Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

Transkript

1

2 Tillitsdeklarationen och revisionsprocessen Åsa Wikenståhl Efosdagen

3 Agenda Intro Risk Revision LIS Tillitsdeklarationen På-platsen-revisionen Åtgärder och uppföljning Förbättringsarbetet

4 Tillit Att kunna lita på Att kunna lita på den elektroniska identitetens säkerhet Att en person som tilldelas en elektronisk identitet verkligen är den han eller hon utger sig för att vara

5 När vi är klara här i dag ska vi veta: Hur vi skapar tillit genom ett systematiskt säkerhetsarbete Vad ett LIS är och varför det aldrig blir färdigt Vad vi menar med riskhantering Vem som reviderar vem Hur man besvarar frågorna i Tillitsdeklarationen

6 Krav på säkerhetsarbete Efos Tillitsramverk Rutiner och processer Riskhantering Internrevision LIS Kontinuitetsplan

7 Krav på kontinuitetsplanering Att motverka avbrott i organisationens verksamhet och skydda kritiska rutiner från effekter av oförutsedda allvarligare avbrott eller katastrofer. Hur gör vi om Efos inte går att använda? Kontinuitetsplanering en introduktion

8 Tillitsramverket kapitel 3.1 Informationssäkerhet LIS Direktansluten organisation ska ha ett strukturerat säkerhetsarbete som ska omfatta: a) en process för riskhantering som kontinuerligt analyserar hot och sårbarheter i verksamheten och bedömer sannolikhet och konsekvens för (skada på) användare, utgivningsområdet och andra anslutna organisationer inom Efos. Resultatet från riskanalysen leder till säkerhetsåtgärder som ska balansera riskerna till acceptabla nivåer. Riskanalysen ska dokumenteras och kunna visas vid revision. b) ett ledningssystem för informationssäkerhet eller funktion som motsvarar detta. Nivå 4 Ledningssystem för informationssäkerhet ska vara baserat på ISO/IEC c) kontinuerligt genomförda och dokumenterade internrevisioner d) en upprättad och testad kontinuitetsplan

9 ELN:s krav på Inera 1. Fastställt och riskbaserat revisionsprogram 2. Formaliserad metodik för internrevision av anslutna organisationer 3. Formaliserade krav på anslutna organisationers egenkontroll och vad den skall omfatta 4. Utökad internkontroll av Ineras egen efterlevnad 5.Tydlighet kring eskalering, ledning, styrning och uppföljning Detta resulterade i

10 .resulterade i risk-, revisions- och förbättringsprocessen som är ett systematiskt sätt att säkra tilliten 1

11 Agenda Intro Risk Revision LIS Tillitsdeklarationen På-platsen-revisionen Åtgärder och uppföljning Förbättringsarbetet

12 Riskhantering Vid en riskanalys identifierar vi risker och bedömer vilken skada en risk kan medföra och hur stor sannolikheten är att risken blir verklighet Exempel på risker som kan förekomma Rutiner saknas Inte tillräckligt med resurser Bristande hantering av kort ID-administratörerna får inte tillräckligt med stöd för att utföra sitt jobb på ett korrekt sätt Svårt att kommunicera ut förändringar Bristande förståelse från övriga inom organisationen Resultatet från riskanalysen skall leda till säkerhetsåtgärder som balanserar riskerna Leder till.som leder till förbättringar som säkrar tilliten

13 Riskanalys

14 Genomföra riskanalys Inera.se

15 Agenda Intro Risk Revision LIS Tillitsdeklarationen På-platsen-revisionen Åtgärder och uppföljning Förbättringsarbetet

16 Revisionsprocessen 2. Tillitsdeklaration 4. Planering och åtgärder Planering 3. På-platsenrevision 5. Uppföljning

17 Vad tittar vi på vid en revision Att arbetssättet säkrar tilliten vid utgivningsprocessen Rutiner och processer Och vilka förbättringar har detta bidragit till? Vilka olika revisioner och riskanalyser har genomförts? Vilka säkerhetsåtgärder har detta resulterat i? Har rutiner och processer förändrats?

18 Ansvar för att säkra tilliten vem reviderar vem Inera Ombud 3:e part

19 Revisionsprocessen - Tillitsdeklarationen 2. Tillitsdeklaration 1

20 Frågorna i Tillitsdeklarationen

21 Frågorna i Tillitsdeklarationen Bedöm i vilken utsträckning där 1=Inte alls och där 5=Fullständigt

22 Frågorna i Tillitsdeklarationen Krav: Direktansluten organisation ska ha en process för riskhantering som kontinuerligt analyserar hot och sårbarheter i verksamheten och bedömer sannolikhet och konsekvens för (skada på) användare, Utgivningsområdet och andra anslutna organisationer inom Efos. Riskanalysen ska dokumenteras och kunna visas vid revision. Vägledning: Tillitsramverket kapitel 3.1 Informationssäkerhet. Bedöm i vilken utsträckning process för riskhantering är implementerad i verksamheten (1 5) där 1 = Inte alls och 5 = Fullständigt

23 Säkerhet och revision Fråga 01.2 LIS Krav: Direktansluten organisation ska ha ett strukturerat säkerhetsarbete som ska omfatta ett ledningssystem för informationssäkerhet eller funktion som motsvarar detta. För LoA-Nivå 4 skall ledningssystemet för informationssäkerhet vara baserat på ISO/IEC Vägledning: Tillitsramverket kapitel 3.1 Informationssäkerhet. Bedöm i vilken utsträckning ledningssystem för informationssäkerhet (LIS) finns implementerat i verksamheten (1 5) där 1 = Inte alls och 5 = Fullständigt

24 Säkerhet och revision Fråga 01.3 Internrevision Krav: Direktansluten organisation ska ha ett strukturerat säkerhetsarbete som ska omfatta kontinuerligt genomförda och dokumenterade internrevisioner (minst var 13:e månad). Även utgivningsområdets tredjepartsanslutna ska omfattas av revision och under en treårsperiod ska samtliga tredjepartsanslutna ha blivit reviderade. Funna avvikelser ska resultera i en åtgärdsplan och denna ska genomföras. Internrevision och åtgärdsplan med genomförande ska dokumenteras. För detaljer kring dokumentationen se Tillitsramverket. Vid LoA-Nivå 4 skall internrevision utföras av oberoende intern kontrollfunktion. Vägledning: Tillitsramverket kapitel 3.1 Informationssäkerhet samt 3.3 Internrevision. Bedöm i vilken utsträckning process för internrevision är implementerad i verksamheten (1 5) där 1 = Inte alls och 5 = Fullständigt

25 Tillitsdeklarationen resulterar i ett spindeldiagram 20 - Ombud - Lokala rutiner 1 - Riskhantering LIS 19 - Ombud - upprätta 3:e partsavtal 4 3- Internrevision 18 - Spärr av elektroniska identitetshandlinga för funktioner Säkerhetsincidenter 17 - Mottagande av elektroniska identitetshandlingar för funktioner Spårbarhet 16 - Beställning av elektroniska identitetshandlingar för funktioner Utse ansvariga och upprätta organisation 15 - Ansökan av elektroniska identitetshandlingar för funktioner 7 - Ansvarig utgivare 14 - Spärr av elektroniska identitetshandlingasr för personer 8 - Säkerhetsansvarig 13 - Utlämning av elektroniska identetshandlingar för personer 12 - Beställning av elektroniska identitetshandlingar för personer 11 - Ansökan av elektroniska identitetshandlingar för personer 9 - Kontinuitetsplan 10 - Fysisk, administrativ och personorienterad säkerhet 1 Självdeklaration

26 Revisionsprocessen 1 3. På-platsen-revision

27 På-platsen-revisionen resulterar i en dubbelspindel 20 - Ombud - Lokala rutiner 1 - Riskhantering LIS 19 - Ombud - upprätta 3:e partsavtal 4 3- Internrevision 18 - Spärr av elektroniska identitetshandlinga för funktioner Säkerhetsincidenter 17 - Mottagande av elektroniska identitetshandlingar för funktioner Spårbarhet 16 - Beställning av elektroniska identitetshandlingar för funktioner Utse ansvariga och upprätta organisation 15 - Ansökan av elektroniska identitetshandlingar för funktioner 7 - Ansvarig utgivare 14 - Spärr av elektroniska identitetshandlingasr för personer 8 - Säkerhetsansvarig 13 - Utlämning av elektroniska identetshandlingar för personer 9 - Kontinuitetsplan 12 - Beställning av elektroniska identitetshandlingar 10 - Fysisk, administrativ och personorienterad för personer säkerhet 11 - Ansökan av elektroniska identitetshandlingar för personer Själv-deklaration Revisorns bedömning

28 Revisionsrapporten Revisorn Verksamheten Allmänt Sammanfattning Plan för korrigerande åtgärder Godkännande av planen Bedömning spindeldiagram Genomförd åtgärd / förbättring Verifiering av åtgärd/förbättring

29 Revisionsprocessen 4. Planering och åtgärder 5. Uppföljning 2

30 Agenda Intro Risk Revision Tillitsdeklarationen På-platsen-revisionen Åtgärder och uppföljning LIS Förbättringsarbetet

31 Ledningssystem för informationssäkerhet Efos Tillitsramverk Regelverk LIS Arbetssätt Rutiner och processer

32 Ledningssystem för informationssäkerhet Efos Tillitsramverk Kommer du ihåg? LIS Rutiner och processer

33 Ledningssystem för informationssäkerhet Efos Tillitsramverk LIS Rutiner och processer

34 Kontinuerlig förbättring Riskanalys Planering & åtgärd Planering & åtgärd Extern revision Intern revision Planering & åtgärd

35 Det kostar på med förbättringsarbete 35

36 I vilken omfattning är LIS implementerat 5 = Fullständigt 4 Världsklass LIS blir aldrig färdigt. bara bättre och bättre = Inte alls Tid

37 Behövs verkligen planering av åtgärder Japp, annars riskerar vi att åtgärda fel sak Vi behöver hitta orsaken till problemet (rotorsaken) 5 Varför Exempel. Reservkortskvittenser saknas Varför? Någon vet inte att vi behöver detta Varför? Vi har inte utbildat och informerat tillräckligt Varför? Ingår inte i våra rutiner Varför? Vi ser inte över våra rutiner tillräckligt ofta Varför? 1

38 Nu vill jag att ni skall veta: Hur vi skapar tillit genom ett systematiskt säkerhetsarbete Vad ett LIS är och varför det aldrig blir färdigt Vad vi menar med riskhantering Vem som reviderar vem Hur man besvarar frågorna i Tillitsdeklarationen

39 Tack