Skapa ett ledningssystem för informationssäkerhet (LIS) enligt nya ISO/IEC eller konsten att införa LIS

Storlek: px

Starta visningen från sidan:

Download "Skapa ett ledningssystem för informationssäkerhet (LIS) enligt nya ISO/IEC 27003. eller konsten att införa LIS"

Eva Blomqvist
för 8 år sedan
Visningar:

1 Skapa ett ledningssystem för informationssäkerhet (LIS) enligt nya ISO/IEC eller konsten att införa LIS

2 Jan Branzell Veriscan Security AB Lärare inom SIS informationssäkerhetsakademi Co-Editor för ISO/IEC Rapportör för ISO TR X under utveckling som handlar om Information Security Management Economics

27003 Rapportör för ISO TR X under utveckling som

3 Vi har alla olika förutsättningar för ett LIS-införande Stor eller liten organisation Vi finns på en eller flera platser LIS kan omfatta en eller flera organisatoriska enheter Vi har alla ett nuläge som är olika Vi har olika kulturer Vi har olika strukturer på styrning Vi kan ha ett komplexa beroenden (t.ex. IT outsourcad) Går det att skriva en standard för införande med dessa förutsättningar????

nuläge som är olika Vi har olika kulturer Vi har olika strukturer på styrning Vi kan ha ett

4 Ja - om vi tar fasta på det som är lika Ett införande görs som ett projekt Har en start och ett slut, (engångskaraktär) Har en tillfällig organisation Är ett förändringsarbete Baseras på ISO/IEC Undantar hur den faktiska implementeringen av valda säkerhetsåtgärder i Appendix A bör ske (Se istället ISO/IEC 27002) Tar med upprättandet av PDCA-cykeln

Baseras på ISO/IEC 27001 Undantar hur den faktiska implementeringen av valda

5 Införande: Ett projekt två steg! Struktur Generellt (27001) Säkerhetsåtgärder - Unikt (27002+andra+risk/27005) Struktur Bas och långsiktighet Ständiga förbättringar Säkerhetsåtgärder Direkt skydd Styrd informationssäkerhet Rätt nivå Steg 1 Steg 2 5

6 27003 införande av LIS täcker steg 1 och anger ramen för steg 2, dvs med kopplingen till Struktur Bas och långsiktighet Ständiga förbättringar Säkerhetsåtgärder Direkt skydd Styrd informationssäkerhet Rätt nivå Steg 1 Steg 2 6

och långsiktighet Ständiga förbättringar Säkerhetsåtgärder

7 Införande enligt ISO/IEC ur ett PDCA perspektiv Första delen på första varvet Lägger grunden för införande av säkerhetsåtgärder

8 ISO/IEC ger stöd vid införandet av LIS, som ett projekt

9 Införandefaser (ISO/IEC 27003) Erhålla ledningens godkännande för initiering av ett LIS-projekt Definiera omfattning, gränser samt policy för LIS Genomföra analys av informationssäkerhetskrav Genomföra riskbedömning och planera riskbehandling Utforma LIS Ledningens godkännande för initiering av et t LIS-projekt Omfattning och gränser för LIS Informationssäkerhetskrav Skriftligt intyg på ledningens godkännande av införandet av LIS Slutgiltig projektplan för införande av LIS LIS Policy Informationstillgångar Riskbehandlingsplan Resultat av informationssäkerhetsbedömning Uttalande om tillämplighet, inkl. åtgärdsmål och valda säkerhetsåtgärder

Omfattning och gränser för LIS Informationssäkerhetskrav Skriftligt intyg på ledningens godkännande av införandet av LIS Slutgiltig projektplan för införande av

10 Införandefaser (ISO/IEC 27003) Erhålla ledningens godkännande för initiering av ett LIS-projekt Definiera omfattning, gränser samt policy för LIS Genomföra analys av informationssäkerhetskrav Genomföra riskbedömning och planera riskbehandling Utforma LIS Ledningens godkännande för initiering av ett LIS-projekt Omfattning och gränser för LIS Informationssäkerhetskrav Skriftligt intyg på ledningens godkännande av införandet av LIS Slutgiltig projektplan för införande av LIS LIS Policy Informationstillgångar Riskbehandlingsplan Säkerhetsåtgärder Resultat av informationssäkerhetsbedömning Uttalande om tillämplighet, inkl. åtgärdsmål och valda säkerhetsåtgärder Direkt skydd Struktur Bas och långsiktighet Ständiga förbättringar

Informationssäkerhetskrav Skriftligt intyg på ledningens godkännande av införandet av LIS Slutgiltig projektplan för införande av LIS LIS Policy Informationstillgångar

