SOX och ISO-IEC Standarder
Agenda Intro SOX (COSO) och ISO Standarder SOX (COSO) och ISO 27000 Familjen SOX (COSO) och införande samt verifiering av tekniska kontroller Sammanfattning
Anders Carlstedt Senior Information Security Expert, Ekelöw InfoSec AB Editor ISO-IEC 27005 Information Security Risk Management (FDIS) Rapporteur SC 27 ISMS Technical Audit (Study Period) BSI Cert. Lead Auditor M: +46-76-100 77 72 E: first.last[at]ekelow.se
Proof through delivery Ekelöw InfoSecurity har på kort tid växt till den ledande aktören inom området riskhantering och informationssäkerhet Ekelöw InfoSecurity (Ekelöw) grundades år 2001 av Nils-Olof Ekelöw Företaget växer mycket snabbt och har idag kontor i Stockholm (HQ) och Göteborg År 2006 omsatte Ekelöw totalt 53 MSEK Sedan starten fram till idag har omsättningen ökat med ca 33 procent årligen Bolaget förväntas fortsätta växa i hög takt under perioden 2007-2008 Ekelöw består idag av totalt av cirka 54 meriterade konsulter En genomsnittlig konsulterfarenhet inom riskhantering och informationssäkerhet på mer än 17 år och en medelålder om cirka 44 år Omfattande erfarenheter av uppdrag inom det privata näringslivet, offentlig verksamhet och intresseorganisationer 4
Proof through delivery Proof through delivery Privat näringsliv Offentlig verksamhet Organisationer F Ö R S V A R S M A K T E N 5
Proof through delivery Bolagsintressen Dotterbolag Intressebolag Ntegria AB Personrelaterad risk- och säkerhetsrådgivning Säkerhetsrådgivare och stöd åt personer i högre företags- och verksamhetsledningar Skapar trygghet för personer i ledande befattningar Stöd vid personrelaterad riskoch incidenthantering Unikt nätverk ger stor samlad förmåga Erbjuder stöd med hög säkerhet inom: Strategi Skydd Service Support Tjänster både för strategisk och akut hantering BitSec AB Forsknings- och analysföretag Produktoberoende konsulttjänster inom avancerad teknisk säkerhet Vänder sig till företag och myndigheter med särskilt höga krav i sin informationshantering Oberoende, inga externa kommersiella bindningar Tjänster Incidenthantering/forensiska tjänster Teknisk säkerhetsgranskning Penetrationstest Utbildning FoU Huvudägare, samägt med Seccredo AB samt BitCopy AB 6
Vad är/innebär SOX? Den amerikanska bolags lagen Sarbanes-Oxley Act har många förkortningar men kallas oftast för just SOX. SOX syfte är att säkerställa den finansiella kontrollen inom - och rapporteringen från - organisationer - ett resultat av skandalerna i USA i inledningen av 2000-talet. Reglerna i SOX ska minska risken för felaktig information och bedrägerier - ett företag som uppfyller samtliga krav i SOX ska vara säkert att satsa på för såväl investerare som anställda och andra intressenter. Exempel på övergripande krav i SOX; Vd och ekonomichef ska ta personligt ansvar för finansiell rapportering och intyga att varje delårsrapport och årsrapport är korrekt. Externa revisorer ska bytas ut minst vart femte år. Revisionskommittéer (Audit Committees) ska se till att revisorerna får den information som krävs för att göra ett korrekt jobb.
Sarbanes - Oxley Act of 2002 One Hundred Seventh Congress of the United States of America AT THE SECOND SESSION Begun and held at the City of Washington on Wednesday, the twenty-third day of January, two thousand and two An Act To protect investors by improving the accuracy and reliability of corporate disclosures made pursuant to the securities laws, and for other purposes. Be it enacted by the Senate and House of Representatives of the United States of America in Congress assembled, SECTION 1. SHORT TITLE; TABLE OF CONTENTS. (a) SHORT TITLE. This Act may be cited as the Sarbanes- Oxley Act of 2002. (b) TABLE OF CONTENTS. The table of contents for this Act
SOX Table of Content Sec. 1. Short title; table of contents. Sec. 2. Definitions. Sec. 3. Commission rules and enforcement TITLE I PUBLIC COMPANY ACCOUNTING OVERSIGHT BOARD TITLE II AUDITOR INDEPENDENCE TITLE III CORPORATE RESPONSIBILITY TITLE IV ENHANCED FINANCIAL DISCLOSURES TITLE V ANALYST CONFLICTS OF INTEREST TITLE VI COMMISSION RESOURCES AND AUTHORITY TITLE VII STUDIES AND REPORTS TITLE VIII CORPORATE AND CRIMINAL FRAUD ACCOUNTABILITY TITLE IX WHITE-COLLAR CRIME PENALTY ENHANCEMENTS TITLE XI CORPORATE FRAUD AND ACCOUNTABILITY
SEC. 302. CORPORATE RESPONSIBILITY FOR FINANCIAL REPORTS. (a) REGULATIONS REQUIRED. The Commission shall, by rule, require, for each company filing periodic reports under section 13(a) or 15(d) of the Securities Exchange Act of 1934 (15 U.S.C. 78m, 78o(d)), that the principal executive officer or officers and the principal financial officer or officers, or persons performing similar functions, certify in each annual or quarterly report filed or submitted under either such section of such Act that (1) the signing officer has reviewed the report; (2) based on the officer s knowledge, the report does not contain any untrue statement of a material fact or omit to state a material fact necessary in order to make the statements made, in light of the circumstances under which such statements were made, not misleading;
SEC. 302. CORPORATE RESPONSIBILITY FOR FINANCIAL REPORTS. (3) the financial statements fairly present in all material respects the financial condition (4) the signing officers (A) are responsible for internal controls; (B) have designed such internal controls to ensure that material information relating to the issuer and its consolidated subsidiaries is made known to such officers (C) have evaluated the effectiveness of the issuer s internal controls (D) have presented in the report their conclusions about the effectiveness of their internal controls
SEC. 404. MANAGEMENT ASSESSMENT OF INTERNAL CONTROLS. (a) RULES REQUIRED. The Commission shall prescribe rules requiring each annual report required by section 13(a) or 15(d) of the Securities Exchange Act of 1934 (15 U.S.C. 78m or 78o(d)) to contain an internal control report, which shall (1) state the responsibility of management for establishing and maintaining an adequate internal control structure and procedures for financial reporting; and (2) contain an assessment, as of the end of the most recent fiscal year of the issuer, of the effectiveness of the internal control structure and procedures of the issuer for financial reporting.
SEC. 404. MANAGEMENT ASSESSMENT OF INTERNAL CONTROLS. (b) INTERNAL CONTROL EVALUATION AND REPORTING. With respect to the internal control assessment required by subsection (a), each registered public accounting firm that prepares or issues the audit report for the issuer shall attest to, and report on, the assessment made by the management of the issuer. An attestation made under this subsection shall be made in accordance with standards for attestation engagements issued or adopted by the Board. Any such attestation shall not be the subject of a separate engagement
Vilken nytta gör ISO-modellen? ö ö å ö ö ö ö ö ä ö ö
COSO s definition av riskhantering Företags övergripande riskhantering (Enterprise Risk Management) handlar om risker och gynnsamma möjligheter som påverkar skapandet eller bibehållandet av värden. Företags övergripande riskhantering är en process som: i. genomförs av en organisations styrelse, ledning och annan personal ii. genomförs i ett strategiskt sammanhang för hela företaget iii. är utformad för att identifiera potentiella händelser som kan påverka organisationen och hantera risker inom ramen för dess riskaptit iv. ger rimlig försäkran om att organisationens mål uppnås. Riskbegreppet i COSO: s rapport är främst kopplat till händelser med negativ inverkan. I andra riskanalyserande rapporter innefattar riskbegreppet mer entydigt händelser med såväl negativ som positiv inverkan.
COSO s målkategorier Inom ramen för en organisations fastställda syfte eller vision fastställer ledningen strategiska mål, väljer strategi och preciserar en uppsättning mål för verksamhetens olika delar. Detta ramverk företags övergripande riskhantering är anpassat för att nå organisationens mål och delas in i fyra kategorier: Strategiska mål Operationella mål Rapporteringsmål Efterlevnadsmål
COSO s komponenter Den interna miljön Formulerandet av mål Identifiering av händelser Riskbedömning Riskåtgärder Kontrollaktiviteter Information och kommunikation & övervakning, inklusive uppföljning och utvärdering
COSO - Sambandet mellan mål och komponenter De fyra målkategorierna återfinns i de vertikala kolumnerna, de åtta komponenterna i de horisontella raderna och organisationens olika enheter utgör den tredje dimensionen. Denna bild återspeglar förmågan att fokusera på helheten i en organisations verksamhetsövergripande riskhantering och/eller dess målkategorier, komponenter, organisationsenheter eller delar av dem.
Riskhanteringsprocessen enligt 27005 (FCD)
COSO s ramverk för intern kontroll och ISO s modell De tre primära kategorierna i konceptet, vars mål man ska uppnå, visas som tre vertikala skivor i modellen: verksamhet, finansiell rapportering och efterlevandet av gällande lagar och förordningar. Systemet för internkontroll representeras av de fem horisontella skivorna. Den tredje dimensionen är exempel på organisatoriska enheter och / eller projekt i en organisation.
Kopplingen COSO och ISO Den första skivan ( bottenskivan ) representerar den omgivande organisationsmiljö i vilken internkontrollen ska fungera, d v s organisationens affärsidé, värderingar, principer, verksamhets art och struktur samt strategiska och operativa mål och deras utfall. Jfr. Grundläggande kraven på ett ledningssystem i ISO 9001, i synnerhet kapitel 4.1 med processinriktning och hantering av resurser, samt kraven på policy och mål i 5.3 och 5.4. Den andra skivan handlar om riskbedömning, d v s identifiering och analys av riskerna för att inte uppnå olika mål, avgöra hur risker ska hanteras samt ett sätt att hantera förändringar. Riskbedömning finns i ISO 9001 men framförallt i ISO 27001 för informationssäkerhet och ISO 31000 för riskhantering. I ISO 9001 det i huvudsak genom att arbeta med analys av information (8.4) och förebyggande åtgärder (8.5.3) som riskvärdering och riskhantering utförs. I ISO 14001 det framförallt rutinerna för att identifiera miljöaspekter (4.3.1), att identifiera lagar och andra krav (4.3.2) samt beredskap för och agerande vid nödlägen (4.4.7) som användbara även i SOX-sammanhang.
Kopplingen COSO och ISO Den tredje skivan om styraktiviteter innebär att säkerställa att ledningens direktiv blir genomförda. Det handlar bland annat om delegering, auktorisation och attest regler. I ISO 9001 finns det framförallt i avsnittet om ansvar, befogenheter och kommunikation (5.5) och självklart ledningens genomgång (5.6) men men 8.5.2 och 8.5.3 om korrigerande och förebyggande åtgärder kan hjälpa till. Den fjärde skivan handlar om information och kommunikation och har stor betydelse när det gäller att uppfylla kraven i SOX. Information utgörs både av de hårda och de mjuka delarna i systemet och många affärssystem har visat sig inte motsvara kraven i lagen framförallt när det gäller att säkerställa att obehöriga inte kan manipulera den lagrade informationen. Här finns det mycket att hämta från ledningssystemet för informationssäkerhet ISO 27001. När det gäller kommunikationen är det viktigt att all ekonomisk information av betydelse snabbt och korrekt lämnas ut till alla relevanta intressenter. I ISO 9001 är det framförallt de allmänna kraven på ledningssystemet i 4.1, dokumentationskraven i 4.2, kraven på högsta ledningen att lämna intern information (5.1 och 5.5.3) samt kraven på kommunikation med kund (7.2.3) som kan hjälpa organisationen att uppfylla dessa krav i SOX.
Kopplingen COSO och ISO Den översta skivan i modellen handlar om övervakning och har av COSO definierats som övergripande tillsyn av systemet för internkontroll utförs av ledningen eller andra inblandade parter. Svagheter i det interna kontrollsystemet ska rapporteras uppåt i organisationen. Man hänvisar också till den revisionskommitté som ska finnas i varje företag enligt sektion 301 i SOX. I ISO 9001 är det i huvudsak inom kapitel 8, Mätning, analys och förbättring som man kan finna hjälp med kontroll och övervakning av det interna kontrollsystemet. Framförallt är det internrevisionen (8.2.2) som kan utnyttjas mycket mera effektivt och verkningsfullt om kvalitetsrevision och ekonomisk revision utförs gemensamt. Rapporteringen uppåt sker naturligt i samband med ledningens genomgång (5.6) och övervakningen blir en del i förbättringscykeln (se avsnitt 7.1 ovan).
COSO Monitoring Process Figuren beskriver COSO s system för intern kontroll som en process under vilken Monitoring löpande utvärderar effektiviteten i de fem ingående komponenter.
PDCA Cykeln
ISO 2700x enligt Road Map Information security is a fundamental component of governance and social responsibilities of organizations. Organizations are expected, and sometimes legally obliged, to implement and manage information security. WG 1 related standards address the protection of information that can exist in many forms (e.g. printed or written on paper, stored electronically, transmitted by post or by using electronic means, shown on films, or spoken in conversation). WG 1 related standards also address mechanisms to limit harm caused by failures in the protection of information (erroneous financial statements, incorrect documents issued by an organization and intangibles such as reputation and image of the organization and privacy, skills and experience of people).
ISO 2700x enligt Road Map To pursue information security effectively, organizations need to: (a) Manage information security related activities systematically; (b) Demonstrate their capability of meeting internal and external stakeholder requirements (e.g. by independent assessment of that capability). WG 1 related standards need to consider: (a) Requirements standards, guidelines standards and related standards as defined in ISO Guide 72 and Guide 73; (b) An approach designed to provide requirements and guidelines on processes and procedures to establish, implement, operate, monitor, review, maintain and improve the organization information security; and (c) Effective guidance to assist organizations achieve a required level of information security.
ISO 27000 familjens struktur Vocabulary Standard IS 27000 - Information security management systems - Overview and vocabulary (under development) Requirements Standards ISO/IEC 27001 - Information security management systems - Requirements ISO/IEC 27006 - Requirements for bodies providing audit and certification of information security management systems Guidelines Standards (Information Security Management Standards) IS 27002 - Code of practice for information security management IS 27003 - Information security management systems implementation guidance (under development) IS 27004 - Information security management measurements (under development) IS 27005 - Information security risk management (under development) IS 27007 - ISMS Auditor Guidelines (under development) Technical ISMS Audits (Study Period) Information security for critical infrastructure (Study Period) Information security for e-government (Study Period)
Tidtabell för 27000 familjen
Tidtabell för 27000 familjen
Säkerhetsarkitektur
27008 Technical Audits
Technical Verification JIS Q 27001 Annex Requirement No. Control Item Audit / Verification Points A. 10 Communications and Operation Management Principal Subject of Audit / Verification Audit / Verification Procedure Technical Verification Remarks AOperational Procedures and Responsibilities. 1 A. 10.1.1 Operation manuals Are operational Operation manuals 0. 1 procedures documented Are operation manuals Operation manuals etc. reviewed regularly? Are operation manuals etc. made available to all users who need them? A.10.1.2 Change management Are changes to information processing facilities and systems controlled? Operation manuals Review records List of information processing facilities List of information systems Review: review operation manuals and verify that they are documented Review: verify that operation manuals are updated regularly and that they are the latest version Inspection: verify that operation manuals are available to all users as required Audit / Verification Points Indicates the points where to be audited / verified Principal Subject of Audit / Verification Indicates the subject of the audit / verification with respect to Audit / Verification Points For example, rules, procedure manuals or records may be subject to audit / verification Audit / Verification Procedure The Audit / Verification Procedure is the process in which an auditor combines and implements the audit / verification methods needed to obtain auditing evidence
Erfarenheter - lessons learned Kommunicera Dokumentera Arbeta nära revisorn Klarlägg frågeställningar från revisorn Följ upp progress Säkerställ forum för ansvariga Inkludera SOX-kraven i relevanta upphandlingar/kontrakt Fokusera på processer inte verktyg Företagskultur Höj ribban efter hand
Sammanfattning Hårdare krav på effektiv företagsstyrning och intern kontroll Det finns mycket hjälp att hämta i ett väl fungerande ledningssystem. I ISO 9001 är det framför allt kapitel 4 Ledningssystem för kvalitet, kapitel 5 Ledningens ansvar och kapitel 8 Mätning, analys och förbättring som direkt kan stödja i hanteringen av SOX-kraven. Ledningssystemet för informationssäkerhet, ISO 27001, ger större möjligheter att uppfylla kraven på systematisk internkontroll och säkra rutiner. Genom att integrera de nya SOX-kraven med företagets existerande ledningssystem skapar organisationen en flexibel plattform och är redo för nya anpassningar i framtiden.