HVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING

Relaterede dokumenter
Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

ERFA-MØDE 8. & 15. dec. 2016

EU-GDPR i ControlManager

EU Persondataforordning. One year with GDPR - one year to come

Struktureret Compliance

VELKOMMEN TIL ERFA-MØDE 8. juni 2017

GDPR projekt papirtiger Med det rette overblik

GDPR og ISO To sider af samme sag Offentlig Digitalisering 2018

GDPR projekt papirtiger. - Med det rette overblik

Forventninger til Cybercrime forsikringer med en risikobaseret tilgang TINE OLSEN, WILLIS JESPER B. HANSEN, SISCON

One year with GDPR - one year to come

Leverandørstyring: Stil krav du kan måle på

Når compliance bliver kultur

Kursus: Ledelse af it- sikkerhed

Tilsyn med Databehandlere

RISIKOVURDERING I PRAKSIS

PERSONDATAFORORDNINGEN - TOPDANMARKS ARBEJDE MED AT SKABE COMPLIANCE. DI ITEK 14. juni 2016 Koncern IT-sikkerhedschef Brian Lind

Assens Kommune Sikkerhedspolitik for it, data og information

Struktureret Compliance. på tværs af ISO9001, ISO27001 & EU GDPR

MÅLING AF INFORMATIONSSIKKERHED

Hvor meget fylder IT i danske bestyrelser. 7. september 2012 Torben Nielsen

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Forordningens sikkerhedskrav

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

GDPR Leverandørstyring og revisionserklæringer EU-persondatakonferencen 2017

Vejledning i informationssikkerhedspolitik. Februar 2015

Årshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.

Erfaringer fra innføring av ISO i danske kommuner (styringssystem for informasjonssikkerhet)

Sikkerhed og Revision 2015

AWARENESS EN SIKKER VEJ TIL BEDRE SIKKERHED & KVALITET DATASIKKERHEDSKONFERENCE

Informationssikkerhedspolitik

Sådan udvikler I en Statement of Applicability i henhold til ISO 27001:2013

Jyske Bank Politik for It sikkerhed

Informationssikkerhedspolitik for Horsens Kommune

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

ISO Ledelsesværktøj til digital risikostyring

Modenhed og sikkerhed hos databehandlere Charlotte Pedersen

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

Sikkerhed & Revision 2016 den 2. september B:4 Stream B Governance, Risk & Compliance

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Persondataretlig compliance - Hvordan bliver din organisation klar?

IT risici og compliance. Hvad driver mig? Det gode råd med på vejen?

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Agenda. AGENDA Lars Bærentzen & Siscon Indledning Konsekvensanalyse (Plan) Konsekvensanalyse (Do) Konsekvensanalyse (Check) Konsekvensanalyse (Act)

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001

ISO27001 som ledelsesværktøj en pragmatisk tilgang. Lars Boye, Søborg, den 6. november 2014

IT-sikkerhedspolitik S i d e 1 9

Handleplan for informationssikkerhed 2017 i Region Midtjylland - oversigt over initiativer/faser som forventes afsluttet i 2017

Persondatacompliance

IT-SIKKERHED. Michael Hald, konsulent, KL INFORMATIONSDAG OM DEN FÆLLESKOMMUNALE HANDLINGSPLAN OG DEN FÆLLESOFFENTLIGE DIGITALISERINGSSTRATEGI

Årshjul for persondata. v/henrik Pors

Vejledning i informationssikkerhedsstyring. Februar 2015

ITA-konferencen Projektchef: Martin Pedersen. Sikkerhed fra vugge til grav

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Politik <dato> <J.nr.>

Informationssikkerhedspolitik. Frederiksberg Kommune

Fællesregional Informationssikkerhedspolitik

Hvilke forberedelser kræver EUpersondataforordningen? Klaus Kongsted, Dubex A/S, 11. juni 2015

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

EU-Persondataforordningen. Steen Okkels Nørby, Supply Chain Manager/Projektleder hos NOVAX, IT-branchen 20 år,

God it-sikkerhed i kommuner

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon digst@digst dk

Resultatet af undersøgelse af status på implementering af ISO27001-principper i staten

Fra DS 484 til ISO 27001

Et godt og effektivt vedligehold af en ISO27001 certificering. Erwin Lansing Head of Security & Chief Technologist

Kl Indledning v. Lone Strøm, Rigsrevisor

It-revision af Sundhedsdatanettet januar 2016

NOTAT. Styr på persondata

Jesper Andersen / Lone Forsberg Databeskyttelsesrådgiveren September 2018

Rollen som DPO. September 2016

RÅDET FOR DIGITAL SIKKERHED

Transkript:

HVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING - OPSAMLING PÅ SISCON S EFTERÅRSKONFERENCE ControlManager by Siscon 1

DAGEN I DAG Informationssikkerhed på agendaen i bestyrelsen EU-forordningen pragmatisk vinkel til forordningen Live demo af ControlManager i den virkelige verden Forventninger til Cybercrime forsikringer med en risikobaseret tilgang Sikkerhed - et nødvendigt onde eller en forretningsenabler Eksekvering og ledelsescommitment i informationssikkerhedsarbejdet

HOVEDPOINTERNE TAKE AWAYS Informationssikkerhed på agendaen i bestyrelsen Peter N. Bestyrelsen skal sikre, at ledelsen håndterer sikkerhed i det daglige, bestyrelsen kan kun skubbe på platform for forretningsudvikling Pengekassen (data) med hjem Ikke bare lovligt men det skal også være OK EU-forordningen pragmatisk vinkel til forordningen Michael H. Kravene til dokumentation af efterlevelse Intern audit / Beredskab for sikkerhedsbrud PIA Forskel på offentlig / privat DPO Skal have eller måske? Live demo af ControlManager i den virkelige verden Klaus S. Struktur og Detaljeringsgrad Har vi styr på sikkerhed har vi styr på driften Revision Ved hvad vi er gode til / ikke gode til ControlManager - Klaus har ro i maven

HOVEDPOINTERNE TAKE AWAYS (2) Forventninger til Cybercrime forsikringer med en risikobaseret tilgang Tine O. & Jesper B.H. Risiko Udgangspunkt i egen virksomhed (forretningen) God model giver fælles forståelse i Forretning & IT God risikostyring er essentiel for korrekt forsikringsdækning Lav lige et check - der er ofte ikke sammenhæng mellem det man tror man er forsikret imod og den faktuelle forsikringsdækning Sikkerhed - et nødvendigt onde eller en forretningsenabler Torben J. Tænk på hvordan der bliver set på dig synliggør værdien af dit arbejde Spørg til hvad der ønskes rapportering - få det kommunikeret Færre KPI er mere prosa - fortæl den gode historie Eksekvering og ledelsescommitment i informationssikkerhedsarbejdet Birgitte K. O. Privacy er en svær størrelse ikke mindst på tværs af landegrænser Privacy bliver et kommercielt objekt Beskyttelsesniveau Datakallisificering - Modenhedsanalyse ControlManager by Siscon 4

FOKUS PÅ SIKKERHED - HVAD EFTERSPØRGES?

DET VI HØRER MEST Er vi klar til at håndtere hændelser? Hvad er vores risikoprofil? Er vi på mål i forhold til compliance? Hvordan kan vi rapportere?

RISIKOPROFILEN ControlManager by Siscon 7

TYPISKE SPØRGSMÅL TIL RISIKOPROFIL Hvad er vores risikoprofil? Er vores risikoniveau acceptabelt? Hvilke mitigerende handlinger har vi sat i værk? ControlManager by Siscon

PROCES - RISK MAP - FRA TIDLIGERE UDENFOR RISIKOAPPETIT Skal vi gøre noget ved serverrummet? X markerer aktiv højest sandsynlighed ControlManager by Siscon 9

MULIGHEDER FOR RISK-TREATMENT NÅR MAN VÆLGER AT REDUCERE RISIKOEN (TREAT), SÅ BØR EVENTUELLE AKTIVITETER HÆGTES OP PÅ RISICI 1. Så man ved hvorfor man har startet en aktivitet 2. Så man kan bruge aktiviteten til at følge op ControlManager by Siscon 10

KAN VI ILLUSTRERE SAMMENHÆNG MELLEM RISK OG AKTIVITETER? ControlManager by Siscon 11

COMPLIANCE - ER VI PÅ MÅL? ControlManager by Siscon 12

TYPISKE SPØRGSMÅL OMKRING COMPLIANCE Er vi på mål? Hvordan kan jeg sikre compliance i forhold til flere love/standarder? Hvordan understøtter vores kontrolapparat vores compliance behov? ControlManager by Siscon Hvordan måler jeg, hvor langt jeg er kommet? 13

Sammenhæng fra top til bund COMPLIANCE OPBYGNING Persondata forordningen Finanstilsynets vejledninger Bogføringslov ISO 27001 Cyberforsvar der virker Et samlet regelsæt Kontrol Dimension IT Drift IT Udvikling ISMS Styring Kontroller Periodisk review af brugere Kontrol af patchniveau Penetrationstest Risikovurdering ControlManager by Siscon 14

VURDERING AF COMPLIANCE-NIVEAU TAG UDGANGSPUNKT I LOV/STANDARD ILLUSTRER HVILKE REGLER DER ER ETABLERET FOR AT UNDERSTØTTE OVERHOLDELSE AF LOV Der skal hver 3. måned revurderes brugerrettigheder, med udgangspunkt i arbejdsbetinget behov ILLUSTRER HVILKE KONTROLLER DER ER PÅ PLADS, FOR AT SIKRE OVERHOLDELSE AF REGEL DOKUMENTER EVIDENS PÅ KONTROLLER ControlManager by Siscon 15

I PRAKSIS Hvis det ikke er dokumenteret, er det ikke gjort! ISO27001 krav Egen regel Kontrol Evidens Aktivitet ControlManager by Siscon 16

HVIS VI HAR MERE END ET REGELSÆT AT FORHOLDE OS TIL Samme regel som SO27001 krav Andre områder: - Regler for softwareudvikling - dataudtræk - Regler for dataindsamling, dataopbevaring, datasletning ControlManager by Siscon 17

STATUS OVER KONTROLLER - FAKTISKE COMPLIANCENIVEAU ControlManager by Siscon 18

GAP-ANALYSE HVOR LANGT ER VI NÅET PÅ REJSEN? ControlManager by Siscon 19

20

MODENHEDSANALYSER KAN HJÆLPE GIVER DIG EN GOD IDÉ OMKRING HVOR DU STÅR I forhold til en standard (F.eks. ISO 27001) I forhold til et koncern regelsæt (f.eks. Corporate rules) I forhold til dit specifikke regelsæt KAN ANVENDES: Overordnet Hvor er jeg i dag generelt set? Inden for et specifikt sikkerhedsmæssigt område: Brugeradministration, Drift, Beredskab Inden for et specifikt organisatorisk område: Afdeling, kontor, proces På et givent system (Tilstandsrapport) ControlManager by Siscon 21

RESULTATERNE 22

BEREDSKAB 23

TYPISKE BEREDSKABS SPØRGSMÅL Er vi klar til at håndtere hændelser? Har vi et beredskab for både IT (& forretning)? Er det dokumenteret og testet? ControlManager by Siscon

DE FORSKELLIGE PLANER Overordnet beredskabsplan ControlManager by Siscon 25

HVAD FÅR MAN UD AF TESTE? FÅ BESVARET SPØRGSMÅLET VIRKER DET?! MAN FÅ FJERNET EVENTUELLE FEJL OG MANGLER FØR KRISEN RAMMER MAN FÅR VALIDERET, AT ALLE KAN SVARE PÅ: Hvad er min rolle? Hvad er mit ansvar? Hvilke processer er jeg en del af? Hvilke processer er jeg ikke en del af? BEREDSKABSDELTAGERE SOM IKKE NORMALT ER EN DEL AF DET OPERATIONELLE NIVEAU, FÅR BANKET RUSTEN AF, DET GÆLDER F.EKS.: Ledelsen Kommunikationsafdelingen Facility Management ALLE BLIVER BEDRE TIL AT TAGE (DET RIGTIGE) ANSVAR ControlManager by Siscon 26

RAPPORTERING 27

IT-sikkerhedschef RAPPORTERINGSNIVEAUER Teamleder Chef Topledelse/direktion Teamleder Chef Teamleder Overordnet status på sikkerheden Væsentlige observationer (PROSA) Overordnede trends (sidste år -> i år) Benchmarking/ Compliance Overordnet Hvor bidrager status IT-sikkerhed på sikkerheden med værdi for Væsentlige forretningen? observationer Overordnede trends (i løbet af året) Benchmarking/Compliance Hvor bidrager IT-sikkerhed med værdi for Hvordan håndterer mine teams forretningen? sikkerhedsopgaverne? Trends Status / deadlines Sikkerhedsniveau i detalje Detaljeret status på sikkerheden inden for eget team Opgaver Opfølgninger ControlManager by Siscon 28

STATUSOVERSIGT OG RAPPORTERING ControlManager by Siscon 29

SPØRGSMÅL? 30

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback