Rätt säkerhet! 2015
2014-11-07 2 Tack till våra sponsorer!
Program 8.30 - Registrering, kaffe och utställning 9.30 - SIS En informationsorganisation - Välkomsthälsning och inledning Elisabeth Darius, tf VD SIS, Swedish Standards Institute 9.40 - Rätt Säkerhet Situationsanpassad och aktuell informationssäkerhet Jan-Olof Andersson, chef för verksamhetsskyddet på Rikspolisstyrelsen, ordförande SIS/TK 318 Informationssäkerhet 10.00 - Internet som verktyg för insyn och inflytande - 2014 års demokratiutredning Daniel Lindvall, Regeringskansliet 10.30 - Kaffe och utställning 10.50 - Personlig integritet Nationell e-legitimation och internationella ramverk Hans Hedbom, ordförande TK 318/AG 51, säkerhetsexpert/forskare Karlstad Universitet Elisabeth Dellkrantz, Projektledare, E-legitimationsnämnden 11.35 - Statens ansvar för informationssäkerhet i hälso- och sjukvård och socialtjänst E- hälsomyndighetens framtida roll Stefan Larsson, säkerhetschef, e-hälsokommittén Rickard Broddvall, utredningssekreterare, e-hälsomyndigheten 11.50 - Lunch och utställning
9.30 - SIS En informationsorganisation - Välkomsthälsning och inledning Elisabeth Darius, tf VD SIS, Swedish Standards Institute
9.40 - Rätt Säkerhet Situationsanpassad och aktuell informationssäkerhet Internationella och nationella standarder har haft en stor betydelse för att lyfta svenska organisationers och myndigheters systematiska informationssäkerhetsarbete. Nya informationsströmmar och lösningar ställer nya krav på standardiserade processer, ramverk och gränssnitt. Presentation av aktuella standiseringsprojekt och spaning mot nya behov.
Utkast VS2015 Huvudprocess för verksamhetsskyddet Input Ha koll Styra och Skydda Hantera samordna händelser Output Krav och förväntningar Skapar säkerhetskultur Polisens verksamhet kan utföras utan att allvarliga störningar inträffar. Uppkommer sådana ska de kunna hanteras.
Utkast VS2015 Delprocessernas underprocesser Ha koll Styra och samordna Skydda Hantera händelser Identifiera risker Omvärldsanalys Samverkan Dimensionerande hotbild (N) Säkerhetsanalys (N) Gemensam lägesbild/lägesuppfattning Riskhantering (N) Planering/budget Resurssäkring Uppföljning Granskningar/kontroller Mätning Utbildningsplanering Ledningens genomgång (N) Ständig förbättring Kompetensanalys Kommunikation Interna VS-delningar Ärendehantering verksamhetsskydd: Dispenser Yttrande i verksamhetsskyddsfråga Utveckling Metodutveckling Upprätta säkerhetsplan (N) Framtagande av regler (N) Framtagande av säkerhetsåtgärder (N) Införande av säkerhetsåtgärder Kontroll av VS-nivån Övervakning/mätning Stöd/rådgivning Information/utbildning Avvikelsehantering SUA (N) Kontinuitetsplanering (N) Säkerhetssamtal Skyddssamtal Säkerhetsprövning (N) Incident/säkerhetsärendehantering (N) Krishantering (N)
2014-11-07 8
Två reviderade standarder i familjen! 2014-11-07 9
2014-11-07 10
2014-11-07 11
På G! ISO/IEC 27000 Overview and vocabulary ISO/IEC 27003 - Information security management system implementation guidance ISO/IEC 27004 Measurement ISO/IEC 27005 - Information security risk management ISO/IEC 27006- Requirements for bodies providing audit and certification of information security management ISO/IEC 27007 - Guidelines for information security management systems auditing ISO/IEC 27008 - Guidelines for auditors on information security controls ISO/IEC 27013 - Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 ISO/IEC 27017 - Code of practice for information security controls for cloud computing services based on 27002 ISO/IEC 27021 Revised NWIP for ISO/IEC 27021 - Certification of Information Security Management Professionals ISO/IEC 27023 - Mapping the Revised Editions of ISO/IEC 27001 and ISO/IEC 27002 ISO/IEC 27035 Incident hanteringsprocess ISO/IEC 27040 Digital lagring och avveckling ISO/IEC 27018 - Code of practice for PII protection in public clouds acting as PII processors. ISO/IEC 29134 Privacy impact assessment Methodology. ISO/IEC 29003 Identity proofing. ISO/IEC 29151 Code of practice for PII protection 2014-11-07 12
2007 2013 = 171826 certifieringar på 27001 2014-11-07 13
Trendspaning Hotbilden: Flera avancerade angrepp Inbäddade system Angrepp mot individ Mobiltelefoni Vi har inte koll Medvetenhet: Stora brister i organisationers säkerhet Personlig integritet Krav vid upphandlingar Fler infosäk medarbetare anställs 2014-11-07 14
2014-11-07 15
10.00 - Internet som verktyg för insyn och inflytande - 2014 års demokratiutredning
10.30 10.50 Kaffe och utställning
10.50 - Personlig integritet Nationell e-legitimation och internationella ramverk Hans Hedbom, ordförande TK 318/AG 51, säkerhetsexpert/forskare Karlstad Universitet Elisabeth Dellkrantz, Projektledare, E- legitimationsnämnden
11.35 - Statens ansvar för informationssäkerhet i hälso- och sjukvård och socialtjänst E- hälsomyndighetens framtida roll Stefan Larsson, säkerhetschef, e- hälsokommittén Rickard Broddvall, utredningssekreterare, e- hälsomyndigheten
11.50 12.40 Lunch och utställning
Program em 12.40 - Praktiskt införande av LIS Lennart Lindholm, CISO, Forex Bank 13.10 - Informationssäkerhetsutredningen Vad betyder den för dig? Erik Wennerström, särskild utredare, GD, BRÅ 13.30 - Rapport från de svenska myndigheterna kring status på informationssäkerhetsarbetet Hur är det egentligen? Fia Ewald, enhetschef, enheten för systematiskt informationssäkerhetsarbete, MSB 13.50 - Kaffe och utställning 14.10 - Nya ISO 27001 och ISO 27002 Så drar du nytta av nyheterna i din organisation Lars Söderlund, ordförande TK 318/AG 11 LIS, UppSec 14.30 - Förenklad LIS Informationsklassificering på 15 minuter Nils Daniels, ordförande SIS tekniska rapport förenklad LIS, informations- och it-säkerhetsexpert, ÅF-Technology AB 15.00 - Rätt osäkerhet Att våga ta risker när man måste Bengt Berg, Head of Compliance Management Services, Cybercom 15.25 - Avslutande session med återkoppling, summering, frågor och diskussion 2014-11-07 21 16.00-19.00 - Mingel med seminariedeltagare, talare, partners och utställare
12.40 - Praktiskt införande av LIS Erfarenheter och praktiska tips och exempel på hur ett införande av LIS kan gå till. 2014-11-07 22
13.10 - Informationssäkerhetsutredningen Vad betyder den för dig? Erik Wennerström, särskild utredare, GD, BRÅ 2014-11-07 23
13.30 - Rapport från de svenska myndigheterna kring status på informationssäkerhetsarbetet Hur är det egentligen? Rapport om utfall och analys av MSBs aktuella uppföljning av svenska myndigheters informationssäkerhetsarbete. 2014-11-07 24
14.10 - Nya ISO 27001 och ISO 27002 Så drar du nytta av nyheterna i din organisation. Presentation av 2014 års version av grundstandarderna för informationssäkerhet. Nyheterna innefattar bl.a. - Ny struktur som är gemensam för ISO:s ledningssystemstandarder - Harmonisering av terminologi - Nya områden som outsourcing, mobila enheter och medvetenhet. 2014-11-07 25
14.30 - Förenklad LIS Informationsklassificering på 15 minuter Arbetsgrupp 6 inom SIS/TK 318 Informationssäkerhet arbetar med att ta fram en teknisk rapport som ska vara ett stöd för de som ska börja använda ISO/IEC 27000-seriens olika säkerhetsstandarder. Rapporten ska användas som ett verktyg för att förenkla arbetet med informationsklassificering och att hitta en bra nivå på åtgärder. Rapporten är även tänkt att användas som stöd för motivation för den personal som ska klassificera information och system, dvs. varför de ska göra det samt hur de kan göra det. 2014-11-07 26
15.00 - Rätt osäkerhet Att våga ta risker när man måste Rätt säkerhet är sällan 100 %. De sista procenten, de man inte vill uppnå för att de inte är värda besväret, måste alltså vara rätt osäkerhet. En serie betraktelser från osäkerhetsarbetets värld, där det finns risker man helt måste acceptera helt enkelt för att man inte klarar av att hantera dem kostnadseffektivt. Det finns branscher med samma problem varifrån informations- och IT-säkerhetsbranschen har mycket att lära, och ibland kan ROI för en riskreducerande investering vara en fråga om tajming. 2014-11-07 27
15.25 - Avslutande session med återkoppling, summering, frågor och diskussion 2014-11-07 28
16.00-19.00 - Mingel med seminariedeltagare, talare, partners och utställare 2014-11-07 29
Frågor
Det är inte pengar som får världen att fungera.
Det är standarder.
2014-11-07 33