Digitaliseringsstyrelsen Risikovurdering Marts 2018

Relaterede dokumenter
Digitaliseringsstyrelsens konference 1. marts 2018

Databeskyttelsesdagen

Persondataforordningen...den nye erklæringsstandard

Afgifter og meget andet Ivan Ibsen 7. oktober 2015

Persondataforordningen Erklæringer - omfang og værdi August 2016

RESULTATER AF SURVEY Medarbejdernes brug af sociale medier

Bestyrelsesarbejde i Danmark 2018 og aktuelt på bestyrelsesagendaen. v. Kim Füchsel, Managing Partner og direktør, PwC

DI s Kapitaldag 2016 Frigør arbejdskapital og sæt din forretning fri Bent Jørgensen, PwC

Fremtidens bank i en digital verden november 2015

Bekæmpelse af hvidvask en praktisk introduktion

Moms er det stadig hot? December 2016

Handlingsplan for digital modenhed i Albertslund Kommune

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Skal skolerne have en egenkapital? Hvem ejer skolernes egenkapital?

PwC's benchmarkanalyse og øvrige aktuelle forhold December 2016

Inspiration til bestyrelsesarbejdet Uddrag fra Bestyrelsesarbejde i Danmark Brian Christiansen Partner, PwC

Seminar for erhvervsskoler, gymnasier m.fl. Moms 10. december 2013

Sikker implementering af nye fælles it-løsninger

Benchmarkundersøgelse - Danske bankers lønsomhedsmåling

Bliv klar til møde med banken

CSR & Tax Transparency Revisordøgnet Ann-Charlotte Beierholm, PwC Erhvervs Ph.d.-studerende. Revision. Skat. Rådgivning.

Optimering af studieadministrative processer

Den Digitale Bank. Bankseminar, Middelfart 2017

Nyt om beskatning af fonde

PwC s CEO Survey de danske resultater

Digital ledelse muligheder og udfordringer

Præsentation af analysen. C25 by Numbers Henrik Steffensen Partner og regnskabsekspert, PwC. Marts 2019

Guide til SoA-dokumentet - Statement of Applicability. August 2014

RISIKOVURDERING I PRAKSIS

PwC s Talent Survey 2015

Afgift på overskudsvarme Hvad er op og ned?

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Danmarks Skatteadvokater

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

De nye holdingregler

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Foranalyse samarbejde mellem ni forsyninger Resultater af foranalyse

Udfordringer vedr. den regnskabsmæssige behandling af uddelinger

Skatteoptimering og professionel cykelsport

Værdiansættelsesseminar Finansiering & beregning af forrentning November 2014

Fonde skattemæssige forhold

Informationssikkerhedspolitik for Horsens Kommune

Kursus: Ledelse af it- sikkerhed

Vejledning i it-risikostyring og -vurdering. Februar 2015

GDPR Leverandørstyring og revisionserklæringer EU-persondatakonferencen 2017

Skattekassen Claus Høegh-Jensen Partner, PwC. januar

Finanslov I denne præsentation kan du få overblik over indholdet af finansloven, som har betydning på skatte-, moms- og afgiftsområdet.

IPD Konference 25. februar 2014

Moms på personalegoder og firmabiler 27. februar Revision. Skat. Rådgivning.

Værdiansættelse i praksis

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Kultur og adfærd Skab tillid til virksomhedens største aktiv

Informationssikkerhedspolitik

1. Introduktion til SoA Indhold og krav til SoA 4

Modenhed og sikkerhed hos databehandlere Charlotte Pedersen

Erfaringer fra innføring av ISO i danske kommuner (styringssystem for informasjonssikkerhet)

Faxe Kommune. informationssikkerhedspolitik

Sikkerhed og Revision 2015

ISO27001 seminar. Kom godt i gang. Charlotte Pedersen 23. november 2015

Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk

Rigsrevisionens og Undervisningsministeriets seneste udmeldinger

Organisering og styring af informationssikkerhed. I Odder Kommune

Forventninger til Cybercrime forsikringer med en risikobaseret tilgang TINE OLSEN, WILLIS JESPER B. HANSEN, SISCON

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Leverandørstyring: Stil krav du kan måle på

MÅLING AF INFORMATIONSSIKKERHED

Fællesregional Informationssikkerhedspolitik

CYBERFORSIKRING OFFENTLIG KONFERENCE

Sådan udvikler I en Statement of Applicability i henhold til ISO 27001:2013

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Politik <dato> <J.nr.>

Infoblad. ISO/TS Automotive

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Transkript:

www.pwc.dk Risikovurdering Revision. Skat. Rådgivning.

www.pwc.dk Klaus Ravn Cyber security specialist Baggrund Akkreditering af systemer og apps Risikovurdering af systemer Facilitator af it-beredskabsøvelser 24 år i Forsvaret It ansvarlig Systemejer af klassificeret netværk Uddannelse Datatekniker ISO27001 auditor Sikkerhedskurser Revision. Skat. Rådgivning.

www.pwc.dk Programmet Oplæg Hvad er risikovurdering Identifikation af aktiver Risikoidentifikation (trusler) Case opgave 1 Risikoanalyse (sandsynlighed og konsekvens) Case opgave 2 Risikoevaluering Case opgave 3 Risikohåndtering Risikohåndteringsplan Statement of Applicability Opsummering Revision. Skat. Rådgivning.

www.pwc.dk Oplæg Revision. Skat. Rådgivning.

www.pwc.dk Programmet Oplæg Hvad er risikovurdering Identifikation af aktiver Risikoidentifikation (trusler) Case opgave 1 Risikoanalyse (sandsynlighed og konsekvens) Case opgave 2 Risikoevaluering Case opgave 3 Risikohåndtering Risikohåndteringsplan Statement of Applicability Opsummering Revision. Skat. Rådgivning.

Risikokommunikation og -konsultation Risikoovervågning og -review ISO27005 om risikovurdering Etablering af kontekst Risikovurdering Risikoidentifikation Risikoanalyse Risikoevaluering Risiko > effekten af usikkerhed på målsætninger: Dvs. en afvigelse fra det ønskede > positivt og/eller negativ Risikovurdering tilfredsstillende? Ja Nej Risikohåndtering Risikovurdering tilfredsstillende? Nej Ja Risikoaccept 6

Basal risikovurdering Sandsynlighed * Konsekvens = Risiko Trussel Hændelse Sårbarhed Konsekvens starter udnytter forårsager = Informations Risiko 7

Risiko-vurdering og -håndtering Trusler Sandsynlighed Evalueringskriterie Identificer aktiver Risiko identifikation Risiko analyse Risiko evaluering Risiko håndtering Statement of Applicability Risikohåndteringsplan Sårbarheder Påvirkning Acceptkriterie 8

Aktiver Kan være processer eller håndgribelige ting Skal altid beskrives 01 Kommunikation Kommunikation kan foretages både som tekst og voice, og der findes på systemet flere HW/SW som understøtter dette aktiv. 02 Lagring af data Det er muligt at lagre data både lokalt og på de opsatte servere. Dette data kan gemmes i gruppemapper og i brugermappe. 03 Deling af data Det er muligt at dele data ved at placere dette i gruppe mapper, men det er ligeledes også muligt at dele data som vedhæftede filer i mailsystemet. Data kan også deles ved at udprinte fra de opstillede printere og/eller ved at indsætte et flytbar medie. 04 Analyse af data Det er muligt at analysere på lagret data ved hjælp af speciel software, som kan indlæse data og lagre dette i sin egen database. 05 Serverfarm Serverfarm er virtualiseret og holder de lagrede data. Serverfarm er opdelt i 43 virtuelle servere 9

Risiko-vurdering og -håndtering Trusler Sandsynlighed Evalueringskriterie Identificer aktiver Risiko identifikation Risiko analyse Risiko evaluering Risiko håndtering Statement of Applicability Risikohåndteringsplan Sårbarheder Påvirkning Acceptkriterie 10

Trusler Trusler samles normalt i et trusselskatalog Menneskeskabte trusler Tekniske trusler Miljømæssige trusler Sandsynlighed Trussel Hændelse Sårbarhed starter udnytter 11

Trusselkatalog Informationssikkerhedstrusler Menneskelige fejl Ondsindede mennesker Kompromittering af funktioner Tab af kritiske services Naturkatastrofer Fysisk skade Tekniske fejl Hacker It-kriminelle Terrorister Spionage Afskedigede, ondsindede, uærlige mm. medarbejdere Misbrug af rettigheder Benægtelse af handlinger Brugerfejl (mangelfuld træning) Personafhængighed Forsyningssvigt el/ telekommunikation Nedbrud af køling. Klimatiske fænomener Oversvømmelse Brand Vandskade Forurening Ødelæggelse af udstyr Større ulykker Fejl i udstyr Overbelastning Softwarefejl Manglede vedligeholdelse 12

CASE GladeBananer A/S sælger frugt & grønt It-system: bruges til håndtering og formidling af informationer Anvendes af alle medarbejdere Indvejning af varer, Arbejdstid, Lønsystem, Kundekartotek Denne case er gældende for hele workshoppen 13

Hands-on Praktisk tilgang til risikovurdering Case Del 1 Risikoidentifikation Afkryds de hændelser og trusler som er relevante DOKUMENTER: Case Del 1 TID: 15 minutter 14

Risiko-vurdering og -håndtering Trusler Sandsynlighed Evalueringskriterie Identificer aktiver Risiko identifikation Risiko analyse Risiko evaluering Risiko håndtering Statement of Applicability Risikohåndteringsplan Sårbarheder Påvirkning Acceptkriterie 15

Sandsynlighed Sandsynlighed Trussel Hændelse Sårbarhed starter udnytter 16

Sandsynlighed for at hændelsen sker En fagteknisk vurdering Sandsynlighed Eksempel beskrivelse 1. Usandsynligt Det anses for næsten udelukket, at hændelsen nogensinde kan forekomme Ingen erfaring med hændelsen Kendes kun fra få andre offentlige og private virksomheder, men ikke i Danmark 2. Mindre sandsynligt Hændelsen forventes ikke at komme Ingen erfaring med hændelsen Kendes kun fra få andre offentlige og private virksomheder, men ikke i Danmark 3. Sandsynligt Det er sandsynligt at hændelsen vil forekomme Man har erfaring med hændelsen, men ikke inden for de sidste 12 måneder Kendes fra andre offentlige og private virksomheder i Danmark (omtales årligt i pressen) 4. Forventet Det ventes at hændelsen vil forekomme Man har erfaring med hændelsen inden for de sidste 12 måneder Hænder jævnligt i andre offentlige og private virksomheder (omtales ofte i pressen) 17

Konsekvens En ledelsesmæssig vurdering Konsekvens for brud på fortroligheden Konsekvens for brud på integritet Konsekvens for brud på tilgængelighed Konsekvens 1. Lille 2. Medium 3. Stor 4. Meget stor 18

Risikoanalyse Sandsynlighed Konsekvens Risiko * = Sandsynlighed 1. Usandsynligt 2. Mindre sandsynligt Konsekvens 1 Lille 2 Mediunm 3 Stor 4 Meget stor 3. Sandsynligt 4. Forventet 19

Hands-on Praktisk tilgang til risikovurdering Case Del 2 Risikoanalyse Vurder og nedskriv sandsynlighederne DOKUMENTER: Case Del 2 TID: 30 minutter 20

Risiko-vurdering og -håndtering Trusler Sandsynlighed Evalueringskriterie Identificer aktiver Risiko identifikation Risiko analyse Risiko evaluering Risiko håndtering Statement of Applicability Risikohåndteringsplan Sårbarheder Påvirkning Acceptkriterie 21

Risikoanalyse Sandsynlighed Konsekvens Risiko * = Sandsynlighed 1. Usandsynligt 2. Mindre sandsynligt Konsekvens 1 Lille 2 Mediunm 3 Stor 4 Meget stor 3. Sandsynligt 4. Forventet 22

Konsekvens Risikoevaluering Risikobilledet i forhold til konsekvens og sandsynlighed Prioritet 2 Prioritet 1 Prioritet 4 Prioritet 3 Sandsynlighed 23

KONSEKVENS Min foretrukne SANDSYNLIGHED Lille Medium Stor Meget stor Lille 1 2 3 4 Medium 2 4 6 8 Stor 3 6 9 12 Meget stor 4 8 12 16 24

Hands-on Praktisk tilgang til risikovurdering Case Del 3 Risikoevaluering Multiplicer konsekvens og sandsynlighed DOKUMENTER: Case Del 3 TID: 15 minutter 25

Risiko-vurdering og -håndtering Trusler Sandsynlighed Evalueringskriterie Identificer aktiver Risiko identifikation Risiko analyse Risiko evaluering Risiko håndtering Statement of Applicability Risikohåndteringsplan Sårbarheder Påvirkning Acceptkriterie 26

Risikohåndtering Hvad gør vi nu? Undgå (risikoundgåelse) Reducer (risikomodificering) Overfør (risikodeling) Accept (risikofastholdelse) Risikoniveau Strategi for håndtering Tidshorisont Lav Mellem Høj 27

Risiko-vurdering og -håndtering Trusler Sandsynlighed Evalueringskriterie Identificer aktiver Risiko identifikation Risiko analyse Risiko evaluering Risiko håndtering Statement of Applicability Risikohåndteringsplan Sårbarheder Påvirkning Acceptkriterie 28

Statement of Applicability Hvornår gør vi det? Hvorfor gør vi det? Hvad skal der være i den? Hvordan gør vi det? 29

Sådan kan vi gøre det A.5.1.1. Politikker for informationssikkerhed kontrolbeskrivelse Ledelsen skal fastlægge og godkende et sæt politikker for informationssikkerhed, som skal offentliggøres og kommunikeres til medarbejdere og relevante eksterne parter. Sikkerhedskrav Verifikation af sikkerhedskravsimplementering A.5.1.1.a [ Beskriv hvad ] [Beskriv hvordan ] A.5.1.1.b [Beskriv hvad ] [Beskriv hvordan ] Dokumentation for implementering/håndtering af krav Implementeret [Beskriv hvordan og evt. med link til dokumentationen ] [Ja/Nej/Delvis ] 30

Så ofte kan vi gøre det Eksempel på årshjul for risikovurdering 4. Kvartal Gennemgå Beredskabsplaner & leverandørstyring 1. Kvartal Gennemgå politikker Opdater SoA Udfør risikovurdering 3. Kvartal 2. Kvartal 31

Opsummering 32

Risiko-vurdering og -håndtering Trusler Sandsynlighed Evalueringskriterie Identificer aktiver Risiko identifikation Risiko analyse Risiko evaluering Risiko håndtering Statement of Applicability Risikohåndteringsplan Sårbarheder Påvirkning Acceptkriterie 33

ISO27001 kontroller ISMS 4.4 Politik 5.2 Organisation 5.3 Politikker & organisation A5 & A6 HR & Aktiver A7 & A8 Risikovurderingsproces 6.1.2 Kompetencer 7.2 Awareness 7.3 Kontroller Adgang & Kryptering A9 & A10 Risikohåndterings proces 6.1.3 S o A Fysisk & Operationel sikkerhed A11 & A12 Kommunikation 7.4 Implementationsplan 6.2 Kommunikation & Udvikling A13 & A14 Dokumenter 7.5 Procedurer Leverandører & Hændelser A15 & A16 Beredskab & Compliance A17 & A18 Planlægning 8.1 Risikovurdering 8.2 Risikohåndtering 8.3 Overvågning 9.1 Intern revision 9.2 Ledelsesgennemgang 9.3 Forbedring 10 34

Spørgsmål? Klaus Hansen Ravn Manager - Security & Technology T: 8932 5683 E: kxy@pwc.dk Denne publikation er udarbejdet alene som en generel orientering om forhold, som måtte være af interesse, og gør det ikke ud for professionel rådgivning. Du bør ikke disponere på baggrund af de oplysninger, der er indeholdt i denne publikation, uden at indhente specifik professionel rådgivning. Vi afgiver ingen erklæringer eller garantier (udtrykkeligt eller underforstået) hvad angår nøjagtigheden og fuldstændigheden af de oplysninger, der findes i publikationen, og, i det omfang loven tillader, accepterer eller påtager PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, dets aktionærer, medarbejdere og repræsentanter sig ikke nogen forpligtelse, ansvar eller agtpågivenhedspligt for eventuelle konsekvenser, som følger af, at du eller andre handler eller undlader at handle i tillid til de oplysninger, der findes i publikationen, eller for eventuelle beslutninger truffet på baggrund af publikationen. 2018 PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab. Alle rettigheder forbeholdes. I dette dokument refererer til PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, som er et medlemsfirma af PricewaterhouseCoopers International Limited, hvor hver enkelt virksomhed er en særskilt juridisk enhed.

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback