ISO27001 seminar Kom godt i gang Charlotte Pedersen 23. november 2015
Program Kl. 9.00 Velkomst Kl. 9.05 Introduktion til ISO27001 på en praktisk måde Kl. 10.00 ISO27001 kundeerfaring, Enhedsleder for it-sikkerhedsenheden, Direktoratet for Kriminalforsorgen, Mads Jespersen Kl. 10.30 Pause Kl. 10.45 10 trin på vejen til ISO27001 - workshop Kl. 12.00 Sandwich og netværk 2015 Deloitte 2 2
Præsentation Charlotte Pedersen Director Cand.scient.pol. CIS LA, CIS 2013 UP, CIIP, CISM, CRISC, CGEIT, G31000 mv. Medlem af S411 hos Dansk Standard Cyber Risk Services Telefon: 20 85 35 42 Mail: cpedersen@deloitte.dk Kernekompetencer: Cyber Security Management sikkerhedsledelse, risikoanalyse, politik, governance Privacy analyse, strategi og rapportering vedr. personoplysninger Risikoledelse og -styring, mål- og resultatstyring Proces- og implementeringskonsulent Kommunikation og awarenessaktiviteter Projektledelse - forandringsledelse Deloitte Security Management team mit fundament nogle af dem er her i dag 3 2015 Deloitte
ISO - agenda Præsentation ISO 27000-familien ISO 27001:2013 Risikovurdering Risikohåndtering og ISO27002:2014 ISMS Ledelsesforankring Politik Leverandørstyring It-beredskab Overvågning, måling, analyse og evaluering (intern audit og ledelsens review) 4
ISO 27000-familien 5
Nøglestandarderne ISO/IEC 27000 Information security management systems Overview and vocabulary ISO/IEC 27001 Information security management systems Requirements ISO/IEC 27002 Code of practice for information security management ISO/IEC 27003 Information security management system implementation guidance ISO/IEC 27004 Information security management Measurement ISO/IEC 27005 Information security risk management ISO/IEC 27006 Requirements for bodies providing audit and certification of information security management systems ISO/IEC 27007 Guidelines for information security management systems auditing (focused on the management system) ISO27001 er den der kan certificeres efter - er en ledelsesstandard 6 2015 Deloitte
7
ISO 27001:2013 8
Formål med revision af ISO27001:2005 Revisionen af ISO27001 skal ses i sammenhæng med streamlining af hele rækken af ledelsesstandarder Ny generation af standarder for ledelsessystemer. Same procedure standardprocedure for standarder: efter 5 år tages de op til review med henblik på: 1) bekræftelse, 2) revision, 3) tilbagekaldelse Grundlag for revision: udgangspunkt i gennemført analyse af status og rundspørge blandt brugere af standarden i 2008/2009: sikre standardens aktualitet og brugbarhed imødekomme feedback fra interessenter mht. anvendelse og effektivitet af ledelsessystemet i markedet og i forbindelse med certificering sikre overensstemmelse med næste generations standarder for ledelsessystemer 9
Overblik over ISO27001:2013 Der er nye krav i standarden og nogle af kravene i ISO27001:2005 er blevet modificeret eller slettet. Annex A referencekontrolmål og kontroller er tilpasset, så de er i overensstemmelse med ISO27002:2013. ISO27001 rammer for risikostyring nu i overensstemmelse med ISO31000. Risikostyring - ingen krav som tidligere til at identificere risici som identifikation af aktiver, trusler og sårbarheder det er muligt at anvende alternative metoder, som har vist sig lige så gode til at identificere, analysere og vurdere risici. Det med kravene i SoA er grundlæggende set det samme som tidligere men man skal ikke længere vælge kontroller fra Annex A. Man skal beslutte nødvendige kontroller til håndtering af risici og sammenligne disse med Annex A for at sikre, at man ikke har overset vigtige kontroller. Forebyggende handlinger - er helt slettet i den nye version det er underforstået, at forebyggende handlinger indgår mere eller mindre over det hele. Ingen beskrivelse af PLAN-DO-CHECK-ACT. 10
ISO27001 processer og opgaver 2015 Deloitte 11
12
Annex A Statement of Applicability (SoA) It-risikoanalyse, -vurdering og -håndtering 13
Risikovurdering ISO27001:2013 - Intet krav om risikovurdering med udgangspunkt i vurdering af aktiver - Overordnet risikovurdering ud fra kritiske processer vs. Systemvurdering. - Intet krav om vurdering af trusler og sårbarheder men heller ikke noget forbud mod at gøre det! Derimod vurdering af årsager. - Muligheder for at vælge en hvilken som helst metode/proces til at gennemføre risikovurderinger - Standarden introducerer risk owner, men aktivejer spiller stadig en rolle Kriterier for risici - Typer af årsager og konsekvenser - og hvordan de kan vurderes - Definition af sandsynlighed - Fastlæggelse af risikoniveau accept af risiko - Interessenters holdninger - Niveau for, hvornår risici kan accepteres - 14Om kombinationer af risici skal tages i betragtning 2015 Deloitte
ISO/IEC 27005 om risikovurdering Risikovurderinger skal gennemføres med planlagte intervaller og i forbindelse med væsentlige ændringer. Processen for risikovurdering skal løbende revurderes 15 2015 Deloitte
Risikoprofil 16
Trusselsvurdering og sandsynlighedsvurdering Trusselsvurdering Hvilke trusler fra trusselskataloget er aktuelle i forhold til jeres kritiske aktiver og eksisterende sårbarheder i kontrollerne? Sandsynlighedsvurdering Hvad er sandsynligheden for, at en trussel udnytter en sårbarhed Informationssikkerhedstrusler Ondsindede mennesker Hacker It-kriminelle Terrorister Spionage Menneskelige fejl Afskedigede, ondsindede, uærlige mm. medarbejdere Misbrug af rettigheder Benægtelse af handlinger Kompromittering af funktioner Brugerfejl (mangelfuld træning) Personafhængighed Tab af kritiske services Forsyningssvigt el/ telekommunikation Nedbrud af køling Fysisk skade Naturkatastrofer Klimatiske fænomener Oversvømmelse Brand Vandskade Forurening Ødelæggelse af udstyr Større ulykker Tekniske fejl Fejl i udstyr Overbelastning Softwarefejl Manglende vedligeholdelse 2015 Deloitte 17
Annex A Statement of Applicability (SoA) Risikohåndtering og ISO27002:2014 Annex A Statement of Applicability, SoA 18
Håndtering af de mest kritiske risici 19
ISO/IEC 27001 om informationssikkerhedsrisici 6.1.3 Håndtering af informationssikkerhedsrisici Organisationen skal definere og anvende en proces til håndtering af informationssikkerhedsrisici for at: a) udvælge passende muligheder for håndtering af informationssikkerheds-risici ved at tage højde for resultaterne af risikovurderingen b) fastlægge alle de kontroller, som er nødvendige for at implementere den eller de valgte muligheder for håndtering af informationssikkerhedsrisici c) sammenligne de kontroller, som er fastlagt som nødvendige med kontrollerne i Annex A og sikre, at ingen nødvendige kontroller er udeladt d) tilvejebringe et Statement of Applicability, som indeholder de nødvendige kontroller og begrundelse for, hvorfor nogle kontroller er medtaget, hvad enten de er implementeret eller ej, samt begrundelse for, hvorfor andre er udeladt e) udarbejde en plan for håndtering af informationssikkerhedsrisici og f) indhente risikoejernes godkendelse af planen for håndtering af informationssikkerhedsrisici og accept af resterende informationssikkerhedsrisici. 20 2015 Deloitte
ISO/IEC 27001 om Annex A Referencekontrolmål og kontroller!!!! Annex A er et referencebilag!!! Vejledning i ISO27002:2014 A.5 Informationssikkerhedspolitikker (2) A.6 Organisering af informationssikkerhed (7) A.7 Personalesikkerhed (6) A.8 Styring af aktiver (10) A.9 Adgangsstyring (14) A.10 Kryptografi (2) A.11 Fysisk sikring og miljøsikring (15) A.12 Driftssikkerhed (14) A.13 Kommunikationssikkerhed (7) A.14 Anskaffelse, udvikling og vedligeholdelse af systemer (13) A.15 Leverandørforhold (5) A.16 Styring af informationssikkerhedsbrud (7) A.17 Informationssikkerhedsaspekter ved beredskabsstyring (4) A.18 Overensstemmelse (8) 21 (= 14 kontrolområder = 114 kontroller) 2015 Deloitte
22
ISMS Informations Security Management System 23
ISMS - centrale begreber Ledelsessystem - rammer for retningslinjer, politikker, procedurer, processer og tilhørende ressourcer, som skal sikre, at en organisation opfylder sine målsætninger. Ledelsessystem for informationssikkerhed ISMS del af det samlede ledelsessystem. Med udgangspunkt i forretningsmæssige risici dækker ISMSet etablering, implementering, drift, overvågning, gennemgang, vedligeholdelse og forbedring af informationssikkerhed. (NOTE - Ledelsessystemet omfatter organisationsstruktur, politikker, planlægningsaktiviteter, ansvar og roller, praksis, procedurer, processer og ressourcer. 24 2015 Deloitte
Hvorfor er det vigtigt med et ISMS? Sikkerhed handler ikke kun om it forstået som teknik Implementering af informationssikkerhed kræver, at risici styres i relation til tilhørende fysiske, menneskelige og teknologiske trusler Risici skal adresseres Indførelse af et ISMS er en strategisk beslutning for forretningen Design af ISMS skal afspejle den eksterne og interne kontekst samt relevante interessenters sikkerhedsmæssige krav og forventninger ISMS er i sig selv grundlaget for sikring af organisationens informationsaktiver ISMS skal/bør integreres i den samlede styring af organisationen 25 2015 Deloitte
ISO/IEC 27001:2013 om scope 4.3 Bestemmelse af omfanget af ledelsessystemet for informationssikkerhed Organisationen skal fastlægge grænserne og anvendelsesmulighederne for ISMS for at fastslå dets omfang. Når omfanget fastlægges, skal organisationen tage følgende i betragtning: a) de eksterne og interne spørgsmål omtalt i 4.1 b) kravene omtalt i 4.2 og c) grænseflader og afhængigheder mellem de aktiviteter, der udføres af organisationen selv og dem, som udføres af andre organisationer Omfanget skal være tilgængeligt som dokumenteret information. 4.4 Ledelsessystem for informationssikkerhed - ISMS! Organisationen skal etablere, implementere, vedligeholde og løbende forbedre et ledelsessystem for informationssikkerhed i overensstemmelse med kravene i denne internationale standard. 26
Annex A Statement of Applicability (SoA) Ledelsesforankring 27
ISO/IEC 27001:2013 om lederskab 5.1 Lederskab og engagement Topledelsen skal udvise lederskab og engagement, hvad angår ledelsessystemet for informationssikkerhed ved at: a) sikre, at informationssikkerhedspolitikken og -målsætningerne er fastlagt og er kompatible med organisationens strategiske retning b) sikre, at kravene til ledelsessystemet for informationssikkerhed integreres i organisationens processer c) sikre, at de ressourcer, der behøves til ledelsessystemet for informationssikkerhed, er tilgængelige d) kommunikere betydningen af effektiv informationssikkerhedsledelse og efterlevelse af kravene til ledelsessystemet for informationssikkerhed e) sikre, at ledelsessystemet for informationssikkerhed opnår den eller de tilsigtede resultater f) lede og støtte personer i at bidrage til effektiviteten af-ledelsessystemet for informationssikkerhed g) fremme løbende forbedring og h) understøtte andre relevante ledelsesroller for at udvise lederskab alt efter ansvarsområde. 28
Annex A Statement of Applicability (SoA) Sikkerhedspolitik 29
Kært barn har mange navne og lidt religiøst Hvad er en politik? hvad er forskellen på en strategi, en politik, en procedure, et direktiv og en håndbog? Kort eller lang? Flere politikker - flere dokumenter vis struktur- rød tråd Husk målgruppen 30 2015 Deloitte
ISO/IEC 27001:2013 om informationssikkerhedspolitikker 5.2 Politik Topledelsen skal fastlægge en informationssikkerhedspolitik, som a) passer til organisationens formål b) omfatter målsætninger for informationssikkerhed (se 6.2) eller opstiller rammer for fastlæggelse af målsætninger for informationssikkerhed c) indeholder en forpligtelse til at opfylde relevante krav i relation til informationssikkerhed og d) indeholder en forpligtelse til løbende forbedring af ledelsessystemet for informationssikkerhed. Informationssikkerhedspolitikken skal: e) være tilgængelig som dokumenteret information f) kommunikeres internt i organisationen og g) være tilgængelig for interessenter, hvis hensigtsmæssigt. 31
Implementering Hvor skal der bruges ressourcer? Ledelse Område Afdeling Rammer Strategi Politik Hvad skal vi? SOA Risikovurdering GAP/Risikohåndtering Politikker To-do Processer Vejledninger Måling og intern opfølgning Hvad gør vi? Hvordan gør vi? 32 2015 Deloitte 32
Annex A Statement of Applicability (SoA) Leverandørstyring 33
Ingen direkte krav i 27001:2013 - Men relevante kontroller i Annex A A.15 Leverandørforhold A.15.1 Informationssikkerhed i leverandørforhold Formål: At beskytte de af organisationens aktiver, som leverandører har adgang til. A.15.1.1 Politik om informationssikkerhed vedrørende leverandørforhold Kontrol Der skal aftales og dokumenteres krav til informationssikkerhed med leverandøren for at mindske risici i forbindelse med leverandørens adgang til organisationens aktiver. A.15.1.2 Behandling af sikkerhed i leverandøraftaler Kontrol Der skal aftales og dokumenteres krav til informationssikkerhed med leverandøren for at mindske risici i forbindelse med leverandørens adgang til organisationens aktiver. A.15.1.3 Supply chain for informations- og kommunikationsteknol ogi Kontrol Aftaler med leverandører skal indeholde krav om at være opmærksom på de informationssikkerhedsrisici, der knytter sig til ydelser forbundet med informations- og kommunikationsteknologi samt produkternes supply chain. 34
Ingen direkte krav i 27001:2013 - Men relevante kontroller i Annex A 35
Trin i leverandørstyringsprocessen: BIA skabelon til risikovurdering af eksisterende og nye leverandører Udarbejdelse af bruttolise over sikkerhedskrav til leverandører samt metode til at prioritere krav baseret på risici Evaluering af leverandørens risici og sikkerhedsniveau Udarbejdelse af skriftlig aftale Idé om outsourcing, køb af ydelse, ny aftale Opfølgning på leverandørens overholdelse af krav eller genudbud Dataklassifikation, lov- og risikovurdering Opfølgning og vurdering af leverance Krav- Løbende opfølgning specifikation og styring Test, revisionserklæring mv. Vurdering og valg af leverandør Kontrakt, SLA mv. 2015 Deloitte 36
Annex A Statement of Applicability (SoA) It-beredskab 37
Kontroller i Annex A A.17 Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring A.17.1 Informationssikkerhedskontinuitet Formål: Informationssikkerhedsberedskabet skal være forankret i organisationens ledelsessystemer for beredskabsstyring. A.17.1.1 Kontrol Planlægning af informationssikkerhedsk Organisationen skal fastlægge krav til informationssikkerhed og informationssikkerhedskontinuitet i kritiske situationer, fx i tilfælde af en ontinuitet krise eller katastrofe. A.17.1.2 Kontrol Implementering af informationssikkerheds- Organisationen skal fastlægge, dokumentere, implementere og vedligeholde processer, procedurer og kontroller for at sikre den kontinuitet nødvendige informationssikkerhedskontinuitet i en kritisk situation. A.17.1.3 Verificer, gennemgå og evaluer informationssikkerhedskontinuitet A.17.2 Redundans Kontrol Organisationen skal verificere de etablerede og implementerede kontroller vedrørende informationssikkerhedskontinuiteten med jævne mellemrum med henblik på at sikre, at de er tidssvarende og effektive i kritiske situationer. Formål: At sikre tilgængelighed af informationsbehandlingsfaciliteter. A.17.2.1 Kontrol Tilgængelighed af informationsbehandlings Informationsbehandlingsfaciliteter skal implementeres med tilstrækkelig faciliteter redundans til at kunne imødekomme tilgængelighedskrav. 38
Overvågning, måling, analyse og evaluering (intern audit og ledelsens review) 39
Ledelsens gennemgang Metoder til overvågning, måling, analyse og evaluering Intern audit Auditprogram med auditkriterier Informationssikkerhedsprocesser Organisationens egne krav til ISMS Kontroller Kravene i ISO 27001:2013 Dokumentation af resultater af overvågning og måling Dokumentation af audit og auditresultater Ændringer i ekstern og intern kontekst Afvigelser og korrigerende handlinger Opfyldelse af målsætninger for informationssikkerhed Tilbagemeldinger fra interessenter Resultater af risikovurderingen Status for risikohåndtering (Sikkerhedshændelser) Muligheder for løbende forbedringer Løbende forbedringsmuligheder 40 Behov for ændringer i ISMS 2015 Deloitte
Kriminalforsorgens erfaringer med implementering af ISO27001 Oplæg Deloitte ISO 27001 Mandag den 23. november 2015 Mads Jespersen Leder af it-sikkerhedsenheden, Kriminalforsorgen www.kriminalforsorgen.dk
Kriminalforsorgen, Koncern-IT (IT-SIK) Kriminalforsorgens opgaver At fuldbyrde straf og medvirke til at begrænse kriminalitet Ansvaret for fængsler, arrester, pensioner og KiFafdelinger fx: Beskæftigelse og behandling af indsatte (varetægt, fængsel) Personundersøgelser af sigtede at administrere frihedsberøvelse efter udlændingeloven tilsyn med psykisk syge kriminelle, som får behandling i psykiatrien og drive Koncern-IT for Justitsministeriet 42
Kriminalforsorgen, Koncern-IT (IT-SIK) Kriminalforsorgens organisation Kriminalforsorgen har et personaleforbrug på cirka 4400 årsværk, der fordeler sig med Uniformeret personale (fængselsbetjente og værkmestre) 3175 årsværk Forsorg og undervisning 585 årsværk Sundhedspersonale 150 årsværk Ledelse og administration 675 årsværk Andre funktioner 240 årsværk 43
Kriminalforsorgen, Koncern-IT (IT-SIK) Opmærksomhed frabedes 44
Kriminalforsorgen, Koncern-IT (IT-SIK) Implementering af ISO 27001 i Justitsministeriets IT-Fællesskab December 2014 Statslige institutioner skal implementere ISO27001 45 December 2014 GAP-analyse udført i samarbejde med Deloitte Januar 2015 Udbud Af opgaven med at levere konsulentbist and til projektet Februar 2015 Juni 2016 Projekt igangsættes Implementering af ISO 27001 i Justitsministeriets ITFællesskab - Q1: Projektplan klar - Q2: Dokumentpakke - Q4: Implementering afsluttet
Kriminalforsorgen, Koncern-IT (IT-SIK) JIF Kriminalforsorgen JIFbestyrelsen Kriminalforsorgens Koncernledelse Partnerskaber Kriminalforsorgens IT Sikkerhedskomité IT Samarbejdsforum for JIF IT Sikkerhedsforum for JIF IT-SER (SIK-ADM) IT-SIK Koncern-IT
Kriminalforsorgen, Koncern-IT (IT-SIK) ISO27001-projektet i Kriminalforsorgen og JIF Kriminalforsorgens IT-sikkerhedsenhed og Deloitte styrer projektet Løbende Koordinering i JIF IT-samarbejdsforum & afrapportering i JIF-bestyrelsen 7 fastansatte og 3 Deloitte-konsulenter + de ansatte i de enkelte myndigheder 47
Kriminalforsorgen, Koncern-IT (IT-SIK) Hvem gør hvad? Koncern-IT i Kriminalforsorgen Uddannelse for IT-sikkerhedsansvarlige og -medarbejdere Skabeloner til informationssikkerhedspolitikker Teknisk sårbarhedsvurdering Implementering af Log Management System Myndighederne i Justitsministeriet Risikovurdering og -håndtering Tilpasning af politikker + konkretisering i procedurer, vejledninger mv. Implementering inkl. ledelsesforankring, awareness 48
Kriminalforsorgen, Koncern-IT (IT-SIK) Fuld skrue på risikovurdering, politikker og forankring Risikovurderinger Egne kritiske systemer er risikovurderet Plan for håndtering af risici på vej Tekniske sårbarhedsvurdering på 23 systemer (input til JIF Fællesskabet) I gangværende håndtering af identificerede tekniske sårbarheder Politikker 23 informationssikkerhedspolitikker klar til godkendelse Et ukendt antal underliggende processer, instrukser og vejledninger på vej Forankring Ledelse og organisation Formel forankring (ledelse) Ud i dagligdagen (awareness og levendegørelse i hverdagen) 49
IT-SIK, DfK Hvordan lærer vi lige medarbejdere om ISO27001? Deloitte afholder en kursusrække på 11 kurser om ISO27001 50 Emner ISO27001 Risikovurdering Risikohåndtering Leverandørstyring Klassifikation Beredskab Awareness ISMS Måling og audit Ledelsens evaluering
Kriminalforsorgen, Koncern-IT (IT-SIK) Vi udnytter tværfagligheden 51
IT-SIK, Df Kriminalforsorgen, Koncern-IT (IT-SIK) Hvordan bliver alt dette virkelighed? Kommunikation, kommunikation, kommunikation Sætte strøm til politikkerne og formidle Ledelsen går forrest En god beredskabstest giver god awareness IT-sikkerhedsenheden går på tværs i organisationen og synliggør værdien af ISO27001 Awareness til alle medarbejdere 52
Kriminalforsorgen, Koncern-IT (IT-SIK) Stor fokus på informationssikkerhed Informationssikkerhedskomité med direktør Johan Reimann for bordenden Informationssikkerhed bliver til et Princip Resultatkontrakter skal også fremover have informationssikkerhed på agendaen 53
Kriminalforsorgen, Koncern-IT (IT-SIK) Take aways 1. 2. 3. 4. 5. 54 Lokaliser de vigtigste forretningsprocesser Kortlæg jeres sikkerhedsniveau Forklar gevinsterne til ledelsen Pluk de lavthængende frugter Inddrag hele forretningen de skal gøre arbejdet!
Kriminalforsorgen, Koncern-IT (IT-SIK) Spørgsmål? 55
Pause 2015 Deloitte 56 56
10 skridt til at komme godt i gang med ISO27001:2013 Forundersøgelse research af kontekst Etabler ledelsesforankring Den ene vej etablere sikkerhedsorganisation, da opbakning er tilstede Den anden vej afhold trusselsworkshop Interessent analyse (internt og eksternt) herunder leverandører (krav og værdier), lovgivningskrav, eksisterende sikkerhedsudfordringer, hændelser mv. Kortlæg forretningsprocesser og it Forretningsmæssige og organisatoriske mål og processer Tilknyttede kritiske it-systemer og ansvarlige personer Kortlægning af data Kortlægning af data Identifikation af persondata privacy overvejelser Kommunikation og awareness Kommunikationsplan og awareness program Gennemfør aktiviteter Trusselsvurdering Vurdering af trusselsbillede inkl. beredskab Vurdering af relevans for forretningen og FIT Risikovurdering Konsekvens og sandsynlighedsvurdering for kritiske systemer og processer FIT Vurdering af sårbarheder Governance struktur Etablering af sikkerhedskomite Etablering af samarbejde til implementering af tiltag Risikohåndteringsplan Handlingsplan for prioriterede risici SOA dokument udarbejd og opdater Årsplan handlingsplan for næste forløb 2015 Deloitte GAP analyse ifht. ISO27001:2013 Konkret plan for næste periode Dette er for dem som ikke er gået i gang sådan helt for alvor 57
1. Forundersøgelse research af kontekst Interessent analyse: Internt ledelsesstruktur, mål og resultatplaner, forretningsprocesser og it. Nøglepersoner og ambassadører Eksternt - leverandører, lovgivningskrav, samarbejdsparter, kunder, brugere mv. Eksisterende sikkerhedsudfordringer, hændelser mv. Tidligere erfaringer med sikkerhedsstyring Andre ledelsessystemer Omfang af arbejdet 2015 Deloitte 58
2. Etabler ledelsesforankring Noget af det vigtigste og det sværeste Salgsarbejde hvilke argumenter kan bruges? To veje: Den ene vej etablere sikkerhedsorganisation, da opbakning er tilstede Den anden vej afhold trusselsworkshop og illustrer trusselsbilledet 2015 Deloitte 59
3. Kortlæg forretningsprocesser og it Hvordan løser I jeres opgaver og hvilke mål har I? Forretningsprocesser og mål Organisationen den formelle og den uformelle De kritiske it-systemer som understøtter processerne og systemerne Hvem er ansvarlige personer og kan de bruges i det videre arbejde Eksterne leverandører 2015 Deloitte 60
4. Kortlægning af data Hvilke data arbejder vi med i processer og it? Er de kritiske for vores forretning/mål? Ved vi hvor de er eller skal det kortlægges? Identifikation af persondata privacy overvejelser forordningen kommer Evt. tjek overholdelse af gældende persondatalovgivning 2015 Deloitte 61
5. Kommunikation og awareness Det kan være trin nr. 1, 2, 5 eller 10 - løbende Mennesker og handling er ca. 80% af sikkerheden it er kun ca. 20% Interne trusler bevidste eller ubevidste Hvilke budskaber vil vi kommunikere? Hvem skal vi kommunikere til og med? Lav kommunikationsplan og awareness program Kommuniker 2015 Deloitte 62
6. Trusselsvurdering Gennemfør trusselsvurdering hvad kan forårsage sikkerhedshændelser Find et trusselskatalog - ISO27005 + ENISA + cybertrusler+. Vurder modstandsdygtighed og beredskab Involver forretningen og lade dem vurdere relevans for forretningen Sæt trusler i relation til fortrolighed, integritet og tilgængelighed Udpeg evt. særligt udsatte processer og systemer 2015 Deloitte 63
7. Risikovurdering Gennemføres med it, forretning og. Gennemfør it-risikovurderingen konsekvens- og sandsynlighedsvurdering for FIT Kritiske systemer og/eller processer Inddrag trusselsvurderingen Vurdering af sårbarheder udpegning af områder til videre analyse 2015 Deloitte 64
8. Governance struktur Hvornår det sker er forskelligt pas på med at det sker for sent - etablering af sikkerhedskomite Bestå af forretning, HR, kommunikation, it, sikkerhed og ledelse Kommissorium og mødestruktur Myndighed ift. IT og referere til topledelse Godkender og sætter rammerne Arbejdsgrupper projektgrupper på de identificerede områder, hvor der skal gennemføres tiltag 2015 Deloitte 65
9. Risikohåndteringsplan Nogle risici er højere prioriteret end andre af forskellige årsager Nogle risici skal der laves handlingsplan for Vælg dem som I vil gøre noget ved andre lever I med dokumenter det Beskriv, vælg og implementer kontroller udarbejd eller opdater SOA dokumentet 2015 Deloitte 66
10. Årsplan handlingsplan for næste forløb Det stopper ikke nu er vi i gang Udarbejd GAP analyse ifht. ISO27001:2013 (digst.dk) og handlingsplan Konkret plan for næste periode hvad mangler hvad er næste skridt Der er et liv efter standarden er implementeret eller vi er certificeret 2015 Deloitte 1. periode 2. periode Næste periode 67
Frokost 2015 Deloitte 68
Om Deloitte Deloitte leverer ydelser indenfor Revision, Skat, Consulting og Financial Advisory til både offentlige og private virksomheder i en lang række brancher. Vores globale netværk med medlemsfirmaer i mere end 150 lande sikrer, at vi kan stille stærke kompetencer til rådighed og yde service af højeste kvalitet, når vi skal hjælpe vores kunder med at løse deres mest komplekse forretningsmæssige udfordringer. Deloittes ca. 200.000 medarbejdere arbejder målrettet efter at sætte den højeste standard. Deloitte Touche Tohmatsu Limited Deloitte er en betegnelse for Deloitte Touche Tohmatsu Limited, der er et britisk selskab med begrænset ansvar, og dets netværk af medlemsfirmaer. Hvert medlemsfirma udgør en separat og uafhængig juridisk enhed. Vi henviser til www.deloitte.com/about for en udførlig beskrivelse af den juridiske struktur i Deloitte Touche Tohmatsu Limited og dets medlemsfirmaer.