Grundlæggende processer du skal have styr på ift. Informationsaktiv beskyttelse

Relaterede dokumenter
Mapning af forretningsprocesserne og IAM

Standardiseret tilgang til Software Asset Management. ISACA Medlemsmøde 2013 Jan Øberg ØBERG Partners

Revision af risikorapportering V. Claus Sonne Linnedal og Steen Jensen. Sikkerhed & Revision 2015

Director Onboarding Værktøj til at sikre at nye bestyrelsesmedlemmer hurtigt får indsigt og kommer up to speed

Hvad kommer ITIL V3 og Cobit til at betyde for IT-supporten? Ole Westergaard Westergaard CSM

Online kursus: Certified Information Security Manager (CISM)

Sikkerhed & Revision 2013

Roadshow: ITIL V3 hvordan træder man ud af børneskoene?

Roadshow: ITIL V3. hvordan træder man ud af børneskoene?

It-direktør Nils Lau Frederiksen

Ole Westergaard, partner

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

Byg din informationsarkitektur ud fra en velafprøvet forståelsesramme The Open Group Architecture Framework (TOGAF)

Nyt om ISO-standarder ISO 14001:2015 ISO 9001:2015 ISO 45001:2016. Jan Støttrup Andersen. Lidt om mig:

Seminar d Klik for at redigere forfatter

Øvelse Slides må ikke deles uden godkendelse fra Anne Holmbæck

GDPR erklæringer - nu er det nu Claus Hartmann Lund september 2018

Erfaringer fra innføring av ISO i danske kommuner (styringssystem for informasjonssikkerhet)

1. Formål og mål med indførelsen af værktøjet

Projektledelse i praksis

Velkommen til den nye ISO Glaesel HSEQ Management

DRIFT VEDLIGEHOLDELSE IO-ANALYSE EG Copyright

Tilladelse til vævscenter til håndtering af humane væv og celler Authorisation of tissue establishment for the handling of human tissues and cells

Security & Risk Management Summit

Din organisation og dine mennesker skal være med!

ISO/IEC 27001:2013. Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent

EU GDPR Endnu en Guide

Introduktion til NNIT

Opstartsdag Service Desk Konference Få styr på begreberne

KALK- OG TEGLVÆRKSFORENINGEN. CPR Sustainable Construction

ITSM Customized vs Standard. Westergaard -Event 2015

Hvis incidents er dyre og besværlige...

Velkommen til IFF QA erfa møde d. 15. marts Erfaringer med miljømonitorering og tolkning af nyt anneks 1.

FAST FORRETNINGSSTED FAST FORRETNINGSSTED I DANSK PRAKSIS

IKEAs bæredygtighedsstrategi 2020 transport som centralt element

Brugsanvisning. Installation Manual

Cookie-reglerne set fra myndighedsside Dansk Forum for IT-ret 5. november 2012

Finn Gilling The Human Decision/ Gilling September Insights Danmark 2012 Hotel Scandic Aarhus City

Security as a Service hvorfor, hvornår og hvordan. Gorm Mandsberg, gma@dubex.dk Aarhus,

Lovkrav vs. udvikling af sundhedsapps

Ny revisionsbekendtgørelse i høring

Ansøgningen vedrører udstedelse af

Bestyrelser og revisors rolle. Julie Galbo Vicedirektør, Finanstilsynet

Branchens perspektiv på den gode indkøbs organisation. En måling er bedre end 100 mavefornemmelser. Per Hartlev

Sesam seminar nr Sesam seminar nr Opbygning af standard bibliotek til PLC / SCADA / MES

Dokumentation af produktionsudstyr til fødevarer

Sustainable investments an investment in the future Søren Larsen, Head of SRI. 28. september 2016

Cognos. Charlotte Dreyer Nielsen Corporate Business Controlling Manager

Et godt og effektivt vedligehold af en ISO27001 certificering. Erwin Lansing Head of Security & Chief Technologist

Information Lifecycle Management

IFF GMP Disaster Recovery

Proces orientering af IT organisationer (ITIL - implementering)

Hvornår skal digitale løsninger CE-mærkes som medicinsk udstyr? v/ Kristoffer Madsen, specialist i Delta part of FORCE Technology

Handlinger til adressering af risici og muligheder Risikovurdering, risikoanalyse, risikobaseret tilgang

PEMS RDE Workshop. AVL M.O.V.E Integrative Mobile Vehicle Evaluation

Hvordan skalerer man Danmarks bedste IT-arbejdsplads. Peter Rafn

RÅDET FOR DIGITAL SIKKERHED

Bedømmelse af klinisk retningslinje foretaget af Enhed for Sygeplejeforskning og Evidensbasering Titel (forfatter)

Struktureret Compliance. på tværs af ISO9001, ISO27001 & EU GDPR

Mobility-strategi Hvordan kommer du i gang?

DSB s egen rejse med ny DSB App. Rubathas Thirumathyam Principal Architect Mobile

4. Oktober 2011 EWIS

Leverandørstyring: Stil krav du kan måle på

Maskinsikkerhed Elektrisk udstyr på maskiner Del 1: Generelle krav

The SourceOne Family Today and Tomorrow. Michael Søriis Business Development Manager, EMC FUJITSU

CONNECTING PEOPLE AUTOMATION & IT

IT-Universitetet, Projekt- og Programledelse November 2013 AGIL PROGRAMLEDELSE

Succesfuld Problem management. 2. December 2015 Laurine Halkjær

Project Step 7. Behavioral modeling of a dual ported register set. 1/8/ L11 Project Step 5 Copyright Joanne DeGroat, ECE, OSU 1

Hvor er Call Centrets serviceaftaler?

HACKERNE BLIVER BEDRE, SYSTEMERNE BLIVER MERE KOMPLEKSE OG PLATFORMENE FORSVINDER HAR VI TABT KAMPEN? MARTIN POVELSEN - KMD

Branchens perspektiv på den gode indkøbs organisation. En måling er bedre end 100 mavefornemmelser. Per Hartlev

Region Midtjylland Proces for Change Management

Hvad er en referencelinie? Tidsligt fastlagt Veldefineret tilstand af mellemprodukter Mellemprodukter vurderes Sandhedens øjeblik

Risikostyring ifølge ISO27005 v. Klaus Kongsted

South Arne HSEQ Esbjerg 30-03

WINDCHILL THE NEXT STEPS

Transkript:

Grundlæggende processer du skal have styr på ift. Informationsaktiv beskyttelse 1

Agenda Kort om LinkGRC Omfanget af præsentationen Analyse Den røde tråd Implementering af krav i organisationen Informationsaktivers processer og kontroller Læring og forandring 2

Agenda Kort om LinkGRC Omfanget af præsentationen Analyse Den røde tråd Implementering af krav i organisationen Informationsaktivers processer og kontroller Læring og forandring 3

Kort om LinkGRC Stiftet i 2006 af Tomas Hellum tidligere it-chef (del af TUI koncernen), management konsulent og it-revisor (PwC) LinkGRC s vision er at hjælpe virksomheder og offentlige organisationer med simple og operationelle initiativer og værktøjer og linke dem sammen for at sikre bedre governance. LinkGRC s kunder er inden for forsikring og pension, finans, kommuner og andre regulerede sektorer LinkGRC har lang erfaring med at hjælpe med risikominimerende tiltag, herunder governance frameworks, udarbejdelse af dokumentation og kontrolmiljøer samt operationelle it-værktøjer og systemer. Vi hjælper vores kunder med at kunne fokusere på deres værdiskabende processer inden for governance, enterprise risk management og compliance. Tomas Hellum er medlem as SC27 (bla. ISO27001/2 udarbejdelse), bestyrelsesmedlem i den skandinaviske del af thebci.org, Professionelt medlem af IOR (Institute of Operational Risk i UK, og er ved at hjælpe med at starte den skandinaviske del af instituttet. Tomas Hellum har assisteret ISACA med følgende publikationer internationalt: Security Incident Management Audit / Assurance program (SME) Access Management Audit / Assurance program (SME) Configuration management using Cobit 5 (SME) Risk Scenarios using Cobit 5 for Risk (SME) Q1/Q2 2015 Basel and Cobit book (Contributor) 4

Kort om LinkGRC 5

Kort om LinkGRC Virksomheds strategi HVAD ER DET VI VIL? Salgs Strategi IT Strategi Compliance & IT- Governance Strategi BASEL II Gramm Leach Bliley 71 Finanstilsynet GLBA FFIEC HVAD SKAL VI GØRE? Directive 2002 58 EC Persondataloven OECD EU Safe Harbor Markedsandele ISA 315 RS315 PCAOB IFAC EBIT GxP Annex 11 PAL HIPAA Nye markeder HVORDAN GØR VI DET? Politikker Forretningsgange Arbejdsinstruktioner Andre HVORDAN SIKRER VI AT VI GØR DE RIGTIGE TING RIGTIGT? Check af efterlevelse Måling på effektivitet Performance indikatorer 6

Risiko LinkGRC Rosenvængets Allé 20A 2100 København Ø Denmark P: +45 7022 3280 @: info@linkgrc.com 7

Hændelse LinkGRC Rosenvængets Allé 20A 2100 København Ø Denmark P: +45 7022 3280 @: info@linkgrc.com 8

Agenda Kort om LinkGRC Omfanget af præsentationen Analyse Den røde tråd Implementering af krav i organisationen Informationsaktivers processer og kontroller Læring og forandring 9

Omfanget af præsentationen Forklarer hvordan analyser kan foretages for at identificere kritiske informationsaktiver Forklarer overordnet hvordan krav til informationsaktiver kan identificeres og implementeres i virksomheden (den røde tråd) Dokumentations niveau og omfang Giver eksempler på hoved processer der skal være på plads i forbindelse med beskyttelse af informationsaktiver Læring og forandringer 10

Agenda Kort om LinkGRC Omfanget af præsentationen Analyse Den røde tråd Implementering af krav i organisationen Informationsaktivers processer og kontroller Læring og forandring 11

Analyser Risikoanalyse / Beredskabsanalyse Hovedaktivitet Underaktivitet og processer Systemer Kontroller Risici Udbedringer Personer System analyse System Informationsaktiver Informationsaktiver Kontrolmiljø 12

Analyser Afhold risikoworkshops på hovedaktiviteter og bearbejd hver underaktivitet / proces Identificer nøgle attributter som fx informationsaktiver Foretag en system analyse for at identificere informationsaktiver og etablerede kontroller Implementer governance processer til periodisk opdatering af risikoworkshops Placer ejerskaber for informationsaktiver og definer dokument omhandlende roller og ansvar 13

Agenda Kort om LinkGRC Omfanget af præsentationen Analyse Den røde tråd Implementering af krav i organisationen Informationsaktivers processer og kontroller Læring og forandring 14

Den røde tråd Sporbarhed og gennemsigtighed Fortolkning Manuelt / UCF Workshops Legal, Compliance, Risk Ekstern advokat Udarbejdelse af stragei Politik Område 1 Område 2 Område 3 Område 4 Område 5 Område. Procedure Procedure A Procedure B Procedure C Procedure D Procedure. Kontrol Kontrol 1 15

Kravstyring og den røde tråd POLITIK Overordnede retningslinjer PROCEDURER Beskrivelser af hvem, hvad, hvor, hvornår og hvorfor i forhold til arbejdsgange i organisationen KONTROLLER Obligatoriske nøglekontroller En politik er skrevet i klare og simple vendinger, og forklarer hvordan et firma har til hensigt at drive forretningen, levere services og handle i diverse situationer. Politikker er et sæt guidelines, som hjælper til i beslutningsfasen. Politikker skal være godkendt på direktør og/eller bestyrelsesniveau. En procedure er et dokument, som er skrevet for at understøtte de retningslinjer som politikkerne beskriver. En procedure har til formål at beskrive hvem, hvad, hvor, hvornår og hvorfor i forhold til arbejdsgange, og understøtter derved implementeringen af politikker i de enkelte forretningsområder. Procedurer skal godkendes af ledelsen i det berørte forretningsområde. En kontrol skal designes så den yder den bedst mulige sikkerhed for, at informationssikkerheden i firmaet fungerer efter hensigten, at dataintegriteten er intakt, og at firmaet efterlever lovgivningen, standarder og god skik på området. Kontroller skal godkendes af ledelsen i det berørte forretningsområde. VEJLEDNINGER Specifikke trin for trin instruktioner til understøttelse af arbejdsgange En vejledning repræsenterer en række trin som udmønter sig i en proces eller en handling. Formatet i vejledninger er typisk tekst, links og billeder. Vejledninger skal godkendes af en specialist på det af vejledningen berørte fagområde. 16

Den røde tråd Identificer krav, fortolkninger o.a. Beskriv metoden og start proces for governance af fortolkninger Grupper krav til dokumentation (politikker) for at sikre at vi kun beskriver hvad der er krævet. Byg et dokumentations hieraki og sørg for fx at krav er implementeret i politikker, som så de underliggende niveauer skal beskrive og sikre de efterlever Skub det ud i organisationen, så efterlevelsen skal sikres et niveau tilbage. 17

Agenda Kort om LinkGRC Omfanget af præsentationen Analyse Den røde tråd Implementering af krav i organisationen Informationsaktivers processer og kontroller Læring og forandring 18

Hvornår er nok, nok? Hvor mange flere dokumenter tror du vi skal udarbejde 19

Implementering af krav i organisationen POLITIK Overordnede retningslinjer PROCEDURER Beskrivelser af hvem, hvad, hvor, hvornår og hvorfor i forhold til arbejdsgange i organisationen KONTROLLER Obligatoriske nøglekontroller a) Skabeloner til understøttelse af framework b) Procedure omkring udarbejdelse af dokumentation c) Strategi for hvor dokumentation gemmes d) Implementer oppe fra og ned gerne med understøttelse fx i form af review, interview eller eksempler VEJLEDNINGER Specifikke trin for trin instruktioner til understøttelse af arbejdsgange 20

Implementering af krav i organisationen Byg et dokumentations hierarki fx Politikker/Retningslinjer, Standarder, Forretningsgange og arbejdsbeskrivelser Definer hvor styret dokumentation er placeret, og beskriv processen Forsøg så vidt muligt at relatere dokumentation til interne processer Forsøg så vidt muligt at relatere dokumentations hierarki og krav Anvend simple værktøjer som fx SharePoint workflows til at sikre ejerskab i virksomheden og at dokumentationen opdateres og godkendes Skab et overblik over hvad der ikke er godkendt, og hvornår det skal godkendes. 21

Agenda Kort om LinkGRC Omfanget af præsentationen Analyse Den røde tråd Implementering af krav i organisationen Informationsaktivers processer og kontroller Læring og forandring 22

Informations aktivers processer Asset Registration Asset Classification Incidents and plans Initial registration Information update Archive information Information analysis Business Impact Analysis (BIA) Classification and control selection Reporting incidents Assessment Reviewing Asset information Archived asset information Access Control Encryption Logging and Monitoring Evidence Response plans Asset Maintenance Asset Disposal Roles and Responsibilities Monitor Report Periodic review Identify asset for disposal Physical disposal Retain Period reached Yes Sanitize Yes No Define period Storage The data owner is the person responsible for information as defined in the Handling Information Assets Procedure. This typically covers Product, Business Service, Process and System owners but may cover other employees (e.g. contract managers, reception and secretariat for top management). The responsibility covers all processing, transportation and storing of the information in its full lifecycle. Data owners are in other words responsible for all use of the information in projects, systems, processes, products and business services (e.g. during test, development, support, sales, IT operation and financial processing). 23

Informations aktivers kontroller Baseline controls Confidentiality controls Integrity controls Availability controls To ensure that the procedure for IS/IT Asset Management is in place, and is followed, used and understood. To ensure that key information for the IS/IT asset is registered correctly according to policies and procedures. To ensure that IS/IT assets such as mobile devices are protected to ensure confidentiality and data integrity. To ensure that management processes are in place to ensure that access permissions are defined, updated and enforced for IS/IT assets. To ensure that the IS/IT asset owner has defined which To ensure that a set of access permissions is defined training activities must be implemented before the for each relevant IS/IT asset. IS/IT asset can be used. To ensure that classification of the IS/IT asset is performed as necessary and handled according to the requirements stated in policies and procedures. To ensure that policies and procedures are in place to intercept all changes to key IS/IT asset information, and that such information is updated correctly and in a timely manner. Policies and procedures must be in place to ensure that changes to IS/IT asset information are updated correctly and in a timely manner. To ensure that the IS/IT asset owner defines the process for IS/IT asset maintenance. To ensure that Installation checklists are in place for IS/IT assets. IS/IT assets must be documented and inventoried. To ensure that the IS/IT asset owner defines and regularly reviews access requirements for an IS/IT asset. To ensure that the key information about the IS/IT asset is registered correctly according to the requirements. To ensure that an owner is registered and identified, and that other key information is entered correctly into the IS/IT Asset Management System. To ensure that IS/IT assets have been classified and are handled accordingly. To ensure that policies and procedures are in place to ensure that the IS/IT Asset Management database is updated to reflect the disposal of any asset. To ensure that a list of IS/IT assets can be produced for any given group at any time. To ensure that a register of IS/IT assets is in place. To ensure that IS/IT assets are disposed of securely. To ensure that IS/IT asset owners define disposal requirements for individual IS/IT assets. LinkGRC Rosenvængets Allé 20A 2100 København Ø Denmark P: +45 7022 3280 @: info@linkgrc.com 24

Agenda Kort om LinkGRC Omfanget af præsentationen Overordnet metodik Den røde tråd Implementering af krav i organisationen Informationsaktivers processer og kontroller Læring og forandring 25

Hvorfor forandring LinkGRC Rosenvængets Allé 20A 2100 København Ø Denmark P: +45 7022 3280 @: info@linkgrc.com 26

Læring og forandring Definer og etabler proces for hændelses håndtering for hele virksomheden Evaluer løbende hændelser og opdater risici, processer og kontroller til at afspejle læringspunkter Anvend gerne modenhedsmodeller til måling af nuværende niveau, acceptabelt niveau og strategisk niveau 27

Konsekvens? Væbnet røveri?, jeg sidder inde for ikke at efterleve persondatalovens krav 28

A Nordic Leader in all aspects of Governance, Risk and Compliance 29

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback