ITA-konferencen 2009. Projektchef: Martin Pedersen. Sikkerhed fra vugge til grav



Relaterede dokumenter
Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Informationssikkerhedspolitik for Horsens Kommune

Kursus: Ledelse af it- sikkerhed

Faxe Kommune. informationssikkerhedspolitik

IT-SIKKERHEDSPOLITIK UDKAST

Organisering og styring af informationssikkerhed. I Odder Kommune

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

Målbillede for risikostyring i signalprogrammet. Juni 2018

Assens Kommune Sikkerhedspolitik for it, data og information

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Sikkerhedsvurderinger

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Målbillede for kontraktstyring. Juni 2018

Handleplan for informationssikkerhed 2017 i Region Midtjylland - oversigt over initiativer/faser som forventes afsluttet i 2017

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

Hvad er en referencelinie? Tidsligt fastlagt Veldefineret tilstand af mellemprodukter Mellemprodukter vurderes Sandhedens øjeblik

Projektledelse som karrierevej

Jyske Bank Politik for It sikkerhed

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

En risikoanalyse i SOF (af en given opgave eller projekt) kan følge nedenstående 8 trin.

Sikkerhed og Revision 2015

UC Effektiviseringsprogrammet. Projektgrundlag. Fælles UC Videoplatform

Informationssikkerhedspolitik

IT-sikkerhedspolitik for

IT-sikkerhedspolitik S i d e 1 9

Persondata og sikkerhedsbrud

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

ISO/IEC 27001:2013. Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent

OVERORDNET IT-SIKKERHEDSPOLITIK

UC Effektiviseringsprogrammet. Projektgrundlag. Business Intelligence. version 1.2

DataHub - efter Prince2_2009 principper

Politik <dato> <J.nr.>

Vejledning i informationssikkerhedspolitik. Februar 2015

Informationssikkerhedspolitik for <organisation>

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

Aktstykke nr. 33 Folketinget Finansministeriet. København, den 29. november 2016.

Bioterror. - Hvad er det og hvordan kan universiteterne indfri krav og forventninger fra myndigheden. Karin Grønlund Jakobsen HR Arbejdsmiljø, DTU

HVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING

PRINCE Projekt & Program Forum

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

DK CERT COMPUTER EMERGENCY RESPONSE TEAM. Chefkonsulent Preben Andersen

DGI - GEVINSTREALISERING

Resultatet af undersøgelse af status på implementering af ISO27001-principper i staten

»Risikovurdering. Jasper Eriksen Tlf.:

Ny bekendtgørelse om krav til sikkerhedsledelsessystemer for virksomheder, der skal opnå sikkerhedscertifikat eller sikkerhedsgodkendelse

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

Kvalitetssikring af folkeskolerne i Aalborg Kommune

DUBU digitalisering af udsatte børn og unge

Kvartalsrapport vedr. fase 1 af SKATs systemmodernisering for 1. kvartal 2008

Dagsorden til møde i styregruppen for Program for digital almen praksis

Årshjul for persondata. v/henrik Pors

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

Handlingsplan for. Forslag til it-strategi for

Informationssikkerhedspolitik for Region Midtjylland

Fælles projektmodel. Fælles projektmodel på tværs af Enhedsadministrationen for projekter der har IT-involvering

Handlingsplan for Sundhedsstyrelsens tilsynsvirksomhed Afsluttende afrapportering pr. 25. august 2015

Kvalitetsledelseskrav til rådgiverydelser

Artikel 6: Generisk implementeringsplan

Ny anlægsbudgettering. Af Peter Jonasson

It-sikkerhed - ledelsens ansvar

Revideret Miljøledelsesstandard

Risikoledelse i Skatteministeriet. Økonomichefseminar om risikostyring i den offentlige sektor den 24. februar 2011

VITAS. 15. september 2015 Jobcenterchefmøde (AMK Syd)

IT projektmodel. Fælles projektmodel på tværs af Enhedsadministrationen for projekter der har IT-involvering

Generisk implementeringsplan

Implementering af Medarbejdersystem

Forfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø

Fremfærd Projekt: Forenklet beskæftigelsesindsats - fra regelorientering til borgerorientering

Procedure for tilsyn af databehandleraftale

SECOND OPINION RISIKOVURDERING FOR DNV, GØDSTRUP

Overordnet Informationssikkerhedspolitik

Transkript:

ITA-konferencen 2009 Projektchef: Martin Pedersen Sikkerhed fra vugge til grav

Hvorfor sikkerhed initielt Sund fornuft Bidrager til at etablere overblik Bidrager til en stringent styring af informationssikkerheden Skaber tryghed hos modtagerne af organisationens ydelser og validitet Fremtidssikrer de valgte løsninger og lægger grundstenen til en robust kvalitetssikring

Fasemodellen Information Security Management System (ISMS) Udmelding af det valgte basisniveau Etablering af et it-sikkerhedsudvalg Formulering af retningslinier Basis Supplerende (udvides sandsynligvis i takt med at institutioners sikkerhedshåndbøger afdækkes) Formulering af change management Risikovurderinger Revidering og handlingsplaner Implementering i henhold til handlingsplan Kontrol og opfølgning

Risikostyring af projekt Statens It Overordnede sikkerhedsvurdering er middel Etablering af Information Security Management system (ISMS) og tilhørende sikkerhedsorganisation Risikovurdering business cases Risikovurdering tekniske løsninger Risikovurdering faseplan Risikohåndtering faser Alignement af de overordnet sikkerhedspolitikker i.f,t. konkrete sikkerhedsudfordringer lokalt Change management i.f.t. konkrete forhold i forbindelse med modtagelse af institutioner og lokale sikkerhedsudfordringer

Eksempel på risikoskema Område/risiko Beskrivelse Sandsynlighed Konsekvens Imødegåelse Organisatoriske - Projektorganisation - Organisatoriske ændringer SIT organiseringen er ikke mulig, at tilvejebringe grundet at de nødvendige ressourcer ikke kan findes eller ikke eksistere. Mellem Forsinkelse Manglende gennemførelse af projekt. Fordyrelse Tidlig og massiv søgning af relevante ressourcer. Tidlig reservation i konsulenthuse. Tekniske - Definition af driftsløsning Uklar proces for overdragelse til driftsorganisationen høj Forsinkelse - Erfaring Manglende erfaring med gennemførelse af transitions/transforma tionsopgaver høj Forsinkelse, Fordyrelse og dårlig omtale. Uddannelse af projektdeltagere Recovery Manglende processer eller tekniske problemer for recovery i forbindelse med system nedlukning i modtagelsesfasen Mellem Datatab, Systemnedbrud, fordyrelse Intensiv identifikation og kortlægning af systemafhængighed er og tekniske afhængigheder og muligheder. Fastlæggelse af robuste procedurer.

Eksempel på risikolog Titel Ansvarligt projekt Ansvarlig medarbejder Status Risiko beskrivelse Risiko indikator Officielle IP-adresser Infrastrukturprojektet XX Igang PA-adresser kan forsvinde i takt med overgang til SIT De fleste institutioner anvender i dag primært officielle IP-adresser (PA), baseret på udlån fra respektive ISP er. Ved overgang (migrering/fusionering) til Statens It vil institutionerne ikke længere have egen ISP er, hvorfor der er en risiko for, at ISP erne trækker udlån af officielle IP-adresser tilbage. Officielle IP-adresser tildelt/udlånt til institutionerne anvendes ikke alene til borgervendte services (@) men i stort omfang også til kommunikation med og mellem eksterne dataleverandører i forskellige system- / systemflowsammenhæng. Statens It vil kunne ansøge om tildeling af officielle IP-adresser (PI), såfremt Statens It er registreret som virksomhed og såfremt Statens It tillige registreres som AS og får minimum 2 forskellige ISP ere. Opgørelse over det fremtidige behov for officielle IP-adresser er endnu ikke opgjort (analyse fra dataindsamlingen), og processen for ansøgning om AS & officielle PI-adresser er endnu ikke fundet/fastlagt. Risikoen vil være, at udadvendt kommunikation besværliggøres / umuliggøres bl.a. p.g.a. store fw-omlægninger Deadline Rapporteringsniveau Kategori Målgruppe 01-07-2009 Program Teknik Infrastrukturprojektet

Eksempel på risikolog Sandsynlighed Risikofaktor Konsekvens Konsekvens beskrivelse 4 16 4 XX (05-03-2009 15:04):. XX (19-01-2009 12:33): se risiko indikator Løsningstype Løsning/handling Statusbeskrivelse Migreringsplan Ansøgning til RIPE. Igangsat forhandlinger med XXX omkring bistand til ansøgning og registrering mv. pr 5/3-09: Ansøgning om medlemsskab er underskrevet og returneret RIPE. Afventer betaling. Plan arbejde Sandsynlighed efter plan Konsekvens efter plan Migreringsplan 1 1 Relateret risiko

Forudsætninger Der eksisterer sikkerhedssetup baseret på DS484 lokalt Der følges op på at sikkerhedspolitikker og retningslinier er opdateret og er tilgængelige Der er gennemført årlige risikovurdering og test af beredskab

Sikkerhedsorganisation i modtagelsesprocessen Der etableres et fælles sikkerhedsorgan mellem ministeriernes og Statens It (ministerium for ministerium) Sikkerhedsorganet består af de sikkerhedsansvarlige i ministerierne og i Statens It. De to parter afklarer i fællesskab beslutningsprocesserne i henhold til Statens Its standard change management proces

Implementeringsproces Den lokale DS484:2005 gennemgås i fællesskab Den årlige risikovurdering danner udgangspunkt for udvælgelse af de mest forretningskritiske systemer Der identificeres eksisterende systemejere og evt. dataejere Evt. krav til registerdata og procedurer afklares Der gennemføres i fællesskab en revideret risikovurdering i.f.t. det nye setup Der iværksættes evt. handlingsplaner

Implementeringsproces (fortsat) Alle ændringer behandles efter change management, herunder En risikovurdering af ændringen Beslutning om hvilke risici minimerende tiltag, der iværksættes Flow og beslutninger logges Internt og eksterne kommunikationsflow iværksættes Efter modtagelse af et ministerium gennemføres revideres sikkerhed og procedurer i Statens It med hensyn til basis og supplerende retningslinier i henhold til loggen.

Formidling Statens It etablerer en indgang til ISMS via Statens Its serviceportal, hvor brugerne kan orienteres sig i de forskellige politikker retningslinier m.m., men vil også kunne melde om evt. sikkerhedsbrud eller hændelser

Sikkerhed er uendelig proces Sikkerhed går fra vugge til grav i én sammenhæng, men krav til sikkerhed og håndtering forsvinder aldrig.

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback