Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Relaterede dokumenter
Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Jyske Bank Politik for It sikkerhed

Kursus: Ledelse af it- sikkerhed

Sådan udvikler I en Statement of Applicability i henhold til ISO 27001:2013

IT risici og compliance. Hvad driver mig? Det gode råd med på vejen?

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Sikkerhed og Revision 2015

Faxe Kommune. informationssikkerhedspolitik

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

Lovtidende A 2010 Udgivet den 22. december 2010

Bekendtgørelse om ledelse og styring af Lønmodtagernes Dyrtidsfond

Lovtidende A 2010 Udgivet den 22. december 2010

Bekendtgørelse om ledelse og styring af Lønmodtagernes Dyrtidsfond

Fra DS 484 til ISO 27001

Bekendtgørelse om ledelse og styring af Lønmodtagernes Dyrtidsfond

God it-sikkerhed i kommuner

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

ISO 27001/27002:2013 i SecureAware Policy TNG

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Erfaringer fra innføring av ISO i danske kommuner (styringssystem for informasjonssikkerhet)

Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.

Præsentation af Curanets sikringsmiljø

Struktureret Compliance

Informationssikkerhedspolitik for Horsens Kommune

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

Bekendtgørelse om ledelse og styring af Arbejdsmarkedets Tillægspension

It-sikkerhedspolitik for Farsø Varmeværk

DE 4 NØGLEFUNKTIONER UNDER SOLVENS II A PUBLICATION BY FCG THE FINANCIAL COMPLIANCE GROUP

Informationssikkerhed Version

ANALYSE Informationssikkerhed blandt DI s medlemmer

Ministerialtidende Udgivet den 13. maj Vejledning til bekendtgørelse om outsourcing af væsentlige aktivitetsområder

Fællesregional Informationssikkerhedspolitik

IT-sikkerhedspolitik S i d e 1 9

Ledelsesbekendtgørelsen

Region Hovedstadens Ramme for Informationssikkerhed

It-revision af Sundhedsdatanettet januar 2016

Assens Kommune Sikkerhedspolitik for it, data og information

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Høring over bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

It-sikkerhedspolitik for Københavns Kommune

SecureAware Compliance Analysis Manual

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87

Informationssikkerhedspolitik

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Guide til SoA-dokumentet - Statement of Applicability. August 2014

Hvor meget fylder IT i danske bestyrelser. 7. september 2012 Torben Nielsen

Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]

PSYKIATRIFONDENS Informationssikkerhedspolitik

Informationssikkerhedspolitik. Frederiksberg Kommune

IT-sikkerhedspolitik for

SecureAware Workflow TNG

Overordnet It-sikkerhedspolitik

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

Organisering og styring af informationssikkerhed. I Odder Kommune

Manualen beskriver brugen af SecureAware version og senere versioner Dokument opdateret: June 2015

KOMBIT sikkerhedspolitik

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

IT-SIKKERHEDSPOLITIK UDKAST

Vejledning til evaluering af bestyrelsens viden og erfaring i firmapensionskasser

Revisionskomitéen. Under udførelsen af udvalgets opgaver skal udvalget opretholde et effektivt samarbejde med bestyrelse, ledelse og revisorer.

Procesoptimering og Ledelsessystemer

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Informationssikkerhedspolitik. for Aalborg Kommune

Kl Indledning v. Lone Strøm, Rigsrevisor

Hvad er væsentligt for et IT- tilsyn med ambitioner? Sikkerhed og Revision 2013 Stream B Governance, Risk og Compliance

Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk

Nr juli Vegleiðing til kunngerð um útveiting av týðandi virkisøkjum

Fællesregional Informationssikkerhedspolitik

Overholdelsen af hvidvaskreglerne skal være bedre. Finanstilsynet Den 8. maj 2019

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

MedComs informationssikkerhedspolitik. Version 2.2

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

frcewtfrhousf(wpers ml

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

ITEK og Dansk Industris vejledning om betalingskortsikkerhed

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

Andersen & Martini A/S

Vejledning i informationssikkerhedspolitik. Februar 2015

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm

Politik <dato> <J.nr.>

Modenhed og sikkerhed hos databehandlere Charlotte Pedersen

Procedure for tilsyn af databehandleraftale

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

Lovtidende A 2010 Udgivet den 22. december 2010

Risikostyring ifølge ISO27005 v. Klaus Kongsted

serien og nyheder i ISO og ISO 27002

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

SecureAware Opfølgning Manual

EU-udbud af Beskæftigelsessystem og ESDHsystem

Årshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.

ITA-konferencen Projektchef: Martin Pedersen. Sikkerhed fra vugge til grav

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Notat om ændringer af bestemmelserne om ledelse og styring af finansielle virksomheder - L 175

Politik for Informationssikkerhed i Arbejdsmarkedets Tillægspension

Krav til bestyrelsens viden og erfaring i livsforsikringsselskaber og pensionskasser

Bilag til dagsordenspunkt "Revisionsberetninger for regnskabsåret 2015"

Transkript:

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget går galt. Ledelsesbekendtgørelsens bilag 5 omkring it-sikkerhed kræver, at det er direktionen, der er ansvarlig for og skal påse at bekendtgørelsen efterleves. Denne vejledning gennemgår, hvordan dette kan gøres i praksis. 2015 Neupart 1

Kan du sætte flueben ved følgende: 1. Vores it-sikkerhedspolitik bliver efterlevet 2. Der er sammenhæng mellem de forskellige elementer i informationssikkerheden 3. Der er tilstrækkelig funktionsadskillelse 4. Driften, herunder outsourcing, er tilstrækkeligt sikret og overvåget 5. Der foretages jævnlige risikovurderinger 6. Beredskabsplanerne er ajourførte og afprøvede 7. Den almene it-viden er på det rigtige niveau og vedligeholdes løbende Disse udsagn er alle elementer i en it-organisations opgaver og samtidig en del af den bekendtgørelse, som Finanstilsynet håndhæver. Vi vil i det efterfølgende tage udgangspunkt i ovenstående udsagn da det er her, man skal være ekstra opmærksom. Vejledningen refererer til Finanstilsynets ledelses- og outsourcingbekendtgørelser og bringer også uddrag i de blå bokse. Du finder sidst i dokumentet under referencer en beskrivelse af, hvor du finder bekendtgørelserne i deres fulde længde. 2015 Neupart 2

1. Vores it-sikkerhedspolitik bliver efterlevet Finanstilsynets bekendtgørelse bilag 5 punkt 6 omkring direktionens ansvar, foreskriver: Direktionen skal sikre, at virksomhedens it-sikkerhedspolitik efterleves Punkt 3, der omhandler bestyrelsens opgaver, fortæller os at det skal gøres gennem : I) Rapportering, kontrol og opfølgning Derfor bør man sørge for: 1. at hændelser løbende logges, og vurderes og at der, med udgangspunkt i dette, gøres tiltag til forbedring af informationssikkerheden. 2. at rapportering af ovenstående sker jævnligt og med faste intervaller på alle niveauer. 3. at der, som udgangspunkt, ikke står noget i it-sikkerhedspolitikken, som ikke kan efterleves eller bliver efterlevet. 4. at der, i undtagelsestilfælde er taget stilling til, hvorfor en given regel ikke efterleves eller udføres på den beskrevne måde. 5. at der tages hånd om en risikooplysning i en inspektion fra Finanstilsynet, da denne ved næste inspektion, kan blive til et påbud. Definition af påbud og risikooplysning: Afgørelser er typisk påtaler og påbud til virksomhederne. Afgørelser er underlagt forvaltningsloven, som indeholder en række regler om, hvilke pligter offentlige myndigheder har i forhold til borgerne, f.eks. i forbindelse med sagsbehandlingen. Beslutninger er blandt andet risikooplysninger til virksomhederne. Risikooplysninger er ikke afgørende i forvaltningslovens forstand. Kilde: www.finanstilsynet.dk 2015 Neupart 3

2. Der er sammenhæng mellem de forskellige elementer i informationssikkerheden 1. Der skal være en sammenhæng fra procedurerne over reglerne og op til itsikkerhedspolitikken. 2. Der er hermed en rød tråd fra det bestyrelsen beslutter og det, der bliver krævet af den enkelte medarbejder. 3. Af bestyrelses- og direktionsreferater skal det fremgå, at informationssikkerheden behandles aktivt. 3. Der er tilstrækkelig funktionsadskillelse Finanstilsynets bekendtgørelse beskriver følgende omkring funktionsadskillelse: Pkt. 3 a) Organisering af it-arbejdet, herunder funktionsadskillelse mellem systemudvikling/vedligeholdelse it-drift og virksomhedens forretningsførelse. Pkt. 6 b) funktionsadskillelsen bliver overvåget Her er det altså vigtigt: 1. at det fastlægges hvori funktionsadskillelsen består. Dette skal gøres med udgangspunkt i virksomhedens størrelse og organisation. Organisationsdiagrammer og funktionsbeskrivelser kan her være på sin plads. 2. at beskrive hvordan den håndhæves i det daglige. 3. at beskrive, hvordan der udføres kontrol. Hvis adskillelsen består i rettighedsstyring, er det fx vigtigt at beskrive, hvordan man overvåger adgangsrettigheder. 2015 Neupart 4

4. Driften, herunder outsourcing, er tilstrækkelig sikret og overvåges Pkt. 3 d) Systemudvikling og vedligeholdelse af systemer e) Driftsafvikling f) Backup og sikkerhedskopiering h) Kvalitetssikring Pkt. 6 c) der er kontrol med opretholdelse af det ønskede it-sikkerhedsniveau samt håndtering af eventuelle svagheder, e) systemer og konfiguration samt ændringer hertil dokumenteres, f) der er sikkerhedskopiering af systemer og data, herunder opbevaring af sikkerhedskopierne, h) systemudvikling, konfigurering og vedligeholdelse samt afprøvning af nye og ændrede systemer sker betryggende, i) der foretages tests og anden kvalitetssikring, j) der foretages ændringshåndtering og problemstyring, Der er, som det ses af ovenstående, en del krav til formalia i forbindelse med drift. Dette er jo langt hen ad vejen almindelig sund fornuft, når vi taler om informationssikkerhed. Det specielle ved den finansielle sektor er, at mange har outsourcet hele eller dele af itdriften, og at reglerne for sådanne aftaler er forankret i Finanstilsynets outsourcingbekendtgørelse. Hovedkravene til outsourcingaftalerne er godt beskrevet i denne bekendtgørelse og følgende er vigtigt: 1. At få klart afgrænset de opgaver, som outsourcingen omfatter 2. At der er etableret overvågning, opfølgning og rapportering på de outsourcede opgaver 3. Vær opmærksom på at bekendtgørelsen kun omfatter såkaldt Væsentlig outsourcing (i driftsmæssig forstand). 2015 Neupart 5

5. Der foretages jævnlige risikovurderinger Pkt. 3 b) regelmæssig risikovurdering Pkt. 4 Bestyrelsen skal regelmæssigt og mindst en gang årligt vurdere itsikkerhedspolitikken, herunder hvorvidt it-sikkerhedspolitikken er tilstrækkelig til at sikre, at de risici, som it-anvendelsen medfører og forventes at medføre, fremover er på et for virksomheden acceptabelt niveau. Selve risikostyringen bør foretages af direktionen, men risikovurderingerne som ligger til grund for dette, leveres af den it-sikkerhedsansvarlige. Risikovurderingen kan tage udgangspunkt i it-sikkerhedspolitikkens overskrifter, da det jo er den virksomheden skal leve op til. Det kræver selvfølgelig at it-sikkerhedspolitikken har et vist omfang, alternativt at tage udgangspunkt i det regelsæt som anvendes. Følgende hovedpunkter bør gennemgås: It-sikkerhedspolitikken Sammenhængen og afhængigheder mellem forretningskritiske it-aktiver Det aktuelle trusselsbillede Sårbarhedsvurdering af driften Konsekvensvurdering af forretningskritiske it-services eller processer 2015 Neupart 6

6. Beredskabsplanerne er ajourførte og afprøvede Hvis I ikke allerede har en it-beredskabsplan for jeres kritiske systemer, - så skal der etableres en. Pkt. 3 g) Målsætning for beredskabsplaner Pkt. 7 Direktionen skal sikre, at der udarbejdes en it-beredskabsplan, der indeholder målsætning for genetablering af normal drift..herunder, a) En beskrivelse af, hvorledes der etableres en beredskabsorganisation, samt b) Aktivitetsplaner i tilfælde af alvorlige systemnedbrud, fejl og forstyrrelser i it-anvendelsen Pkt. 8 Beredskabsplanen skal afprøves regelmæssigt og den finansielle virksomhed skal have regler om rapportering af resultatet af en afprøvning af beredskabsplanen. Udover dette er det vigtigt, at I viser at beredskabsplanen er implementeret ved at: teste beredskabsplanen. rapportere på testen - hvad gik godt? Hvad gik mindre godt? sørge for, at afprøvningen foregår efter en fastlagt plan. 7. Den generelle viden om informationssikkerhed er på det rigtige niveau og vedligeholdes Da den finansielle sektor bygger på fortrolighed, er det vigtigt at få lagt nogle overordnede rammer for 1. hvordan informationssikkerhed formidles 2. hvordan niveauet kontrolleres og vedligeholdes hos medarbejderne 2015 Neupart 7

Sådan kan SecureAware ISMS fra Neupart hjælpe med at sætte fluebenene SecureAware hjælper jer med at samle alle informationer om jeres it-sikkerhed sådan, at I altid har styr på alle disse oplysninger og får effektivitet ind i jeres it-sikkerhedsledelse. I reducerer jeres forberedelsestid til it-revision, og I kommer bedre igennem forløbet fordi I altid er velforberedte. Hurtigere og nemmere dokumentation af it-sikkerhedsledelse. Skabeloner, der kommer hele vejen rundt om sikkerhedsarbejdet, herunder drift og funktionsadskillelse. Kortere og nemmere inspektionsbesøg da dokumentationsstrukturen er "revisorvenlig og følger anerkendte standarder. Gap-analyse mod Finanstilsynets ledelses- og outsourcingbekendtgørelser samt andre krav og standarder. Gennemarbejdet og altid opdateret beredskabsplan. Risikostyring med en lang række tidsbesparende funktioner som fx. Trusselskatalog, aktiv-database, konsekvensvurdering med hjælpespørgsmål (BIA). Awareness-funktionalitet, der holder styr på, hvilke medarbejdere, der har læst jeres regler og politikker Overblik og nemmere opfølgning på sikkerhedsopgaver med opgavemodulet. Kort sagt så samler SecureAware alle informationer omkring it-sikkerhed og holder styr på opgaver og projekter i forbindelse hermed. Find mere information om SecureAware ISMS og download en gratis prøveversion her: http://www.neupart.dk/produkter/isms-vaerktoej.aspx 2015 Neupart 8

Referencer: Bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. Bilag 5 It-sikkerhed https://www.finanstilsynet.dk/da/regler-og-praksis/lovsamling.aspx Klik på link her ovenfor og vælg under Pengeinstitutområdet afsnit om Banker og sparekasser. Under Bekendtgørelser m.v. vælges 1289 af 09/12/2014 Bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. Gå til Bilag 5 It-sikkerhed næsten nederst på siden. Bekendtgørelse om outsourcing af væsentlige aktivitetsområder https://www.finanstilsynet.dk/da/regler-og-praksis/lovsamling.aspx Klik på link her ovenfor og vælg under Pengeinstitutområdet afsnit om Banker og sparekasser. Under Bekendtgørelser m.v. vælges 1304 af 25/11/2010 Bekendtgørelse om outsourcing af væsentlige aktivitetsområder. Øvrigt materiale: Find mere viden om risikostyring og efterlevelse af krav på Neuparts blog her: http://it-risiko.blogspot.dk Eksempler: De tre beredskabsdyder http://it-risiko.blogspot.dk/2014/08/de-tre-beredskabsdyder.html Sådan vælger I de rette scenarier til jeres beredskabsplaner http://it-risiko.blogspot.dk/2014/10/scenarier-beredskab.html Vejledning til Statement of Applicability http://it-risiko.blogspot.dk/2013/10/den-ny-iso-27001-er-udkommet-vejledning.html Derfor skal ledere interessere sig for informationssikkerhed http://it-risiko.blogspot.dk/2015/02/ledere-skal-interessere-sig-for-it-sikkerhed.html 2015 Neupart 9

Om Neupart Neupart hjælper virksomheder med it-risikostyring og med at leve op til sikkerhedskrav. Neupart er forskellig fra de traditionelle konsulenthuse, fordi vores egenudviklede Information Security Management System, SecureAware, sparer virksomheders tid og kræver færre konsulenttimer. SecureAware leveres som en cloud service eller som "onpremise" software. Medarbejderne hos Neupart er specialister i ISO 2700x, ISO 22301, persondatakrav, cloudsikkerhed, Finanstilsynets it-sikkerhedskrav og PCI DSS. Med mere end 200 private og offentlige virksomheder som kunder er Neupart den førende leverandør af it-sikkerhedsledelse. Neupart A/S er ISO 27001-certificeret og har datterselskaber i Norge og Tyskland samt forhandlere i en række andre lande. www.neupart.dk Neupart A/S Hollandsvej 12 2800 Lyngby Telefon 7025 8030 www.neupart.dk 2015 Neupart 10

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback