ISO Ledelsesværktøj til digital risikostyring

Relaterede dokumenter
ISO27001 som ledelsesværktøj en pragmatisk tilgang. Lars Boye, Søborg, den 6. november 2014

Forordningens sikkerhedskrav

ISO som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Region Hovedstadens Ramme for Informationssikkerhed

Vejledning i informationssikkerhedspolitik. Februar 2015

Kursus: Ledelse af it- sikkerhed

serien og nyheder i ISO og ISO 27002

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Proces til vurdering af cloud løsning og risici

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

1. Introduktion til SoA Indhold og krav til SoA 4

Faxe Kommune. informationssikkerhedspolitik

DER ER GÅET SPORT I INFORMATIONSSIKKERHED

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001

Vejledning i informationssikkerhedsstyring. Februar 2015

Informationssikkerhedspolitik

Når compliance bliver kultur

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Erfaringer fra innføring av ISO i danske kommuner (styringssystem for informasjonssikkerhet)

Fællesregional Informationssikkerhedspolitik

EU Persondataforordningen, ISO/IEC og de nye privacy-standarder. ItSMF-konferencen, oktober 2017

MÅLING AF INFORMATIONSSIKKERHED

Guide til SoA-dokumentet - Statement of Applicability. August 2014

Assens Kommune Sikkerhedspolitik for it, data og information

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Informationssikkerhedspolitik for Horsens Kommune

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

Informationssikkerhedspolitik for <organisation>

RISIKOVURDERING I PRAKSIS

IT-sikkerhedspolitik S i d e 1 9

Overordnet It-sikkerhedspolitik

Fra DS 484 til ISO 27001

Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk

Management of Risks (M_o_R ) Professionel styring af risici

Organisering og styring af informationssikkerhed. I Odder Kommune

Velkommen Gruppe SJ-1

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

HVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING

Informationssikkerhedspolitik. Frederiksberg Kommune

Sikkerhed og Revision 2015

Overordnet Informationssikkerhedspolitik

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

Resultatet af undersøgelse af status på implementering af ISO27001-principper i staten

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Leverandørstyring: Stil krav du kan måle på

Vejledning i it-risikostyring og -vurdering. Februar 2015

GDPR og ISO-standarderne Få styr på værktøjskassen af ISO-standarder

Seminar d Klik for at redigere forfatter

IT-sikkerhedspolitik for

Agenda. AGENDA Lars Bærentzen & Siscon Indledning Konsekvensanalyse (Plan) Konsekvensanalyse (Do) Konsekvensanalyse (Check) Konsekvensanalyse (Act)

ISO Styr på Arbejdsmiljøet på din virksomhed

Politik <dato> <J.nr.>

IT-SIKKERHEDSPOLITIK UDKAST

ISO/IEC 27001:2013. Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent

KOMBIT sikkerhedspolitik

Målbillede for risikostyring i signalprogrammet. Juni 2018

Forfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø

Vejledning for tilsyn med databehandlere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Informationssikkerhedspolitik for Region Midtjylland

Revideret Miljøledelsesstandard

It-sikkerhedspolitik for Københavns Kommune

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon digst@digst dk

Aabenraa Kommune. Informationspolitik. Udkast. Udkast:

Velkommen Gruppe SJ-2

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Persondataforordningen Agenda

Guide til implementering af ISO27001

Hvor sikker er organisationen*? Hvad er de største risici? Er organisationen sikker nok? Hvor sikker skal organisationen være? Hvordan bliver vi det?

Struktureret Compliance

Næstved Kommune. Informationssikkerhedspolitik ISO 27001

Transkript:

ISO 27001 Ledelsesværktøj til digital risikostyring John Wiingaard, GRC konsulent, Dubex Bygholm Park, Horsens, den 12. maj 2016

Agenda 1. Formål 2. IT-sikkerhedsudfordringer anno 2016 3. Hvorfor ISO27001 er relevant? 4. Hvad er essensen af ISMS i ISO27001? 5. Hvordan kommer man i gang med arbejdet? 6. Efter i dag.

Hvad skal vi have ud af dette indlæg? Mål for dette indlæg: Undgå at drukne i detaljerede omfattende it-sikkerhedsmuligheder ved at forankre it-sikkerhed som en integreret proces. Forstå hvorfor ISO27001 er relevant og lær forudsætningerne. Hvad er hovedelementerne i ISO27001 Brug ISO27001 rigtigt Hvordan kommer man i gang? Disclaimer: Sikkerhed er et meget stort emneområde som er i konstant forandring. I løbet af de næste 25 minutter når vi højst at skrabe en lille smule i overfladen.

IT-sikkerhedsudfordringer anno 2016

International udvikling i it-sikkerhedsbrister

DKCERT Trendrapport 2016 (udsendt 14. april 2016)

Hvorfor ISO27001 fremfor andre paradigmer? ISO27001:2013 er international anerkendt referenceramme, som man kan blive certificeret i forhold til. ISO27001 er en ramme for hvordan ledelsen kan styre og håndtere informationssikkerheden. (ISMS) ISO27001:2005 ISO27001:2013 (Punkt 0.1) Plan Do Etablere Implementere Act Check Løb. forbedre Vedligeholdelse

ISO27001 Forudsætninger Grundlaget er ledelsens engagement og accept Fokus er på forretningen og på at beskytte de forretningskritiske aktiver Procesorienteret Valg af kontroller baseret på risikovurdering Udvælgelsen er en vigtig del af processen Kontroltjekliste i appendiks A (som er detaljeret forklaret i ISO 27002) Implementering skal være hensigtsmæssig Der lægges vægt på ledelsesrapportering

ISO27001 Uddrag af centrale begreber Scope Politikker Procedurer Processer Instrukser Informationsaktiver Klassifikation Roller og Ansvar Risikovillighed Risikoanalyse Risikorapport RTP SoA Hvad skal være omfattet og målsætningen for informationssikkerhed? Øverste niveau af beskrivelser Beskrivelse af regler Forklaring af trin i forretningsproces Vejledning i konkrete arbejdshandlinger pr. procestrin Eksempelvis; finansielle data, intellektuel ejendom og medarbejderoplysninger eller information, organisationerne har fået af kunder eller tredjeparter Hvilke kategorier af informationer arbejdes der med i virksomheden? Eksempelvis anvende RACI (Responsible, Accountable, Consulted, Informed) Hvad er ledelsens risikotolerancer Vurdering af risiko ud fra konsekvens og sandsynlighed i forhold til CIA Opsummerede rapportering til ledelse af resultatet af risikovurderingen med pre-/post risikoscore og vurdering af restrisiko. Risk Treatment Plan Hvordan mitigeres risici (Accept, Undgå, Del eller styre) Statement of Applicability Redegørelse for anvendelighed

Overblik ISO27001 Sikkerhedsproces ISO 27001 Hovedområderne 4 - Organisationens kontekst 5 - Lederskab 6 - Planlægning 7 - Support 8 - Drift 9 - Evaluering 10 - Forbedring De valgte kontroller, deres implementering og dokumentation (appendiks A) Udgangspunkt i egne definerede kontroller (6.1.3. a) Krav om at sammenholde egne kontrollers tilstrækkelighed i forhold til de 114 kontroller fra ISO 27002 Såvel til-/fravalg ift. Appendiks A skal begrundes i risikovurderingen

Overblik ISO27001 Sikkerhedsproces ISO 27001 Komponenter ISMS politik Informationsaktiver og klassifikation Risikovurdering og planer Sikkerhedshåndbog Awareness Interne ISMS audits Hændelser og forbedringer Vedligeholdelse

Organisering af sikkerhedsprocessen Risikostyring Ændringer i risikobilledet Ledelse (Bestyrelse/CEO/CSO/CIO) Fokus: Organisatorisk risiko Aktioner: Risikobeslutning og prioriteter Prioriteter, risikoappetit og budget Procesniveau Fokus: Risikostyring Aktioner: Valg af risikoprofil Rapportering, ændringer, sårbarheder og trusler Operationelt Fokus: Sikring af infrastruktur Aktioner: Implementering af profil Sikkerhedsframework og -profil Implementering

Overblik ISO27001 Sikkerhedsproces Begynd med ledelsesaccept og omfang (scope) Identificér de forretningskritiske informationsaktiver og ejerne Udarbejd risikovurdering af aktiverne Udarbejd risikohåndteringsplan, og få ledelsens accept af den og evt. restrisici Implementér de valgte kontroller (Husk virksomhedens it-sikkerhedsadfærd) Dokumentér processer og efterlevelse Vedligehold systemet (inkl. It-sikkerhedsadfærden)

Overblik ISO27001 Sikkerhedsproces Overordet visualisering af risikovurderingsprocessen: PRE-Risikoscore UDEN effekt af eksisterende eller påtænkte kontroller Fortrolighed Pålidelighed Tilgængelighed Samlet vægtning POST-Risikoscore MED effekt af eksisterende eller påtænkte kontroller Fortrolighed Pålidelighed Tilgængelighed Samlet vægtning Konsekvens Konsekvens Konsekvens Konsekvens Konsekvens Konsekvens Konsekvens Konsekvens Sandsynlighed inkl. Sikkerhedsmiljø Sandsynlighed inkl. Sikkerhedsmiljø Sandsynlighed inkl. Sikkerhedsmiljø Sandsynlighed inkl. Sikkerhedsmiljø Sandsynlighed inkl. Sikkerhedsmiljø Sandsynlighed inkl. Sikkerhedsmiljø Sandsynlighed inkl. Sikkerhedsmiljø Sandsynlighed inkl. Sikkerhedsmiljø

Overblik over best practice inspiration for SoA ISO 27001 Appendiks A (ISO 27002) A.5 Informationssikkerhedspolitikker A.6 Organisering af informationssikkerhed A.7 Personalesikkerhed A.8 Styring af aktiver A.9 Adgangsstyring A.10 Kryptografi A.11 Fysisk sikring og miljøsikring A.12 Driftssikkerhed A.13 Kommunikationssikkerhed A.14 Anskaffelse, udvikling og vedligeholdelse af informationssystemer A.15 Leverandørforhold A.16 Styring af informationssikkerhedshændelser A.17 Beredskabsstyring A.18 Overensstemmelse

Fokusér på formålet Fokusér på formål og kontrol Hvad siger teksten? Hvordan gøres det bedst i denne organisation? Implementeringsvejledningen er primært en hjælp, hvis man er i tvivl om, hvad der menes med kontrollen Anden information er kun dét God ide at læse den Den gyldne regel: Beskriv hvad I gør Gør hvad I skriver Husk at dokumentere

ISO 27001 processen - faseopdeling Værktøjerne for processen Scope Giver mulighed for at faseopdele opgaven Projektplan for ISO implementering Giver mulighed for at skitsere senere aktiviteter Aktiver Gruppér - og findel efter behov over tid Husk at planen kan være faseopdelt med efterfølgende justering af scope, når grænseflader skal konkretiseres opdeling af aktiver, eller evt. sammenlægning, samt nye mere detaljeret risikovurdering af højrisikoaktiver senere start på mindre kritiske områder justering af implementeringer af kontroller og registreringer Scope og plan Implementering Justering og konkretisering

Overblik ISO27001 Sikkerhedsproces ISO 27001 - vigtigt at huske: ISO 27001 skal understøtte forretningen Hvis risici er godt beskrevet og der er en plan, kan ledelsen godt acceptere en højere restrisiko end normalt Dette skal dog være beskrevet som mulighed i proceduren for risikovurdering OG Der bør sættes en øvre grænse for omfang af accepterede risici ud over risikotolorance Overvej at etablere at risikoregnskab til at holde styr på dette, så der akkumulleret ikke sker overtræk i forhold til mandat fra bestyrelse/ejerne. Se på hvad selve målet med kontrollen er! Hvad betyder det konkret? Hvordan implementeres det hensigtsmæssigt? Ledelsesopbakning og brugerinddragelse er kritisk for successen

Hvad skal du gøre når du kommer hjem? På mandag Skaf et overblik over risikobilledet i forhold til nuværende itsikkerhed Afgør om der er tale om en brændende platform ift. Kundekrav, Ramt af ransomware eller den nye EUforordning Næste uge Indstil til ledelsen at få kortlagt hvad udfordringen er via en gap-vurdering. Næste måned Etabler en workshop med formål at fastsætte omfang for en ISOproces enten som selvassessed compliant eller forberedelse til certificering. Udarbejdelse af en overordnet handlingsplan.

Tak! jwi@dubex.dk

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback