Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Relaterede dokumenter
Digitalisering og sikkerhed i den offentlige sektor. Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen Projekter Dilemmaer

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden

Faxe Kommune. informationssikkerhedspolitik

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Hovedresultater: ISO modenhed i staten. December 2018

IT-sikkerhedspolitik for

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Informationssikkerhedspolitik for <organisation>

Assens Kommune Sikkerhedspolitik for it, data og information

Guide til implementering af ISO27001

It-sikkerhedspolitik for Københavns Kommune

Informationssikkerhedspolitik

Fællesregional Informationssikkerhedspolitik

Overordnet Informationssikkerhedspolitik

Vejledning i informationssikkerhedspolitik. Februar 2015

Resultatet af undersøgelse af status på implementering af ISO27001-principper i staten

Leverandørstyring: Stil krav du kan måle på

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

POLITIK FOR INFORMATIONSSIKKERHED

Politik <dato> <J.nr.>

Overordnet it-sikkerhedspolitik for Rødovre Kommune

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

MÅLING AF INFORMATIONSSIKKERHED

Vejledning i informationssikkerhedsstyring. Februar 2015

Kl Indledning v. Lone Strøm, Rigsrevisor

Informationssikkerhedspolitik. Frederiksberg Kommune

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001

Region Hovedstadens Ramme for Informationssikkerhed

1. Introduktion til SoA Indhold og krav til SoA 4

Guide til SoA-dokumentet - Statement of Applicability. August 2014

Forfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø

Informationssikkerhedspolitik for Horsens Kommune

FSOR. Årsberetning 2016 FINANSIELT SEKTORFORUM FOR OPERATIONEL ROBUSTHED

Overordnet It-sikkerhedspolitik

Informationssikkerhedspolitik for Region Midtjylland

BUDSKABSPAPIR om den fælleskommunale rammearkitektur for it og digitalisering ("rammearkitekturen")

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

National strategi for cyber- og informationssikkerhed. Øget professionalisering og mere viden

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Effektiv digitalisering. - Digitaliseringsstyrelsens strategi April 2012

Organisering og styring af informationssikkerhed. I Odder Kommune

Årshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.

IT-SIKKERHEDSPOLITIK UDKAST

ATP s digitaliseringsstrategi

Lokal og digital et sammenhængende Danmark

Digitalisering i den offentlige sektor i fremtiden Adam Lebech, digitaliseringschef. DUBEX Security & Risk Management Summit 30.

Overordnet informationssikkerhedsstrategi

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

Digitaliseringsstyrelsens konference 1. marts 2018

Digitaliseringsstrategi

2. Fødevareministeriet er en koncern

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

IT-SIKKERHED. Michael Hald, konsulent, KL INFORMATIONSDAG OM DEN FÆLLESKOMMUNALE HANDLINGSPLAN OG DEN FÆLLESOFFENTLIGE DIGITALISERINGSSTRATEGI

Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning

Transkript:

Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen? Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning 5. 1

FAKTA OM DIGITALISERINGSSTYRELSEN Ca. 170 medarbejdere Direktør Lars Frelle-Petersen og vicedirektør Rikke Hougaard Zeberg og Carsten Møller Jensen Styrelse etableret i Finansministeriet i efter regeringsskifte 2011 Sat i verden for at skabe et mere digitalt offentligt Danmark, der effektiviserer og frigør ressourcer og moderniserer servicen Opgaver: strategi og politikudvikling, implementering af standarder, øget udbredelse af velfærdsteknologi, nye styringsmodeller, bedre brugervenlighed og tilgængelighed, udvikling og drift af infrastruktur mv. 2

MANDATET IT- og Telestyrelsen nedlægges med den kongelige resolution af 3. oktober 2011, og ansvaret for it-sikkerhedsområdet deles mellem Forsvarsministeriet, Erhvervs- og Vækstministeriet og Finansministeriet. Forsvarsministeriet har ansvar for statens varslingstjeneste for internettrusler (GovCERT) og kritisk infrastruktur. Erhvervs- og Vækstministeriet har ansvar for persondatasikkerhed, opgaver vedr. privatlivsbeskyttelse på nettet, netneutralitet, DNS-blokering af hjemmesider og logning. Finansministeriet har ansvar for informationssikkerhed og privatlivsbeskyttelse i den offentlige sektor Ministeriet for Børn og Undervisning har ansvar for det faglige arbejde med it i folkeskolen. Bjarne Corydon, 8. november 2011 i Kommunaludvalget 3

INDSATSER I FORHOLD TIL SIKKERHED Digitaliseringsstyrelsens aktuelle fokus på sikkerhed: Strategi for cyber- og informationssikkerhed Anbefalinger til styrkelse af outsourcet drift Vejledningen Cyberforsvar, der virker Statens Informationssikkerhedsforum Vejledninger på Digst.dk Regeringens sikkerhedstiltag Ny fælles digitaliseringsstrategi skal blandt andet styrke arbejdet med it-sikkerhed i den fællesoffentlige digitale infrastruktur. ØA15 om næste generation af NemID og videreudvikling af Digital Post. 4

INFORMATIONSSIKKERHED Fokus på organisationers informationssikkerhed Fortrolighed Tilgængelighed Integritet Viden Handler om at beskytte IT-systemer Information Processer Viden Processer It-systemer 5

Definition Informationssikkerhed defineres som de samlede foranstaltninger til at sikre informationer og informationssystemer i forhold til Fortrolighed, Integritet og Tilgængelighed (FIT) Informationssikkerhed - er det hele. Dækker også styring og ledelse af informationssikkerhed (ISMS). It-sikkerhed - er en delmængde. Dækker teknologisk sikring af data i systemer og tekniske produkter. Cybersikkerhed - er en delmængde. Dækker Internet-relateret sikring og anvendelse af data og systemer. 6

ISO27001 International standard til styring af informationssikkerhed Afløser DS484 som obligatorisk i staten fra januar 2014. Ledelsesinvolvering gennem Risikovurdering Organisation, processer og dokumentation Beslutningsdokument (statement of applicability) Øget fokus på området. 7

ISO 27000-SERIEN

TI BASALE SIKKERHEDSKRAV 1. Sikkerhedsudvalg 2. Sikkerhedspolitik 3. Risikovurdering 4. Beslutningsdokument 5. Årsplan 6. Retningslinjer og procedurer 7. Opfølgning og kvalitetstjek 8. Leverandørstyring 9. Beredskabsplan 10.Sikkerhedsbevidsthed 9

1. SIKKERHEDSUDVALG Etabler et ledelsesudvalg der varetager ansvaret for risikostyring af den fysiske, forretningsmæssige og organisatoriske sikkerhed samt udpeg en it-sikkerhedskoordinator. Forretningsorden Dokumentation for mødebeslutninger Sagsbehandling af sikkerhedshændelser Identificer kritiske forretningsområder Handlingsplan og årshjul 10

2. OVERORDNET SIKKERHEDSPOLITIK Formuler en overordnet sikkerhedspolitik der beskriver ledelsens målsætninger og regler for institutionens forretningsområder samt tilhørende informationer og systemer. Omfang 1½ - 3 sider Ledelsens forventninger til sikkerhed Forretningsmæssige krav og love Beskriver retning og principper Ledelsesgodkendt 11

3. RISIKOVURDERING Identificer de kritiske forretningsområder samt foretag en risikovurdering af de forretnings- og it-mæssige risici i tilknytning til interessenter, forretningsområder og - systemer samt lovgivning.

4. BESLUTNINGSDOKUMENT Udarbejd et beslutningsnotat på baggrund af resultatet fra risikovurderingen, som beskriver hvad ledelsen aktivt har besluttet og hvorfor (SoA-Statement of Applicability). Begrunder til- og fravalg Beskriv indsatsområder Vælg kontrolområder Rapport-, notat- eller skemaform Ledelsesgodkendt 13

5. KONTINUERLIG PLAN En kontinuerlig plan for realisering af planlagte aktiviteter Kritikalitet Prioritering Handling Tidsplan Ansvarlig Forbedring Sikkerhedstiltag justeres og ændres i forhold til den reelle situation Opfølgning Der følges op på de implementerede sikkerhedstiltag Planlægning Mål og omfang defineres fx risikovurdering, politik og handlingsplan Implementering De planlagte sikkerhedstiltag implementeres i praksis 14

6. RETNINGSLINJER OG PROCEDURER Udform relevante retningslinjer og procedurer for forretningsgange med udgangspunkt i resultatet fra risikovurderingen. Personale Praktisk redskab i hverdagen Kommunikeres på fx intranettet Kort og pædagogisk 15

7. OPFØLGNING OG KVALITETSTJEK 14 kontrolområder beskrevet i ISO 27002. Identificer kontroller Etabler en plan Udfør kontroller Dokumenter som bevis Vurder effektivitet 16

8. LEVERANDØRSTYRING Forretningsmæssige styring af leverandører, kontrakter og projekter. Dokumenter og skab overblik Risikovurdering Krav kontra kvalitet Økonomi og ressourcer Efterlevelse af lovkrav 17

9. BEREDSKABSPLAN Udarbejd en beredskabsplan der beskriver tiltag i tilfælde af en nødsituation og etabler en generel plan for kommunikation. Fokus på kritiske forretningsområder Præciser opgaver, roller og ansvar Både fysisk og digital sikkerhed Genskab Test 18

10. SIKKERHEDSBEVIDSTHED Bevidsthed om et givent emne. Kommunikation skal fremme forståelsen for sikkerhed og ændre vores adfærd. Roller, ansvar og beføjelser Persondataloven Brugen af adgangskort, nøgler og koder Anvendelse af Smartphone, tablet og bærbar Gøres nærværende, så det opleves som værdiskabende. 19

FINANSMINISTERIETS MÅL Professionel informationssikkerhedsstyring i det offentlige Viden og erfaringer deles. Bevarelse af borgernes tillid til det offentlige 20

BALANCE Sikkerhed Brugervenlighed Økonomi 21

ØVRIGE TILTAG Regeringsstrategi for cyber og informationssikkerhed Se og Hør sagen JMs arbejdsgruppe til kortlægning af databeskyttelse på kortbetalingsområdet mv. Retsudvalgets og Kulturudvalgets arbejdsgrupper til kortlægning af databeskyttelse 22

SPØRGSMÅL 23

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback