Guide til implementering af ISO27001

Guide til implementering af ISO27001 Professionel styring af informationssikkerhed September 2015

Indhold 10 punkter til implementering af ISO27001 3 Hvad er informations sikkerhed? 5 Overblik over forretningen 6 1. Ledelsens styring af informationssikkerhed 7 2. Politik for informationssikkerhed 8 3. Risikovurdering og -håndtering 9 4. Til- og fravalg SoA-dokumentet 11 5. Leverandørstyring 12 6. Hændelseshåndtering 13 7. Beredskabsplanlægning 14 8. Uddannelse og oplysning 15 Fra DS484 til ISO27001 hvad skal der til? 16 9. Evaluering og opfølgning 17 10. Planer for sikkerhedsaktiviteter 18 Modenhed som forudsætning for god styring af informationssikkerhed 19 Guide til implementering af ISO27001 September 2015 Henvendelse om publikationen: Digitaliseringsstyrelsen Landgreven 4 1017 København K Telefon 33 92 52 00 Design BGRAPHIC Foto Colourbox ISBN 978-87-93073-14-2 Publikationen kan hentes på Digitaliseringsstyrelsens hjemmeside: www.digst.dk

10 punkter til implementering af ISO27001 Informationssikkerhed er et værdiskabende element i enhver organisation og er med til at sikre, at informationssikkerhedsrisici håndteres. Styring af informationssikkerhed handler om at gøre det til en naturlig del af forretningens processer. Med National strategi for cyber- og informationssikkerhed 2014 er det blevet et krav, at statslige myndigheder skal implementere den internationale sikkerhedsstandard ISO/IEC 27001:2013 (herefter ISO27001) senest primo 2016. Dette krav og det øgede fokus på informationssikkerhed generelt har skabt et behov for en hjælp til implementering af ISO-standarden. Særligt er der blevet efterspurgt en model med konkrete anvisninger til, hvilke punkter der som minimum bør være opfyldt for at leve op til standarden. Ledelsens engagement Denne guide beskriver en forenklet model og koncentrerer sig særligt om 10 centrale punkter. Guiden indeholder således ikke en fyldestgørende liste over samtlige områder i standarden. De 10 punkter tager udgangspunkt i standardens kriterier for ledelsens engagement og involvering i styring af informationssikkerheden samt en række vigtige målsætninger i cyber- og informationssikkerhedsstrategien om hhv. håndtering af leverandører, hændelser og nødberedskab. Målet med guiden er dels at lette arbejdet med at implementere ISO27001, dels at skabe en forståelse for, hvad der er nødvendigt at gøre for at skabe professionel ledelsesmæssig styring af informationssikkerhed efter standardens principper. Guiden anviser en retning, men er ikke et implementeringskoncept, der skal gennemløbes slavisk. Alle organisationer er forskellige både i størrelse, kom pleksitet, organisering og opgavernes karakter. Ledelses mæssig styring af informationssikkerhed afhænger alene af den enkelte organisation, dens kultur og informationer og skal planlægges, tilrettelægges og udvikles herefter. Guiden er henvendt til topledelser og sikkerhedskoordinatorer i statslige organisationer, der står over for en førstegangsimplementering. Guiden kan også anvendes af private virksomheder mv. En god start For at komme godt i gang kan organisationen i en førstegangsimplementering vælge at gennemløbe de 10 punkter på et relativt overordnet niveau. Alternativt kan organisationen som opstart udvælge en mindre del af forretningen til det første gennemløb. Herefter vil der være opnået en viden og erfaring, der kan bruges i den videre udvikling til forbedring af informationssikkerhedsstyringen. Der bør dog foreligge en overordnet tidsplan for implementering i de øvrige forretningsområder. Helt afgørende forudsætninger for implemente ringen er, uanset fremgangsmåde, at arbejdet bakkes op af og er forankret i den øverste ledelse, er dokumenteret og baseret på den enkelte organisations risikoprofil. 3

Guidens opbygning Guiden gennemgår på et overordnet niveau de centrale punkter, der skal gennemløbes, etableres og dokumenteres i arbejdet med at implementere ISO27001. Udover ledelsens opbakning til implementeringen forudsættes det, at der er etableret overblik over forretningen, opgaver og kontekst, før arbejdet sættes i gang. Overblikket indgår derfor ikke i de 10 centrale punkter. Punkterne er bygget op efter samme skabelon: : Hvilken værdi giver punktet organisationen? Ved alle punkter er der henvisninger til vejledninger og værktøjer på Digitaliseringsstyrelsens hjemmeside og de relevante afsnit i standarden eller Anneks A. Det anbefales, at man anskaffer sig selve standardens tekst hos Dansk Standard. Guiden er blevet til med input fra Dansk Standard, Center for Cybersikkerhed, Statens It, It-Branchen og medlemmer af Statens Informationssikkerhedsforum (SISF) og har været præsenteret for referencegruppen for statens tilsynskoncept. Digitaliseringsstyrelsen er dog ansvarlig for form og indhold alene. : Hvilket dokument og hvilken beslutning er udfaldet af punktet? Forudsætninger: Hvilket grundlag bygger punktet på? : Hvilken metode kan anvendes til punktet? Overblik over arbejdstrin OVERBLIK OVER FORRETNINGEN LEDELSENS STYRING AF INFORMATIONS- SIKKERHED POLITIK FOR INFORMATIONS- SIKKERHED PLANER FOR SIKKERHEDS- AKTIVITETER ÅRSHJUL TIL- OG FRAVALG SOA-DOKUMENTET RISIKOVURDERING OG -HÅNDTERING EVALUERING OG OPFØLGNING UDDANNELSE OG OPLYSNING LEVERANDØR- STYRING BEREDSKABS- PLANLÆGNING HÆNDELSES- HÅNDTERING 4

Hvad er informations sikkerhed? Informationssikkerhed er en bred betegnelse for de samlede foranstaltninger til at sikre informationer i forhold til fortrolighed, integritet og tilgængelighed. I arbejdet indgår blandt andet organisering af sikkerheden, påvirkning af adfærd, arbejdsgange for håndtering af informationer, styring af leverandører og tekniske sikkerhedsløsninger. Ledelsens ansvar Den øverste ledelse har det overordnede ansvar for styring af informationssikkerhed i en organisation. Dette indebærer ansvaret for at etablere, implementere, vedligeholde og løbende forbedre informationssikkerheden. Ledelsen har også ansvaret for at fastlægge et passende risikoog sikkerhedsniveau og afgrænse opgaver samt prioritere ressourcer og sikkerhedsaktiviteter. På samme måde som ledelsen er involveret i andre kritiske forhold af økonomisk, politisk og strategisk betydning for forretningen. Dette stiller krav til, at ledelsen forholder sig til og godkender alle relevante forhold vedrørende informationssikkerhed, herunder bl.a. overordnede politikker, risikovurderinger, SoA-dokument, retningslinjer, procedurer, handlingsplaner mv. Med dette sikres, at arbejdet med informationssikkerhed er forankret i topledelsen. ISO27002 indeholder en uddybning af foranstaltningerne (de såkaldte kontroller) og tilhørende implementeringsvejledning, som kan implementeres efter behov. Kontrollerne er stort set enslydende med foranstaltningerne i den tidligere anvendte standard, DS484, men i modsætning hertil er tilgangen, at de kan til- og fravælges ud fra resultatet af risikovurderingen. Det betones, at listen i ISO27002 ikke er udtømmende, så der kan være organisationer, der skal indføre flere eller andre foranstaltninger. ISO27000 består af en ordliste med definitioner på begreber, der anvendes i standarden. Sikkerhed i balance Den enkelte organisations indsats på sikkerhedsområdet skal vægtes med udgangspunkt i en konkret vurdering mellem hensynene: Sikkerhed, brugervenlighed og økonomi. Det er vigtigt, at indsatsen er proportional med truslerne på det konkrete område. Sikkerhedstiltagene bør være pragmatiske og ikke indføres på bekostning af brugeroplevelsen og effektiviteten. Der skal således ikke arbejdes med sikkerhed for enhver pris, og risici vil aldrig kunne kontrolleres fuldstændigt. National strategi for cyber- og informationssikkerhed Øget professionalisering og mere viden ISO-standarden ISO27001 er en normativ standard, som beskriver et ledelsessystem til styring af informationssikkerhed. Bilaget (det såkaldte Anneks A) indeholder en liste med 114 mulige risikominimerende foranstaltninger, der skal vurderes og evt. indføres for at opnå et passende sikkerhedsniveau. December 2014 5

Overblik over forretningen Fundamentet for arbejdet med informationssikkerhed er, at der er skabt et godt overblik over forretningen, dvs. et klart billede af hvilke informationer der er de mest kritiske for forretningen. Det kræver et kendskab til interne og eksterne forhold, som kan bidrage med at bestemme de primære forretningsområder og tilhørende processer. Det betyder, at der skal skabes klarhed over forretningens vigtigste områder i relation til fx borgere, virksomheder og myndigheder, samt hvilke love, bestemmelser, overordnede politikker, kontraktuelle forhold eller andet som organisationen kan være underlagt. I ISO-standarden betegnes det Organisationens kontekst og fremgår af afsnit 4. Forudsætninger Kendskab til organisationens mål, formål, ydelser, processer, resultatkontrakter og strategi samt love, myndighedskrav og eventuelle overordnede politikker fx fra departement eller koncern. Der kan fx gennemføres workshops med de forretningsansvarlige og andre interne interessenter. De vil kunne bidrage med det forretningsmæssige indblik og medvirke til at skabe en fælles forståelse af vigtige prioriteringer. Det er vigtigt, at der fokuseres bredt på informationer, og at det ikke blot kommer til at handle om it-systemer. Beskrivelse af forretningsprocesser, arbejdsområder, interessenter og systemer mv., som er essentielle for organisationen, herunder de ansvarlige for forretningsområderne (system- og risikoejere) mv. Dette udgør endvidere grundlaget for risikovurderingen. Vejledning i informations - sikkerhedsstyring (ISMS) Vejledningens afsnit om organisationens kontekst giver input til, hvordan man etablerer et overblik over forretningen. Vejledning i informationssikkerhedsstyring (ISMS) Februar 2015 Udvalgte love med krav til informationssikkerhed Her beskrives, hvilke love man typisk skal forholde sig til. Den enkelte organisation kan være underlagt krav, som ikke er beskrevet her. Guide til identifikation af kritiske forretningsprocesser Guiden beskriver, hvordan man kan afgrænse og nedbryde de kritiske processer for at lette overskueligheden. 6

1 Ledelsens styring af informationssikkerhed Det er topledelsens ansvar at sikre et velfungerende ledelses- og styringssystem for informationssikkerhed (ISMS) gennem allokering af ressourcer, delegering af ansvar og opgaver mv. Hermed skabes der en tydelig oversigt over, hvem der er ansvarlig for de enkelte opgaver. Et ISMS er et samlet udtryk for de politikker, procedurer, processer, organisatoriske beslutningsgange og aktiviteter, som udgør komponenterne i organisationens styring af informationssikkerhed. I ISO-standarden er emnet beskrevet i afsnit 5.1 (Lederskab og engagement) og afsnit 5.3 (Roller, ansvar og beføjelser i organisationen). Beskrivelse af organisering, navne, opgaver, roller og ansvar i forhold til organisationens behov og prioritering af arbejdet med informationssikkerhed. Det gælder fx udpegning af informationssikkerhedskoordinator, informationssikkerhedsudvalg og formandskab, rap porteringer, brugernes ansvar, arbejdsgange, standarddagsordener for udvalgsmøder mv. Organiseringen skal godkendes af topledelsen. Forudsætninger At topledelsen viser engagement og lederskab i informationssikkerhedsarbejdet, og at der er skabt et overblik over forretningen. Styringen af informationssikkerhed bør tilpasses den enkelte organisation, så der tages hensyn til eksisterende arbejdsgange, organiseringer, ansvarsfordelinger mv. Det er en forudsætning for succes, at styringen af informationssikkerhed integreres i den eksisterende organisation. Det kan overvejes, om informationssikkerhed skal indgå i organisationens resultatkontrakter. Vejledning i informations - sikkerhedsstyring (ISMS) Vejledningen giver et overblik over de elementer og koncepter, der bør indgå i et ledelses- og styringssystem for informationssikkerhed. I afsnittet om ledelse beskrives organisering af informationssikkerhedsarbejdet. Vejledning i informationssikkerhedsstyring (ISMS) Februar 2015 7

2 Politik for informationssikkerhed En informationssikkerhedspolitik er et strategisk styringsredskab og dermed en del af ledelsens styring, som skal være med til at sætte rammerne for informationssikkerheden. Det er topledelsens ansvar, at der defineres en politik, som anviser det ledelsesvalgte sikkerhedsniveau. Det er vigtigt, at politikken er afstemt med de forretningsmæssige mål og eksterne krav fra fx lovgivning og samarbejdspartnere. Informationssikkerhedspolitikken er omtalt i standardens afsnit 5.2 (Politik). Forudsætninger Overblik over forretningen, godt kendskab til formål og strategi samt eventuelle overordnede politikker. Ledelsen bør involveres i arbejdet med informationssikkerhedspolitikken, så det sikres, at dens vurderinger og beslutninger indgår. Politikken kan evt. skrives ud fra en eksisterende skabelon i organisationen. En informationssikkerhedspolitik for organisationen. Politikken skal kommunikeres til medarbejderne og relevante eksterne parter. Politikken skal godkendes af topledelsen. Vejledning i informations sikkerhedspolitik Vejledningen beskriver, hvordan man udarbejder en informationssikkerhedspolitik, herunder hvordan den kan passes ind i en organisations øvrige styringsdokumenter. Vejledning i informationssikkerhedspolitik Februar 2015 Informationssikkerhedspolitik stor model Eksempel på en model, der kan bruges til at opnå en stor detaljeringsgrad i udformningen af politikker for forretningen. Informationssikkerhedspolitik lille model Eksempel på en model for en mere overordnet politik. Modellen er tiltænkt en organisation, som ikke har behov for at udarbejde flere politikker for konkrete aspekter af it-anvendelsen. 8

3 Risikovurdering og -håndtering En risikovurdering handler om at identificere og analysere mulige trusler, sårbarheder og tilhørende konsekvenser og deres sandsynlighed i forhold til risikoen for tab af fortrolighed, integritet og tilgængelighed. Risiko vurderingen bruges til at kunne vurdere og håndtere risici. Arbejdet skal munde ud i en vurdering af, hvilke trusler der synes mest oplagte i forhold til at kunne påvirke forretningens evne til at nå sine mål. Dermed får ledelsen mulighed for at prioritere de indsatser, som giver organisationen et passende og ønsket niveau af informationssikkerhed. På denne baggrund udarbejdes en handlingsplan, der følger op på de risici, der vurderes som de vigtigste, og som ledelsen skal forholde sig til. Som led heri benyttes til- og fravalg i arbejdet med beslutningsdokumentet (SoA-dokumentet). Risikovurdering, fx med følgende elementer: Konsekvensvurdering af forretningsprocesser og tilhørende informationer Trusselsidentifikation og relevansbetragtning Sårbarhedsvurdering og vurdering af sandsynligheden for forretningsmæssige konsekvenser Liste over risici Forslag til risikoreducerende tiltag. Risikovurderingen og de aftalte aktiviteter i handlingsplanen skal godkendes af topledelsen. Risikovurdering er behandlet i standardens afsnit 6.1 (Handlinger til håndtering af risici og muligheder). Vejledning i it-risikostyring og -vurdering Vejledningen beskriver bl.a. risikovurderingsprocessen fra etablering af kontekst til vurdering, håndtering, opfølgning mv. Vejledning i it-risikostyring og -vurdering Februar 2015 9

Forudsætninger Et godt kendskab til organisationens processer og informationer, og hvordan de understøtter forretningen. Overblik over forretningen udgør grundlaget for risikovurderingen. Fra 2015 er det blevet et krav, at cybertrusler indgår i grundlaget for myndighedernes risikoledelse. Det er forretningen, som bedst ved, hvordan processerne fungerer, og hvilke informationer, der er i spil, hvor og hvornår. Forretningen skal derfor tage en aktiv rolle i risiko vurderingen og fx udarbejde konsekvensvurderingen for processer og informationer. Det danner grundlag for detaljeringsniveauet i det videre arbejde med risikovurderingen. Støtteaktiver som fx hardware og software, fysiske lokationer, interaktion med informationerne mv. skal identificeres og medtages i vurderingen af de trusler og sårbarheder, der vil kunne aktualiseres i risiko for tab af fortrolighed, integritet og tilgængelighed. Arbejdet med at identificere relevante trusler handler om at undersøge, hvad der kan true informationssikkerheden. Sårbarhedsvurderingen skal identificere evt. svagheder i organisationen, som kan udnyttes til at kompromittere informationernes fortrolighed, integritet eller tilgængelighed. Sandsynligheden for, at noget sker, kan anvendes til at udvælge passende sikkerhedskontroller og prioritere ressourcerne bedst muligt. 10

4 Til- og fravalg SoA-dokumentet Arbejdet med SoA-dokumentet (Statement of Applicability) er et led i håndteringen af risici. SoA en, som også kaldes beslutningsdokumentet, bruges til at træffe en række til- og fravalg til håndtering af de risici, der er identificeret gennem risikovurderingen. Et SoA-dokument består således af en liste med kontroller, der kan være relevante for en organisation at udføre som led i håndtering af risici. SoA er behandlet i standardens afsnit 6.1 (Handlinger til håndtering af risici og muligheder) og 6.1.3 (Håndtering af informationssikkerhedsrisici). SoA-dokument, der indeholder en beskrivelse af de foranstaltninger, der skal gennemføres. Beskrivelsen skal indeholde begrundelser for, hvorfor visse kontroller evt. er blevet valgt fra. Forudsætninger En udarbejdet risikovurdering. Udarbejdelsen af SoA-dokumentet kan foregå enten i workshop- eller interviewform. Arbejdet ligger i forlængelse af de risici, man har identificeret under risikovurderingen. På baggrund af risikovurderingen besluttes det, hvilke muligheder man har for at håndtere de fundne risici, samt hvilke foranstaltninger man vil implementere. SoA en bruges til at verificere, at man ikke har undladt vigtige kontroller. Det udarbejdede SoA-dokuments tilvalg indgår som grundlag for handlingsplaner for konkrete aktiviteter, der skal implementere sikkerhedsforanstaltningerne. Resultatet af arbejdet med SoA-dokumentet skal godkendes af topledelsen. Guide til SoA-dokumentet Denne guide fungerer som generel vejledning i, hvordan man udarbejder et SoA-dokument og beskriver samtidig, hvordan man bruger Digitaliseringsstyrelsens SoA-skabelon. Guide til SoA-dokumentet - Statement of Applicability August 2014 SoA-skabelon Skabelonen udgøres af et Excel-ark, der indeholder listen med kontrollerne fra Anneks A. Ud fra hver kontrol er der felter, der kan udfyldes med begrundelser for til- og fravalg. 11

5 Leverandørstyring Mange statslige it-løsninger er outsourcet til eksterne leverandører, men selv om en løsning er outsourcet, er myndigheden stadig ansvarlig for styringen af informa tionssikkerheden. Med det følger et ansvar for at håndtere og stille krav til leverandørerne. Professionel leverandørstyring skal sikre, at organisationen får de rette ydelser og sikrer en tydelig ansvarsfordeling i håndtering af driften og ved hændelser. Derudover er det et krav, at der udarbejdes en databehandleraftale, hvis den eksterne leverandør håndterer personoplysninger direkte eller indirekte. Leverandørstyring behandles i afsnit 15 i Anneks A (Leverandørforhold). Politik eller retningslinjer for leverandørstyring, som fx indeholder krav om løbende vurderinger af sikkerhedsrisici hos centrale leverandører og underleverandører, risikovurdering inden kontraktindgåelse mv. Principperne for leverandørstyringen skal godkendes af topledelsen. Der bør etableres en ramme for selve leverandørstyringen, fx Tydelig ansvarsfordeling mellem kunde og leverandør ved hændelser, rapportering og beredskabssituationer Relevante krav til sikkerhedsforanstaltninger, herunder teknisk vedligehold (patching, antivirus, backup, retention time mv.), adgangsforhold og medarbejdernes rettigheder på systemer Kontraktuel styring, herunder ændringer i leverandørydelser, forhold ved opsigelse, forhold ved salg eller ophør af leverandørens virksomhed og krav ved brug og skifte af underleverandører Når rammerne for leverandørstyringen er etableret, bør det i samarbejde med de kontraktansvarlige i organisationen vurderes, om eksisterende og nye kontrakter lever op til rammerne, og om eventuelle afvigelser skal håndteres. I givet fald skal det beskrives i en handlingsplan. Forudsætninger Et godt kendskab til den eksisterende organisation og dennes processer, systemer, andre aktiver samt leverandører, kontrakter og øvrige eksterne krav. Anbefalinger til styrkelse af sikker heden i statens outsourcede it-drift Anbefalingerne fremgår af en rapport, som Digita li seringsstyrelsen og Center for Cyber sikkerhed skrev som opfølgning på CSC-sagen. Rapporten behandler de udfordringer, der er forbundet med at outsource itsystemer og er bygget på konkrete erfaringer. Det indgår som et initiativ i cyber- og informations sikker heds - strategien, at der følges op på myndighedernes efterlevelse og indarbejdelse af anbefalingerne i rapporten. Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August 2014 Datatilsynets beskrivelse af databehandleraftale På Datatilsynets hjemmeside findes beskrivelser af håndtering af personfølsomme informationer, herunder anbefalinger til udformning af data behandleraftaler. 12

6 Hændelseshåndtering En organisation bør have en ensartet og effektiv metode til at imødekomme brud på informationssikkerheden. Der skal følges op og evalueres på hændelser, så man kan igangsætte de rette organisatoriske, administrative og tekniske løsninger til at imøde komme samme typer hændelser fremover. Siden 1. september 2014 har det været et krav, at alle statslige myndigheder skal underrette Center for Cybersikkerhed ved større cybersikkerhedshændelser. Underretningspligten er indført for at skabe de bedst mulige forudsætninger for at udnytte erfaringer med cybertrusler og sikkerhedsrisici på tværs af staten. Hændelseshåndtering behandles i afsnit 16 i Anneks A (Styring af informationssikkerhedsbrud). Procesbeskrivelse af, hvordan hændelser håndteres i organisationen og evt. eksterne parter underrettes. Forudsætninger Et godt kendskab til den eksisterende organisation og dennes processer, systemer, netværk, medarbejdere mv. Håndtering af sikkerhedshændelser vil typisk foregå på tværs af en organisation. Etableringen af en konkret proces for hændelseshåndtering kan fx indeholde følgende elementer: Fælles forståelse i organisationen og hos leverandører af, hvad en hændelse er, og hvilke der skal håndteres, kilder til opsamling af hændelser, overgang fra hændelse til beredskab Rapportering og vurdering af hændelsen, ansvarsfordeling, håndtering, evaluering og forbedring. Digst.dk Håndtering af hændelser Digst.dk indeholder et eksempel på en proces og en guide til, hvilke oplysninger der er vigtige i forbindelse med at indsamle til hændelses rapporteringen. 13

7 Beredskabsplanlægning En organisation har normalt truffet foranstaltninger til at imødekomme it-nedbrud eller andre situationer, som påvirker organisationens evne til at opretholde sin normale drift. Hvis foranstaltningerne ikke slår til, træder beredskabsplanen og eventuelle nødforretningsplaner i kraft. I standardens Anneks A bruges begrebet informationssikkerhedskontinuitet som et udtryk for beredskab. Dette handler om at etablere processer til så vidt muligt at bevare fortrolighed, integritet og tilgængelighed af information i kritiske situationer. Beredskabsplanlægning tager afsæt i at understøtte organisationens retablering af normal drift, men kan også baseres på hurtig genetablering til et lavere, men acceptabelt driftsniveau og begrænsning af følgevirkninger af en hændelse, fx ved brug af planer for nøddrift. Udgangspunktet for beredskabsplanlægning er beskrevet i afsnit 17 i Anneks A (Informationssikkerhedsaspekter ved nød-, beredskabs- og retableringsstyring). Beredskabsplan, der beskriver de forskellige processer, roller og procedurer, der indgår i en beredskabssituation. Planen bør indeholde beskrivelse af, hvornår et beredskab skal træde i kraft og afsluttes. Beredskabsplanen skal godkendes af topledelsen og være tilgængelig for relevante personer i organisationen. Forudsætninger Et godt kendskab til den eksisterende organisation og dennes processer, systemer, netværk, medarbejdere mv. Grundlaget for beredskabsplanlægning skal etableres. Overblik over forretningen kan danne basis for, hvilke kriterier der skal gælde for den videre beredskabsplanlægning, fx acceptabel nedetid til normal drift er genetableret, tab af data, overgangen fra hændelseshåndtering til beredskab, muligheder for nøddrift mv. Herefter kan selve arbejdet med beredskabsplanen begynde. Planen skal udarbejdes i samarbejde med de ansvarlige fra forretningen og koordineres med relevante leverandører for at sikre, at omkostningerne for beredskabet er i balance med forretningens afhængighed. Planen bør korrigeres efter behov og testes jævnligt. Det er en forudsætning for et godt beredskab, at retablering af kritiske informationer omfattes af testen. Resultatet af testen skal evalueres, og forbedringer skrives i handlingsplaner. Guide til bedre beredskabsstyring Guiden beskriver, hvordan man håndterer og forbedrer beredskabsplanlægningen i en organisation på baggrund af et selvevaluerings forløb. Guide til bedre beredskabsstyring April 2015 Vejledning til it-beredskab Vejledningen beskriver, hvordan organisationen kan styre og vedligeholde et passende it- beredskab. I vejledningen henvises til forskellige skabeloner. Digst.dk Beredskab Digst.dk indeholder en række skabeloner og andre værktøjer til brug for arbejdet med beredskabet. 14

8 Uddannelse og oplysning Organisationens medarbejdere skal have den fornødne viden om informationssikkerhed, så de til daglig udviser en adfærd, som understøtter organisationens mål for informationssikkerhed. I standarden behandles emnet i afsnit 7.3 (Bevidsthed). Informationsindsats eller andre aktiviteter, der kan fremme en adfærdskultur, som afspejler organisationens informationssikkerhedspolitik og risikoprofil, og som tager højde for aktuelle trusler fra fx internettet. Indsatsen kan fx have ledelsen som afsender. Forudsætninger Overblik over forretningen, risikovurdering og informationssikkerhedspolitik, regler, procedurer mv., der er rammesættende for medarbejdernes adfærd i organisationen. Uddannelse og oplysning kan planlægges og udføres på mange måder. Indsatsen bør lægges, hvor det giver mest værdi for forretningen under iagttagelse af forskelle i roller og ansvar for informationssikkerheden. Guide til awareness Guiden beskriver, hvordan man kan arbejde med oplysning om informationssikkerhed. Guide til awareness om informationssikkerhed Marts 2013 Din brug af it Denne pjece viser et eksempel på målrettet awareness mod medarbejderens brug af it-udstyr i det daglige. Hvad gør vi ved cyberangreb? Et eksempel på en pjece med anvisninger på, hvordan man som medarbejder skal forholde sig til cyberangreb. 15

