ERFA-MØDE 8. & 15. dec. 2016
DAGENS AGENDA 15:00 Velkommen & Nye funktioner version 9.5.1 Ekstra nytårs release, diverse 16:00 Kaffepause 16:15 GDPR - Best Practice ved implementering i CM 17:00 Dialog, videndeling og RoadMap for CM 17.45 Gløgg og netværk HUSK Julerabat, 6%, 12% eller 16% på timer til konsulentsparring 2
3
Inden version 9.5.
3 KONCEPTER ControlManager ISMS-Tool Compliance dokumentation Awareness-motor Beredskabsstyring Rådgivning & sparring ISMS opbygning og design Kontrol og revision efterlevelse/krav Awareness kampagner Beredskab opbygning og test GAP / Modenhedsanalyse ISO & GDPR & X ISO27001 Pre-Audit Opbygning af Beredskabstest
SISCON ERFA GRUPPE DET HANDLER OM: AT GIVE AT MODTAGE VI ØNSKER OS AT DU: FÅR MEST MULIGT UD AF DAGEN FORBEREDER DIG I LØBET AF DAGEN MED SPØRGSMÅL KOMMER MED KONSTRUKTIV FEEDBACK ControlManager by Siscon 6
CONTROLMANAGER - RYGRADEN I DIT ISMS ControlManager by Siscon 7
NYE FUNKTIONER Nyt modul - risikoanalyse Multikontroller... og 40 andre nye større og mindre ting ControlManager by Siscon 8
RISIKOANALYSE FORMÅL Er at tilbyde et værktøj der er uafhængig af den normale risikovurdering. Til brug ifm. Projekter Outsourcingsaftaler / partnere Ændringer i forretningsområder Udviklingsopgaver intern / ekstern... og andet ControlManager by Siscon 9
RISIKOANALYSE Parametre for konsekvens Parametre for sandsynlighed Risiko objekter Udvælgelse af område Udpegning af ansvarlig og udførende Udvælgelse af dimension Gennemførelse Udsendelse af mail Input via Front End Gem og kom tilbage Synlig i opgave oversigt Hvem har lavet hvad status Hvem har svaret Hvad er svaret Hvordan ser det samlede billede ud Visning for fokusområder Rapportering Udvælgelse af områder ud fra: Dimension Organisatorisk enhed Forberedelse Overblik ControlManager by Siscon 10
KONTROL / OPFØLGNING PÅ NIVEAU Flere steder samme kontrol ControlManager by Siscon 11
MULTIKONTROLLER FORMÅL Er at formindske den forbrugte tid på at oprette kontroller og få overblik over kontrollerne. Til brug ifm.: Gennemgang af brugere med tilhørende rettigheder Gennemgang af baseline tiltag på systemer / services Gennemgang af opfølgning på dataflow for processer og meget andet ControlManager by Siscon 12
MULITIKONTROLLER ControlManager by Siscon 13
OG LIDT ANDET NYE ENHEDER FRA DIAGRAM Oprette nye enheder i diagramvisning GRUPPER Husker view + Alle MAIL Publicering til front end UDEN mail til målgruppen Ændre på prioritet af mail Test mode for all mails Tilvælg / Fravælg udsendele af mail ifm. Kontrol Mail til leder (periodevis) for status i afdeling Mulighed for header og footer ControlManager by Siscon 14
OG NOGET MERE REVISIONSBEMÆRKNINGER Revisionsbemærkninger synlige ved sårbarhedsanalysen DISPENSATIONER Helt nyt flow Mail udsendelser HÅNDBOG I FRONT END Kun procedurer der er godkendt er synlige Regler bliver når de er under redigering KONTROLLER Kontroller kan relateres til andre kontroller (Grupper) ControlManager by Siscon 15
EU-GDPR IMPLEMENTERET I CONTROLMANAGER
SISCON TILGANG TIL EU-GDPR Birgitte Kofod Olsen EU-GDPR implementeret i ControlManager 17
RELEVANTE OMRÅDER Overblik over databehandlingen Overblik over faktuelt complianceniveau Opbevaring og vedligeholdelse revisionserklæringer og databehandleraftaler Konsekvensvurderinger EU-GDPR implementeret i ControlManager 18
RELEVANTE OMRÅDER Overblik over databehandlingen Overblik over faktuelt complianceniveau Opbevaring og vedligeholdelse revisionserklæringer og databehandleraftaler Konsekvensvurderinger EU-GDPR implementeret i ControlManager 19
DATAFLOWANALYSER EU-GDPR KRÆVER VURDERING AF KONSEKVENSERNE AF DATABEHANDLINGEN FOR AT EVALUERE RISICIENES OPRINDELSE, NATUR, EGENART OG ALVORLIGHED (DPIA) DET FORUDSÆTTER OVERBLIK OVER DATAFLOWS HVILER PÅ ET OVERBLIK OVER IT-INFRASTRUKTUR FUNKTIONSOMRÅDER Identificér relevante funktionsområder processer systemer aktiver DATAFLOWS Beskriv dataflows: datakilder dataelementer datatyper videregivelse af data DPIA Vurdér: Dataansvarlighed Databehandling Datarettigheder Datasikkerhed EU-GDPR implementeret i ControlManager IT-landskabet 20
FOR SCREENING HVOR SKAL VI GENNEMFØRE ANALYSE? R&D IT HR System Service Virksomhed Produktion Salg og marketing Kunde Service Økonomi EU-GDPR implementeret i ControlManager 21
NIVEAUET AF ANALYSEN? Modtagelse af ansøgninger Virksomhedsområde Rekruttering Screening og personlighedstest Udarbejdelse af ansættelseskontrakt Fastholdelse Funktionsområde Gennemførelse af MUS Proces EU-GDPR implementeret i ControlManager 22
DATAFLOWANALYSE Udvekslingsaftale DATASÆT A Formål med anvendelse Type af information Kategori Ansvarlig Relationer Systemer & Processer Ind / Ud interfaces DATASÆT B Formål med anvendelse Type af information Kategori Ansvarlig Relationer Systemer & Processer Ind / Ud interfaces 23
DATAFLOWANALYSE Udvekslingsaftale AFTALEN Ansvarlig Formål Elementer af information Godkender Status Review 24
DATAFLOW ELEMENTER HR Rekruttering Modtagelse af ansøgninger Screening og personlighedstest Udarbejdelse af ansættelseskontrakt Online screening Datasæt 1 Mail/kalender (Vedhæftet resultater) Datasæt 2 Filserver (Resultater gemt) Datasæt 3 Data: - A - B Data: - E - F - G Data: - C - H - I Fastholdelse Gennemførelse af MUS HR system Datasæt 4 25
DEMO HTTP://77.247.71.170/DEMOA95BE EU-GDPR implementeret i ControlManager 26
DATAFLOW ELEMENTER HR Rekruttering Modtagelse af ansøgninger Screening og personlighedstest Udarbejdelse af ansættelseskontrakt Online screening Datasæt 1 A, B, C, H, I Mail/kalender (Vedhæftet resultater) Datasæt 2 A, B, E, F, G Filserver (Resultater gemt) Datasæt 3 E,F,G Data: - A - B Data: - E - F - G Data: - C - H - I Fastholdelse Gennemførelse af MUS HR system Datasæt 4 C,H,I, Q,J 27
RELEVANTE OMRÅDER Overblik over databehandlingen Overblik over faktuelt complianceniveau Opbevaring og vedligeholdelse revisionserklæringer og databehandleraftaler Konsekvensvurderinger EU-GDPR implementeret i ControlManager 28
Forankring af EU-GDPR krav i ISMS et
COMPLIANCE OPBYGNING / REGELSÆTOPBYGNING ISO 27001 Persondata forordningen Finanstilsynets vejledninger Bogføringslov Cyberforsvar der virker Et samlet regelsæt Kontrol Dimension IT Drift IT Udvikling ISMS Styring Kontroller Periodisk review af brugere Kontrol af patchniveau Penetrationstest Risikovurdering 30
MAPNING AF EU-GDPR -> REGEL -> KONTROL EU-GDPR Kontrol Regel egel Regel Hvordan/detaljer Hvordan EU-GDPR implementeret i ControlManager 35
VURDERING AF COMPLIANCE-NIVEAU TAG UDGANGSPUNKT I LOV/STANDARD ILLUSTRER HVILKE REGLER DER ER ETABLERET FOR AT UNDERSTØTTE OVERHOLDELSE AF LOV Der skal hver 3. måned revurderes brugerrettigheder, med udgangspunkt i arbejdsbetinget behov ILLUSTRER HVILKE KONTROLLER DER ER PÅ PLADS, FOR AT SIKRE OVERHOLDELSE AF REGEL DOKUMENTER EVIDENS PÅ KONTROLLER 36
I PRAKSIS ISO27001 krav Egen regel Kontrol Evidens Aktivitet EU-GDPR i praksis 37
EU-GDPR GAP ANALYSER
