Vilket mervärde ger certifiering dig?

Storlek: px

Starta visningen från sidan:

Download "Vilket mervärde ger certifiering dig?"

Agneta Ekström
för 8 år sedan
Visningar:

1 Vilket mervärde ger certifiering dig? En debatt Håkan Skyllberg, KPMG Inger Nordin, WM-data Validation Information Risk Management 0

2 Presentation Håkan! Medytekk AB! Tillverkning av läkemedel & medicinskteknisk utrustning! Främsta marknader: Sverige, Europa & USA! IT-Chef & tillika ansvarig för IT-säkerhet Inger! Global Fund & Banking Sweden AB! Svenskt dotterbolag till en amerikansk investmentbank! Säkerhetschef 1

3 Riskekonomi Kostnad för skador Kostnad för säkerhetsåtgärder Kostnad Kostnader i balans Säkerhetsnivå 2

4 Kontinuitet ett tidsperspektiv Förlorad information Restore Inmatning av data från reservrutiner Normaldrift Backup Backup Reservrutiner Kan vi lita på den återskapade informationen? Återskapande av förlorad information 3

Normaldrift Backup Backup Reservrutiner Kan vi lita på

5 Juridiska aspekter Generellt! Personuppgiftslagen (PUL)! Sekretesslagen Privata sektorn! Åtaganden mot kund (Förtroende & Anseende)! Sarbanes-Oxley Act! Basel II! Food and Drug Administration (FDA)! Revisionsregler (t. ex. RS 401)! Offentliga sektorn! 24-timmarsmyndigheten! Krisberedskapsförordningen! Hälso- och sjukvårdslagen! Patientjournallagen! Health Insurance Portability and Assurance Act (HIPAA)! 4

Food and Drug Administration (FDA)! Revisionsregler (t. ex. RS 401)! Offentliga sektorn!

6 Informationssäkerhet i verksamheten = RISKHANTERING Intressenter Planera Intressenter Upprätta LIS Inför och driv LIS Utvecklings-, underhålls- och förbättringscykel Upprätthåll och förbättra LIS Genomföra Förbättra Styrd informationssäkerhet Informationssäkerhetskrav och förväntningar Följ upp och granska LIS Följa upp LIS = Ledningssystem för informationssäkerhet 5

och förbättra LIS Genomföra Förbättra Styrd informationssäkerhet Informationssäkerhetskrav

7 SS Gemensamt verksamhetssystem Ledningssystem för kvalitet Organisationens verksamhetssystem Arbetsmiljö Miljö Kvalitet Ekonomi Informationssäkerhet Ledningssystem för miljö Ledningssystem för arbetsmiljö Ledningssystem för informationssäkerhet ETT VERKSAMHETSSYSTEM 6

Informationssäkerhet Ledningssystem för miljö Ledningssystem för

8 SS Gemensamt verksamhetssystem likheter! Ledningens styrning - Policy och mål! Organisation, ansvar, befogenheter! Dokumenthantering, styrande respektive redovisande! Processtyrning! Ledningens genomgång! Systemstruktur! Utbildning! Internrevisioner! Korrigerande och förebyggande åtgärder 7

Dokumenthantering, styrande respektive redovisande! Processtyrning!

9 Verksamhetssystem 6 fokusområden skillnader SS :2003 ISO 14001:1996 ISO 9001:2000! Riskanalys Miljöutredning -! Uttalande om - Tillämpning (1.2) tillämplighet (4.2.1.h)! Policy Policy Policy - ramverk för att - miljödokument - kvalitetsdokument fastställa LISs mål och gemensam inriktning - disciplinär åtgärd (A6.3.5)! Kontinuitetsplan (A11) Nödlägesberedskap - (4.4.7)! Lagrum - ALLA Lagrum - Miljö Lagrum - ALLA! Förbättring av LIS (7) Process för ständig Ständig förbättring förbättring i prestanda (4.2) i systemet (8.5.1) 8

Policy Policy Policy - ramverk för att - miljödokument - kvalitetsdokument fastställa LISs mål och gemensam inriktning - disciplinär

10 Sammanfattning Ger ledningen ett bra stöd för att effektivt styra och leda verksamheten mot affärsmålen Säkerställer att beslutsfattare i organisationen grundar beslut på tillförlitlig information Anpassat ramverk för informationssäkerhet ger: Effektiv riskhantering Kostnadseffektiva åtgärder Medvetenhet Rätt kontinuitet i verksamheten Rätt information till rätt person i rätt tid Minskar risken för rättsliga tvister Säkerställer efterlevnad av lagar och interna regler Trygg personal Stärker varumärket Högt förtroendekapital Ökade marknadsandelar Fler och mer nöjda kunder 9

Kostnadseffektiva åtgärder Medvetenhet Rätt kontinuitet i verksamheten Rätt information till rätt person i rätt tid Minskar risken för rättsliga

11 Lycka till och tack för oss Håkan och Inger Information Risk Management 10

12 Om debattörerna Håkan Skyllberg, KPMG Informationssäkerhetskonsult och ansvarar för informationssäkerhetstjänsterna på KPMG. Han är certifierad ITrevisor (CISA). Håkan har arbetat med säkerhetsfrågor sedan -86 och som konsult sedan -95. I början med fokus på tekniska lösningar men sedan -98 med inriktning mot styrning och ledning av informationssäkerhetsarbetet. Håkan arbetar främst med riskanalyser och utformning av informationssäkerheten för såväl mindre organisationer med ett tiotal anställda till internationella koncerner med fler än anställda. hakan.skyllberg@kpmg.se Mobil: Tel: Inger Nordin, WM-data Validation AB Säkerhetschef samt informationssäkerhetschef. Inger är civilingenjör inom Datateknik och har en MBA från Handelshögskolan i Stockholm. Inger har arbetat med säkerhet i olika former sedan 80- talet på IBM. Nu senast med SUA-klassning och internt regelverk inom Validation AB. Inger har även erfarenhet från certifieringssidan inom informationssäkerhet då hon arbetade som marknadsansvarig för informationssäkerhets- och IT-tjänster samt var global projektledare för informationssäkerhet vid DNV Certification. Inger har haft flera förtroendeuppdrag inom SIS LIS-projekt ordförande i informationsgruppen, erfarenhetsutbytesgruppen och i pilotcertifieringsgruppen samt har medverkat vid framtagandet av standarderna för informationssäkerhet. Inger är även medlem i IT-företagens Informationssäkerhetsråd. inger.nordin@wmdata.com Mobil: Tel:

I början med fokus på tekniska lösningar men sedan -98 med inriktning mot styrning och ledning av informationssäkerhetsarbetet.

13 SKALL och BÖR standarderna = LIS SS :2003 SKALL 0 Orientering 1 Omfattning " Normativa hänvisningar " Termer och definitioner " Ledningssystem för informationssäkerhet " Ledningens ansvar " Ledningens genomgång av LIS " Förbättring av LIS Bilaga A (normativ) Styrmedel och styrmål - tabell som mappar SS ISO/IEC Bilaga B (informativ) Vägledning för användning av denna standard Bilaga C (informativ) Samband mellan ISO 9001 (2000), ISO (1996) och SS (2003) Bilaga D (informativ) Ändringar i intern numrering Litteraturförteckning SS ISO/IEC BÖR 1 Omfattning 2 Termer och definitioner 3 Säkerhetspolicy 4 Organisatorisk säkerhet 5 Klassificering och styrning av tillgångar 6 Personal och säkerhet 7 Fysisk och miljörelaterad säkerhet 8 Styrning av kommunikation och drift 9 Styrning av åtkomst 10 Systemutveckling och systemunderhåll 11 Kontinuitetsplanering för verksamheten 12 Efterlevnad 12

Bilaga C (informativ) Samband mellan ISO 9001 (2000), ISO 14001 (1996) och SS 62 7799-2 (2003) Bilaga D (informativ) Ändringar i intern numrering Litteraturförteckning SS ISO/IEC 17799 -- BÖR 1

Relevanta dokument

Ledningssystem för Informationssäkerhet

Dnr 2017/651 Ledningssystem för Informationssäkerhet Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställd av Säkerhetschefen 2016-04-26 Innehåll 1 Inledning... 3 2 Organisationens förutsättningar...