Modenhed og sikkerhed hos databehandlere Charlotte Pedersen

Relaterede dokumenter
GDPR Leverandørstyring og revisionserklæringer EU-persondatakonferencen 2017

Leverandørstyring: Stil krav du kan måle på

Digitaliseringsstyrelsens konference 1. marts 2018

Din digitale samarbejdsplatform

ISO27001 seminar. Kom godt i gang. Charlotte Pedersen 23. november 2015

Persondataforordningen...den nye erklæringsstandard

Kursus: Ledelse af it- sikkerhed

Persondataforordningen Erklæringer - omfang og værdi August 2016

Hvor moden er kommunernes økonomistyring? Ulrik Bro Müller

Samarbejde, konsortier og netværk juridiske og økonomiske udfordringer

Tilsyn med Databehandlere

IVÆKST Økonomiværkstedet Bogholderi

Databeskyttelsesdagen

EMIR Nye krav for virksomheders anvendelse af OTC-derivater

Projekt Plan for Bæredygtig Forretningsudvikling Præsentation af Deloitte

ectrl Modtagelse af elektroniske

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Kom på forkant med rentabel og kontrolleret vækst Deloitte

Anvendelse af matchmodellen - analyse af foreløbige erfaringer

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Hvordan styrer vi leverandørerne?

Sikker implementering af nye fælles it-løsninger

Oprettelse af bilag Bilag markeret til ompostering

ectrl vejledning ectrl Velkomstmappe

Deloitte Cyber Awareness Training Træning af medarbejderne i informationssikkerhed er med til at beskytte virksomheden mod cyberkriminalitet.

Databehandleraftale 2013

Kommissorium for bestyrelsens revisionsudvalg.

Fritekstfaktura Ny funktionalitet

CSR-forankring i danske virksomheder Resultater fra Deloittes CSR-undersøgelse 2011

Budgettering, planlægning og styring i praksis

Resultatet af undersøgelse af status på implementering af ISO27001-principper i staten

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Fritekstfaktura Brug af fritekstfaktura i salgsforløbet

PERSONDATAFORORDNINGEN - TOPDANMARKS ARBEJDE MED AT SKABE COMPLIANCE. DI ITEK 14. juni 2016 Koncern IT-sikkerhedschef Brian Lind

Regnskab v. Kasper Bruhn Udam og Thomas Ringsted

Giv tallene mere værdi sådan gør du finansfunktionen til en strategisk partner i virksomheden

Regnskabsmæssige topics

Digitaliseringsstyrelsen Risikovurdering Marts 2018

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

E-handelsbranchen i Danmark

IT risici og compliance. Hvad driver mig? Det gode råd med på vejen?

Plejefamilier med særlige opgaver

Regnskabsmæssige udfordringer ved mix-scenariet v/ Klaus Kvist Rasmussen

Arbejdsplan for revisionsudvalget.

MÅLING AF INFORMATIONSSIKKERHED

Informationssikkerhedspolitik for Horsens Kommune

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK


Sådan udvikler I en Statement of Applicability i henhold til ISO 27001:2013

Struktureret Compliance. på tværs af ISO9001, ISO27001 & EU GDPR

CAMBER Effektiv administration af campingpladser CAMBER

KOMBIT sikkerhedspolitik

Næstved Varmeværk Hyllinge-Menstrup Kraftvarmeværker Alternative sammenlægningsmodeller. René Møller Jensen og René Lønne Ventzel

Hvor meget ved du om din forretning i virkeligheden?

Oktober IFRS tjekliste Vejledning

ectrl vejledning ectrl Autorapporter

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Henvisningsaftale mellem Region Syddanmark og Deloitte. Udstationering af medarbejdere. Juni 2013

HVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING

Afståelse af K/S andele og ejendom i K/S

Transkript:

Modenhed og sikkerhed hos databehandlere Charlotte Pedersen 28. Januar 2014

Præsentation Charlotte Pedersen Director Cand.scient.pol. ISO27001:2013 Certified ISMS Lead Auditor (IBITG accredited) mv., CIIP, CISM, CRISC, CGEIT. Telefon: 20 85 35 42 Mail: cpedersen@deloitte.dk Kernekompetencer: Information Security Management sikkerhedsledelse, risikoanalyse, politik, governance Privacy analyse, strategi og rapportering vedr. personoplysninger Proces- og implementeringskonsulent Kommunikation og awarenessaktiviteter Risikostyring, mål- og resultatstyring Projektledelse - forandringsledelse 2

Agenda Intro sætte scenen Faser i leverandørstyring Definition af modenhed Eksempler på styringsmidler og deres styrker og svagheder Afslutning og perspektivering 3 3

Tro og håb er ikke nok du skal vide Dataansvarlig - Accountable bliver stillet til ansvar overfor lovgiver, kunder, borgere, medarbejdere, pressen Hvem tør du handle med? Sund skepsis medfødt hos nogen andre skal trænes. Besparelser på bekostning af sikkerhed? Sikkerhed på bekostning af besparelser? Husk de uforudsete sikkerhedsomkostninger. Der skal stilles krav fra start til slut og der skal følges op. Gør dit bedste ingen 100% garanti trusselsbilledet ændrer sig. Tro og håb giver god stemning Viden giver tryghed og rolige nætter 4

Leverandørstyring the never ending story Opfølgning og Idé om outsourcing, køb af ydelse, ny aftale eller genudbud Dataklassifikation, lov- og risikovurdering vurdering af leverance Løbende opfølgning og styring Kravspecifikation Test, revisionserklæring mv. Vurdering og valg af leverandør Kontrakt, SLA mv. 5

Eksempel på modenhedsskala inspireret af CobiT Niveau Niveau 0 ikkeeksisterende Niveau 1 Ad-hoc Beskrivelse og eksempel Området varetages ikke. Eksempel: Der tages ikke backup. Området varetages ad-hoc og efter uformelle processer. Eksempel: Backup initieres af enkeltpersoner uden retningslinjer for omfang eller kontrol. Niveau 2 Repetérbar Området varetages på en ensartet måde, men der er ingen formel proces eller vejledning. Eksempel: It-driftspersonale initierer backup og følger op på afviklingen på baggrund af en fælles forståelse (uformel proces), men hverken proces eller kontrol dokumenteres. Niveau 3 Defineret Området varetages i henhold til formelle, nedskrevne processer eller vejledninger. Der er ingen proces for monitorering eller håndtering af afvigelser. Eksempel: Der er en formel procedure for backup, som følges af it-driftspersonalet. Kontrol af backup (læsbarhed m.v.) sker, men der følges ikke fra ledelsens side op på afvikling og kontrol. Niveau 4 Styret Som 3, men med ledelsesovervågning af gennemførslen. Manuel håndtering af afvigelser. Eksempel: Der findes en formel procedure for backup, herunder for efterkontrol af afvikling. Såvel backup som efterkontrol dokumenteres, og ledelsen gennemser periodisk dokumentationen for at sikre, at processen fungerer effektivt. Niveau 5 Optimerende/ værktøjsunderstøttet Som 4, men med udbredt værktøjsunderstøttelse af overvågning, afvigelseshåndtering og ledelsesrapportering. Eksempel: Som 4, men backupkonfiguration og test af læsbarhed er værktøjsunderstøttet. Dokumentation for afvikling findes i værktøjet, ligesom eventuelle fejl (fejlede backups, ulæsbare bånd) resulterer i e-mails fra backupværktøjet til de driftsansvarlige. 6

Eksempler på styringsmidler og styrker og svagheder Styringsmidler Styrker Svagheder Dokumentation på risici, kontroller, rapportering og faste møder Juridisk kontrakt og aftaledokumenter ISO27001 Dialog om sikkerhedskrav bør altid afholdes Klarhed om ansvarsfordeling mellem parterne og ansvarspådragende Yderligere/specifikke SLA krav f.eks. beredskab Ledelsesforankring Modenhed Konklusion og garanti Indirekte test Generelt sikkerhedsniveau Ingen garanti Ingen rigtig styring Spidskompetence jungle Dansk og international ret Svært at forstå Udfordring med at få leverandør til at ændre standardvilkår Afhængighed af stempel og udbyder Omfang og certifikat afgørende SOA kan være svær at få ISAE3402(1,2)/SSAE16 ISAE3000 og ISAE4400 Andre 3.parts test, certificeringer og godkendelser 7 Test og konklusion garanti Hvis modenhed - kontroller Kontrolbeskrivelser med information om kontroller og revisors arbejde også beskrevet Test Målrettet erklæring på omfang og modtager Test eller indirekte test afhænger af hvem/hvordan det udføres Målrettet test It-kontroller til økonomisystemer Omfang afgørende dvs. valget af kontroller Svært at forstå Omfang vigtigt og evt. modtager Minus konklusion Centrale godkendelser findes ikke i DK Svært at få lov til at gennemføre Koster altid ekstra

Juridisk guide til offentlig cloud sourcing 8

ISO27001:2013 9

Erklæringstyper, der hyppigt anvendes Erklæringer kan generelt opdeles i to hovedtyper (1/2 eller A/B) 1/A: Erklæring om kontrollernes design og implementering på et givent tidspunkt 2/B: Erklæring om kontrollernes design, implementering og operationelle effektivitet i en given periode ISAE 3402 Standard for erklæringer, der vedrører kontroller relateret til regnskabsaflæggelse. Afgives med høj grad af sikkerhed. ISAE 3000 Standard for erklæring om andet end finansiel information, typisk persondatalovgivning, konkrete aftalekrav mv. Kan afgives med høj grad af sikkerhed eller begrænset grad af sikkerhed. ISRS 4400 Revisionsstandard for aftalte arbejdshandlinger. Indeholder ingen konklusion, kun testresultater. SSAE16 har afløst SAS70 Amerikanske revisionsstandarder, der også anvendes i andre lande. Det er muligt at lave en samlet SSAE16/ISAE 3402 erklæring. 10

Afslutning og perspektivering Der skal stilles krav og følges op den dataansvarliges ansvar og opgave og omkostning? Måske ny disciplin indkøb kender vi nu på andre parametre end umiddelbar pris. Det koster penge indtil videre. Fremadrettet må sikkerhed være en del af prisen. Placering af organisatorisk, ledelsesmæssigt og fagligt ansvar. Krav om kompetencer indenfor gældende lovgivning, informationssikkerhed, erklæringer, kontraktsret m.v. Outsourcing insourcing stadig en opgave. Vi bliver alle mere modne med tiden også vores leverandører. 11

Deloitte Touche Tohmatsu Limited Deloitte er en betegnelse for Deloitte Touche Tohmatsu Limited, der er et britisk selskab med begrænset ansvar, og dets netværk af medlemsfirmaer. Hvert medlemsfirma udgør en separat og uafhængig juridisk enhed. Vi henviser til www.deloitte.com/about for en udførlig beskrivelse af den juridiske struktur i Deloitte Touche Tohmatsu Limited og dets medlemsfirmaer. Statsautoriseret Revisionspartnerselskab. Medlem af Deloitte Touche Tohmatsu Limited 12

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback