Agenda. Kort om Datacenter. Våra erfarenheter av 27001:2013. Summering

Relevanta dokument
skapa ett ökat mervärde uppnå ännu bättre resultat bidra positivt till människors tillvaro

Orana AB. Revisionsrapport. Uppföljande revision nr 2. Denna rapport inklusive allt innehåll är konfidentiellt och tillhör Intertek

Utbildningsdag om informationssäkerhet

Miljö och hållbarhet - affärsplan

Dom 5 steg som vi anser är nyckeln till stabila processer och målstyrt förbättringsarbete är:

Landstingets IT-Service Helårsbedömning

Exempel: Anne Landin. Kvalitetsledning i. Välkomna! Vad är ett kvalitets miljösystem? upphandlingsprocessen

Informationssäkerhetspolicy för Vetlanda kommun

Areims miljö och energiledningssystem 2015

Webinar Få koll på sjukfrånvaron. Miljödata, Aditro och Helsingborgs Stad berättar om och visar rehabsystemet Adato

Ledningssystem för kvalitet

Nr Iakttagelse Risk Risknivå Pensionsmyndighetens svar till Riksrevisionen , dnr VER

Totalt antal poäng år 2014

Lägesrapport avseende införandet av miljöledningssystem med förslag till det fortsatta arbetet.

Företagets logotyp. Plats för företagets logotyp 1

Upphandlingsdagarna 2015 Avtalsförvaltning i praktiken. Sid 1

Proaktivt förhållningssätt med planerad kommunikation. Vivianne E Rosqvist 30 maj 2013 TUV

MEDLEMMARNAS STÖD FÖR HANDELS KRAV I AVTALSRÖRELSEN

Varför ska vi ha en informationssäkerhetspolicy och hur tar vi fram en? En policy ska ju fånga in en organisations målsättning för ett visst område,

Kommunövergripande riktlinjer för säkerhet och krisberedskap i Östra Göinge kommun mandatperioden

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Företagets logotyp. Plats för företagets logotyp 1

CERTIFIERING AV ARBETSMILJÖN

SOX & ISO 9000-serien

Kvalitetsberättelse för

Maximera er försäljning

Vetenskapsrådets informationssäkerhetspolicy

För mer information om IP SIGILL och IP Grundcertifiering se

Hållbarhetspolicy. Norrenergi

IPv6 EN GOD BÖRJAN GER ETT GOTT SLUT. LÅT OSS BÖRJA.

Uppföljning. Enheten för personligt stöd

Informationssäkerhet i. Torsby kommun

Energi- och klimatfrågan. Verksamhetssystem.

Policy för informationssäkerhet

AB Stockholmshem Lägesrapportering, intern kontroll, delårsbokslut och K3

Riktlinjer för Systematiskt säkerhetsarbete

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Här kan du ta del av presentationen från webbseminariet i pdf-format. Tänk på att materialet är upphovsrättsskyddat och endast till för dig som


MANUAL ADVANIA LEDNINGSSYSTEM

HSB Omsorg AB - Södermalm - hemtjänst 2015

Detta dokument är endast avsett som dokumentationshjälpmedel och institutionerna ansvarar inte för innehållet

Företaget skall marknadsföra produkter av högsta kvalité för park och trädgård. Vi skall väl svara upp mot kundens krav.

ISO I PRAKTIKEN

Reko fjärrvärme. Vår verksamhet 2011 Rindi Syd AB

November 2013 Nummer

Hemtjänstenhet: Hemtjänst och omsorg i Stockholm, HOMe's AB. Uppföljande stadsdelsförvaltning: Östermalm. Avtalspart/Nämnd:

I föreliggande bestämmelser är en certifierad kund den organisation vars ledningssystem har certifierats.

FAGERSTA KOMMUN SOCIALFÖRVALTNINGEN. Ledningssystem för Systematiskt kvalitetsarbete

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C

Vision. Övergripande mål. Kund / medborgare

Ungdomspolitisk Policy för Ängelholms Kommun

Lundabygdens Prova På IF

Min sida av saken... kan vi som kund förändra

Direktionen beslutade den att det skulle upprättas en policy med riktlinjer för representation inom Räddningstjänsten Jämtland.

Patientsäkerhetsberättelse för Älvsjö stadsdelsnämnd

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Patientsäkerhetsberättelse. Ortopediska Huset

Ånge Fastighets och Industri AB Kommunstyrelsen. För kännedom: Kommunfullmäktiges presidium. Revisionsrapport: Granskning av bisysslor

Avtalsform Ramavtal & enstaka köp Namn Molntjänster

Hur ställer jag kraven

Vervas kräver ISO och ISO av alla statliga myndigheter. Maylis Karlsson, Utvecklingsstrateg Verva

SFK Certifiering AB. Revisionsteam. Revisionens omfattning. Resultat

Verksamhetsplan för Peterslunds förskola

FÖRFATTNINGSSAMLING BESLUT GÄLLER FR FLIK SID Kf 83/ Kf IT-säkerhetspolicy

Skötselråd bäddmadrasser

Omsorgsförvaltningen Karlshamn

Saltsjöbadens IF Fotboll

Skötselråd bäddmadrasser

Medlemsrättigheter & skyldigheter

Med fokus på AVANCERAD SVETSNING

Projekt Läkemedelsgenomgångar

GUIDE. Administrativ uppstart

Olivia Hemtjänst AB - Södermalm Söderort 2015

BODENS BRUKSHUNDKLUBB & HUNDUNGDOM. Verksamhetsplan

KOMETSKOLANS LIKABEHANDLINGSPLAN OCH PLAN MOT KRÄNKANDE BEHANDLING

Kommunikationsplattform

Redovisning av säkerhetsarbetet och säkerhetsläget i Västra Götalandsregionens verksamheter 2013

Inspirationsdag. Egenvård och hälsoarbete på vårdcentraler och apotek i Örebro län. 5 februari 2008 Dokumentation

Syftet Att förbättra. Örjan Carlsson Arkitekturenheten

Karolinska Institutets handlingsplan för miljö och hållbar utveckling 2010

till Landstingsstyrelsen överlämna förvaltningens förslag

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

Jämförelse mellan miljöledningssystemen Svensk Miljöbas, ISO och EMAS Svensk Miljöbas 3:2013

rwieitii AflflIDt Svenska Skogsplantor Resultat

Nytt system samma medarbetare?

Avtals- och verksamhetsuppföljning (2016)

2015 års patientsäkerhetsberättelse och plan för 2016 Daglig Verksamhet Falkenberg Nytida AB

Patientsäkerhetsberättelse för vårdgivare

Riktlinjer för systematiskt säkerhetsarbete och säkerhetsorganisation för Malung-Sälens kommun.

LOKAL ARBETSPLAN 2011/2012

Svenska Spaniel och Retrieverklubben Protokoll Västernorrlandsavdelning Orgnr

Sandvikens kommnun. Seminarium beträffande risker för korruption och andra oegentligheter

Samtycke vid direktåtkomst till sammanhållen journalföring

Företagens samhällsansvar. Daniel Nordström

Lokal handlingsplan. Förskolan Pärlan. Alla är olika och lika bra. utifrån de prioriterade målen ur Läroplan för förskolan Lpfö 98 Reviderad 2010

Utbildningsnämnden. Tid: Torsdagen den 29 januari 2015 kl. 16:00. Plats: Östra Roten, Kommunhuset i Lilla Edet

Lotta Carlberg, workitsimple Alla rättigheter reserverade

Datum att införa personliga inköpskort, med betalansvar för Uppsala kommun,

Totalpoäng för respektive medlemssjukhus

Transkript:

SÄKER IT-DRIFT

Agenda Kort om Datacenter Våra erfarenheter av 27001:2013 Varför ledningssystem för informationssäkerhet - LIS Förutsättningar Krav Säkerhetsåtgärder Riskanalyser Personrelaterade hot Tidsåtgång och resurser Summering

DATACENTER FÖR KUNDER SOM VÄRDESÄTTER SÄKERHET & TILLGÄNGLIGHET

Datacenter generellt Helhetsleverantör av IT-tjänster Datacenter äger sina egna datahallar som är placerade i Stockholm Alla tjänster produceras i vår egen regi, vilket gör att vi kan garantera att inget data lämnar Sverige Utökar vår marknadsandel i målgruppen bank, försäkring, myndigheter och media

Datacenter i siffror GRUNDAT 1997 TILLGÄNGLIGA 24/7 40 PERSONER VÄXANDE OCH LÖNSAMMA 55 MSEK I OMSÄTTNING ÄGER TVÅ ANLÄGGNINGAR ISO 27001 & 9001 CERTIFIERING 2011 2013 2015 FÖRVÄRVAR BERGRUM SOM BYGGS OM TILL HÖGSÄKERHETSANLÄGGNING FÅR UTMÄRKELSE OM HÖGSTA KREDITVÄRDIGHET AAA

Varför ledningssystem Firman växte Behov av ökad struktur och bättre effektivitet Informationssäkerhet är ett fokusområde för oss som driftleverantör Resulterade i att vi valde att certifiera oss mot ISO 27001 och 9001

Förutsättningar Intranät med rutiner och dokumentation fanns Ärendehanteringssystem redan på plats Lång tidigare erfarenhet av riskanalyser Teknisk redundans och säkerhet god från start

Kravbild - Informationssäkerhet Kund Regulatoriska Verksamhet

Säkerhetsåtgärder 1 Förslag personal Riskanalyser 17 Kundkrav 66 3 GAP-analys mot 27002 33 123 Åtgärder 4 Regulatoriska krav

Säkerhetsåtgärder 2 Initial GAP-analys mot kraven i 27002 indikerade att vi behövde genomföra 24 säkerhetsåtgärder som krav Förbättrad lösenordspolicy Rutiner för kryptoprotokoll & nyckelhantering Loggning och spårbarhet Förfinad åtkomststyrning Rutin gällande analys och upptäckt av sårbarheter Nessus mm Rutin för destruering och avveckling av information (allt från diskar till USB osv) 9 förbättringsåtgärder Tvåfaktorsautentisering mot bastioner Implementering av S/MIME

Säkerhetsåtgärder 3 Vi genomförde 9 riskanalyser som resulterade i 66 säkerhetsåtgärder Säkerställa resursbehov Insynsskydd för fönster Påbackningsskydd Kompetenshöjning kring informationssäkerhet Hårddiskkryptering klientdatorer

Riskbedömning - Metod Ofta Regelbundet Sällan Mycket sällan Allvarlig Betydande Måttlig Försumbar Sannolikhet mer än en gång per år en gång på ett år en gång på 10 år en gång på 100 år Konsekvens Åtalbart alt. skada motsvarande över 5 miljoner. skada motsvarande 1-5 miljoner. skada motsvarande 10 tkr - 1 miljon. skada motsvarande 0 tkr 10 tkr.

Slutsatser från riskanalyser Identifierade förbättringsområden och hjälpte oss prioritera rätt insatser Tydliggjorde accepterade risker på ledningsnivå Hjälpte oss koppla tid & resurser till förändring i risknivå Många risker kring personalrelaterade hot

Personalrelaterade Hot Insiderbrott och personhot utifrån Registerkontroll, kreditupplysning, personbedömning Två i förening Loggning Övervakning Rättighetsstyrning Mänskliga misstag Utbildning och träning Införande av omfattande internutbildningsprogram Verifiering och kontroll Medvetna överträdelser

Medvetna överträdelser - exempel Ex 1 Medarbetare skickar mail med känslig information okrypterat trots att det strider mot vår egen policy. Ex 2 Företaget ska införa ett nytt system och säkerhetsgruppen bjuds inte in i diskussionen eftersom det blir för krångligt.

Medvetna överträdelser Varför? Kringgår rutiner för att det upplevs krångligt eller onödigt. Görs oftast av medarbetare som tror att det är bra för organisationen. Vanligt att säkerhetsavdelningen har en högre ambitionsnivå än övriga medarbetare inklusive ledningen. Ibland upplevs vi som foliehattar som inte har kontakt med verkligheten och vi får en urusel efterlevnad.

Medvetna överträdelser - Lösning Företaget måste sätta en tydlig säkerhetsnivå och inte säkerhetschefen eller enskilda medarbetare. Viktigt att utbilda alla medarbetare att bli säkerhetsmedvetna och varför vi behöver göra vissa åtgärder. Försök hitta enkla lösningar till medarbetarnas problem i stället för att läxa upp vid avvikelser. Ex inför S/MIME för att kunna skicka krypterad e-post.

Tidsåtgång och Resurser 1 Utveckla Verksamhetssystem 1200 Riskanalyser 200 Säkerhetsåtgärder 1400 Utbildning 800 Extern och intern revision 400 Uppföljning och kontroller 600 Total 4800 timmar

Tidsåtgång och Resurser 2 400 timmar hjälp kring 27001 100 timmar hjälp kring 9001:2015 Lars Söderlund Gunilla Mattson Uppsec AB Certway AB

Summering Försök inte göra allt perfekt från början utan jobba med ständiga förbättringar Låt dom affärsmässiga målen utgöra grund för säkerhetsarbetet Ha inte övertro på de tekniska lösningarna - utbildning och träning är minst lika viktigt

TACK! www.datacenter.se 020-247 247

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss