ISO27001 seminar. Kom godt i gang. Charlotte Pedersen 23. november 2015

Relaterede dokumenter
Digitaliseringsstyrelsen Risikovurdering Marts 2018

Vejledning i informationssikkerhedspolitik. Februar 2015

Modenhed og sikkerhed hos databehandlere Charlotte Pedersen

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Kursus: Ledelse af it- sikkerhed

Informationssikkerhedspolitik for Horsens Kommune

ISO Ledelsesværktøj til digital risikostyring

Region Hovedstadens Ramme for Informationssikkerhed

Fællesregional Informationssikkerhedspolitik

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Erfaringer fra innføring av ISO i danske kommuner (styringssystem for informasjonssikkerhet)

MedComs informationssikkerhedspolitik. Version 2.2

ISO Styr på Arbejdsmiljøet på din virksomhed

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

Vejledning i etablering af forretningsoverblik. Januar 2018

Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk

Fællesregional Informationssikkerhedspolitik

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Nyt om ISO-standarder ISO 14001:2015 ISO 9001:2015 ISO 45001:2016. Jan Støttrup Andersen. Lidt om mig:

Forordningens sikkerhedskrav

serien og nyheder i ISO og ISO 27002

It-sikkerhedspolitik for Farsø Varmeværk

Vejledning i informationssikkerhedsstyring. Februar 2015

ISO/IEC 27001:2013. Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87

KOMBIT sikkerhedspolitik

Leverandørstyring: Stil krav du kan måle på

Når Compliance Bliver Kultur

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Certificering ISO 14001:2015

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

Velkommen Gruppe SJ-1

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Organisering og styring af informationssikkerhed. I Odder Kommune

1. Introduktion til SoA Indhold og krav til SoA 4

Årshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.

Præsentation af Curanets sikringsmiljø

Sikkerhedsvurderinger

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

GDPR Leverandørstyring og revisionserklæringer EU-persondatakonferencen 2017

Informationssikkerhedspolitik for <organisation>

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

Guide til SoA-dokumentet - Statement of Applicability. August 2014

EU Persondataforordningen, ISO/IEC og de nye privacy-standarder. ItSMF-konferencen, oktober 2017

Når compliance bliver kultur

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon digst@digst dk

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium

Informationssikkerhedspolitik

Velkommen Grupperne SJ-1 & SJ-2

Faxe Kommune. informationssikkerhedspolitik

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

Overordnet Informationssikkerhedspolitik

Ver. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK

Sikkerhedsledelsen SIKKERHEDSSPOLITIK FOR DSB. April Version 1.0

EMIR Nye krav for virksomheders anvendelse af OTC-derivater

Velkommen Gruppe SJ-2

Evaluering af forløbet og analyserne v/virksomhederne Konklusioner på forløbet til Miljøstyrelsen v/greenet

Vejledning i evaluering og opfølgning. Juni 2016

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

Samarbejde, konsortier og netværk Workshop om juridiske og økonomiske udfordringer

Guide til implementering af ISO27001

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

BUSINESS ASSURANCE. Fødevaresikkerhed SAFER, SMARTER, GREENER

Informationssikkerhedspolitik. for Aalborg Kommune

Kommunens nuværende politik stammer fra 2008 og bygger på en gammel dansk standard, DS484.

Assens Kommune Sikkerhedspolitik for it, data og information

Ledelse og kvalitet i bestyrelsesarbejdet

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001

IT-sikkerhedspolitik for

MÅLING AF INFORMATIONSSIKKERHED

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

1 Informationssikkerhedspolitik

IMPLEMENTERING AF MILJØLEDELSE

DER ER GÅET SPORT I INFORMATIONSSIKKERHED

Hvordan kan det private og offentlige få mere ud af ressourcerne inden for taxi og befordring? En afskedssalut?

Revideret Miljøledelsesstandard

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk

Digitaliseringsstyrelsens konference 1. marts 2018

ectrl Modtagelse af elektroniske

IT-sikkerhedspolitik S i d e 1 9

Informationssikkerhedspolitik for Odder Gymnasium

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Fredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT

Infoblad. IATF Automotive

Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

RISIKOVURDERING I PRAKSIS

Velkommen Gruppe SJ-1

Business Consulting New manager programme

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Krav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter

Hvis I vil vide mere. Kom godt i gang med standarder. Hvordan arbejder I med et fælles ledelsessystem og skaber synergi?

Lars Neupart Director GRC Stifter, Neupart

Transkript:

ISO27001 seminar Kom godt i gang Charlotte Pedersen 23. november 2015

Program Kl. 9.00 Velkomst Kl. 9.05 Introduktion til ISO27001 på en praktisk måde Kl. 10.00 ISO27001 kundeerfaring, Enhedsleder for it-sikkerhedsenheden, Direktoratet for Kriminalforsorgen, Mads Jespersen Kl. 10.30 Pause Kl. 10.45 10 trin på vejen til ISO27001 - workshop Kl. 12.00 Sandwich og netværk 2015 Deloitte 2 2

Præsentation Charlotte Pedersen Director Cand.scient.pol. CIS LA, CIS 2013 UP, CIIP, CISM, CRISC, CGEIT, G31000 mv. Medlem af S411 hos Dansk Standard Cyber Risk Services Telefon: 20 85 35 42 Mail: cpedersen@deloitte.dk Kernekompetencer: Cyber Security Management sikkerhedsledelse, risikoanalyse, politik, governance Privacy analyse, strategi og rapportering vedr. personoplysninger Risikoledelse og -styring, mål- og resultatstyring Proces- og implementeringskonsulent Kommunikation og awarenessaktiviteter Projektledelse - forandringsledelse Deloitte Security Management team mit fundament nogle af dem er her i dag 3 2015 Deloitte

ISO - agenda Præsentation ISO 27000-familien ISO 27001:2013 Risikovurdering Risikohåndtering og ISO27002:2014 ISMS Ledelsesforankring Politik Leverandørstyring It-beredskab Overvågning, måling, analyse og evaluering (intern audit og ledelsens review) 4

ISO 27000-familien 5

Nøglestandarderne ISO/IEC 27000 Information security management systems Overview and vocabulary ISO/IEC 27001 Information security management systems Requirements ISO/IEC 27002 Code of practice for information security management ISO/IEC 27003 Information security management system implementation guidance ISO/IEC 27004 Information security management Measurement ISO/IEC 27005 Information security risk management ISO/IEC 27006 Requirements for bodies providing audit and certification of information security management systems ISO/IEC 27007 Guidelines for information security management systems auditing (focused on the management system) ISO27001 er den der kan certificeres efter - er en ledelsesstandard 6 2015 Deloitte

7

ISO 27001:2013 8

Formål med revision af ISO27001:2005 Revisionen af ISO27001 skal ses i sammenhæng med streamlining af hele rækken af ledelsesstandarder Ny generation af standarder for ledelsessystemer. Same procedure standardprocedure for standarder: efter 5 år tages de op til review med henblik på: 1) bekræftelse, 2) revision, 3) tilbagekaldelse Grundlag for revision: udgangspunkt i gennemført analyse af status og rundspørge blandt brugere af standarden i 2008/2009: sikre standardens aktualitet og brugbarhed imødekomme feedback fra interessenter mht. anvendelse og effektivitet af ledelsessystemet i markedet og i forbindelse med certificering sikre overensstemmelse med næste generations standarder for ledelsessystemer 9

Overblik over ISO27001:2013 Der er nye krav i standarden og nogle af kravene i ISO27001:2005 er blevet modificeret eller slettet. Annex A referencekontrolmål og kontroller er tilpasset, så de er i overensstemmelse med ISO27002:2013. ISO27001 rammer for risikostyring nu i overensstemmelse med ISO31000. Risikostyring - ingen krav som tidligere til at identificere risici som identifikation af aktiver, trusler og sårbarheder det er muligt at anvende alternative metoder, som har vist sig lige så gode til at identificere, analysere og vurdere risici. Det med kravene i SoA er grundlæggende set det samme som tidligere men man skal ikke længere vælge kontroller fra Annex A. Man skal beslutte nødvendige kontroller til håndtering af risici og sammenligne disse med Annex A for at sikre, at man ikke har overset vigtige kontroller. Forebyggende handlinger - er helt slettet i den nye version det er underforstået, at forebyggende handlinger indgår mere eller mindre over det hele. Ingen beskrivelse af PLAN-DO-CHECK-ACT. 10

ISO27001 processer og opgaver 2015 Deloitte 11

12

Annex A Statement of Applicability (SoA) It-risikoanalyse, -vurdering og -håndtering 13

Risikovurdering ISO27001:2013 - Intet krav om risikovurdering med udgangspunkt i vurdering af aktiver - Overordnet risikovurdering ud fra kritiske processer vs. Systemvurdering. - Intet krav om vurdering af trusler og sårbarheder men heller ikke noget forbud mod at gøre det! Derimod vurdering af årsager. - Muligheder for at vælge en hvilken som helst metode/proces til at gennemføre risikovurderinger - Standarden introducerer risk owner, men aktivejer spiller stadig en rolle Kriterier for risici - Typer af årsager og konsekvenser - og hvordan de kan vurderes - Definition af sandsynlighed - Fastlæggelse af risikoniveau accept af risiko - Interessenters holdninger - Niveau for, hvornår risici kan accepteres - 14Om kombinationer af risici skal tages i betragtning 2015 Deloitte

ISO/IEC 27005 om risikovurdering Risikovurderinger skal gennemføres med planlagte intervaller og i forbindelse med væsentlige ændringer. Processen for risikovurdering skal løbende revurderes 15 2015 Deloitte

Risikoprofil 16

Trusselsvurdering og sandsynlighedsvurdering Trusselsvurdering Hvilke trusler fra trusselskataloget er aktuelle i forhold til jeres kritiske aktiver og eksisterende sårbarheder i kontrollerne? Sandsynlighedsvurdering Hvad er sandsynligheden for, at en trussel udnytter en sårbarhed Informationssikkerhedstrusler Ondsindede mennesker Hacker It-kriminelle Terrorister Spionage Menneskelige fejl Afskedigede, ondsindede, uærlige mm. medarbejdere Misbrug af rettigheder Benægtelse af handlinger Kompromittering af funktioner Brugerfejl (mangelfuld træning) Personafhængighed Tab af kritiske services Forsyningssvigt el/ telekommunikation Nedbrud af køling Fysisk skade Naturkatastrofer Klimatiske fænomener Oversvømmelse Brand Vandskade Forurening Ødelæggelse af udstyr Større ulykker Tekniske fejl Fejl i udstyr Overbelastning Softwarefejl Manglende vedligeholdelse 2015 Deloitte 17

Annex A Statement of Applicability (SoA) Risikohåndtering og ISO27002:2014 Annex A Statement of Applicability, SoA 18

Håndtering af de mest kritiske risici 19

ISO/IEC 27001 om informationssikkerhedsrisici 6.1.3 Håndtering af informationssikkerhedsrisici Organisationen skal definere og anvende en proces til håndtering af informationssikkerhedsrisici for at: a) udvælge passende muligheder for håndtering af informationssikkerheds-risici ved at tage højde for resultaterne af risikovurderingen b) fastlægge alle de kontroller, som er nødvendige for at implementere den eller de valgte muligheder for håndtering af informationssikkerhedsrisici c) sammenligne de kontroller, som er fastlagt som nødvendige med kontrollerne i Annex A og sikre, at ingen nødvendige kontroller er udeladt d) tilvejebringe et Statement of Applicability, som indeholder de nødvendige kontroller og begrundelse for, hvorfor nogle kontroller er medtaget, hvad enten de er implementeret eller ej, samt begrundelse for, hvorfor andre er udeladt e) udarbejde en plan for håndtering af informationssikkerhedsrisici og f) indhente risikoejernes godkendelse af planen for håndtering af informationssikkerhedsrisici og accept af resterende informationssikkerhedsrisici. 20 2015 Deloitte

ISO/IEC 27001 om Annex A Referencekontrolmål og kontroller!!!! Annex A er et referencebilag!!! Vejledning i ISO27002:2014 A.5 Informationssikkerhedspolitikker (2) A.6 Organisering af informationssikkerhed (7) A.7 Personalesikkerhed (6) A.8 Styring af aktiver (10) A.9 Adgangsstyring (14) A.10 Kryptografi (2) A.11 Fysisk sikring og miljøsikring (15) A.12 Driftssikkerhed (14) A.13 Kommunikationssikkerhed (7) A.14 Anskaffelse, udvikling og vedligeholdelse af systemer (13) A.15 Leverandørforhold (5) A.16 Styring af informationssikkerhedsbrud (7) A.17 Informationssikkerhedsaspekter ved beredskabsstyring (4) A.18 Overensstemmelse (8) 21 (= 14 kontrolområder = 114 kontroller) 2015 Deloitte

22

ISMS Informations Security Management System 23

ISMS - centrale begreber Ledelsessystem - rammer for retningslinjer, politikker, procedurer, processer og tilhørende ressourcer, som skal sikre, at en organisation opfylder sine målsætninger. Ledelsessystem for informationssikkerhed ISMS del af det samlede ledelsessystem. Med udgangspunkt i forretningsmæssige risici dækker ISMSet etablering, implementering, drift, overvågning, gennemgang, vedligeholdelse og forbedring af informationssikkerhed. (NOTE - Ledelsessystemet omfatter organisationsstruktur, politikker, planlægningsaktiviteter, ansvar og roller, praksis, procedurer, processer og ressourcer. 24 2015 Deloitte

Hvorfor er det vigtigt med et ISMS? Sikkerhed handler ikke kun om it forstået som teknik Implementering af informationssikkerhed kræver, at risici styres i relation til tilhørende fysiske, menneskelige og teknologiske trusler Risici skal adresseres Indførelse af et ISMS er en strategisk beslutning for forretningen Design af ISMS skal afspejle den eksterne og interne kontekst samt relevante interessenters sikkerhedsmæssige krav og forventninger ISMS er i sig selv grundlaget for sikring af organisationens informationsaktiver ISMS skal/bør integreres i den samlede styring af organisationen 25 2015 Deloitte

ISO/IEC 27001:2013 om scope 4.3 Bestemmelse af omfanget af ledelsessystemet for informationssikkerhed Organisationen skal fastlægge grænserne og anvendelsesmulighederne for ISMS for at fastslå dets omfang. Når omfanget fastlægges, skal organisationen tage følgende i betragtning: a) de eksterne og interne spørgsmål omtalt i 4.1 b) kravene omtalt i 4.2 og c) grænseflader og afhængigheder mellem de aktiviteter, der udføres af organisationen selv og dem, som udføres af andre organisationer Omfanget skal være tilgængeligt som dokumenteret information. 4.4 Ledelsessystem for informationssikkerhed - ISMS! Organisationen skal etablere, implementere, vedligeholde og løbende forbedre et ledelsessystem for informationssikkerhed i overensstemmelse med kravene i denne internationale standard. 26

Annex A Statement of Applicability (SoA) Ledelsesforankring 27

ISO/IEC 27001:2013 om lederskab 5.1 Lederskab og engagement Topledelsen skal udvise lederskab og engagement, hvad angår ledelsessystemet for informationssikkerhed ved at: a) sikre, at informationssikkerhedspolitikken og -målsætningerne er fastlagt og er kompatible med organisationens strategiske retning b) sikre, at kravene til ledelsessystemet for informationssikkerhed integreres i organisationens processer c) sikre, at de ressourcer, der behøves til ledelsessystemet for informationssikkerhed, er tilgængelige d) kommunikere betydningen af effektiv informationssikkerhedsledelse og efterlevelse af kravene til ledelsessystemet for informationssikkerhed e) sikre, at ledelsessystemet for informationssikkerhed opnår den eller de tilsigtede resultater f) lede og støtte personer i at bidrage til effektiviteten af-ledelsessystemet for informationssikkerhed g) fremme løbende forbedring og h) understøtte andre relevante ledelsesroller for at udvise lederskab alt efter ansvarsområde. 28

Annex A Statement of Applicability (SoA) Sikkerhedspolitik 29

Kært barn har mange navne og lidt religiøst Hvad er en politik? hvad er forskellen på en strategi, en politik, en procedure, et direktiv og en håndbog? Kort eller lang? Flere politikker - flere dokumenter vis struktur- rød tråd Husk målgruppen 30 2015 Deloitte

ISO/IEC 27001:2013 om informationssikkerhedspolitikker 5.2 Politik Topledelsen skal fastlægge en informationssikkerhedspolitik, som a) passer til organisationens formål b) omfatter målsætninger for informationssikkerhed (se 6.2) eller opstiller rammer for fastlæggelse af målsætninger for informationssikkerhed c) indeholder en forpligtelse til at opfylde relevante krav i relation til informationssikkerhed og d) indeholder en forpligtelse til løbende forbedring af ledelsessystemet for informationssikkerhed. Informationssikkerhedspolitikken skal: e) være tilgængelig som dokumenteret information f) kommunikeres internt i organisationen og g) være tilgængelig for interessenter, hvis hensigtsmæssigt. 31

Implementering Hvor skal der bruges ressourcer? Ledelse Område Afdeling Rammer Strategi Politik Hvad skal vi? SOA Risikovurdering GAP/Risikohåndtering Politikker To-do Processer Vejledninger Måling og intern opfølgning Hvad gør vi? Hvordan gør vi? 32 2015 Deloitte 32

Annex A Statement of Applicability (SoA) Leverandørstyring 33

Ingen direkte krav i 27001:2013 - Men relevante kontroller i Annex A A.15 Leverandørforhold A.15.1 Informationssikkerhed i leverandørforhold Formål: At beskytte de af organisationens aktiver, som leverandører har adgang til. A.15.1.1 Politik om informationssikkerhed vedrørende leverandørforhold Kontrol Der skal aftales og dokumenteres krav til informationssikkerhed med leverandøren for at mindske risici i forbindelse med leverandørens adgang til organisationens aktiver. A.15.1.2 Behandling af sikkerhed i leverandøraftaler Kontrol Der skal aftales og dokumenteres krav til informationssikkerhed med leverandøren for at mindske risici i forbindelse med leverandørens adgang til organisationens aktiver. A.15.1.3 Supply chain for informations- og kommunikationsteknol ogi Kontrol Aftaler med leverandører skal indeholde krav om at være opmærksom på de informationssikkerhedsrisici, der knytter sig til ydelser forbundet med informations- og kommunikationsteknologi samt produkternes supply chain. 34

Ingen direkte krav i 27001:2013 - Men relevante kontroller i Annex A 35

Trin i leverandørstyringsprocessen: BIA skabelon til risikovurdering af eksisterende og nye leverandører Udarbejdelse af bruttolise over sikkerhedskrav til leverandører samt metode til at prioritere krav baseret på risici Evaluering af leverandørens risici og sikkerhedsniveau Udarbejdelse af skriftlig aftale Idé om outsourcing, køb af ydelse, ny aftale Opfølgning på leverandørens overholdelse af krav eller genudbud Dataklassifikation, lov- og risikovurdering Opfølgning og vurdering af leverance Krav- Løbende opfølgning specifikation og styring Test, revisionserklæring mv. Vurdering og valg af leverandør Kontrakt, SLA mv. 2015 Deloitte 36

Annex A Statement of Applicability (SoA) It-beredskab 37

Kontroller i Annex A A.17 Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring A.17.1 Informationssikkerhedskontinuitet Formål: Informationssikkerhedsberedskabet skal være forankret i organisationens ledelsessystemer for beredskabsstyring. A.17.1.1 Kontrol Planlægning af informationssikkerhedsk Organisationen skal fastlægge krav til informationssikkerhed og informationssikkerhedskontinuitet i kritiske situationer, fx i tilfælde af en ontinuitet krise eller katastrofe. A.17.1.2 Kontrol Implementering af informationssikkerheds- Organisationen skal fastlægge, dokumentere, implementere og vedligeholde processer, procedurer og kontroller for at sikre den kontinuitet nødvendige informationssikkerhedskontinuitet i en kritisk situation. A.17.1.3 Verificer, gennemgå og evaluer informationssikkerhedskontinuitet A.17.2 Redundans Kontrol Organisationen skal verificere de etablerede og implementerede kontroller vedrørende informationssikkerhedskontinuiteten med jævne mellemrum med henblik på at sikre, at de er tidssvarende og effektive i kritiske situationer. Formål: At sikre tilgængelighed af informationsbehandlingsfaciliteter. A.17.2.1 Kontrol Tilgængelighed af informationsbehandlings Informationsbehandlingsfaciliteter skal implementeres med tilstrækkelig faciliteter redundans til at kunne imødekomme tilgængelighedskrav. 38

Overvågning, måling, analyse og evaluering (intern audit og ledelsens review) 39

Ledelsens gennemgang Metoder til overvågning, måling, analyse og evaluering Intern audit Auditprogram med auditkriterier Informationssikkerhedsprocesser Organisationens egne krav til ISMS Kontroller Kravene i ISO 27001:2013 Dokumentation af resultater af overvågning og måling Dokumentation af audit og auditresultater Ændringer i ekstern og intern kontekst Afvigelser og korrigerende handlinger Opfyldelse af målsætninger for informationssikkerhed Tilbagemeldinger fra interessenter Resultater af risikovurderingen Status for risikohåndtering (Sikkerhedshændelser) Muligheder for løbende forbedringer Løbende forbedringsmuligheder 40 Behov for ændringer i ISMS 2015 Deloitte

Kriminalforsorgens erfaringer med implementering af ISO27001 Oplæg Deloitte ISO 27001 Mandag den 23. november 2015 Mads Jespersen Leder af it-sikkerhedsenheden, Kriminalforsorgen www.kriminalforsorgen.dk

Kriminalforsorgen, Koncern-IT (IT-SIK) Kriminalforsorgens opgaver At fuldbyrde straf og medvirke til at begrænse kriminalitet Ansvaret for fængsler, arrester, pensioner og KiFafdelinger fx: Beskæftigelse og behandling af indsatte (varetægt, fængsel) Personundersøgelser af sigtede at administrere frihedsberøvelse efter udlændingeloven tilsyn med psykisk syge kriminelle, som får behandling i psykiatrien og drive Koncern-IT for Justitsministeriet 42

Kriminalforsorgen, Koncern-IT (IT-SIK) Kriminalforsorgens organisation Kriminalforsorgen har et personaleforbrug på cirka 4400 årsværk, der fordeler sig med Uniformeret personale (fængselsbetjente og værkmestre) 3175 årsværk Forsorg og undervisning 585 årsværk Sundhedspersonale 150 årsværk Ledelse og administration 675 årsværk Andre funktioner 240 årsværk 43

Kriminalforsorgen, Koncern-IT (IT-SIK) Opmærksomhed frabedes 44

Kriminalforsorgen, Koncern-IT (IT-SIK) Implementering af ISO 27001 i Justitsministeriets IT-Fællesskab December 2014 Statslige institutioner skal implementere ISO27001 45 December 2014 GAP-analyse udført i samarbejde med Deloitte Januar 2015 Udbud Af opgaven med at levere konsulentbist and til projektet Februar 2015 Juni 2016 Projekt igangsættes Implementering af ISO 27001 i Justitsministeriets ITFællesskab - Q1: Projektplan klar - Q2: Dokumentpakke - Q4: Implementering afsluttet

Kriminalforsorgen, Koncern-IT (IT-SIK) JIF Kriminalforsorgen JIFbestyrelsen Kriminalforsorgens Koncernledelse Partnerskaber Kriminalforsorgens IT Sikkerhedskomité IT Samarbejdsforum for JIF IT Sikkerhedsforum for JIF IT-SER (SIK-ADM) IT-SIK Koncern-IT

Kriminalforsorgen, Koncern-IT (IT-SIK) ISO27001-projektet i Kriminalforsorgen og JIF Kriminalforsorgens IT-sikkerhedsenhed og Deloitte styrer projektet Løbende Koordinering i JIF IT-samarbejdsforum & afrapportering i JIF-bestyrelsen 7 fastansatte og 3 Deloitte-konsulenter + de ansatte i de enkelte myndigheder 47

Kriminalforsorgen, Koncern-IT (IT-SIK) Hvem gør hvad? Koncern-IT i Kriminalforsorgen Uddannelse for IT-sikkerhedsansvarlige og -medarbejdere Skabeloner til informationssikkerhedspolitikker Teknisk sårbarhedsvurdering Implementering af Log Management System Myndighederne i Justitsministeriet Risikovurdering og -håndtering Tilpasning af politikker + konkretisering i procedurer, vejledninger mv. Implementering inkl. ledelsesforankring, awareness 48

Kriminalforsorgen, Koncern-IT (IT-SIK) Fuld skrue på risikovurdering, politikker og forankring Risikovurderinger Egne kritiske systemer er risikovurderet Plan for håndtering af risici på vej Tekniske sårbarhedsvurdering på 23 systemer (input til JIF Fællesskabet) I gangværende håndtering af identificerede tekniske sårbarheder Politikker 23 informationssikkerhedspolitikker klar til godkendelse Et ukendt antal underliggende processer, instrukser og vejledninger på vej Forankring Ledelse og organisation Formel forankring (ledelse) Ud i dagligdagen (awareness og levendegørelse i hverdagen) 49

IT-SIK, DfK Hvordan lærer vi lige medarbejdere om ISO27001? Deloitte afholder en kursusrække på 11 kurser om ISO27001 50 Emner ISO27001 Risikovurdering Risikohåndtering Leverandørstyring Klassifikation Beredskab Awareness ISMS Måling og audit Ledelsens evaluering

Kriminalforsorgen, Koncern-IT (IT-SIK) Vi udnytter tværfagligheden 51

IT-SIK, Df Kriminalforsorgen, Koncern-IT (IT-SIK) Hvordan bliver alt dette virkelighed? Kommunikation, kommunikation, kommunikation Sætte strøm til politikkerne og formidle Ledelsen går forrest En god beredskabstest giver god awareness IT-sikkerhedsenheden går på tværs i organisationen og synliggør værdien af ISO27001 Awareness til alle medarbejdere 52

Kriminalforsorgen, Koncern-IT (IT-SIK) Stor fokus på informationssikkerhed Informationssikkerhedskomité med direktør Johan Reimann for bordenden Informationssikkerhed bliver til et Princip Resultatkontrakter skal også fremover have informationssikkerhed på agendaen 53

Kriminalforsorgen, Koncern-IT (IT-SIK) Take aways 1. 2. 3. 4. 5. 54 Lokaliser de vigtigste forretningsprocesser Kortlæg jeres sikkerhedsniveau Forklar gevinsterne til ledelsen Pluk de lavthængende frugter Inddrag hele forretningen de skal gøre arbejdet!

Kriminalforsorgen, Koncern-IT (IT-SIK) Spørgsmål? 55

Pause 2015 Deloitte 56 56

10 skridt til at komme godt i gang med ISO27001:2013 Forundersøgelse research af kontekst Etabler ledelsesforankring Den ene vej etablere sikkerhedsorganisation, da opbakning er tilstede Den anden vej afhold trusselsworkshop Interessent analyse (internt og eksternt) herunder leverandører (krav og værdier), lovgivningskrav, eksisterende sikkerhedsudfordringer, hændelser mv. Kortlæg forretningsprocesser og it Forretningsmæssige og organisatoriske mål og processer Tilknyttede kritiske it-systemer og ansvarlige personer Kortlægning af data Kortlægning af data Identifikation af persondata privacy overvejelser Kommunikation og awareness Kommunikationsplan og awareness program Gennemfør aktiviteter Trusselsvurdering Vurdering af trusselsbillede inkl. beredskab Vurdering af relevans for forretningen og FIT Risikovurdering Konsekvens og sandsynlighedsvurdering for kritiske systemer og processer FIT Vurdering af sårbarheder Governance struktur Etablering af sikkerhedskomite Etablering af samarbejde til implementering af tiltag Risikohåndteringsplan Handlingsplan for prioriterede risici SOA dokument udarbejd og opdater Årsplan handlingsplan for næste forløb 2015 Deloitte GAP analyse ifht. ISO27001:2013 Konkret plan for næste periode Dette er for dem som ikke er gået i gang sådan helt for alvor 57

1. Forundersøgelse research af kontekst Interessent analyse: Internt ledelsesstruktur, mål og resultatplaner, forretningsprocesser og it. Nøglepersoner og ambassadører Eksternt - leverandører, lovgivningskrav, samarbejdsparter, kunder, brugere mv. Eksisterende sikkerhedsudfordringer, hændelser mv. Tidligere erfaringer med sikkerhedsstyring Andre ledelsessystemer Omfang af arbejdet 2015 Deloitte 58

2. Etabler ledelsesforankring Noget af det vigtigste og det sværeste Salgsarbejde hvilke argumenter kan bruges? To veje: Den ene vej etablere sikkerhedsorganisation, da opbakning er tilstede Den anden vej afhold trusselsworkshop og illustrer trusselsbilledet 2015 Deloitte 59

3. Kortlæg forretningsprocesser og it Hvordan løser I jeres opgaver og hvilke mål har I? Forretningsprocesser og mål Organisationen den formelle og den uformelle De kritiske it-systemer som understøtter processerne og systemerne Hvem er ansvarlige personer og kan de bruges i det videre arbejde Eksterne leverandører 2015 Deloitte 60

4. Kortlægning af data Hvilke data arbejder vi med i processer og it? Er de kritiske for vores forretning/mål? Ved vi hvor de er eller skal det kortlægges? Identifikation af persondata privacy overvejelser forordningen kommer Evt. tjek overholdelse af gældende persondatalovgivning 2015 Deloitte 61

5. Kommunikation og awareness Det kan være trin nr. 1, 2, 5 eller 10 - løbende Mennesker og handling er ca. 80% af sikkerheden it er kun ca. 20% Interne trusler bevidste eller ubevidste Hvilke budskaber vil vi kommunikere? Hvem skal vi kommunikere til og med? Lav kommunikationsplan og awareness program Kommuniker 2015 Deloitte 62

6. Trusselsvurdering Gennemfør trusselsvurdering hvad kan forårsage sikkerhedshændelser Find et trusselskatalog - ISO27005 + ENISA + cybertrusler+. Vurder modstandsdygtighed og beredskab Involver forretningen og lade dem vurdere relevans for forretningen Sæt trusler i relation til fortrolighed, integritet og tilgængelighed Udpeg evt. særligt udsatte processer og systemer 2015 Deloitte 63

7. Risikovurdering Gennemføres med it, forretning og. Gennemfør it-risikovurderingen konsekvens- og sandsynlighedsvurdering for FIT Kritiske systemer og/eller processer Inddrag trusselsvurderingen Vurdering af sårbarheder udpegning af områder til videre analyse 2015 Deloitte 64

8. Governance struktur Hvornår det sker er forskelligt pas på med at det sker for sent - etablering af sikkerhedskomite Bestå af forretning, HR, kommunikation, it, sikkerhed og ledelse Kommissorium og mødestruktur Myndighed ift. IT og referere til topledelse Godkender og sætter rammerne Arbejdsgrupper projektgrupper på de identificerede områder, hvor der skal gennemføres tiltag 2015 Deloitte 65

9. Risikohåndteringsplan Nogle risici er højere prioriteret end andre af forskellige årsager Nogle risici skal der laves handlingsplan for Vælg dem som I vil gøre noget ved andre lever I med dokumenter det Beskriv, vælg og implementer kontroller udarbejd eller opdater SOA dokumentet 2015 Deloitte 66

10. Årsplan handlingsplan for næste forløb Det stopper ikke nu er vi i gang Udarbejd GAP analyse ifht. ISO27001:2013 (digst.dk) og handlingsplan Konkret plan for næste periode hvad mangler hvad er næste skridt Der er et liv efter standarden er implementeret eller vi er certificeret 2015 Deloitte 1. periode 2. periode Næste periode 67

Frokost 2015 Deloitte 68

Om Deloitte Deloitte leverer ydelser indenfor Revision, Skat, Consulting og Financial Advisory til både offentlige og private virksomheder i en lang række brancher. Vores globale netværk med medlemsfirmaer i mere end 150 lande sikrer, at vi kan stille stærke kompetencer til rådighed og yde service af højeste kvalitet, når vi skal hjælpe vores kunder med at løse deres mest komplekse forretningsmæssige udfordringer. Deloittes ca. 200.000 medarbejdere arbejder målrettet efter at sætte den højeste standard. Deloitte Touche Tohmatsu Limited Deloitte er en betegnelse for Deloitte Touche Tohmatsu Limited, der er et britisk selskab med begrænset ansvar, og dets netværk af medlemsfirmaer. Hvert medlemsfirma udgør en separat og uafhængig juridisk enhed. Vi henviser til www.deloitte.com/about for en udførlig beskrivelse af den juridiske struktur i Deloitte Touche Tohmatsu Limited og dets medlemsfirmaer.

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback