iso27001 seminar kom godt i gang - · pdf fileiso - agenda • præsentation •...

ISO27001 seminar

Charlotte Pedersen 23. november 2015

Kom godt i gang

© 2015 Deloitte 2

Program

Kl. 9.00 Velkomst

Kl. 9.05 Introduktion til ISO27001 på en praktisk måde

Kl. 10.00 ISO27001 kundeerfaring, Enhedsleder for it-sikkerheds-

enheden, Direktoratet for Kriminalforsorgen, Mads Jespersen

Kl. 10.30 Pause

Kl. 10.45 10 trin på vejen til ISO27001 - workshop

Kl. 12.00 Sandwich og netværk

2

© 2015 Deloitte

PræsentationCharlotte Pedersen• Director

• Cand.scient.pol.

• CIS LA, CIS 2013 UP, CIIP, CISM, CRISC, CGEIT, G31000 mv.

• Medlem af S411 hos Dansk Standard

Cyber Risk Services

Telefon: 20 85 35 42

Mail: [email protected]

Kernekompetencer:

• Cyber Security Management – sikkerhedsledelse, risikoanalyse, politik, governance

• Privacy – analyse, strategi og rapportering vedr. personoplysninger

• Risikoledelse og -styring, mål- og resultatstyring

• Proces- og implementeringskonsulent

• Kommunikation og awarenessaktiviteter

• Projektledelse - forandringsledelse

3

Deloitte – SecurityManagement team – mit

fundament – nogle afdem er her i dag

ISO - agenda

• Præsentation

• ISO 27000-familien

• ISO 27001:2013

• Risikovurdering

• Risikohåndtering og ISO27002:2014

• ISMS

• Ledelsesforankring

• Politik

• Leverandørstyring

• It-beredskab

• Overvågning, måling, analyse og evaluering (intern audit og ledelsens review)

4

ISO 27000-familien

5

© 2015 Deloitte

Nøglestandarderne

ISO27001 – er den der kan certificeres efter- er en ledelsesstandard

ISO/IEC 27000 — Information security management systems — Overview andvocabularyISO/IEC 27001 — Information security management systems — RequirementsISO/IEC 27002 — Code of practice for information security managementISO/IEC 27003 — Information security management system implementationguidanceISO/IEC 27004 — Information security management — MeasurementISO/IEC 27005 — Information security risk managementISO/IEC 27006 — Requirements for bodies providing audit and certification ofinformation security management systemsISO/IEC 27007 — Guidelines for information security management systemsauditing (focused on the management system)

6

ISO 27001:2013

8

Formål med revision af ISO27001:2005Revisionen af ISO27001 skal ses i sammenhæng med ”streamlining” af hele rækken afledelsesstandarder

Ny generation af standarder for ledelsessystemer.

Same procedure …

”standardprocedure” for standarder: efter 5 år tages de op til review med henblik på: 1)bekræftelse, 2) revision, 3) tilbagekaldelse

Grundlag for revision: udgangspunkt i gennemført analyse af status og rundspørge blandtbrugere af standarden i 2008/2009:

• sikre standardens aktualitet og brugbarhed

• imødekomme feedback fra interessenter mht. anvendelse og effektivitet afledelsessystemet i markedet og i forbindelse med certificering

• sikre overensstemmelse med næste generations standarder for ledelsessystemer

9

Overblik over ISO27001:2013Der er nye krav i standarden – og nogle af kravene i ISO27001:2005 er blevetmodificeret eller slettet.

Annex A referencekontrolmål og kontroller er tilpasset, så de er i overensstemmelsemed ISO27002:2013.

ISO27001 – rammer for risikostyring nu i overensstemmelse med ISO31000.

Risikostyring - ingen krav som tidligere til at identificere risici som identifikation afaktiver, trusler og sårbarheder – det er muligt at anvende alternative metoder, somhar vist sig lige så gode til at identificere, analysere og vurdere risici.

Det med kravene i SoA er grundlæggende set det samme som tidligere – men manskal ikke længere ”vælge” kontroller fra Annex A. Man skal ”beslutte” nødvendigekontroller til håndtering af risici og sammenligne disse med Annex A for at sikre, atman ikke har overset vigtige kontroller.

”Forebyggende handlinger” - er helt slettet i den nye version – det er underforstået,at forebyggende handlinger indgår mere eller mindre over det hele.

Ingen beskrivelse af PLAN-DO-CHECK-ACT.

10

© 2015 Deloitte 11

ISO27001 – processer og opgaver

Annex A – Statement of Applicability (SoA)It-risikoanalyse, -vurdering og -håndtering

13

© 2015 Deloitte

- Intet krav om risikovurdering med udgangspunkt i vurdering af aktiver

- Overordnet risikovurdering ud fra kritiske processer vs. Systemvurdering.

- Intet krav om vurdering af trusler og sårbarheder – men heller ikke nogetforbud mod at gøre det! Derimod vurdering af årsager.

- Muligheder for at vælge en hvilken som helst metode/proces til at gennemførerisikovurderinger

- Standarden introducerer ‘risk owner’, men ‘aktivejer’ spiller stadig en rolle

Kriterier for risici

- Typer af årsager og konsekvenser - og hvordan de kan vurderes

- Definition af sandsynlighed

- Fastlæggelse af risikoniveau – accept af risiko

- Interessenters holdninger

- Niveau for, hvornår risici kan accepteres

- Om kombinationer af risici skal tages i betragtning

Risikovurdering – ISO27001:2013

14

© 2015 Deloitte

ISO/IEC 27005 om risikovurdering

Risikovurderingerskal gennemføresmed planlagteintervaller og iforbindelse medvæsentligeændringer.

Processen forrisikovurdering skalløbende revurderes

15

Risikoprofil

16

© 2015 Deloitte 17

Trusselsvurdering og sandsynlighedsvurdering

Trusselsvurdering – Hvilke trusler fra trusselskataloget er aktuelle i forhold tiljeres kritiske aktiver og eksisterende sårbarheder i kontrollerne?

• Sandsynlighedsvurdering – Hvad er sandsynligheden for, at en trusseludnytter en sårbarhed Informationssikkerhedstrusler

Fysisk skade

BrandVandskadeForurening

Ødelæggelse af udstyr

Større ulykker

Afskedigede,ondsindede, uærligemm. medarbejdere

Misbrug af rettighederBenægtelse af

handlinger

Ondsindedemennesker

Brugerfejl(mangelfuld træning)Personafhængighed

Kompromittering affunktioner

HackerIt-kriminelleTerroristerSpionage

Forsyningssvigt – el/telekommunikationNedbrud af køling

Tab af kritiskeservices

Tekniske fejl

Fejl i udstyrOverbelastning

SoftwarefejlManglende

vedligeholdelse

Naturkatastrofer

Klimatiske fænomenerOversvømmelse

Menneskelige fejl

Annex A – Statement of Applicability (SoA)Risikohåndtering og ISO27002:2014Annex A – Statement of Applicability, SoA

18

Håndtering af de mest kritiske risici

19

© 2015 Deloitte

6.1.3 Håndtering af informationssikkerhedsrisici

Organisationen skal definere og anvende en proces til håndtering afinformationssikkerhedsrisici for at:

a) udvælge passende muligheder for håndtering afinformationssikkerheds-risici ved at tage højde for resultaterne afrisikovurderingen

b) fastlægge alle de kontroller, som er nødvendige for at implementereden eller de valgte muligheder for håndtering af informationssikkerheds-risici

c) sammenligne de kontroller, som er fastlagt som nødvendige medkontrollerne i Annex A og sikre, at ingen nødvendige kontroller er udeladt

d) tilvejebringe et Statement of Applicability, som indeholder denødvendige kontroller og begrundelse for, hvorfor nogle kontroller ermedtaget, hvad enten de er implementeret eller ej, samt begrundelse for,hvorfor andre er udeladt

e) udarbejde en plan for håndtering af informationssikkerhedsrisici og

f) indhente risikoejernes godkendelse af planen for håndtering afinformationssikkerhedsrisici og accept af resterendeinformationssikkerhedsrisici.

…

ISO/IEC 27001 om informationssikkerhedsrisici

20

© 2015 Deloitte

!!!! Annex A er et referencebilag!!!

Vejledning i ISO27002:2014

A.5 Informationssikkerhedspolitikker (2)

A.6 Organisering af informationssikkerhed (7)

A.7 Personalesikkerhed (6)

A.8 Styring af aktiver (10)

A.9 Adgangsstyring (14)

A.10 Kryptografi (2)

A.11 Fysisk sikring og miljøsikring (15)

A.12 Driftssikkerhed (14)

A.13 Kommunikationssikkerhed (7)

A.14 Anskaffelse, udvikling og vedligeholdelse af systemer (13)

A.15 Leverandørforhold (5)

A.16 Styring af informationssikkerhedsbrud (7)

A.17 Informationssikkerhedsaspekter ved beredskabsstyring (4)

A.18 Overensstemmelse (8)

(= 14 kontrolområder = 114 kontroller)

ISO/IEC 27001 om Annex A Referencekontrolmål og kontroller

21

ISMS – Informations Security Management System

23

© 2015 Deloitte

ISMS - centrale begreber

24

Ledelsessystem - rammer for retningslinjer, politikker, procedurer, processer ogtilhørende ressourcer, som skal sikre, at en organisation opfylder sine målsætninger.

Ledelsessystem for informationssikkerhed – ISMS –

del af det samlede ledelsessystem. Med udgangspunkt i forretningsmæssige risicidækker ISMSet etablering, implementering, drift, overvågning, gennemgang,vedligeholdelse og forbedring af informationssikkerhed.

(NOTE - Ledelsessystemet omfatter organisationsstruktur, politikker, planlægningsaktiviteter, ansvar og roller,praksis, procedurer, processer og ressourcer.

© 2015 Deloitte

• Sikkerhed handler ikke kun om it forstået som teknik

• Implementering af informationssikkerhed kræver, at risici styres i relation tiltilhørende fysiske, menneskelige og teknologiske trusler

• Risici skal adresseres

• Indførelse af et ISMS er en strategisk beslutning for forretningen

• Design af ISMS skal afspejle den eksterne og interne kontekst samtrelevante interessenters sikkerhedsmæssige krav og forventninger

• ISMS er i sig selv grundlaget for sikring af organisationens informationsaktiver

• ISMS skal/bør integreres i den samlede styring af organisationen

Hvorfor er det vigtigt med et ISMS?

25

ISO/IEC 27001:2013 om scope

4.3 Bestemmelse af omfanget af ledelsessystemet for informationssikkerhed

Organisationen skal fastlægge grænserne og anvendelsesmulighederne for ISMS for at fastslå detsomfang.

Når omfanget fastlægges, skal organisationen tage følgende i betragtning:

a) de eksterne og interne spørgsmål omtalt i 4.1

b) kravene omtalt i 4.2 og

c) grænseflader og afhængigheder mellem de aktiviteter, der udføres af organisationen selv ogdem, som udføres af andre organisationer

Omfanget skal være tilgængeligt som dokumenteret information.

4.4 Ledelsessystem for informationssikkerhed - ISMS

! Organisationen skal etablere, implementere, vedligeholde og løbende forbedre et ledelsessystemfor informationssikkerhed i overensstemmelse med kravene i denne internationale standard.

26

Annex A – Statement of Applicability (SoA)Ledelsesforankring

27

ISO/IEC 27001:2013 om lederskab5.1 Lederskab og engagement

Topledelsen skal udvise lederskab og engagement, hvad angår ledelsessystemet forinformationssikkerhed ved at:

a) sikre, at informationssikkerhedspolitikken og -målsætningerne er fastlagt og erkompatible med organisationens strategiske retning

b) sikre, at kravene til ledelsessystemet for informationssikkerhed integreres iorganisationens processer

c) sikre, at de ressourcer, der behøves til ledelsessystemet forinformationssikkerhed, er tilgængelige

d) kommunikere betydningen af effektiv informationssikkerhedsledelse ogefterlevelse af kravene til ledelsessystemet for informationssikkerhed

e) sikre, at ledelsessystemet for informationssikkerhed opnår den eller de tilsigtederesultater

f) lede og støtte personer i at bidrage til effektiviteten af-ledelsessystemet forinformationssikkerhed

g) fremme løbende forbedring og

h) understøtte andre relevante ledelsesroller for at udvise lederskab alt efteransvarsområde.

28

Annex A – Statement of Applicability (SoA)Sikkerhedspolitik

29

© 2015 Deloitte

• Hvad er en politik?

– hvad er forskellen på en strategi, en politik, en procedure, et direktiv og enhåndbog?

• Kort eller lang?

• Flere politikker - flere dokumenter – vis struktur- rød tråd

• Husk målgruppen

Kært barn har mange navne – og lidt religiøst

30

ISO/IEC 27001:2013 ominformationssikkerhedspolitikker5.2 Politik

Topledelsen skal fastlægge en informationssikkerhedspolitik, som

a) passer til organisationens formål

b) omfatter målsætninger for informationssikkerhed (se 6.2) eller opstillerrammer for fastlæggelse af målsætninger for informationssikkerhed

c) indeholder en forpligtelse til at opfylde relevante krav i relation tilinformationssikkerhed og

d) indeholder en forpligtelse til løbende forbedring af ledelsessystemet forinformationssikkerhed.

Informationssikkerhedspolitikken skal:

e) være tilgængelig som dokumenteret information

f) kommunikeres internt i organisationen og

g) være tilgængelig for interessenter, hvis hensigtsmæssigt.

31

© 2015 Deloitte 32

Hvor skal der bruges ressourcer?

Implementering

32

Rammer

Strategi

Politik

SOA

Risikovurdering

GAP/Risikohåndtering

Politikker

To-do

Processer

Vejledninger

Måling og intern opfølgning

Hvad gør vi?

Hvad skal vi?

Hvordan gør vi?

Ledelse

Område

Afdeling

Annex A – Statement of Applicability (SoA)Leverandørstyring

33

Ingen direkte krav i 27001:2013- Men relevante kontroller i Annex A

A.15 Leverandørforhold

A.15.1 Informationssikkerhed i leverandørforhold

Formål: At beskytte de af organisationens aktiver, som leverandører har adgang til.

A.15.1.1 Politik ominformationssikkerhedvedrørendeleverandørforhold

KontrolDer skal aftales og dokumenteres krav til informationssikkerhedmed leverandøren for at mindske risici i forbindelse medleverandørens adgang til organisationens aktiver.

A.15.1.2 Behandling afsikkerhed ileverandøraftaler

KontrolDer skal aftales og dokumenteres krav til informationssikkerhedmed leverandøren for at mindske risici i forbindelse medleverandørens adgang til organisationens aktiver.

A.15.1.3 Supply chain forinformations- ogkommunikationsteknologi

KontrolAftaler med leverandører skal indeholde krav om at væreopmærksom på de informationssikkerhedsrisici, der knytter sig tilydelser forbundet med informations- og kommunikationsteknologisamt produkternes supply chain.

34

Ingen direkte krav i 27001:2013- Men relevante kontroller i Annex A

35

© 2015 Deloitte 36

Idé om outsourcing,

køb af ydelse, ny aftale

eller genudbud

Krav-

specifikation

Dataklassifikation,

lov- og risiko-

vurdering

Vurdering og valg af

leverandør

Kontrakt, SLA mv.

Test, revisions-

erklæring mv.

Opfølgning

og

vurdering

af leverance Løbende opfølgning

og styring

Trin i leverandørstyringsprocessen:

• BIA skabelon til risikovurdering af eksisterende og nye leverandører

• Udarbejdelse af bruttolise over sikkerhedskrav til leverandører – samt metode til atprioritere krav baseret på risici

• Evaluering af leverandørens risici og sikkerhedsniveau

• Udarbejdelse af skriftlig aftale

• Opfølgning på leverandørens overholdelse af krav

Annex A – Statement of Applicability (SoA)It-beredskab

37

Kontroller i Annex AA.17 Informationssikkerhedsaspekter ved nød-, beredskabs- ogreetableringsstyring

A.17.1 Informationssikkerhedskontinuitet

Formål: Informationssikkerhedsberedskabet skal være forankret i organisationens ledelsessystemerfor beredskabsstyring.

A.17.1.1Planlægning afinformationssikkerhedskontinuitet

Kontrol

Organisationen skal fastlægge krav til informationssikkerhed oginformationssikkerhedskontinuitet i kritiske situationer, fx i tilfælde af enkrise eller katastrofe.

A.17.1.2Implementering afinformationssikkerheds-kontinuitet

Kontrol

Organisationen skal fastlægge, dokumentere, implementere ogvedligeholde processer, procedurer og kontroller for at sikre dennødvendige informationssikkerhedskontinuitet i en kritisk situation.

A.17.1.3Verificer, gennemgå ogevaluer informations-sikkerhedskontinuitet

Kontrol

Organisationen skal verificere de etablerede og implementeredekontroller vedrørende informationssikkerhedskontinuiteten med jævnemellemrum med henblik på at sikre, at de er tidssvarende og effektive ikritiske situationer.

A.17.2 Redundans

Formål: At sikre tilgængelighed af informationsbehandlingsfaciliteter.

A.17.2.1Tilgængelighed afinformationsbehandlingsfaciliteter

Kontrol

Informationsbehandlingsfaciliteter skal implementeres med tilstrækkeligredundans til at kunne imødekomme tilgængelighedskrav.

38

Overvågning, måling, analyse og evaluering (internaudit og ledelsens review)

39

© 2015 Deloitte

Ledelsens gennemgang

Metoder til overvågning, måling,

analyse og evaluering

Dokumentation af resultater afovervågning og måling

Informationssikker-hedsprocesser

Kontroller

Intern auditAuditprogram med auditkriterier

Dokumentation af audit ogauditresultater

Organisationens egnekrav til ISMS

Kravene i ISO27001:2013

• Ændringer i ekstern og intern kontekst• Afvigelser og korrigerende handlinger• Opfyldelse af målsætninger for informationssikkerhed• Tilbagemeldinger fra interessenter• Resultater af risikovurderingen• Status for risikohåndtering• (Sikkerhedshændelser)• Muligheder for løbende forbedringer

Løbende forbedringsmuligheder Behov for ændringer i ISMS40

www.kriminalforsorgen.dk

Oplæg Deloitte ISO 27001Mandag den 23. november 2015

Mads Jespersen

Leder af it-sikkerhedsenheden, Kriminalforsorgen

Kriminalforsorgens erfaringermed implementering af ISO27001

Kriminalforsorgens opgaver

At fuldbyrde straf og medvirke til at begrænse kriminalitet

• Ansvaret for fængsler, arrester, pensioner og KiF-afdelinger –fx:

– Beskæftigelse og behandling af indsatte (varetægt, fængsel)

– Personundersøgelser af sigtede

– at administrere frihedsberøvelse efter udlændingeloven

– tilsyn med psykisk syge kriminelle, som får behandling ipsykiatrien

• … og drive Koncern-IT for Justitsministeriet

42

Kriminalforsorgen, Koncern-IT (IT-SIK)

Kriminalforsorgens organisation

43

Kriminalforsorgen har et personaleforbrug på cirka4400 årsværk, der fordeler sig med•Uniformeret personale (fængselsbetjente ogværkmestre) 3175 årsværk•Forsorg og undervisning 585 årsværk•Sundhedspersonale 150 årsværk•Ledelse og administration 675 årsværk•Andre funktioner 240 årsværk


44

Opmærksomhed frabedes…


Implementering af ISO 27001 iJustitsministeriets IT-Fællesskab

45

December2014

Statsligeinstitutionerskal imple-mentereISO27001

December2014

GAP-analyseudført isamarbejdemed Deloitte

Januar 2015

Udbud

Af opgavenmed atleverekonsulentbistand tilprojektet

Februar 2015 –Juni 2016

Projektigangsættes

Implementeringaf ISO 27001 iJustits-ministeriets IT-Fællesskab

- Q1:Projektplan klar

- Q2:

Dokumentpakke

- Q4:

Implementering”afsluttet”


JIF

JIF-bestyrelsen

ITSamarbejds-forum for JIF

Kriminal-forsorgensKoncern-ledelse

Kriminal-forsorgens ITSikkerheds-

komité

Koncern-ITIT Sikkerheds-forum for JIF

Kriminal-forsorgen

Partnerskaber

IT-SER(SIK-ADM)

IT-SIK


ISO27001-projektet iKriminalforsorgen og JIF

• Kriminalforsorgens IT-sikkerhedsenhed ogDeloitte styrer projektet

• Løbende Koordinering i JIF IT-samarbejdsforum& afrapportering i JIF-bestyrelsen

• 7 fastansatte og 3 Deloitte-konsulenter

• + de ansatte i de enkelte myndigheder

47


Hvem gør hvad?

Koncern-IT i Kriminalforsorgen

• Uddannelse for IT-sikkerhedsansvarlige og -medarbejdere

• Skabeloner til informationssikkerhedspolitikker

• Teknisk sårbarhedsvurdering

• Implementering af Log Management System

Myndighederne i Justitsministeriet

• Risikovurdering og -håndtering

• Tilpasning af politikker + konkretisering i procedurer,vejledninger mv.

• Implementering inkl. ledelsesforankring, awareness…48


Risikovurderinger• Egne kritiske systemer er risikovurderet

– Plan for håndtering af risici på vej

• Tekniske sårbarhedsvurdering på 23 systemer (input til JIF Fællesskabet)– I gangværende håndtering af identificerede tekniske sårbarheder

Politikker• 23 informationssikkerhedspolitikker klar til godkendelse

– Et ukendt antal underliggende processer, instrukser og vejledninger på vej

Forankring• Ledelse og organisation

– Formel forankring (ledelse)– Ud i dagligdagen (awareness og levendegørelse i hverdagen)

49

Fuld skrue på risikovurdering,politikker og forankring


Hvordan lærer vi lige medarbejdereom ISO27001?

50

IT-SIK, DfK

• Emner• ISO27001• Risikovurdering• Risikohåndtering• Leverandørstyring• Klassifikation• Beredskab• Awareness• ISMS• Måling og audit• Ledelsens evaluering

Deloitte afholder enkursusrække på 11 kurser

om ISO27001

Vi udnytter tværfagligheden

51


Hvordan bliver alt dette virkelighed?

• Kommunikation, kommunikation, kommunikation

• Sætte strøm til politikkerne og formidle

• Ledelsen går forrest

• En god beredskabstest giver god awareness

• IT-sikkerhedsenheden går på tværs i organisationenog synliggør værdien af ISO27001

• Awareness til alle medarbejdere

52

IT-SIK, DfKriminalforsorgen, Koncern-IT (IT-SIK)

Stor fokus på informationssikkerhed

• Informationssikkerhedskomité med direktørJohan Reimann for bordenden

• Informationssikkerhed bliver til et Princip

• Resultatkontrakter skal også fremover haveinformationssikkerhed på agendaen

53


Take aways

1. Lokaliser de vigtigste forretningsprocesser

2. Kortlæg jeres sikkerhedsniveau

3. Forklar gevinsterne til ledelsen

4. Pluk de lavthængende frugter

5. Inddrag hele forretningen – de skal gøre arbejdet!

54


Spørgsmål?

55


© 2015 Deloitte 57

10 skridt til at komme godt i gang med ISO27001:2013

Forundersøgelse – research af kontekstInteressent analyse (internt og eksternt) herunderleverandører (krav og værdier), lovgivningskrav,eksisterende sikkerhedsudfordringer, hændelser mv.

Kortlæg forretningsprocesser og itForretningsmæssige og organisatoriske mål og processerTilknyttede kritiske it-systemer og ansvarlige personer

Kommunikation og awarenessKommunikationsplan og awareness programGennemfør aktiviteter

TrusselsvurderingVurdering af trusselsbillede inkl. beredskab

Vurdering af relevans for forretningen og FIT

Governance strukturEtablering af sikkerhedskomite

Etablering af samarbejde til implementering af tiltag RisikohåndteringsplanHandlingsplan for prioriterede risiciSOA dokument – udarbejd og opdater

Årsplan –handlingsplan for næste forløb

GAP analyse ifht. ISO27001:2013Konkret plan for næste periode

RisikovurderingKonsekvens og sandsynlighedsvurdering for kritiskesystemer og processer – FITVurdering af sårbarheder

Kortlægning af dataKortlægning af data

Identifikation af persondata – privacyovervejelser

Etabler ledelsesforankringDen ene vej – etablere sikkerhedsorganisation,

da opbakning er tilstedeDen anden vej – afhold trusselsworkshop

Dette er for dem – som ikke er gået igang – sådan helt for alvor

© 2015 Deloitte 58

1. Forundersøgelse – research af kontekst

Interessent analyse:

• Internt – ledelsesstruktur, mål og resultatplaner, forretningsprocesser og it.Nøglepersoner og ambassadører

• Eksternt - leverandører, lovgivningskrav, samarbejdsparter, kunder, brugeremv.

Eksisterende sikkerhedsudfordringer, hændelser mv.

Tidligere erfaringer med sikkerhedsstyring

Andre ledelsessystemer

Omfang af arbejdet

© 2015 Deloitte 59

2. Etabler ledelsesforankring

Noget af det vigtigste – og det sværeste

Salgsarbejde – hvilke argumenter kan bruges?

To veje:

• Den ene vej – etablere sikkerhedsorganisation, da opbakning er tilstede

• Den anden vej – afhold trusselsworkshop og illustrer trusselsbilledet

© 2015 Deloitte 60

3. Kortlæg forretningsprocesser og it

Hvordan løser I jeres opgaver – og hvilke mål har I?

Forretningsprocesser og mål

Organisationen – den formelle og den uformelle

De kritiske it-systemer som understøtter processerne og systemerne

Hvem er ansvarlige personer – og kan de bruges i det videre arbejde

Eksterne leverandører

© 2015 Deloitte 61

4. Kortlægning af data

Hvilke data arbejder vi med i processer og it?

Er de kritiske for vores forretning/mål?

Ved vi hvor de er – eller skal det kortlægges?

Identifikation af persondata – privacy overvejelser – forordningen kommer

Evt. tjek overholdelse af gældende persondatalovgivning

© 2015 Deloitte 62

5. Kommunikation og awareness

Det kan være trin nr. 1, 2, 5 eller 10 - løbende

Mennesker og handling er ca. 80% af sikkerheden – it er kun ca. 20%

Interne trusler – bevidste eller ubevidste

Hvilke budskaber vil vi kommunikere?

Hvem skal vi kommunikere til og med?

Lav kommunikationsplan og awareness program

Kommuniker

© 2015 Deloitte 63

6. Trusselsvurdering

Gennemfør trusselsvurdering – hvad kan forårsage sikkerhedshændelser

Find et trusselskatalog - ISO27005 + ENISA + cybertrusler+….

Vurder modstandsdygtighed – og beredskab

Involver forretningen og lade dem vurdere relevans for forretningen

Sæt trusler i relation til fortrolighed, integritet og tilgængelighed

Udpeg evt. særligt udsatte processer og systemer

© 2015 Deloitte 64

7. Risikovurdering

Gennemføres med it, forretning og….

Gennemfør it-risikovurderingen – konsekvens- og sandsynlighedsvurdering for FIT

Kritiske systemer og/eller processer

Inddrag trusselsvurderingen

Vurdering af sårbarheder – udpegning af områder til videre analyse

© 2015 Deloitte 65

8. Governance struktur

Hvornår det sker er forskelligt – pas på med at det sker for sent - etablering afsikkerhedskomite

Bestå af forretning, HR, kommunikation, it, sikkerhed – og ledelse

Kommissorium og mødestruktur

Myndighed ift. IT – og referere til topledelse

Godkender og sætter rammerne

Arbejdsgrupper – projektgrupper på de identificerede områder, hvor der skalgennemføres tiltag

© 2015 Deloitte 66

9. Risikohåndteringsplan

Nogle risici er højere prioriteret end andre – af forskellige årsager

Nogle risici skal der laves handlingsplan for

Vælg dem som I vil gøre noget ved – andre lever I med – dokumenter det

Beskriv, vælg og implementer kontroller – udarbejd eller opdater SOA dokumentet

© 2015 Deloitte 67

10. Årsplan – handlingsplan for næste forløb

Det stopper ikke – nu er vi i gang

Udarbejd GAP analyse ifht.ISO27001:2013 (digst.dk) – oghandlingsplan

Konkret plan for næste periode – hvadmangler – hvad er næste skridt

Der er et liv efter standarden erimplementeret – eller vi er certificeret

1.periode

2.periode

Næsteperiode

Om DeloitteDeloitte leverer ydelser indenfor Revision, Skat, Consulting og Financial Advisory til både offentlige og private virksomheder i en lang række brancher. Vores globalenetværk med medlemsfirmaer i mere end 150 lande sikrer, at vi kan stille stærke kompetencer til rådighed og yde service af højeste kvalitet, når vi skal hjælpe voreskunder med at løse deres mest komplekse forretningsmæssige udfordringer. Deloittes ca. 200.000 medarbejdere arbejder målrettet efter at sætte den højestestandard.

Deloitte Touche Tohmatsu LimitedDeloitte er en betegnelse for Deloitte Touche Tohmatsu Limited, der er et britisk selskab med begrænset ansvar, og dets netværk af medlemsfirmaer. Hvertmedlemsfirma udgør en separat og uafhængig juridisk enhed. Vi henviser til www.deloitte.com/about for en udførlig beskrivelse af den juridiske struktur i DeloitteTouche Tohmatsu Limited og dets medlemsfirmaer.

iso27001 seminar kom godt i gang - · pdf fileiso - agenda • præsentation •...

Documents