Upload
hoangdiep
View
234
Download
7
Embed Size (px)
Citation preview
ISO27001 seminar
Charlotte Pedersen 23. november 2015
Kom godt i gang
© 2015 Deloitte 2
Program
Kl. 9.00 Velkomst
Kl. 9.05 Introduktion til ISO27001 på en praktisk måde
Kl. 10.00 ISO27001 kundeerfaring, Enhedsleder for it-sikkerheds-
enheden, Direktoratet for Kriminalforsorgen, Mads Jespersen
Kl. 10.30 Pause
Kl. 10.45 10 trin på vejen til ISO27001 - workshop
Kl. 12.00 Sandwich og netværk
2
© 2015 Deloitte
PræsentationCharlotte Pedersen• Director
• Cand.scient.pol.
• CIS LA, CIS 2013 UP, CIIP, CISM, CRISC, CGEIT, G31000 mv.
• Medlem af S411 hos Dansk Standard
Cyber Risk Services
Telefon: 20 85 35 42
Mail: [email protected]
Kernekompetencer:
• Cyber Security Management – sikkerhedsledelse, risikoanalyse, politik, governance
• Privacy – analyse, strategi og rapportering vedr. personoplysninger
• Risikoledelse og -styring, mål- og resultatstyring
• Proces- og implementeringskonsulent
• Kommunikation og awarenessaktiviteter
• Projektledelse - forandringsledelse
3
Deloitte – SecurityManagement team – mit
fundament – nogle afdem er her i dag
ISO - agenda
• Præsentation
• ISO 27000-familien
• ISO 27001:2013
• Risikovurdering
• Risikohåndtering og ISO27002:2014
• ISMS
• Ledelsesforankring
• Politik
• Leverandørstyring
• It-beredskab
• Overvågning, måling, analyse og evaluering (intern audit og ledelsens review)
4
ISO 27000-familien
5
© 2015 Deloitte
Nøglestandarderne
ISO27001 – er den der kan certificeres efter- er en ledelsesstandard
ISO/IEC 27000 — Information security management systems — Overview andvocabularyISO/IEC 27001 — Information security management systems — RequirementsISO/IEC 27002 — Code of practice for information security managementISO/IEC 27003 — Information security management system implementationguidanceISO/IEC 27004 — Information security management — MeasurementISO/IEC 27005 — Information security risk managementISO/IEC 27006 — Requirements for bodies providing audit and certification ofinformation security management systemsISO/IEC 27007 — Guidelines for information security management systemsauditing (focused on the management system)
6
7
ISO 27001:2013
8
Formål med revision af ISO27001:2005Revisionen af ISO27001 skal ses i sammenhæng med ”streamlining” af hele rækken afledelsesstandarder
Ny generation af standarder for ledelsessystemer.
Same procedure …
”standardprocedure” for standarder: efter 5 år tages de op til review med henblik på: 1)bekræftelse, 2) revision, 3) tilbagekaldelse
Grundlag for revision: udgangspunkt i gennemført analyse af status og rundspørge blandtbrugere af standarden i 2008/2009:
• sikre standardens aktualitet og brugbarhed
• imødekomme feedback fra interessenter mht. anvendelse og effektivitet afledelsessystemet i markedet og i forbindelse med certificering
• sikre overensstemmelse med næste generations standarder for ledelsessystemer
9
Overblik over ISO27001:2013Der er nye krav i standarden – og nogle af kravene i ISO27001:2005 er blevetmodificeret eller slettet.
Annex A referencekontrolmål og kontroller er tilpasset, så de er i overensstemmelsemed ISO27002:2013.
ISO27001 – rammer for risikostyring nu i overensstemmelse med ISO31000.
Risikostyring - ingen krav som tidligere til at identificere risici som identifikation afaktiver, trusler og sårbarheder – det er muligt at anvende alternative metoder, somhar vist sig lige så gode til at identificere, analysere og vurdere risici.
Det med kravene i SoA er grundlæggende set det samme som tidligere – men manskal ikke længere ”vælge” kontroller fra Annex A. Man skal ”beslutte” nødvendigekontroller til håndtering af risici og sammenligne disse med Annex A for at sikre, atman ikke har overset vigtige kontroller.
”Forebyggende handlinger” - er helt slettet i den nye version – det er underforstået,at forebyggende handlinger indgår mere eller mindre over det hele.
Ingen beskrivelse af PLAN-DO-CHECK-ACT.
10
© 2015 Deloitte 11
ISO27001 – processer og opgaver
12
Annex A – Statement of Applicability (SoA)It-risikoanalyse, -vurdering og -håndtering
13
© 2015 Deloitte
- Intet krav om risikovurdering med udgangspunkt i vurdering af aktiver
- Overordnet risikovurdering ud fra kritiske processer vs. Systemvurdering.
- Intet krav om vurdering af trusler og sårbarheder – men heller ikke nogetforbud mod at gøre det! Derimod vurdering af årsager.
- Muligheder for at vælge en hvilken som helst metode/proces til at gennemførerisikovurderinger
- Standarden introducerer ‘risk owner’, men ‘aktivejer’ spiller stadig en rolle
Kriterier for risici
- Typer af årsager og konsekvenser - og hvordan de kan vurderes
- Definition af sandsynlighed
- Fastlæggelse af risikoniveau – accept af risiko
- Interessenters holdninger
- Niveau for, hvornår risici kan accepteres
- Om kombinationer af risici skal tages i betragtning
Risikovurdering – ISO27001:2013
14
© 2015 Deloitte
ISO/IEC 27005 om risikovurdering
Risikovurderingerskal gennemføresmed planlagteintervaller og iforbindelse medvæsentligeændringer.
Processen forrisikovurdering skalløbende revurderes
15
Risikoprofil
16
© 2015 Deloitte 17
Trusselsvurdering og sandsynlighedsvurdering
Trusselsvurdering – Hvilke trusler fra trusselskataloget er aktuelle i forhold tiljeres kritiske aktiver og eksisterende sårbarheder i kontrollerne?
• Sandsynlighedsvurdering – Hvad er sandsynligheden for, at en trusseludnytter en sårbarhed Informationssikkerhedstrusler
Fysisk skade
BrandVandskadeForurening
Ødelæggelse af udstyr
Større ulykker
Afskedigede,ondsindede, uærligemm. medarbejdere
Misbrug af rettighederBenægtelse af
handlinger
Ondsindedemennesker
Brugerfejl(mangelfuld træning)Personafhængighed
Kompromittering affunktioner
HackerIt-kriminelleTerroristerSpionage
Forsyningssvigt – el/telekommunikationNedbrud af køling
Tab af kritiskeservices
Tekniske fejl
Fejl i udstyrOverbelastning
SoftwarefejlManglende
vedligeholdelse
Naturkatastrofer
Klimatiske fænomenerOversvømmelse
Menneskelige fejl
Annex A – Statement of Applicability (SoA)Risikohåndtering og ISO27002:2014Annex A – Statement of Applicability, SoA
18
Håndtering af de mest kritiske risici
19
© 2015 Deloitte
6.1.3 Håndtering af informationssikkerhedsrisici
Organisationen skal definere og anvende en proces til håndtering afinformationssikkerhedsrisici for at:
a) udvælge passende muligheder for håndtering afinformationssikkerheds-risici ved at tage højde for resultaterne afrisikovurderingen
b) fastlægge alle de kontroller, som er nødvendige for at implementereden eller de valgte muligheder for håndtering af informationssikkerheds-risici
c) sammenligne de kontroller, som er fastlagt som nødvendige medkontrollerne i Annex A og sikre, at ingen nødvendige kontroller er udeladt
d) tilvejebringe et Statement of Applicability, som indeholder denødvendige kontroller og begrundelse for, hvorfor nogle kontroller ermedtaget, hvad enten de er implementeret eller ej, samt begrundelse for,hvorfor andre er udeladt
e) udarbejde en plan for håndtering af informationssikkerhedsrisici og
f) indhente risikoejernes godkendelse af planen for håndtering afinformationssikkerhedsrisici og accept af resterendeinformationssikkerhedsrisici.
…
ISO/IEC 27001 om informationssikkerhedsrisici
20
© 2015 Deloitte
!!!! Annex A er et referencebilag!!!
Vejledning i ISO27002:2014
A.5 Informationssikkerhedspolitikker (2)
A.6 Organisering af informationssikkerhed (7)
A.7 Personalesikkerhed (6)
A.8 Styring af aktiver (10)
A.9 Adgangsstyring (14)
A.10 Kryptografi (2)
A.11 Fysisk sikring og miljøsikring (15)
A.12 Driftssikkerhed (14)
A.13 Kommunikationssikkerhed (7)
A.14 Anskaffelse, udvikling og vedligeholdelse af systemer (13)
A.15 Leverandørforhold (5)
A.16 Styring af informationssikkerhedsbrud (7)
A.17 Informationssikkerhedsaspekter ved beredskabsstyring (4)
A.18 Overensstemmelse (8)
(= 14 kontrolområder = 114 kontroller)
ISO/IEC 27001 om Annex A Referencekontrolmål og kontroller
21
22
ISMS – Informations Security Management System
23
© 2015 Deloitte
ISMS - centrale begreber
24
Ledelsessystem - rammer for retningslinjer, politikker, procedurer, processer ogtilhørende ressourcer, som skal sikre, at en organisation opfylder sine målsætninger.
Ledelsessystem for informationssikkerhed – ISMS –
del af det samlede ledelsessystem. Med udgangspunkt i forretningsmæssige risicidækker ISMSet etablering, implementering, drift, overvågning, gennemgang,vedligeholdelse og forbedring af informationssikkerhed.
(NOTE - Ledelsessystemet omfatter organisationsstruktur, politikker, planlægningsaktiviteter, ansvar og roller,praksis, procedurer, processer og ressourcer.
© 2015 Deloitte
• Sikkerhed handler ikke kun om it forstået som teknik
• Implementering af informationssikkerhed kræver, at risici styres i relation tiltilhørende fysiske, menneskelige og teknologiske trusler
• Risici skal adresseres
• Indførelse af et ISMS er en strategisk beslutning for forretningen
• Design af ISMS skal afspejle den eksterne og interne kontekst samtrelevante interessenters sikkerhedsmæssige krav og forventninger
• ISMS er i sig selv grundlaget for sikring af organisationens informationsaktiver
• ISMS skal/bør integreres i den samlede styring af organisationen
Hvorfor er det vigtigt med et ISMS?
25
ISO/IEC 27001:2013 om scope
4.3 Bestemmelse af omfanget af ledelsessystemet for informationssikkerhed
Organisationen skal fastlægge grænserne og anvendelsesmulighederne for ISMS for at fastslå detsomfang.
Når omfanget fastlægges, skal organisationen tage følgende i betragtning:
a) de eksterne og interne spørgsmål omtalt i 4.1
b) kravene omtalt i 4.2 og
c) grænseflader og afhængigheder mellem de aktiviteter, der udføres af organisationen selv ogdem, som udføres af andre organisationer
Omfanget skal være tilgængeligt som dokumenteret information.
4.4 Ledelsessystem for informationssikkerhed - ISMS
! Organisationen skal etablere, implementere, vedligeholde og løbende forbedre et ledelsessystemfor informationssikkerhed i overensstemmelse med kravene i denne internationale standard.
26
Annex A – Statement of Applicability (SoA)Ledelsesforankring
27
ISO/IEC 27001:2013 om lederskab5.1 Lederskab og engagement
Topledelsen skal udvise lederskab og engagement, hvad angår ledelsessystemet forinformationssikkerhed ved at:
a) sikre, at informationssikkerhedspolitikken og -målsætningerne er fastlagt og erkompatible med organisationens strategiske retning
b) sikre, at kravene til ledelsessystemet for informationssikkerhed integreres iorganisationens processer
c) sikre, at de ressourcer, der behøves til ledelsessystemet forinformationssikkerhed, er tilgængelige
d) kommunikere betydningen af effektiv informationssikkerhedsledelse ogefterlevelse af kravene til ledelsessystemet for informationssikkerhed
e) sikre, at ledelsessystemet for informationssikkerhed opnår den eller de tilsigtederesultater
f) lede og støtte personer i at bidrage til effektiviteten af-ledelsessystemet forinformationssikkerhed
g) fremme løbende forbedring og
h) understøtte andre relevante ledelsesroller for at udvise lederskab alt efteransvarsområde.
28
Annex A – Statement of Applicability (SoA)Sikkerhedspolitik
29
© 2015 Deloitte
• Hvad er en politik?
– hvad er forskellen på en strategi, en politik, en procedure, et direktiv og enhåndbog?
• Kort eller lang?
• Flere politikker - flere dokumenter – vis struktur- rød tråd
• Husk målgruppen
Kært barn har mange navne – og lidt religiøst
30
ISO/IEC 27001:2013 ominformationssikkerhedspolitikker5.2 Politik
Topledelsen skal fastlægge en informationssikkerhedspolitik, som
a) passer til organisationens formål
b) omfatter målsætninger for informationssikkerhed (se 6.2) eller opstillerrammer for fastlæggelse af målsætninger for informationssikkerhed
c) indeholder en forpligtelse til at opfylde relevante krav i relation tilinformationssikkerhed og
d) indeholder en forpligtelse til løbende forbedring af ledelsessystemet forinformationssikkerhed.
Informationssikkerhedspolitikken skal:
e) være tilgængelig som dokumenteret information
f) kommunikeres internt i organisationen og
g) være tilgængelig for interessenter, hvis hensigtsmæssigt.
31
© 2015 Deloitte 32
Hvor skal der bruges ressourcer?
Implementering
32
Rammer
Strategi
Politik
SOA
Risikovurdering
GAP/Risikohåndtering
Politikker
To-do
Processer
Vejledninger
Måling og intern opfølgning
Hvad gør vi?
Hvad skal vi?
Hvordan gør vi?
Ledelse
Område
Afdeling
Annex A – Statement of Applicability (SoA)Leverandørstyring
33
Ingen direkte krav i 27001:2013- Men relevante kontroller i Annex A
A.15 Leverandørforhold
A.15.1 Informationssikkerhed i leverandørforhold
Formål: At beskytte de af organisationens aktiver, som leverandører har adgang til.
A.15.1.1 Politik ominformationssikkerhedvedrørendeleverandørforhold
KontrolDer skal aftales og dokumenteres krav til informationssikkerhedmed leverandøren for at mindske risici i forbindelse medleverandørens adgang til organisationens aktiver.
A.15.1.2 Behandling afsikkerhed ileverandøraftaler
KontrolDer skal aftales og dokumenteres krav til informationssikkerhedmed leverandøren for at mindske risici i forbindelse medleverandørens adgang til organisationens aktiver.
A.15.1.3 Supply chain forinformations- ogkommunikationsteknologi
KontrolAftaler med leverandører skal indeholde krav om at væreopmærksom på de informationssikkerhedsrisici, der knytter sig tilydelser forbundet med informations- og kommunikationsteknologisamt produkternes supply chain.
34
Ingen direkte krav i 27001:2013- Men relevante kontroller i Annex A
35
© 2015 Deloitte 36
Idé om outsourcing,
køb af ydelse, ny aftale
eller genudbud
Krav-
specifikation
Dataklassifikation,
lov- og risiko-
vurdering
Vurdering og valg af
leverandør
Kontrakt, SLA mv.
Test, revisions-
erklæring mv.
Opfølgning
og
vurdering
af leverance Løbende opfølgning
og styring
Trin i leverandørstyringsprocessen:
• BIA skabelon til risikovurdering af eksisterende og nye leverandører
• Udarbejdelse af bruttolise over sikkerhedskrav til leverandører – samt metode til atprioritere krav baseret på risici
• Evaluering af leverandørens risici og sikkerhedsniveau
• Udarbejdelse af skriftlig aftale
• Opfølgning på leverandørens overholdelse af krav
Annex A – Statement of Applicability (SoA)It-beredskab
37
Kontroller i Annex AA.17 Informationssikkerhedsaspekter ved nød-, beredskabs- ogreetableringsstyring
A.17.1 Informationssikkerhedskontinuitet
Formål: Informationssikkerhedsberedskabet skal være forankret i organisationens ledelsessystemerfor beredskabsstyring.
A.17.1.1Planlægning afinformationssikkerhedskontinuitet
Kontrol
Organisationen skal fastlægge krav til informationssikkerhed oginformationssikkerhedskontinuitet i kritiske situationer, fx i tilfælde af enkrise eller katastrofe.
A.17.1.2Implementering afinformationssikkerheds-kontinuitet
Kontrol
Organisationen skal fastlægge, dokumentere, implementere ogvedligeholde processer, procedurer og kontroller for at sikre dennødvendige informationssikkerhedskontinuitet i en kritisk situation.
A.17.1.3Verificer, gennemgå ogevaluer informations-sikkerhedskontinuitet
Kontrol
Organisationen skal verificere de etablerede og implementeredekontroller vedrørende informationssikkerhedskontinuiteten med jævnemellemrum med henblik på at sikre, at de er tidssvarende og effektive ikritiske situationer.
A.17.2 Redundans
Formål: At sikre tilgængelighed af informationsbehandlingsfaciliteter.
A.17.2.1Tilgængelighed afinformationsbehandlingsfaciliteter
Kontrol
Informationsbehandlingsfaciliteter skal implementeres med tilstrækkeligredundans til at kunne imødekomme tilgængelighedskrav.
38
Overvågning, måling, analyse og evaluering (internaudit og ledelsens review)
39
© 2015 Deloitte
Ledelsens gennemgang
Metoder til overvågning, måling,
analyse og evaluering
Dokumentation af resultater afovervågning og måling
Informationssikker-hedsprocesser
Kontroller
Intern auditAuditprogram med auditkriterier
Dokumentation af audit ogauditresultater
Organisationens egnekrav til ISMS
Kravene i ISO27001:2013
• Ændringer i ekstern og intern kontekst• Afvigelser og korrigerende handlinger• Opfyldelse af målsætninger for informationssikkerhed• Tilbagemeldinger fra interessenter• Resultater af risikovurderingen• Status for risikohåndtering• (Sikkerhedshændelser)• Muligheder for løbende forbedringer
Løbende forbedringsmuligheder Behov for ændringer i ISMS40
www.kriminalforsorgen.dk
Oplæg Deloitte ISO 27001Mandag den 23. november 2015
Mads Jespersen
Leder af it-sikkerhedsenheden, Kriminalforsorgen
Kriminalforsorgens erfaringermed implementering af ISO27001
Kriminalforsorgens opgaver
At fuldbyrde straf og medvirke til at begrænse kriminalitet
• Ansvaret for fængsler, arrester, pensioner og KiF-afdelinger –fx:
– Beskæftigelse og behandling af indsatte (varetægt, fængsel)
– Personundersøgelser af sigtede
– at administrere frihedsberøvelse efter udlændingeloven
– tilsyn med psykisk syge kriminelle, som får behandling ipsykiatrien
• … og drive Koncern-IT for Justitsministeriet
42
Kriminalforsorgen, Koncern-IT (IT-SIK)
Kriminalforsorgens organisation
43
Kriminalforsorgen har et personaleforbrug på cirka4400 årsværk, der fordeler sig med•Uniformeret personale (fængselsbetjente ogværkmestre) 3175 årsværk•Forsorg og undervisning 585 årsværk•Sundhedspersonale 150 årsværk•Ledelse og administration 675 årsværk•Andre funktioner 240 årsværk
Kriminalforsorgen, Koncern-IT (IT-SIK)
44
Opmærksomhed frabedes…
Kriminalforsorgen, Koncern-IT (IT-SIK)
Implementering af ISO 27001 iJustitsministeriets IT-Fællesskab
45
December2014
Statsligeinstitutionerskal imple-mentereISO27001
December2014
GAP-analyseudført isamarbejdemed Deloitte
Januar 2015
Udbud
Af opgavenmed atleverekonsulentbistand tilprojektet
Februar 2015 –Juni 2016
Projektigangsættes
Implementeringaf ISO 27001 iJustits-ministeriets IT-Fællesskab
- Q1:Projektplan klar
- Q2:
Dokumentpakke
- Q4:
Implementering”afsluttet”
Kriminalforsorgen, Koncern-IT (IT-SIK)
JIF
JIF-bestyrelsen
ITSamarbejds-forum for JIF
Kriminal-forsorgensKoncern-ledelse
Kriminal-forsorgens ITSikkerheds-
komité
Koncern-ITIT Sikkerheds-forum for JIF
Kriminal-forsorgen
Partnerskaber
IT-SER(SIK-ADM)
IT-SIK
Kriminalforsorgen, Koncern-IT (IT-SIK)
ISO27001-projektet iKriminalforsorgen og JIF
• Kriminalforsorgens IT-sikkerhedsenhed ogDeloitte styrer projektet
• Løbende Koordinering i JIF IT-samarbejdsforum& afrapportering i JIF-bestyrelsen
• 7 fastansatte og 3 Deloitte-konsulenter
• + de ansatte i de enkelte myndigheder
47
Kriminalforsorgen, Koncern-IT (IT-SIK)
Hvem gør hvad?
Koncern-IT i Kriminalforsorgen
• Uddannelse for IT-sikkerhedsansvarlige og -medarbejdere
• Skabeloner til informationssikkerhedspolitikker
• Teknisk sårbarhedsvurdering
• Implementering af Log Management System
Myndighederne i Justitsministeriet
• Risikovurdering og -håndtering
• Tilpasning af politikker + konkretisering i procedurer,vejledninger mv.
• Implementering inkl. ledelsesforankring, awareness…48
Kriminalforsorgen, Koncern-IT (IT-SIK)
Risikovurderinger• Egne kritiske systemer er risikovurderet
– Plan for håndtering af risici på vej
• Tekniske sårbarhedsvurdering på 23 systemer (input til JIF Fællesskabet)– I gangværende håndtering af identificerede tekniske sårbarheder
Politikker• 23 informationssikkerhedspolitikker klar til godkendelse
– Et ukendt antal underliggende processer, instrukser og vejledninger på vej
Forankring• Ledelse og organisation
– Formel forankring (ledelse)– Ud i dagligdagen (awareness og levendegørelse i hverdagen)
49
Fuld skrue på risikovurdering,politikker og forankring
Kriminalforsorgen, Koncern-IT (IT-SIK)
Hvordan lærer vi lige medarbejdereom ISO27001?
50
IT-SIK, DfK
• Emner• ISO27001• Risikovurdering• Risikohåndtering• Leverandørstyring• Klassifikation• Beredskab• Awareness• ISMS• Måling og audit• Ledelsens evaluering
Deloitte afholder enkursusrække på 11 kurser
om ISO27001
Vi udnytter tværfagligheden
51
Kriminalforsorgen, Koncern-IT (IT-SIK)
Hvordan bliver alt dette virkelighed?
• Kommunikation, kommunikation, kommunikation
• Sætte strøm til politikkerne og formidle
• Ledelsen går forrest
• En god beredskabstest giver god awareness
• IT-sikkerhedsenheden går på tværs i organisationenog synliggør værdien af ISO27001
• Awareness til alle medarbejdere
52
IT-SIK, DfKriminalforsorgen, Koncern-IT (IT-SIK)
Stor fokus på informationssikkerhed
• Informationssikkerhedskomité med direktørJohan Reimann for bordenden
• Informationssikkerhed bliver til et Princip
• Resultatkontrakter skal også fremover haveinformationssikkerhed på agendaen
53
Kriminalforsorgen, Koncern-IT (IT-SIK)
Take aways
1. Lokaliser de vigtigste forretningsprocesser
2. Kortlæg jeres sikkerhedsniveau
3. Forklar gevinsterne til ledelsen
4. Pluk de lavthængende frugter
5. Inddrag hele forretningen – de skal gøre arbejdet!
54
Kriminalforsorgen, Koncern-IT (IT-SIK)
Spørgsmål?
55
Kriminalforsorgen, Koncern-IT (IT-SIK)
© 2015 Deloitte 56
Pause
56
© 2015 Deloitte 57
10 skridt til at komme godt i gang med ISO27001:2013
Forundersøgelse – research af kontekstInteressent analyse (internt og eksternt) herunderleverandører (krav og værdier), lovgivningskrav,eksisterende sikkerhedsudfordringer, hændelser mv.
Kortlæg forretningsprocesser og itForretningsmæssige og organisatoriske mål og processerTilknyttede kritiske it-systemer og ansvarlige personer
Kommunikation og awarenessKommunikationsplan og awareness programGennemfør aktiviteter
TrusselsvurderingVurdering af trusselsbillede inkl. beredskab
Vurdering af relevans for forretningen og FIT
Governance strukturEtablering af sikkerhedskomite
Etablering af samarbejde til implementering af tiltag RisikohåndteringsplanHandlingsplan for prioriterede risiciSOA dokument – udarbejd og opdater
Årsplan –handlingsplan for næste forløb
GAP analyse ifht. ISO27001:2013Konkret plan for næste periode
RisikovurderingKonsekvens og sandsynlighedsvurdering for kritiskesystemer og processer – FITVurdering af sårbarheder
Kortlægning af dataKortlægning af data
Identifikation af persondata – privacyovervejelser
Etabler ledelsesforankringDen ene vej – etablere sikkerhedsorganisation,
da opbakning er tilstedeDen anden vej – afhold trusselsworkshop
Dette er for dem – som ikke er gået igang – sådan helt for alvor
© 2015 Deloitte 58
1. Forundersøgelse – research af kontekst
Interessent analyse:
• Internt – ledelsesstruktur, mål og resultatplaner, forretningsprocesser og it.Nøglepersoner og ambassadører
• Eksternt - leverandører, lovgivningskrav, samarbejdsparter, kunder, brugeremv.
Eksisterende sikkerhedsudfordringer, hændelser mv.
Tidligere erfaringer med sikkerhedsstyring
Andre ledelsessystemer
Omfang af arbejdet
© 2015 Deloitte 59
2. Etabler ledelsesforankring
Noget af det vigtigste – og det sværeste
Salgsarbejde – hvilke argumenter kan bruges?
To veje:
• Den ene vej – etablere sikkerhedsorganisation, da opbakning er tilstede
• Den anden vej – afhold trusselsworkshop og illustrer trusselsbilledet
© 2015 Deloitte 60
3. Kortlæg forretningsprocesser og it
Hvordan løser I jeres opgaver – og hvilke mål har I?
Forretningsprocesser og mål
Organisationen – den formelle og den uformelle
De kritiske it-systemer som understøtter processerne og systemerne
Hvem er ansvarlige personer – og kan de bruges i det videre arbejde
Eksterne leverandører
© 2015 Deloitte 61
4. Kortlægning af data
Hvilke data arbejder vi med i processer og it?
Er de kritiske for vores forretning/mål?
Ved vi hvor de er – eller skal det kortlægges?
Identifikation af persondata – privacy overvejelser – forordningen kommer
Evt. tjek overholdelse af gældende persondatalovgivning
© 2015 Deloitte 62
5. Kommunikation og awareness
Det kan være trin nr. 1, 2, 5 eller 10 - løbende
Mennesker og handling er ca. 80% af sikkerheden – it er kun ca. 20%
Interne trusler – bevidste eller ubevidste
Hvilke budskaber vil vi kommunikere?
Hvem skal vi kommunikere til og med?
Lav kommunikationsplan og awareness program
Kommuniker
© 2015 Deloitte 63
6. Trusselsvurdering
Gennemfør trusselsvurdering – hvad kan forårsage sikkerhedshændelser
Find et trusselskatalog - ISO27005 + ENISA + cybertrusler+….
Vurder modstandsdygtighed – og beredskab
Involver forretningen og lade dem vurdere relevans for forretningen
Sæt trusler i relation til fortrolighed, integritet og tilgængelighed
Udpeg evt. særligt udsatte processer og systemer
© 2015 Deloitte 64
7. Risikovurdering
Gennemføres med it, forretning og….
Gennemfør it-risikovurderingen – konsekvens- og sandsynlighedsvurdering for FIT
Kritiske systemer og/eller processer
Inddrag trusselsvurderingen
Vurdering af sårbarheder – udpegning af områder til videre analyse
© 2015 Deloitte 65
8. Governance struktur
Hvornår det sker er forskelligt – pas på med at det sker for sent - etablering afsikkerhedskomite
Bestå af forretning, HR, kommunikation, it, sikkerhed – og ledelse
Kommissorium og mødestruktur
Myndighed ift. IT – og referere til topledelse
Godkender og sætter rammerne
Arbejdsgrupper – projektgrupper på de identificerede områder, hvor der skalgennemføres tiltag
© 2015 Deloitte 66
9. Risikohåndteringsplan
Nogle risici er højere prioriteret end andre – af forskellige årsager
Nogle risici skal der laves handlingsplan for
Vælg dem som I vil gøre noget ved – andre lever I med – dokumenter det
Beskriv, vælg og implementer kontroller – udarbejd eller opdater SOA dokumentet
© 2015 Deloitte 67
10. Årsplan – handlingsplan for næste forløb
Det stopper ikke – nu er vi i gang
Udarbejd GAP analyse ifht.ISO27001:2013 (digst.dk) – oghandlingsplan
Konkret plan for næste periode – hvadmangler – hvad er næste skridt
Der er et liv efter standarden erimplementeret – eller vi er certificeret
1.periode
2.periode
Næsteperiode
© 2015 Deloitte 68
Frokost
Om DeloitteDeloitte leverer ydelser indenfor Revision, Skat, Consulting og Financial Advisory til både offentlige og private virksomheder i en lang række brancher. Vores globalenetværk med medlemsfirmaer i mere end 150 lande sikrer, at vi kan stille stærke kompetencer til rådighed og yde service af højeste kvalitet, når vi skal hjælpe voreskunder med at løse deres mest komplekse forretningsmæssige udfordringer. Deloittes ca. 200.000 medarbejdere arbejder målrettet efter at sætte den højestestandard.
Deloitte Touche Tohmatsu LimitedDeloitte er en betegnelse for Deloitte Touche Tohmatsu Limited, der er et britisk selskab med begrænset ansvar, og dets netværk af medlemsfirmaer. Hvertmedlemsfirma udgør en separat og uafhængig juridisk enhed. Vi henviser til www.deloitte.com/about for en udførlig beskrivelse af den juridiske struktur i DeloitteTouche Tohmatsu Limited og dets medlemsfirmaer.