Fra DS484 til ISO27001 hvad skal der til? Regeringen besluttede i 2010, at det skulle være muligt at vælge mellem den danske standard DS484 og den internationale standard ISO27001. ISO-standarden blev obligatorisk for staten efter revidering og udgivelse på dansk i januar 2014. Mens DS484 ofte er blevet opfattet som en tjekliste for implementering af sikkerhed i it-miljøer, stiller ISOstandarden færre bindende krav til institu tionerne, og de organisatoriske, administrative og tekniske løsninger afhænger i højere grad af den enkelte institutions behov. Et kritikpunkt af DS484 har været, at den medførte omfattende administrative omkostninger for statens institutioner uden hensyntagen til risikoprofil. Med ISO27001 er det blevet muligt at tage udgangspunkt i en risiko vurdering af forretningens processer og aktiver og derfra udarbejde et beslutningsdokument, hvor der aktivt skal foretages en række til- og fravalg af en række sikkerhedskontroller. Groft sagt svarende til de kendte sikkerhedsforanstaltninger i DS484. Ledelsesforankring nødvendig Den afgørende forskel på de to standarder er dog hensynet til ledelsesforankringen. I ISO27001 for ventes det, at ledelsen tager styringen og etablerer et ledelsessystem for styring af informationssikkerhed (ISMS). Omdrejningspunktet i ISO27001 er ledelsessystemet og løbende etablering af forbedrede processer til styring af informationssikkerhed som en naturlig og integreret del af den daglige ledelse af forretningen. Arbejdet med DS484 kan stadig bruges. Sikker heds foranstaltningerne i DS484 kan i et vist omfang sidestilles med ISO27002. Når risikovurderingen er gennemført, og beslutningsdokumentet (SoA) udarbejdet, er rammen sat for, hvilke kontroller der skal implementeres. ISO27001 rummer også mulighed for at anvende andre standarder udover ISO27002 i arbejdet med at implementere sikker hedskontroller. Dette kunne fx være Cobit, ISF, ITIL, PCI DSS og NIST. 16

9 Evaluering og opfølgning et med evaluering og opfølgning er at vurdere, om de besluttede kontroller er relevante og effektive, og om ISO27001 efterleves. Der bør ske en systematisk erfaringsopsamling i form af intern audit, dvs. et systematisk og planlagt eftersyn af informations sikker hedsstyringen, og om andre aktiviteter på sikkerhedsområdet er passende og optimale. I standarden er emnet behandlet i afsnit 9 (Evaluering) og 10.1 (Afvigelser og korrigerende handlinger). Evaluering og opfølgning, der gør status på sikkerhedsaktiviteter og indeholder anbefalinger til korrigerende handlinger og forbedring af informationssikkerheden. Dette skal godkendes af ledelsen. Forudsætninger Det er en forudsætning, at der er udarbejdet en oversigt over til- og fravalg med tilhørende handlingsplan, da evalueringen bl.a. tager udgangspunkt i, om tilvalgene er gennemført. Andre aktiviteter på sikkerhedsområdet indgår også i evalueringen. Evalueringen kan tilrettelægges med udgangspunkt i, men bør ikke været begrænset til, SoA-dokumentet og den tilhørende handlingsplan. Dette kan foregå som intern audit, fx gennem interview med de ansvarlige for de respektive punkter i SoA en. De indsamlede resultater evalueres, og der udarbejdes forslag til korrigerende handlinger, ændringer til eksisterende eller nye foranstaltninger. Hvis der findes store afvigelser, kan det være nødvendigt at lave en fornyet risikovurdering. Værktøj til selvevaluering Med dette værktøj kan man danne et overskueligt situationsbillede af, hvor langt en orga ni sation er nået i overgangen fra DS484 til ISO27001. ISO27001 Benchmark Dette selvevalueringsværktøj kan bruges som en benchmark i forhold til de 114 kontroller i Anneks A. Målepunkter for informationssikkerhed Center for Cybersikkerhed har udgivet en vejledning, der kan hjælpe virksomheder i gang med at foretage konkrete målinger af deres indsats på informationssikkerhedsstyring. Målgruppen for vejledningen er primært virksomheder i energi-, tele- og den finansielle sektor, men målepunkterne kan også anvendes af virksomheder i andre brancher. 14. Overensstemmelse med lovbestemte og kontraktlige krav 5 4 1. Informationssikkerhedsstyring (ISMS) 2. Dokumentation 13. Beredskabsstyring 3 2 3.Risikovurdering og -håndtering 12. Styring af sikkerhedsbrud 1 0 4. Politikker 11. Indkøb, udvikling og vedligeholdelse af informationsbehandlingssystemer 5.Organisering af informationssikkerhed 10. Adgangsstyring 6. Styring af informationsrelaterede aktiver 9. Styring af netværk og drift 7. Medarbejdersikkerhed 8. Fysisk sikkerhed 17

10 Planer for sikkerhedsaktiviteter Implementering og styring af informationssikkerhed er en kontinuerlig proces. Der er ikke forventninger om, at samtlige aktiviteter er varige og på forhånd etableret, men de skal indgå i handlingsplaner og løbende forbedres. Planer for tilbagevendende aktiviteter kan indgå i et såkaldt årshjul, fx punkterne i denne guide. Enkeltstående aktiviteter som implementering af ISO27001 skal også beskrives og formuleres i en handlingsplan. Planer for sikkerhedsaktiviteter er ikke eksplicit omtalt i ISO-standarden, men det er en gennemgående præmis, at sikkerhedsarbejdet udføres efter handlingsplaner, og at der sker planlagte, løbende evalueringer og forbedringer. Årshjul med etablering, opfølgning, evaluering og løbende forbedringer af tilbagevendende aktiviteter. Andre handlingsplaner, herunder plan for implementering af ISO27001, implementering af sikkerhedsforanstaltninger fra SoA-dokumentet, nødberedskab, test, evaluering, opfølgning, audit mv. Alle relevante aktiviteter og planer, der har større sikkerhedsmæssig eller økonomisk betydning for forretningen skal godkendes af topledelsen. Forudsætninger Et godt overblik over sikkerhedsarbejdets opgaver og tilbagevendende aktiviteter. Der skal etableres planer for, hvornår aktiviteterne skal gennemføres. Planerne kan være udarbejdet i Excel, Word, et projektværktøj eller et Gantt-diagram, alt efter hvad der passer ind i den enkelte organisation. I planen bør deadline, ansvarlig og status fremgå under de enkelte aktiviteter. Afrapportering og fremdrift kan fx ske på møder i informationssikkerhedsudvalget. Vejledning i informations - sikkerhedsstyring (ISMS) Vejledningen giver et overblik over de elementer, der bør indgå i et ledelses- og styringssystem for informationssikkerhed, herunder opfølgning og forbedring ud fra Plan-Do-Check-Act-modellen. Vejledning i informationssikkerhedsstyring (ISMS) Februar 2015 18

Modenhed som forudsætning for god styring af informationssikkerhed Det ligger i ISO-standardens præmis, at informationssikkerhed skal styres på baggrund af en risikobaseret tilgang til informationssikkerheden. Udgangspunktet er, at det kun er den organisation med ansvaret for informationer, processer og systemer, der kan træffe beslutning om risici og prioritere ressourcerne derefter. Dette gælder, uanset om informationer, processer og systemer driftes internt eller er outsourcet. Hvis visse informationer eller et system er afgørende for organisationens drift, vil organisationen skulle prioritere sikkerheden for dette højere end for mindre afgørende systemer. Ressourcerne skal således allokeres til det mest kritiske. Af samme grund er det kun topledelsen, der kan vurdere, hvor dybdegående risikovurderingerne skal være, grundigheden i beredskabets tilrettelæggelse, og hvordan gode sikkerhedsrutiner skal etableres hos medarbejderne. Kvaliteten og dybden af en organisations implementering af ISO27001 er således op til den enkelte organisations ledelse at vurdere og beslutte. Det ligger dog fast i ISO27001, at alt relevant arbejde med informationssikkerhed skal dokumenteres, og at topledelsens beslutninger i disse sammenhænge tydeligt skal fremgå. Med dette sikres det, at ledelsen har truffet sine beslutninger på informationssikkerhedsområdet ud fra en risikobaseret tilgang og dette på et oplyst grundlag. Sammenhæng i styringen Mange organisationer kan siges allerede i dag at have opfyldt visse basispunkter i ISO27001, fx sikkerhedspolitik, risikovurdering og beredskabsplaner mv. gennem arbejdet med DS484. Implementering af ISO27001 handler imidlertid lige så meget om at skabe en integreret sammen hæng mellem den ledelsesmæssige styring af forretningen og informationssikkerhed som at have en sikkerhedspolitik, gennemførte risikovurderinger og styr på dokumentation og ledelsesgodkendelser. En sådan sammenhæng eller modenhed opnås ikke med en førstegangsimplementering. Modenhed opnås først, når man har været igennem flere risikovurderinger, handlingsplaner og årshjul og evalueret, om processerne passer til organisationen, herunder skabt en god kultur omkring den ledelsesmæssige styring af informationssikkerhed, så det skaber værdi for forretningen. Målet med en implementering er at etablere en systematisk og struktureret ledelsesmæssig styring af informationssikkerhed, som afhængig af organisation bliver integreret i eksisterende strukturer. 19

digst.dk