LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED
DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke roller, opgaver og ansvar er i spil _ Næste skridt KMD A/S INTERNT 2
INFORMATIONSSIKKERHED - HVAD ER DET? Informationssikkerhed handler om at beskytte kritisk og følsom information uanset medie. Styring af informationssikkerhed er et ledelsesansvar, som skal tilgodese de tre overordnede sikkerhedskrav: Fortrolighed behandles fortrolig information fortroligt? Integritet er information korrekt? Tilgængelighed er information tilgængelig? Informationssikkerhed It-sikkerhed DIAS 3
HVORDAN OPLEVER I IT TRUSSELSBILLEDET FOR KOMMUNEN LIGE NU? DIAS 4
HVILKE KERNEOPGAVER ER DER? _ Adgang og rettigheder _ Ansættelse, ændringer, ophør _ Kommunikation med andre parter _ Styr på ændringsprocessen _ Personalets adfærd _ Risikovurderinger _ Hvem der har ansvar for hvad _ Alt det tekniske, firewall, virus, backup osv. _ Logning, overvågning holde øje med mistænkelig adfærd KMD A/S INTERNT 5
ISO 27000 SERIEN ET ARBEJDSREDSKAB Informationssikkerhedspolitik Organisering af informationssikkerhed Styring af informationsrelaterede aktiver Medarbejdersikkerhed Fysisk og miljømæssig sikkerhed Styring af kommunikation og drift Adgangsstyring Anskaffelse, udvikling og vedligeholdelses af informationsbehandlingssystemer Styring af informationssikkerhedshændelser Beredskabsstyring Overensstemmelse med lovbestemte og kontraktlige krav. KMD A/S INTERNT 6
HVOR LANGT ER VI NÅET? OG HVAD MANGLER VI? Under udarbejdelse: _ Politik _ Håndbog (ISO27001) _ Pixibog _ procedurebeskrivelser Udeståender: _ Organisering udpegning og kommunikation _ Forandringsproces styring på ændringer _ Ansættelsesproces, brugerstyring KMD A/S INTERNT 7
BRUGERSTYRING HELT ENKELT Processer Roller
FORANDRINGSHÅNDTERING CHANGE MANAGEMENT _ Opdatering af servere, netværk, arbejdsstationer _ skal ske efter en styret proces _ Hvor der efterlades et papirspor _ Standard procedurer _ Ændringer/indkøb mht. systemer skal besluttes på rette sted _ Hvem kan beslutte denne ændring, hvor autonome må afdelinger være? _ Hvem ønsker ændringen og hvorfor? _ Hvad indebærer den af omkostninger og risici? _ Hvornår skal den gennemføres?
KONTROLLER _ Bygninger overvåges for at sikre mod indbrud eller for at finde gerningsmænd. Det er nemt at se om der har været indbrud _ Overvågning af LOGS handler om at overvåge for at sikre mod indbrud og finde gerningsmændene, hvis indbrud har fundet sted. _ Ved it-indbrud kan det være svært at se, om de har fundet sted, hvis der ikke er overvågning _ Men LOGS handler også om at kontrollere hvem har adgang til hvad? _ Og at kunne kontrollere adfærd i systemerne, hvordan bruges systemerne? DIAS 10
ROLLER OG ANSVAR STANDARD SIKKERHEDSORGANISATION DIAS 11 _Kommunalbestyrelsen _Kommunaldirektør/direktion _Sikkerhedsleder _Sikkerhedskoordinator _Informationssikkerhedsudvalg _Ejere af aktiver/systemejer _Ekstern revision DIAS 11
HVEM HAR ANSVARET? DIAS 12 2. FEBRUAR 2016 _ Så godt som alle forretningsprocesser har brug for information og informationsbehandling (IT). _ I alle sager er korrekte informationer afgørende uden disse vil processen ikke producere de rekvirerede resultater. _ Derfor er det forretningsprocessen der bestemmer hvad der kræves af informationssikkerhed. _ Det betyder, at det er procesejeren eller Systemejeren, der er ansvarlig for informationssikkerheden for en given forretningsproces og de tilhørende informationsaktiver og -systemer. KMD A/S INTERNT
SIKKERHEDSORGANISATIONEN TOPLEDELSEN DIAS 13 Kommunalbestyrelsen _Fastlægge overordnede principper og politik for informationssikkerheden _Godkender sikkerhedspolitikken Kommunaldirektør/direktion _Øverste ansvar for informationssikkerheden _Overordnet prioritering og ressourcetildeling _Godkender sikkerhedspolitik og regler _Fastlægger overordnede principper for risikostyring, beredskab mv.
SIKKERHEDSORGANISATIONEN SIKKERHEDSKOORDINATOR/SIKKERHEDSLEDER Sikkerhedskoordinatoren _Daglige styring og ledelse af informationssikkerhedsindsatsen _Udarbejdelse og vedligeholdelse af politik, regler, handlingsplaner, risikovurdering og beredskab _Rådgivning og vejledning _Kontrol og opfølgning på overholdelse af politik og regler DIAS 14
SIKKERHEDSORGANISATIONEN INFORMATIONSSIKKERHEDSUDVALG Informationssikkerhedsudvalg _Tværorganisatorisk forum _Koordinering og kommunikation _Prioriteringer af indsatsområder og indstillinger informationssikkerhedsindsatsen _Sikre forankring og gennemførelse af opgaver: Risikovurderinger Beredskabsstyring Information og uddannelse Ændringer DIAS 15
SIKKERHEDSORGANISATIONEN EJERE AF AKTIVER / SYSTEMEJERE Ejere af aktiver (systemejere, dataejere) _Ledelsesmæssig ansvar for aktiver _Deltage i gennemførelse af risikovurderinger _Deltage i udarbejdelse af evt. beredskabsplaner _Autorisere og følger op på adgang til aktiv/system _Opgaver kan videredelegeres, systemansvarlig Linjeleder _Ansættelses/ophørs proces DIAS 16
SIKKERHEDSORGANISATIONEN REVISION Ekstern revision _Primært it-revision _Formel opfølgning på efterlevelse af politik og regler _Evt. opfølgning på ISO-efterlevelse DIAS 17
NÆSTE SKRIDT _ Ændringsproces _ Brugerstyringsproces _ Placering af systemejerskab, dataejerskab _ Udpegning til roller _ Logning, kontrol af logs, metode _ Pixi bog og informationskampagne _ Fortsat arbejde med procedurer _ Risikostyring, beredskab (systemejere) _ Oprydning i stamdata, brugere & organisation Kombit klar _ EU s s dataforordning KMD A/S INTERNT 18
KMD A/S 19 INTERNT