HVOR ER DU NU? GAP-ANALYSER GIVER DIG EN GOD IDÉ OM HVOR DU STÅR I forhold til en standard (F.eks. ISO 27001/2) I forhold til lovgivning (Persondataforordningen) Har jeg f.eks. tilstrækkelige sikringsforanstaltninger Backup, Logning, Kryptering I forhold til dit allerede implementerede regelsæt KAN ANVENDES: Overordnet Hvor er jeg i dag generelt set? Inden for et specifikt sikkerhedsmæssigt område: Databehandling, privatlivsbeskyttelse Inden for et specifikt organisatorisk område: Afdeling, kontor, proces På et givent system (Tilstandsrapport) 39
OPSÆTNING AF ANALYSEN 40
OPSÆTNING AF ANALYSEN EU-GDPR implementeret i ControlManager 41
RESULTATERNE EU-GDPR implementeret i ControlManager 42
RELEVANTE OMRÅDER Overblik over databehandlingen Overblik over faktuelt complianceniveau Opbevaring og vedligeholdelse revisionserklæringer og databehandleraftaler Konsekvensvurderinger EU-GDPR implementeret i ControlManager 43
DOKUMENTARKIV OPBEVARING AF Sletteinstrukser Databehandleraftaler Revisionserklæringer PERIODISK REVURDERING AF Gyldighed RELATERET TIL Processer/Services/ Aktiver/Dataflowobjekter EU-GDPR implementeret i ControlManager 44
DATAFLOW ELEMENTER Online screening HR Rekruttering Modtagelse af ansøgninger Screening og personlighedstest Udarbejdelse af ansættelseskontrakt Mail/kalender (Vedhæftet resultater) Filserver (Resultater gemt) HR system Fastholdelse Gennemførelse af MUS 45
RELEVANTE OMRÅDER Overblik over databehandlingen Overblik over faktuelt complianceniveau Opbevaring og vedligeholdelse revisionserklæringer og databehandleraftaler Konsekvensvurderinger EU-GDPR implementeret i ControlManager 46
DPIA OVERBLIKKET OVER DATABEHANDLINGEN OG ORGANISATIONENS DATAFLOWS, GIVER INPUT TIL AT GENNEMFØRE EN KONSEKVENSVURDERING AF DATABEHANDLINGEN, SOM I EN RÆKKE TILFÆLDE VIL VÆRE KRÆVET. KONSEKVENSANALYSEN SKAL MINDST OMFATTE: En systematisk beskrivelse af de planlagte behandlingsaktiviteter Formålene med behandlingen Behandlingens lovlige grundlag En vurdering af, om der er et rimeligt forhold mellem formål og behandlingen (proportionalitet) En vurdering af risikoen for, at påvirke datasubjektets rettigheder og frihedsrettigheder negativt Etablerede eller påtænkte risikoreducerende foranstaltninger. I CONTROLMANAGER VERSION 10 (MAJ 2017) BLIVER DET MULIGT AT GENNEMFØRE DE NØDVENDIGE DATA PROTECTION IMPACT ASSESMENTS (DPIA). DISSE VIL KUNNE KNYTTES TIL DE RELEVANTE STEDER I DATAFLOWMODELLEN, HVORVED DET BLIVER MULIGT AT DOKUMENTERE DE VURDERINGER, DER ER GJORT I FORBINDELSE MED FLOWET OG DERMED BEHANDLINGEN. DPIA ERNE VIL KUNNE INDSAMLES (OG LØBENDE VEDLIGEHOLDES) IGENNEM CONTROLMANAGER. EU-GDPR implementeret i ControlManager 47
ROADMAP CONTROLMANAGER
NYE TING Version 9.6 Version 10.0 Version 10.X Roadmap ControlManger 49
VERSION 9.6 RELEASE ÅRSSKIFTE 2016 / 2017 Ændring i arbejdet med dataflow Udgangspunkt i processer / services / systemer Datasæt Dataelementer Dataudvekslingsaftale Udtræk på hvor og hvilke data findes i virksomheden Fejlrettelser fra version 9.5 Roadmap ControlManger 50
VERSION 10.0 RELEASE MAJ 2017 Redesign af ControlManager Back End Moderne grafisk brugergrænseflade Minimere antallet klik for at komme frem Mere ensartet funktionalitet Yderligere mulighed for datarapporter Mere intuitivt Guide ved store opgave DPIA-analyse modul Yderligere få nye funktioner Roadmap ControlManger 51
VERSION 10.X RELEASE NOVEMBER 2017 Tilpasning af funktionalitet ift. EU GDPR Funktioner ikke fastlagt Vi har i dag et katalog på ca. 70 punkter Ønsker fra Jer og krav fra markedet Roadmap ControlManger 52