hændelseshåndtering sager med ransomware. 7. Beredskabsplanlægning strømsvigt 2003, skybrud 2011. 18
PUNKT 8-10 8. Uddannelse og oplysning 9. Evaluering og opfølgning 10. Planer for sikkerhedsaktiviteter. 19
OVERBLIK OVER ARBEJDSTRIN Synliggørelse af sammenhænge i arbejdspunkter Ingen fast rækkefølge. Kan udføres parallelt. En rød tråd. 20
DEPARTEMENTETS TILSYN MED INFORMATIONSSIKKERHEDEN PÅ MINISTEROMRÅDET Obligatorisk for staten og erstatter dokument fra 2005 Departementets ansvar for tilsynet med it-anvendelsen i ministerområdet Beskriver de overordnede rammer for departementets tilsynsansvar Departementets tilsyn fokuserer på den overordnede styring i relation til institutionernes informationssikkerhed Termer og begreber er tilpasset i forhold til den teknologiske udvikling og trusselbilledet i dag 21
DEPARTEMENTETS TILSYN MED INFORMATIONSSIKKERHEDEN PÅ MINISTEROMRÅDET Tilsynets omfang beror på institutionernes strategiske, økonomiske og forretningsmæssige betydning Udførelsen af tilsynet skal dokumenteres og kan ikke alene baseres på institutionens selvevalueringer Tilsynet afsluttes med en rapportering til departementschefen 22
DEN PRAKTISKE TILRETTELÆGGELSE AF TILSYNET MED INFORMATIONSSIKKERHEDEN Ikke obligatorisk og skal derfor betragtes som inspiration og støtte til departementets etablering af tilsynsprocesser Understøtter den overordnede vejledning om departementets tilsynsansvar Udarbejdet med udgangspunkt i god praksis for offentlige myndigheders tilrettelæggelse af tilsyn Resultatet af gruppens arbejde er en vejledende beskrivelse af tilsynsprocesser og tilhørende bilag med hjælpemateriale til udarbejdelse af en spørgeramme 23
DEN PRAKTISKE TILRETTELÆGGELSE AF TILSYNET MED INFORMATIONSSIKKERHEDEN 24
NÆSTE SKRIDT 1. Publicering af guide til implementering og tilsynskonceptet (sept) 2. Måling af status på implementering (sept) 3. Klausulbibliotek, som kan anvendes til kontrakter med leverandører (ult 2015) 4. Implementering af ISO27001 primo 2016 5. Opfølgning på anbefalinger til outsourcet it-drift 6. Opfølgning på implementering og anvendelse af tilsynskonceptet 7. Ny standardkontrakt 8. Opdatering af cyber- og inforamtionssikkerhedsstrategi i 2016 25
SIKKERHED I BALANCE 26
SPØRGSMÅL? 27
HVIS DU VIL VIDE MERE Yderligere informationer på internettet: http://www.digst.dk/arkitektur-ogstandarder/videnscenter-forimplementering-af-iso27001 Tilmelding til nyhedsbrev: http://www.digst.dk/nyhedsbrev Eskil Sørensen, ess@digst.dk 28