GDPR og ISO27001 To sider af samme sag Offentlig Digitalisering 2018
AGENDA Organisering - Processer, services og persondata Sikkerhedshåndbog - Politik, regler, procedurer Risikostyring Opfølgning - compliance, kontrolmiljø, awareness, årshjul 2
HVEM ER JEG? JAN LEHMANN INFORMATIONSSIKKERHEDSKONSULENT, MED FOKUS PÅ PRAKTISK IMPLEMENTERING AF INFORMATIONSSIKKERHED: ISMS IMPLEMENTERING SIKKERHEDSHÅNDBOG KONTROLMILJØ RISIKOVURDERINGER AWARENESS BAGGRUND: CIO KONSULENTCHEF INFORMATIONSSIKKERHEDSRÅDGIVER (PRE)-MBA CERT. PRACTITIONER: MSP, PRINCE2, MOB CERT. ITIL-MANAGER Jan Lehmann jal@siscon.dk 3
OM SISCON Dansk konsulenthus og softwareleverandør siden 2004 ControlManager skaber fundamentet for et helhedsbillede og dokumentere virksomhedens ISMS / Complianceprogram Konsulentydelser der matcher og udnytter ControlManagers potentiale Mere end 120 kunder i Danmark og Norge Kontor i Allerød med kursusfaciliteter 12 medarbejdere i en virksomhed i vækst 4
AGENDA Organisering - Processer, services og persondata Sikkerhedshåndbog Politik, regler, procedurer Risikostyring Opfølgning - compliance, kontrolmiljø, awareness, årshjul 5
ORGANISERING, PROCESSER, SERVICES Fase 1 Fastlæggelse af organisationsmodel Fase 2 Forretningsprocesser og IT-understøttelse Fase 3 Modellering af organisation Fase 4 Kvalitetssikring Design af organisationsmodel Omfang og niveau af organisering Målgruppestyring Design af model Niveau af forretningsprocesser Antal services/aktiver til understøttelse af forretningsprocesser Indsamling af resultater ITsikkerhedsfunktionen modellerer organisationens processer og services Gennemgang af opbygning af model, mhp.: Optimeringer Udbygninger 6
RESULTAT ORGANISATION OG FUNKTIONER 7
PROCESSER OG SERVICES ControlManager skærmbilleder 8
RESULTAT PROCESSER OG SERVICES BENYTTES FLERE STEDER: Risikovurdering Beredskab GDPR - Dataflow 9
EU-GDPR - PERSONDATAOVERBLIK Projekt Drift Projektopstart Overblik GAP/RISK Implementering Forvaltning Etablér projektet Formål/Mål Roller/ansvar Ressourcetræk Internt Eksternt Etablér projektgruppen IT-sikkerhed IT-arkitektur Jura Compliance / DPO Dataindsamling Behandling Funktionsområder Processer Systemer Data Gennemfør GAP/RISK vurdering pr. proces af Dataansvarlighed Databehandling Datarettigheder Sikringstiltag GAP/RISK på forordningen som helhed Håndter GAPs Skab rammerne - udarbejdelse af Politikker Regler Kontroller Beredskabsplaner Træn og uddan ledere og medarbejdere Følg op opfølgende på kontroller revurdering af GAP analyser kontinuert awareness Håndter ændringer Rapporter Alle faser kan understøttes C af ControlManager 25. maj 2018 10
NIVEAUET AF ANALYSEN? Modtagelse af ansøgninger Virksomhedsområde Rekruttering Screening og personlighedstest Udarbejdelse af ansættelseskontrakt Fastholdelse Funktionsområde Gennemførelse af MUS Proces 11
DATAFLOW ELEMENTER HR Rekruttering Modtagelse af ansøgninger Screening og personlighedstest Udarbejdelse af ansættelseskontrakt Online screening Datasæt 1 Mail/kalender (Vedhæftet resultater) Datasæt 2 Filserver (Resultater gemt) Datasæt 3 Data: - A - B Data: - E - F - G Data: - C - H - I Fastholdelse Gennemførelse af MUS HR system Datasæt 4 12
RESULTAT PERSONDATAOVERBLIK OG BEHANDLINGSAKTIVITETER (DATAFLOW) ControlManager skærmbillede 13
AGENDA Organisering - Processer, services og persondata Sikkerhedshåndbog - Politik, regler, procedurer Risikostyring Opfølgning - compliance, kontrolmiljø, awareness, årshjul 14
Procedure Instruks Vejledning Kontroller HVORDAN OPBYGGES ET ISMS? Privatlivs Politik ISMS Politik Informations sikkerheds Politik Politik Overordnet mål Hvorfor (Strategisk) Persondataforordningen Love / Bekendtgørelser Branchespecifikke vejledninger Standarder ISO27001 Regelsæt Sikkerhedsniveau Hvad / Hvem (Taktisk) Procedurer mm. Hvordan (Operationelt) 15
MODEL FOR INDFØRELSE AF REGELSÆT Fase 1 Udarbejdelse af udkast til IT-sikkerhedsregler Fastlæggelse af virksomhedens ønskede sikkerhedsniveau Gennemgang af ISO 27001 og GDPR Udarbejdelse af regler Fase 2 Præ-godkendelse af ITsikkerhedsregler Validering af de udarbejdede regler Gennemgang af regler med ansvarlige for regler Har reglerne det rigtige niveau? Kan de implementeres i praksis? Fase 3 Endelig godkendelse Godkendelse hos topledelse It-sikkerhedsudvalg, direktion eller lign. ControlManager by Siscon 16
FASTLÆGGELSE AF ROLLER OG ANSVAR GENNEM REGLER SOA Krav / Lov-tekst Regler Kontroller ControlManager skærmbillede 17
MAPNING AF EU-GDPR -> REGEL -> KONTROL - ET EKSEMPEL EU-GDPR Kontrol Regel Regel Regel Hvordan/detaljer Hvordan 18
AGENDA Organisering - Processer, services og persondata Sikkerhedshåndbog - Politik, regler, procedurer Risikostyring Opfølgning - compliance, kontrolmiljø, awareness, årshjul 19
MODEL FOR GENNEMFØRELSE AF RISIKOVURDERING Fase 1 Fastlæggelse af kontekst Fase 2 Gennemførelse af proof-of-concept risikomøder Fase 3 Gennemførelse af risikoanalyseworkshops Fase 4 Opsamling og afrapportering til ledelse Virksomhedens risikomæssige kontekst. Omfang og niveau af ønsket risikovurdering Skala konsekvens- og sårbarhedsvurdering Trusselskatalog Validering af risikomodel. Gennemførelse af konsekvens- og sårbarhedsanalyse(r) for et afgrænset område Fungerer modellen i praksis? Indsamling af resultater. IT-sikkerheds-funktionen gennemfører risikoanalysemøder, der matcher niveau udarbejdet under Fase 1. Illustration af risikoniveau Rapportering Mulige tiltag Årshjul 20
RISIKOVURDERING I EN FORRETNINGSMÆSSIG KONTEKST ControlManager by Siscon 21 ControlManager skærmbilleder
PROCES - RISK MAP UDENFOR RISIKOAPPETIT INDENFOR RISIKOAPPETIT (Besluttet i kontekstfasen) ControlManager skærmbillede X markerer aktiv højest sandsynlighed 22
AGENDA Organisering - Processer, services og persondata Sikkerhedshåndbog Politik, regler, procedurer Risikostyring Opfølgning compliance, kontrolmiljø, awareness, årshjul 23
COMPLIANCE- GAP ANALYSER GAP-ANALYSER GIVER DIG EN GOD IDÉ OM HVOR DU STÅR I forhold til en standard (F.eks. ISO 27001/2) I forhold til lovgivning (Persondataforordningen) Har jeg f.eks. tilstrækkelige sikringsforanstaltninger Backup, Logning, Kryptering I forhold til dit allerede implementerede regelsæt KAN ANVENDES: Overordnet Hvor er jeg i dag generelt set? Inden for et specifikt sikkerhedsmæssigt område: Databehandling, privatlivsbeskyttelse Inden for et specifikt organisatorisk område: Afdeling, kontor, proces På et givent system (Tilstandsrapport) 24