11 Målen för varje fas/kapitel är: 5 - Mål: Att erhålla ledningens godkännande för att starta LIS-projektet genom att definiera affärsnyttan och projektplanen. 6 - Mål: Att definiera detaljerad omfattning och gränser för LIS, att utarbeta en policy för LIS samt erhålla klartecken från ledningen 7 - Mål: För att kunna definiera relevanta krav som ska stödjas av LIS, bör informationstillgångar identifieras och aktuell status på informationssäkerheten inom omfattningen inhämtas. 8 - Mål: Att definiera en metod för riskbedömning, identifiera, analysera och utvärdera informationssäkerhetsrisker för val av riskbehandlingsalternativ, åtgärdsmål och säkerhetsåtgärder. 9 - Mål: Att fullborda den slutgiltiga implementeringsplanen för LIS genom utformning av: den organisatoriska säkerheten med utgångspunkt från valda riskbehandlingsalternativ och krav gällande register och dokument, säkerhetsåtgärder med integrering av säkerhetsbestämmelser för ICT, fysiska och organisatoriska processer samt LIS-specifika krav. 11

av LIS, bör informationstillgångar identifieras och aktuell status på informationssäkerheten inom omfattningen inhämtas.

12 Kapitel 5 Mål: Att erhålla ledningens godkännande för att starta LIS-projektet genom att definiera affärsnyttan och projektplanen. NOT: Ej krav enligt ISO/IEC 27001

13 Kapitel 6 Mål: Att definiera detaljerad omfattning och gränser för LIS, att utarbeta en policy för LIS samt erhålla klartecken från ledningen

14 Kapitel 7 Mål: För att kunna definiera relevanta krav som ska stödjas av LIS, bör informationstillgångar identifieras och aktuell status på informationssäkerheten inom omfattningen inhämtas.

15 Kapitel 8 Mål: Att definiera en metod för riskbedömning, identifiera, analysera och utvärdera informationssäkerhetsrisker för val av riskbehandlingsalternativ, åtgärdsmål och säkerhetsåtgärder.

16 Kapitel 9 Mål: Att färdigställa den slutgiltiga implementeringsplanen för LIS genom utformning av: den organisatoriska säkerheten säkerhetsåtgärder med integrering av säkerhetsbestämmelser för ICT, fysiska och organisatoriska processer LIS-specifika krav.

organisatoriska säkerheten säkerhetsåtgärder med integrering av

17 Kapitel X Implementera säkerhetsåtgärder (Org. Fys. ICT?) Specifikt!!! finns inte i standarden av förklarliga skäl med, men det finns lite goda råd.

18 Appendix Bilaga A. Sammanfattning av aktiviteter med hänvisningar enligt SS-ISO/IEC 27001:2005 Bilaga B. Informationssäkerhetsroller och ansvarsområden Bilaga C. Information kring planering av internrevision Bilaga D. Strukturer inom policyer Bilaga E. Information kring planering av övervakning och mätning

Bilaga B. Informationssäkerhetsroller och ansvarsområden Bilaga C.

19 Nytta med ISO/IEC Struktur, prioriteringar, stöd, samt att man kan undvika en av de stora riskerna vid ett införande. Att man fastnar i en interaktiv process mellan Plan and DO- Man blir aldrig klar

20 Lite om att omsätta ISO/IEC i praktiken Det är bara en guide Utgår ifrån att man inte har någonting på plats Baseras på ISO/IEC En mindre omfattning av LIS kan göra implementeringen betydligt enklare Som projekt så är standarden uppbyggt i faser som är sekventiella i verkligheten kan det finnas flera beroenden Kunskapen om vad som krävs växer med varje fas, för att avslutas i.o.m. kapitel 9 Koppla säkerhetsåtgärderna i ISO/IEC till de liknande som finns i ISO/IEC (dvs. ISO/IEC 27003) 20

faser som är sekventiella i verkligheten kan det finnas flera beroenden Kunskapen om vad som krävs växer med varje fas, för att

21 Tack och så ett avslutande ord på vägen från en känd nallebjörn Puh såg på sina två tassar. Han visste, att en av dem var den högra, och han visste, att när man hade beslutat sig för vilken som var den högra, så var den andra den vänstra, men han kunde aldrig komma ihåg, hur man skulle börja. Källa: Nalle Puh - A.A. Milne

Relevanta dokument

ISO/IEC och Nyheter

ISO/IEC och Nyheter ISO/IEC 27001 och 27002 Nyheter Bakgrund till revisionen ISO/IEC 27001 och 27002 var cirka 10 år gamla och behövde uppdateras Harmonisering av ledningssystem (Annex SL) ISO/IEC 27001:2013(2014) ISO/IEC