Tillitsdeklarationen och revisionsprocessen Åsa Wikenståhl Efosdagen 2018-09-26
Agenda Intro Risk Revision LIS Tillitsdeklarationen På-platsen-revisionen Åtgärder och uppföljning Förbättringsarbetet
Tillit Att kunna lita på Att kunna lita på den elektroniska identitetens säkerhet Att en person som tilldelas en elektronisk identitet verkligen är den han eller hon utger sig för att vara
När vi är klara här i dag ska vi veta: Hur vi skapar tillit genom ett systematiskt säkerhetsarbete Vad ett LIS är och varför det aldrig blir färdigt Vad vi menar med riskhantering Vem som reviderar vem Hur man besvarar frågorna i Tillitsdeklarationen
Krav på säkerhetsarbete Efos Tillitsramverk Rutiner och processer Riskhantering Internrevision LIS Kontinuitetsplan
Krav på kontinuitetsplanering Att motverka avbrott i organisationens verksamhet och skydda kritiska rutiner från effekter av oförutsedda allvarligare avbrott eller katastrofer. Hur gör vi om Efos inte går att använda? Kontinuitetsplanering en introduktion
Tillitsramverket kapitel 3.1 Informationssäkerhet LIS Direktansluten organisation ska ha ett strukturerat säkerhetsarbete som ska omfatta: a) en process för riskhantering som kontinuerligt analyserar hot och sårbarheter i verksamheten och bedömer sannolikhet och konsekvens för (skada på) användare, utgivningsområdet och andra anslutna organisationer inom Efos. Resultatet från riskanalysen leder till säkerhetsåtgärder som ska balansera riskerna till acceptabla nivåer. Riskanalysen ska dokumenteras och kunna visas vid revision. b) ett ledningssystem för informationssäkerhet eller funktion som motsvarar detta. Nivå 4 Ledningssystem för informationssäkerhet ska vara baserat på ISO/IEC 27001. c) kontinuerligt genomförda och dokumenterade internrevisioner d) en upprättad och testad kontinuitetsplan
ELN:s krav på Inera 1. Fastställt och riskbaserat revisionsprogram 2. Formaliserad metodik för internrevision av anslutna organisationer 3. Formaliserade krav på anslutna organisationers egenkontroll och vad den skall omfatta 4. Utökad internkontroll av Ineras egen efterlevnad 5.Tydlighet kring eskalering, ledning, styrning och uppföljning Detta resulterade i
.resulterade i risk-, revisions- och förbättringsprocessen som är ett systematiskt sätt att säkra tilliten 1
Agenda Intro Risk Revision LIS Tillitsdeklarationen På-platsen-revisionen Åtgärder och uppföljning Förbättringsarbetet
Riskhantering Vid en riskanalys identifierar vi risker och bedömer vilken skada en risk kan medföra och hur stor sannolikheten är att risken blir verklighet Exempel på risker som kan förekomma Rutiner saknas Inte tillräckligt med resurser Bristande hantering av kort ID-administratörerna får inte tillräckligt med stöd för att utföra sitt jobb på ett korrekt sätt Svårt att kommunicera ut förändringar Bristande förståelse från övriga inom organisationen Resultatet från riskanalysen skall leda till säkerhetsåtgärder som balanserar riskerna Leder till.som leder till förbättringar som säkrar tilliten
Riskanalys
Genomföra riskanalys Inera.se
Agenda Intro Risk Revision LIS Tillitsdeklarationen På-platsen-revisionen Åtgärder och uppföljning Förbättringsarbetet
Revisionsprocessen 2. Tillitsdeklaration 4. Planering och åtgärder 1 1 1 1. Planering 3. På-platsenrevision 5. Uppföljning
Vad tittar vi på vid en revision Att arbetssättet säkrar tilliten vid utgivningsprocessen Rutiner och processer Och vilka förbättringar har detta bidragit till? Vilka olika revisioner och riskanalyser har genomförts? Vilka säkerhetsåtgärder har detta resulterat i? Har rutiner och processer förändrats?
Ansvar för att säkra tilliten vem reviderar vem Inera Ombud 3:e part
Revisionsprocessen - Tillitsdeklarationen 2. Tillitsdeklaration 1
Frågorna i Tillitsdeklarationen
Frågorna i Tillitsdeklarationen Bedöm i vilken utsträckning där 1=Inte alls och där 5=Fullständigt 1 2 3 4 5
Frågorna i Tillitsdeklarationen Krav: Direktansluten organisation ska ha en process för riskhantering som kontinuerligt analyserar hot och sårbarheter i verksamheten och bedömer sannolikhet och konsekvens för (skada på) användare, Utgivningsområdet och andra anslutna organisationer inom Efos. Riskanalysen ska dokumenteras och kunna visas vid revision. Vägledning: Tillitsramverket kapitel 3.1 Informationssäkerhet. Bedöm i vilken utsträckning process för riskhantering är implementerad i verksamheten (1 5) där 1 = Inte alls och 5 = Fullständigt
Säkerhet och revision Fråga 01.2 LIS Krav: Direktansluten organisation ska ha ett strukturerat säkerhetsarbete som ska omfatta ett ledningssystem för informationssäkerhet eller funktion som motsvarar detta. För LoA-Nivå 4 skall ledningssystemet för informationssäkerhet vara baserat på ISO/IEC 27001. Vägledning: Tillitsramverket kapitel 3.1 Informationssäkerhet. Bedöm i vilken utsträckning ledningssystem för informationssäkerhet (LIS) finns implementerat i verksamheten (1 5) där 1 = Inte alls och 5 = Fullständigt
Säkerhet och revision Fråga 01.3 Internrevision Krav: Direktansluten organisation ska ha ett strukturerat säkerhetsarbete som ska omfatta kontinuerligt genomförda och dokumenterade internrevisioner (minst var 13:e månad). Även utgivningsområdets tredjepartsanslutna ska omfattas av revision och under en treårsperiod ska samtliga tredjepartsanslutna ha blivit reviderade. Funna avvikelser ska resultera i en åtgärdsplan och denna ska genomföras. Internrevision och åtgärdsplan med genomförande ska dokumenteras. För detaljer kring dokumentationen se Tillitsramverket. Vid LoA-Nivå 4 skall internrevision utföras av oberoende intern kontrollfunktion. Vägledning: Tillitsramverket kapitel 3.1 Informationssäkerhet samt 3.3 Internrevision. Bedöm i vilken utsträckning process för internrevision är implementerad i verksamheten (1 5) där 1 = Inte alls och 5 = Fullständigt
Tillitsdeklarationen resulterar i ett spindeldiagram 20 - Ombud - Lokala rutiner 1 - Riskhantering 5 2 - LIS 19 - Ombud - upprätta 3:e partsavtal 4 3- Internrevision 18 - Spärr av elektroniska identitetshandlinga för funktioner 3 4 - Säkerhetsincidenter 17 - Mottagande av elektroniska identitetshandlingar för funktioner 2 1 5 - Spårbarhet 16 - Beställning av elektroniska identitetshandlingar för funktioner 0 6 - Utse ansvariga och upprätta organisation 15 - Ansökan av elektroniska identitetshandlingar för funktioner 7 - Ansvarig utgivare 14 - Spärr av elektroniska identitetshandlingasr för personer 8 - Säkerhetsansvarig 13 - Utlämning av elektroniska identetshandlingar för personer 12 - Beställning av elektroniska identitetshandlingar för personer 11 - Ansökan av elektroniska identitetshandlingar för personer 9 - Kontinuitetsplan 10 - Fysisk, administrativ och personorienterad säkerhet 1 Självdeklaration
Revisionsprocessen 1 3. På-platsen-revision
På-platsen-revisionen resulterar i en dubbelspindel 20 - Ombud - Lokala rutiner 1 - Riskhantering 5 2 - LIS 19 - Ombud - upprätta 3:e partsavtal 4 3- Internrevision 18 - Spärr av elektroniska identitetshandlinga för funktioner 3 4 - Säkerhetsincidenter 17 - Mottagande av elektroniska identitetshandlingar för funktioner 2 1 5 - Spårbarhet 16 - Beställning av elektroniska identitetshandlingar för funktioner 0 6 - Utse ansvariga och upprätta organisation 15 - Ansökan av elektroniska identitetshandlingar för funktioner 7 - Ansvarig utgivare 14 - Spärr av elektroniska identitetshandlingasr för personer 8 - Säkerhetsansvarig 13 - Utlämning av elektroniska identetshandlingar för personer 9 - Kontinuitetsplan 12 - Beställning av elektroniska identitetshandlingar 10 - Fysisk, administrativ och personorienterad för personer säkerhet 11 - Ansökan av elektroniska identitetshandlingar för personer Själv-deklaration Revisorns bedömning
Revisionsrapporten Revisorn Verksamheten Allmänt Sammanfattning Plan för korrigerande åtgärder Godkännande av planen Bedömning spindeldiagram Genomförd åtgärd / förbättring Verifiering av åtgärd/förbättring
Revisionsprocessen 4. Planering och åtgärder 5. Uppföljning 2
Agenda Intro Risk Revision Tillitsdeklarationen På-platsen-revisionen Åtgärder och uppföljning LIS Förbättringsarbetet
Ledningssystem för informationssäkerhet Efos Tillitsramverk Regelverk LIS Arbetssätt Rutiner och processer
Ledningssystem för informationssäkerhet Efos Tillitsramverk Kommer du ihåg? LIS Rutiner och processer
Ledningssystem för informationssäkerhet Efos Tillitsramverk LIS Rutiner och processer
Kontinuerlig förbättring Riskanalys Planering & åtgärd Planering & åtgärd Extern revision Intern revision Planering & åtgärd
Det kostar på med förbättringsarbete 35
I vilken omfattning är LIS implementerat 5 = Fullständigt 4 Världsklass LIS blir aldrig färdigt. bara bättre och bättre 3 2 1 = Inte alls Tid
Behövs verkligen planering av åtgärder Japp, annars riskerar vi att åtgärda fel sak Vi behöver hitta orsaken till problemet (rotorsaken) 5 Varför Exempel. Reservkortskvittenser saknas Varför? Någon vet inte att vi behöver detta Varför? Vi har inte utbildat och informerat tillräckligt Varför? Ingår inte i våra rutiner Varför? Vi ser inte över våra rutiner tillräckligt ofta Varför? 1
Nu vill jag att ni skall veta: Hur vi skapar tillit genom ett systematiskt säkerhetsarbete Vad ett LIS är och varför det aldrig blir färdigt Vad vi menar med riskhantering Vem som reviderar vem Hur man besvarar frågorna i Tillitsdeklarationen
Tack