GAP-ANALYSE - FOKUSOMRÅDER I GDPR GAP-ANALYSEN FAVNER DE BESTEMMELSER I GDPR, SOM PÅLÆGGER DATAANSVARLIGE OG DATABEHANDLERE, EN RÆKKE FORPLIGTELSER I FORHOLD TIL: Governance og transparens Datakvalitet Sikring af datasubjektets kontrol med egne data Sikkerhed Databeskyttelsespolitik og retningslinjer Procedurer og processer Anvendte standarder, fx. ISO27001 Databehandleraftaler DPO Databehandling Databehandlingsbetingelser Lovligt grundlag: samtykke, lovkrav, kontrakt, tungere vejende interesser Overførsel til tredjeland Oplysning om behandling og videregivelse Adgang til data Berigtigelse og sletning Nej til profilering Dataportabilitet Sikkerhed Fortrolighed Integritet Tilgængelighed Robusthed Adgangsrettigheder Dataansvarlighed Datarettigheder 25
COMPLIANCE NIVEAU PR. OMRÅDE - EVT. AUTOMATISK MAPPET FRA ISO27001. Automatisk mapning Regler i forhold til EU-GDPR (arvet eller direkte) Regler i forhold til ISO27001 ControlManager skærmbilleder 26
MODEL FOR INDFØRELSE AF KONTROLMILJØ Fase 1 Udarbejdelse af udkast til kontrolkatalog Fastlæggelse af virksomhedens ønskede kontrolniveau Gennemgang af regler for udpegning af kontroller Udarbejdelse af roller og ansvar Frekvensen af de enkelte kontroller Fase 2 Implementering Design og implementering * Information til organisationen om fremadrettet opgavemodel Idriftsættelse af kontroller Oprettelse af email-notifikation Fase 3 Kvalitetssikring Løbende opfølgning * Kvalitetsgennemgang af samlet kontrolkatalog * evt. tilretning på baggrund af erfaringer 27
KONTROLLER - LOGBOGOVERSIGT ControlManager skærmbillede SAMLET OVERBLIK OVER LOG HISTORIK SYN FOR OM JEG ER PÅ MÅL MED DENNE KONTROL (EVIDENS) 28
KONTROLLER - STATUSOVERSIGT SAMLET OVERBLIK OVER ALLE KONTROLLER MED DERES STATUS ControlManager skærmbillede 29
FORANKRING I FORRETNINGEN EN FOKUSERING PÅ KONTROLLER GIVER YDERMERE Mulighed for at forankre og følge op på arbejdet ude i organisationen HVIS EU-GDPR OG ISO27001 SKAL FUNGERE SKAL DET VÆRE FORANKRET I FORRETNINGEN De skal tage ansvar De skal kende deres eget complianceniveau VI SKAL OPNÅ DOKUMENTERET VISHED ControlManager by Siscon 30
AWARENESS - METODER E-LEARNING QUIZ UNDERSKRIFTINDSAMLING 31
AWARENESS - E-LEARNING ControlManager skærmbillede 32
AWARENESS - QUIZ ControlManager skærmbillede ControlManager by Siscon 33
AWARENESS - UNDERSKRIFTINDSAMLING ControlManager skærmbillede 34
DET FIRKANTEDE ÅRSHJUL TILBAGEVENDENDE KONTROLLER/REVISION ControlManager skærmbillede 35
TO SIDER AF SAMME SAG Informationssikkerhedsområde (Opgaver/aktiviteter) ISO27001 ISMS GDPR Fortegnelse over forretningsgange J J Processer Fortegnelse over it-systemer og aktiver (CMDB) J J Omfatttet af flg. Funktionsområde(r) i ControlManager Aktiver og services Politikker, regler og procedurer J J Politikker Regler Procedurer (instrukser, retningslinjer ) Dokumenthåndtering J J Dokumenter Beredskabsstyring J J Fortegnelse over behandlingsaktiviteter J J Risikostyring J J Opfølgning J J Privatlivspolitik N/A J Politikker Indhentning af personoplysninger (samtykke ) N/A J Procedurer Håndtering af individets rettigheder (Berigtigelse, Sletning, Dataportabilitet, Begrænsning) N/A J Procedurer Beredskabs-, nød- og retableringsplaner Beredskabsorganisation Alarmeringsliste Status Nødforanstaltninger Dataflow (pr. proces/funktionsområde) - Datatyper - Datasæt - Dataaftaler Konsekvens og sårbarhedsanalyser (ISO27005) Risikovurdering Risikorapportering Kontroller Awareness Hændelsesstyring Gap-analyser Aktivitetsplaner Revision Håndtering af brud på persondatasikkerheden N/A J Procedurer Procedurer for Databehandleraftaler J J Procedurer 36