ITA-konferencen 2009. Projektchef: Martin Pedersen. Sikkerhed fra vugge til grav



Relaterede dokumenter
Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Informationssikkerhedspolitik for Horsens Kommune

Kursus: Ledelse af it- sikkerhed

Faxe Kommune. informationssikkerhedspolitik

IT-SIKKERHEDSPOLITIK UDKAST

Organisering og styring af informationssikkerhed. I Odder Kommune

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

Målbillede for risikostyring i signalprogrammet. Juni 2018

Assens Kommune Sikkerhedspolitik for it, data og information

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Fredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Sikkerhedsvurderinger

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Målbillede for kontraktstyring. Juni 2018

Handleplan for informationssikkerhed 2017 i Region Midtjylland - oversigt over initiativer/faser som forventes afsluttet i 2017

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

Hvad er en referencelinie? Tidsligt fastlagt Veldefineret tilstand af mellemprodukter Mellemprodukter vurderes Sandhedens øjeblik

Projektledelse som karrierevej

Referat af bestyrelsesmøde i Hjørring Vandselskab A/S

Jyske Bank Politik for It sikkerhed

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

En risikoanalyse i SOF (af en given opgave eller projekt) kan følge nedenstående 8 trin.

Sikkerhed og Revision 2015

UC Effektiviseringsprogrammet. Projektgrundlag. Fælles UC Videoplatform

Informationssikkerhedspolitik

IT-sikkerhedspolitik for

IT-sikkerhedspolitik S i d e 1 9

Persondata og sikkerhedsbrud

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

PRIMO Danmark Foreningen til fremme af risikoledelse i den offentlige sektor Bestyrelsen

Landsdelsprogram MIDT 24. oktober 2017

ISO/IEC 27001:2013. Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent

OVERORDNET IT-SIKKERHEDSPOLITIK

UC Effektiviseringsprogrammet. Projektgrundlag. Business Intelligence. version 1.2

DataHub - efter Prince2_2009 principper

Præsentation af Curanets sikringsmiljø

Politik <dato> <J.nr.>

Vejledning i informationssikkerhedspolitik. Februar 2015

Beredskabspolitik. For anvendelse af NemLog-in. 18. maj Version 2.0

Informationssikkerhedspolitik For Aalborg Kommune

Bilag 2 - UDKAST - Cover

Mødelokale C hos MedCom, Forskerparken 10, 5230 Odense M

Informationssikkerhedspolitik for <organisation>

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

Aktstykke nr. 33 Folketinget Finansministeriet. København, den 29. november 2016.

Bioterror. - Hvad er det og hvordan kan universiteterne indfri krav og forventninger fra myndigheden. Karin Grønlund Jakobsen HR Arbejdsmiljø, DTU

HVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING

PRINCE Projekt & Program Forum

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

Organisering og styring af Informationssikkerhed

DK CERT COMPUTER EMERGENCY RESPONSE TEAM. Chefkonsulent Preben Andersen

Projektets navn E-booking Fælles løsning i ét system

DGI - GEVINSTREALISERING

Talepapir - besvarelse af samrådsspørgsmål A og B om akt. 68 vedr. Vejdirektoratets byggeprojekter. Samrådsspørgsmål A

Retningslinje om dataansvarlig/databehandler

Resultatet af undersøgelse af status på implementering af ISO27001-principper i staten

»Risikovurdering. Jasper Eriksen Tlf.:

Ny bekendtgørelse om krav til sikkerhedsledelsessystemer for virksomheder, der skal opnå sikkerhedscertifikat eller sikkerhedsgodkendelse

Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

Kvalitetssikring af folkeskolerne i Aalborg Kommune

DUBU digitalisering af udsatte børn og unge

Programbeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016

Kvartalsrapport vedr. fase 1 af SKATs systemmodernisering for 1. kvartal 2008

Dagsorden til møde i styregruppen for Program for digital almen praksis

RIGSREVISIONEN København, den 30. august 2004 RN B106/04

Årshjul for persondata. v/henrik Pors

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

Handlingsplan for. Forslag til it-strategi for

Informationssikkerhedspolitik for Region Midtjylland

Fælles projektmodel. Fælles projektmodel på tværs af Enhedsadministrationen for projekter der har IT-involvering

Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]

GENERELT OM GDPR. Næste skridt: ISF undersøger

Informationssikkerhedspolitik Frederiksberg Kommune

Handlingsplan for Sundhedsstyrelsens tilsynsvirksomhed Afsluttende afrapportering pr. 25. august 2015

Kvalitetsledelseskrav til rådgiverydelser

Skatteudvalget SAU alm. del - Bilag 38. Offentligt. Finansudvalget FIU alm. del - 9 Bilag 2. Offentligt. Til Folketingets Finansudvalg

Artikel 6: Generisk implementeringsplan

Ny anlægsbudgettering. Af Peter Jonasson

It-sikkerhed - ledelsens ansvar

Revideret Miljøledelsesstandard

Risikoledelse i Skatteministeriet. Økonomichefseminar om risikostyring i den offentlige sektor den 24. februar 2011

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

VITAS. 15. september 2015 Jobcenterchefmøde (AMK Syd)

IT projektmodel. Fælles projektmodel på tværs af Enhedsadministrationen for projekter der har IT-involvering

IT projektmodel. Fælles projektmodel på tværs af Enhedsadministrationen for projekter der har IT-involvering

Generisk implementeringsplan

Implementering af Medarbejdersystem

Fællesregional Informationssikkerhedspolitik

Forfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø

3. Hvornår er de forskellige aktører og samarbejdspartnere involveret? 4. Hvad er de kritiske områder i samarbejdet mellem aktørerne?

Fremfærd Projekt: Forenklet beskæftigelsesindsats - fra regelorientering til borgerorientering

Procedure for tilsyn af databehandleraftale

SECOND OPINION RISIKOVURDERING FOR DNV, GØDSTRUP

Overordnet Informationssikkerhedspolitik

Hillerød Kommune. It-sikkerhedspolitik Bilag 8. Kontrol og adgang til systemer, data og netværk

Transkript:

ITA-konferencen 2009 Projektchef: Martin Pedersen Sikkerhed fra vugge til grav

Hvorfor sikkerhed initielt Sund fornuft Bidrager til at etablere overblik Bidrager til en stringent styring af informationssikkerheden Skaber tryghed hos modtagerne af organisationens ydelser og validitet Fremtidssikrer de valgte løsninger og lægger grundstenen til en robust kvalitetssikring

Fasemodellen Information Security Management System (ISMS) Udmelding af det valgte basisniveau Etablering af et it-sikkerhedsudvalg Formulering af retningslinier Basis Supplerende (udvides sandsynligvis i takt med at institutioners sikkerhedshåndbøger afdækkes) Formulering af change management Risikovurderinger Revidering og handlingsplaner Implementering i henhold til handlingsplan Kontrol og opfølgning

Risikostyring af projekt Statens It Overordnede sikkerhedsvurdering er middel Etablering af Information Security Management system (ISMS) og tilhørende sikkerhedsorganisation Risikovurdering business cases Risikovurdering tekniske løsninger Risikovurdering faseplan Risikohåndtering faser Alignement af de overordnet sikkerhedspolitikker i.f,t. konkrete sikkerhedsudfordringer lokalt Change management i.f.t. konkrete forhold i forbindelse med modtagelse af institutioner og lokale sikkerhedsudfordringer

Eksempel på risikoskema Område/risiko Beskrivelse Sandsynlighed Konsekvens Imødegåelse Organisatoriske - Projektorganisation - Organisatoriske ændringer SIT organiseringen er ikke mulig, at tilvejebringe grundet at de nødvendige ressourcer ikke kan findes eller ikke eksistere. Mellem Forsinkelse Manglende gennemførelse af projekt. Fordyrelse Tidlig og massiv søgning af relevante ressourcer. Tidlig reservation i konsulenthuse. Tekniske - Definition af driftsløsning Uklar proces for overdragelse til driftsorganisationen høj Forsinkelse - Erfaring Manglende erfaring med gennemførelse af transitions/transforma tionsopgaver høj Forsinkelse, Fordyrelse og dårlig omtale. Uddannelse af projektdeltagere Recovery Manglende processer eller tekniske problemer for recovery i forbindelse med system nedlukning i modtagelsesfasen Mellem Datatab, Systemnedbrud, fordyrelse Intensiv identifikation og kortlægning af systemafhængighed er og tekniske afhængigheder og muligheder. Fastlæggelse af robuste procedurer.

Eksempel på risikolog Titel Ansvarligt projekt Ansvarlig medarbejder Status Risiko beskrivelse Risiko indikator Officielle IP-adresser Infrastrukturprojektet XX Igang PA-adresser kan forsvinde i takt med overgang til SIT De fleste institutioner anvender i dag primært officielle IP-adresser (PA), baseret på udlån fra respektive ISP er. Ved overgang (migrering/fusionering) til Statens It vil institutionerne ikke længere have egen ISP er, hvorfor der er en risiko for, at ISP erne trækker udlån af officielle IP-adresser tilbage. Officielle IP-adresser tildelt/udlånt til institutionerne anvendes ikke alene til borgervendte services (@) men i stort omfang også til kommunikation med og mellem eksterne dataleverandører i forskellige system- / systemflowsammenhæng. Statens It vil kunne ansøge om tildeling af officielle IP-adresser (PI), såfremt Statens It er registreret som virksomhed og såfremt Statens It tillige registreres som AS og får minimum 2 forskellige ISP ere. Opgørelse over det fremtidige behov for officielle IP-adresser er endnu ikke opgjort (analyse fra dataindsamlingen), og processen for ansøgning om AS & officielle PI-adresser er endnu ikke fundet/fastlagt. Risikoen vil være, at udadvendt kommunikation besværliggøres / umuliggøres bl.a. p.g.a. store fw-omlægninger Deadline Rapporteringsniveau Kategori Målgruppe 01-07-2009 Program Teknik Infrastrukturprojektet

Eksempel på risikolog Sandsynlighed Risikofaktor Konsekvens Konsekvens beskrivelse 4 16 4 XX (05-03-2009 15:04):. XX (19-01-2009 12:33): se risiko indikator Løsningstype Løsning/handling Statusbeskrivelse Migreringsplan Ansøgning til RIPE. Igangsat forhandlinger med XXX omkring bistand til ansøgning og registrering mv. pr 5/3-09: Ansøgning om medlemsskab er underskrevet og returneret RIPE. Afventer betaling. Plan arbejde Sandsynlighed efter plan Konsekvens efter plan Migreringsplan 1 1 Relateret risiko

Forudsætninger Der eksisterer sikkerhedssetup baseret på DS484 lokalt Der følges op på at sikkerhedspolitikker og retningslinier er opdateret og er tilgængelige Der er gennemført årlige risikovurdering og test af beredskab

Sikkerhedsorganisation i modtagelsesprocessen Der etableres et fælles sikkerhedsorgan mellem ministeriernes og Statens It (ministerium for ministerium) Sikkerhedsorganet består af de sikkerhedsansvarlige i ministerierne og i Statens It. De to parter afklarer i fællesskab beslutningsprocesserne i henhold til Statens Its standard change management proces

Implementeringsproces Den lokale DS484:2005 gennemgås i fællesskab Den årlige risikovurdering danner udgangspunkt for udvælgelse af de mest forretningskritiske systemer Der identificeres eksisterende systemejere og evt. dataejere Evt. krav til registerdata og procedurer afklares Der gennemføres i fællesskab en revideret risikovurdering i.f.t. det nye setup Der iværksættes evt. handlingsplaner

Implementeringsproces (fortsat) Alle ændringer behandles efter change management, herunder En risikovurdering af ændringen Beslutning om hvilke risici minimerende tiltag, der iværksættes Flow og beslutninger logges Internt og eksterne kommunikationsflow iværksættes Efter modtagelse af et ministerium gennemføres revideres sikkerhed og procedurer i Statens It med hensyn til basis og supplerende retningslinier i henhold til loggen.

Formidling Statens It etablerer en indgang til ISMS via Statens Its serviceportal, hvor brugerne kan orienteres sig i de forskellige politikker retningslinier m.m., men vil også kunne melde om evt. sikkerhedsbrud eller hændelser

Sikkerhed er uendelig proces Sikkerhed går fra vugge til grav i én sammenhæng, men krav til sikkerhed og håndtering forsvinder aldrig.

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback