SOX och ISO-IEC Standarder

Relevanta dokument
ISO-IEC serien och ERM

Förändrade förväntningar

Riskhantering för informationssäkerhet med ISO Lars Söderlund, TK 318 Ag 7 Lüning Consulting AB

Hur arbetar vi praktiskt i SAG?

Effektiv företagsstyrning med ledningssystem

Genomförande av SSP och SMS i Sverige. Hur ökar vi flygsäkerheten bortom regelverket? Hur balanserar vi mellan produktion och säkerhet?

Risk Management Riskhantering i flygföretag

William J. Clinton Foundation Insamlingsstiftelse REDOGÖRELSE FÖR EFTERLEVNAD STATEMENT OF COMPLIANCE

Exempel på praktisk tillämpning av företagsstyrning

Nyheter i ISO och 14004

Information technology Open Document Format for Office Applications (OpenDocument) v1.0 (ISO/IEC 26300:2006, IDT) SWEDISH STANDARDS INSTITUTE

Introduktion ICAO-EASA.

Investeringar i svensk och finsk skogsindustri

Manhour analys EASA STI #17214

Senaste trenderna inom redovisning, rapportering och bolagsstyrning Lars-Olle Larsson, Swedfund International AB

CM FORUM. Introduktion till. Configuration Management (CM) / Konfigurationsledning. Tobias Ljungkvist

ISO STATUS. Prof. dr Vidosav D. MAJSTOROVIĆ 1/14. Mašinski fakultet u Beogradu - PM. Tuesday, December 09,

FMV användning av ISO/IEC för ledningssystem implementering. Harold Bud Lawson Styrelsemedlem och Consulting Partner

Implementering av SMS och SSP i Sverige

Asset Management ISO 55000

Klassificering av brister från internaudit

Design Service Goal. Hantering av demonterbara delar som ingår i Fatigue Critical Baseline Structure List. Presentatör

SVENSK STANDARD SS-ISO :2010/Amd 1:2010

Lars Söderlund Lüning Consulting AB Uppsala Informationssäkerhet IT-säkerhet 7 Konsulter

KPMG Stockholm, 2 juni 2016

SOX & ISO 9000-serien

Configuration Management

SVENSK STANDARD SS-ISO 8779:2010/Amd 1:2014

Skattejurist för en dag på Deloitte i Malmö! 26 april 2016

Luftfartsavdelningen Sektionen för flygutbildning MANUALER VÄLKOMNA EN KORT SAMMANFATTNING AV INNEHÅLLET I RESPEKTIVE MANUAL

Agenda. Tid Aktivitet Föreläsare Åtgång tid 08:30 Registrering vid TS recep. Transport till våning 5.

A metadata registry for Japanese construction field

Kommunal revision. Johan Osbeck 20 januari 2015

Att utveckla och skapa en effektiv och dynamisk process för konsolidering och rapportering

EASA Standardiseringsrapport 2014

Det är glädjande att vi i huvudsak verkar få behålla våra personalresurser och nu ser en viss ökning. 50% 41% Not applicable.

Sara Skärhem Martin Jansson Dalarna Science Park

ISO DIS 9001:2014. Greger Thuresson

EUFOU Nätverksmöte i Halmstad 3-4 oktober 2018

Etik och säkerhetsfilosofi i praktiken

Enterprise App Store. Sammi Khayer. Igor Stevstedt. Konsultchef mobila lösningar. Teknisk Lead mobila lösningar

Effektivt stöd för GRC med nya ISO Standarder

SVENSK STANDARD SS-EN 13612/AC:2016

Beslut om bolaget skall gå i likvidation eller driva verksamheten vidare.

INTERN STYRNING OCH KONTROLL. CHRISTINA STRANDMAN ULLRICH Medgrundare och ordförande i Compliance Forum

Lagkrav på hållbarhetsrapportering Vad behöver ditt företag göra?

Information Technology and Security Governance

ISO general purpose screw threads Basic profile Part 1: Metric screw threads

Projektmodell med kunskapshantering anpassad för Svenska Mässan Koncernen

Företaget har cirka 110 anställda. Verksamhetskonsulter inom säkerhet och teknik. Boden, Göteborg och Kristianstad

Swedish adaptation of ISO TC 211 Quality principles. Erik Stenborg

Sammanfattning. Revisionsfråga Har kommunstyrelsen och tekniska nämnden en tillfredställande intern kontroll av att upphandlade ramavtal följs.

Domestic Violence, Family Law and School

SVENSK STANDARD SS-ISO 8734

Kontroll över IT för efterlevnad och framgång. Johanna Wallmo Peter Tornberg

Information security management systems Specification with guidance for use

Seminarium nya revisionsberättelsen. 23 september 2016

tjänster (ISO 10019:2005, IDT) Guidelines for the selection of quality management system consultants and use of their services (ISO 10019:2005, IDT)

Våra tjänster [Our services] UMS Group Inc., All Rights Reserved

Item 6 - Resolution for preferential rights issue.

Intäkter inom äldreomsorgen Habo kommun

Anvisningar för ämnesansvariga vid LTV-fakulteten

Page 1. Aktuella utmaningar för ekonomistyrare. Tema: Aktuella utmaningar för ekonomistyrare. Vad är ekonomistyrning? Vilka är utmaningarna?

manatt manatt phelps phillips

Botnia-Atlantica Information Meeting

Att rekrytera internationella experter - så här fungerar expertskatten

Kvalitetsledning och SMS

Västervik Miljö & Energi AB. 18 augusti Torbjörn Bengtsson & Sofia Josefsson

Surfaces for sports areas Determination of vertical deformation. Golvmaterial Sportbeläggningar Bestämning av vertikal deformation

SVENSK STANDARD SS-EN ISO

Taxning och motorkörning av flygplan/helikopter

R/T cert och taxning Jukka Salo Slfu

PORTSECURITY IN SÖLVESBORG

The Municipality of Ystad

Klimatanpassning bland stora företag

Preschool Kindergarten

Alla Tiders Kalmar län, Create the good society in Kalmar county Contributions from the Heritage Sector and the Time Travel method


Indikatorer för social hållbarhet enligt GRI. Teori och praktik

SVENSK STANDARD SS-EN ISO /A1:2016

Pharmacovigilance lagstiftning - PSUR

SVENSK STANDARD SS-EN ISO

ISACA och Euro CACSkonferensen. Kerstin Fredén, ordförande ISACA. Internrevisorerna tackar sina sponsorer

District Application for Partnership

Vikten av Intern Kontroll Risk Management för IT

Rätt säkerhet Incident

Beslut om ackreditering (3 st bilagor)

Revidering av ISO Peter Allvén SIS TK-304/PostNord

Införandet av Enterprise Risk Management (ERM) i Vattenfall

Konsekvenser av Sarbanes-Oxley Act Ur ett svenskt företagsperspektiv

Informationsteknik Säkerhetstekniker Ledningssystem för informationssäkerhet Krav (ISO/IEC 27001:2005, IDT)

SVENSK STANDARD SS :2010

Kvalitetskontroller inom immunhematologi Vad är good enough? Erfarenheter från Sverige

Transkript:

SOX och ISO-IEC Standarder

Agenda Intro SOX (COSO) och ISO Standarder SOX (COSO) och ISO 27000 Familjen SOX (COSO) och införande samt verifiering av tekniska kontroller Sammanfattning

Anders Carlstedt Senior Information Security Expert, Ekelöw InfoSec AB Editor ISO-IEC 27005 Information Security Risk Management (FDIS) Rapporteur SC 27 ISMS Technical Audit (Study Period) BSI Cert. Lead Auditor M: +46-76-100 77 72 E: first.last[at]ekelow.se

Proof through delivery Ekelöw InfoSecurity har på kort tid växt till den ledande aktören inom området riskhantering och informationssäkerhet Ekelöw InfoSecurity (Ekelöw) grundades år 2001 av Nils-Olof Ekelöw Företaget växer mycket snabbt och har idag kontor i Stockholm (HQ) och Göteborg År 2006 omsatte Ekelöw totalt 53 MSEK Sedan starten fram till idag har omsättningen ökat med ca 33 procent årligen Bolaget förväntas fortsätta växa i hög takt under perioden 2007-2008 Ekelöw består idag av totalt av cirka 54 meriterade konsulter En genomsnittlig konsulterfarenhet inom riskhantering och informationssäkerhet på mer än 17 år och en medelålder om cirka 44 år Omfattande erfarenheter av uppdrag inom det privata näringslivet, offentlig verksamhet och intresseorganisationer 4

Proof through delivery Proof through delivery Privat näringsliv Offentlig verksamhet Organisationer F Ö R S V A R S M A K T E N 5

Proof through delivery Bolagsintressen Dotterbolag Intressebolag Ntegria AB Personrelaterad risk- och säkerhetsrådgivning Säkerhetsrådgivare och stöd åt personer i högre företags- och verksamhetsledningar Skapar trygghet för personer i ledande befattningar Stöd vid personrelaterad riskoch incidenthantering Unikt nätverk ger stor samlad förmåga Erbjuder stöd med hög säkerhet inom: Strategi Skydd Service Support Tjänster både för strategisk och akut hantering BitSec AB Forsknings- och analysföretag Produktoberoende konsulttjänster inom avancerad teknisk säkerhet Vänder sig till företag och myndigheter med särskilt höga krav i sin informationshantering Oberoende, inga externa kommersiella bindningar Tjänster Incidenthantering/forensiska tjänster Teknisk säkerhetsgranskning Penetrationstest Utbildning FoU Huvudägare, samägt med Seccredo AB samt BitCopy AB 6

Vad är/innebär SOX? Den amerikanska bolags lagen Sarbanes-Oxley Act har många förkortningar men kallas oftast för just SOX. SOX syfte är att säkerställa den finansiella kontrollen inom - och rapporteringen från - organisationer - ett resultat av skandalerna i USA i inledningen av 2000-talet. Reglerna i SOX ska minska risken för felaktig information och bedrägerier - ett företag som uppfyller samtliga krav i SOX ska vara säkert att satsa på för såväl investerare som anställda och andra intressenter. Exempel på övergripande krav i SOX; Vd och ekonomichef ska ta personligt ansvar för finansiell rapportering och intyga att varje delårsrapport och årsrapport är korrekt. Externa revisorer ska bytas ut minst vart femte år. Revisionskommittéer (Audit Committees) ska se till att revisorerna får den information som krävs för att göra ett korrekt jobb.

Sarbanes - Oxley Act of 2002 One Hundred Seventh Congress of the United States of America AT THE SECOND SESSION Begun and held at the City of Washington on Wednesday, the twenty-third day of January, two thousand and two An Act To protect investors by improving the accuracy and reliability of corporate disclosures made pursuant to the securities laws, and for other purposes. Be it enacted by the Senate and House of Representatives of the United States of America in Congress assembled, SECTION 1. SHORT TITLE; TABLE OF CONTENTS. (a) SHORT TITLE. This Act may be cited as the Sarbanes- Oxley Act of 2002. (b) TABLE OF CONTENTS. The table of contents for this Act

SOX Table of Content Sec. 1. Short title; table of contents. Sec. 2. Definitions. Sec. 3. Commission rules and enforcement TITLE I PUBLIC COMPANY ACCOUNTING OVERSIGHT BOARD TITLE II AUDITOR INDEPENDENCE TITLE III CORPORATE RESPONSIBILITY TITLE IV ENHANCED FINANCIAL DISCLOSURES TITLE V ANALYST CONFLICTS OF INTEREST TITLE VI COMMISSION RESOURCES AND AUTHORITY TITLE VII STUDIES AND REPORTS TITLE VIII CORPORATE AND CRIMINAL FRAUD ACCOUNTABILITY TITLE IX WHITE-COLLAR CRIME PENALTY ENHANCEMENTS TITLE XI CORPORATE FRAUD AND ACCOUNTABILITY

SEC. 302. CORPORATE RESPONSIBILITY FOR FINANCIAL REPORTS. (a) REGULATIONS REQUIRED. The Commission shall, by rule, require, for each company filing periodic reports under section 13(a) or 15(d) of the Securities Exchange Act of 1934 (15 U.S.C. 78m, 78o(d)), that the principal executive officer or officers and the principal financial officer or officers, or persons performing similar functions, certify in each annual or quarterly report filed or submitted under either such section of such Act that (1) the signing officer has reviewed the report; (2) based on the officer s knowledge, the report does not contain any untrue statement of a material fact or omit to state a material fact necessary in order to make the statements made, in light of the circumstances under which such statements were made, not misleading;

SEC. 302. CORPORATE RESPONSIBILITY FOR FINANCIAL REPORTS. (3) the financial statements fairly present in all material respects the financial condition (4) the signing officers (A) are responsible for internal controls; (B) have designed such internal controls to ensure that material information relating to the issuer and its consolidated subsidiaries is made known to such officers (C) have evaluated the effectiveness of the issuer s internal controls (D) have presented in the report their conclusions about the effectiveness of their internal controls

SEC. 404. MANAGEMENT ASSESSMENT OF INTERNAL CONTROLS. (a) RULES REQUIRED. The Commission shall prescribe rules requiring each annual report required by section 13(a) or 15(d) of the Securities Exchange Act of 1934 (15 U.S.C. 78m or 78o(d)) to contain an internal control report, which shall (1) state the responsibility of management for establishing and maintaining an adequate internal control structure and procedures for financial reporting; and (2) contain an assessment, as of the end of the most recent fiscal year of the issuer, of the effectiveness of the internal control structure and procedures of the issuer for financial reporting.

SEC. 404. MANAGEMENT ASSESSMENT OF INTERNAL CONTROLS. (b) INTERNAL CONTROL EVALUATION AND REPORTING. With respect to the internal control assessment required by subsection (a), each registered public accounting firm that prepares or issues the audit report for the issuer shall attest to, and report on, the assessment made by the management of the issuer. An attestation made under this subsection shall be made in accordance with standards for attestation engagements issued or adopted by the Board. Any such attestation shall not be the subject of a separate engagement

Vilken nytta gör ISO-modellen? ö ö å ö ö ö ö ö ä ö ö

COSO s definition av riskhantering Företags övergripande riskhantering (Enterprise Risk Management) handlar om risker och gynnsamma möjligheter som påverkar skapandet eller bibehållandet av värden. Företags övergripande riskhantering är en process som: i. genomförs av en organisations styrelse, ledning och annan personal ii. genomförs i ett strategiskt sammanhang för hela företaget iii. är utformad för att identifiera potentiella händelser som kan påverka organisationen och hantera risker inom ramen för dess riskaptit iv. ger rimlig försäkran om att organisationens mål uppnås. Riskbegreppet i COSO: s rapport är främst kopplat till händelser med negativ inverkan. I andra riskanalyserande rapporter innefattar riskbegreppet mer entydigt händelser med såväl negativ som positiv inverkan.

COSO s målkategorier Inom ramen för en organisations fastställda syfte eller vision fastställer ledningen strategiska mål, väljer strategi och preciserar en uppsättning mål för verksamhetens olika delar. Detta ramverk företags övergripande riskhantering är anpassat för att nå organisationens mål och delas in i fyra kategorier: Strategiska mål Operationella mål Rapporteringsmål Efterlevnadsmål

COSO s komponenter Den interna miljön Formulerandet av mål Identifiering av händelser Riskbedömning Riskåtgärder Kontrollaktiviteter Information och kommunikation & övervakning, inklusive uppföljning och utvärdering

COSO - Sambandet mellan mål och komponenter De fyra målkategorierna återfinns i de vertikala kolumnerna, de åtta komponenterna i de horisontella raderna och organisationens olika enheter utgör den tredje dimensionen. Denna bild återspeglar förmågan att fokusera på helheten i en organisations verksamhetsövergripande riskhantering och/eller dess målkategorier, komponenter, organisationsenheter eller delar av dem.

Riskhanteringsprocessen enligt 27005 (FCD)

COSO s ramverk för intern kontroll och ISO s modell De tre primära kategorierna i konceptet, vars mål man ska uppnå, visas som tre vertikala skivor i modellen: verksamhet, finansiell rapportering och efterlevandet av gällande lagar och förordningar. Systemet för internkontroll representeras av de fem horisontella skivorna. Den tredje dimensionen är exempel på organisatoriska enheter och / eller projekt i en organisation.

Kopplingen COSO och ISO Den första skivan ( bottenskivan ) representerar den omgivande organisationsmiljö i vilken internkontrollen ska fungera, d v s organisationens affärsidé, värderingar, principer, verksamhets art och struktur samt strategiska och operativa mål och deras utfall. Jfr. Grundläggande kraven på ett ledningssystem i ISO 9001, i synnerhet kapitel 4.1 med processinriktning och hantering av resurser, samt kraven på policy och mål i 5.3 och 5.4. Den andra skivan handlar om riskbedömning, d v s identifiering och analys av riskerna för att inte uppnå olika mål, avgöra hur risker ska hanteras samt ett sätt att hantera förändringar. Riskbedömning finns i ISO 9001 men framförallt i ISO 27001 för informationssäkerhet och ISO 31000 för riskhantering. I ISO 9001 det i huvudsak genom att arbeta med analys av information (8.4) och förebyggande åtgärder (8.5.3) som riskvärdering och riskhantering utförs. I ISO 14001 det framförallt rutinerna för att identifiera miljöaspekter (4.3.1), att identifiera lagar och andra krav (4.3.2) samt beredskap för och agerande vid nödlägen (4.4.7) som användbara även i SOX-sammanhang.

Kopplingen COSO och ISO Den tredje skivan om styraktiviteter innebär att säkerställa att ledningens direktiv blir genomförda. Det handlar bland annat om delegering, auktorisation och attest regler. I ISO 9001 finns det framförallt i avsnittet om ansvar, befogenheter och kommunikation (5.5) och självklart ledningens genomgång (5.6) men men 8.5.2 och 8.5.3 om korrigerande och förebyggande åtgärder kan hjälpa till. Den fjärde skivan handlar om information och kommunikation och har stor betydelse när det gäller att uppfylla kraven i SOX. Information utgörs både av de hårda och de mjuka delarna i systemet och många affärssystem har visat sig inte motsvara kraven i lagen framförallt när det gäller att säkerställa att obehöriga inte kan manipulera den lagrade informationen. Här finns det mycket att hämta från ledningssystemet för informationssäkerhet ISO 27001. När det gäller kommunikationen är det viktigt att all ekonomisk information av betydelse snabbt och korrekt lämnas ut till alla relevanta intressenter. I ISO 9001 är det framförallt de allmänna kraven på ledningssystemet i 4.1, dokumentationskraven i 4.2, kraven på högsta ledningen att lämna intern information (5.1 och 5.5.3) samt kraven på kommunikation med kund (7.2.3) som kan hjälpa organisationen att uppfylla dessa krav i SOX.

Kopplingen COSO och ISO Den översta skivan i modellen handlar om övervakning och har av COSO definierats som övergripande tillsyn av systemet för internkontroll utförs av ledningen eller andra inblandade parter. Svagheter i det interna kontrollsystemet ska rapporteras uppåt i organisationen. Man hänvisar också till den revisionskommitté som ska finnas i varje företag enligt sektion 301 i SOX. I ISO 9001 är det i huvudsak inom kapitel 8, Mätning, analys och förbättring som man kan finna hjälp med kontroll och övervakning av det interna kontrollsystemet. Framförallt är det internrevisionen (8.2.2) som kan utnyttjas mycket mera effektivt och verkningsfullt om kvalitetsrevision och ekonomisk revision utförs gemensamt. Rapporteringen uppåt sker naturligt i samband med ledningens genomgång (5.6) och övervakningen blir en del i förbättringscykeln (se avsnitt 7.1 ovan).

COSO Monitoring Process Figuren beskriver COSO s system för intern kontroll som en process under vilken Monitoring löpande utvärderar effektiviteten i de fem ingående komponenter.

PDCA Cykeln

ISO 2700x enligt Road Map Information security is a fundamental component of governance and social responsibilities of organizations. Organizations are expected, and sometimes legally obliged, to implement and manage information security. WG 1 related standards address the protection of information that can exist in many forms (e.g. printed or written on paper, stored electronically, transmitted by post or by using electronic means, shown on films, or spoken in conversation). WG 1 related standards also address mechanisms to limit harm caused by failures in the protection of information (erroneous financial statements, incorrect documents issued by an organization and intangibles such as reputation and image of the organization and privacy, skills and experience of people).

ISO 2700x enligt Road Map To pursue information security effectively, organizations need to: (a) Manage information security related activities systematically; (b) Demonstrate their capability of meeting internal and external stakeholder requirements (e.g. by independent assessment of that capability). WG 1 related standards need to consider: (a) Requirements standards, guidelines standards and related standards as defined in ISO Guide 72 and Guide 73; (b) An approach designed to provide requirements and guidelines on processes and procedures to establish, implement, operate, monitor, review, maintain and improve the organization information security; and (c) Effective guidance to assist organizations achieve a required level of information security.

ISO 27000 familjens struktur Vocabulary Standard IS 27000 - Information security management systems - Overview and vocabulary (under development) Requirements Standards ISO/IEC 27001 - Information security management systems - Requirements ISO/IEC 27006 - Requirements for bodies providing audit and certification of information security management systems Guidelines Standards (Information Security Management Standards) IS 27002 - Code of practice for information security management IS 27003 - Information security management systems implementation guidance (under development) IS 27004 - Information security management measurements (under development) IS 27005 - Information security risk management (under development) IS 27007 - ISMS Auditor Guidelines (under development) Technical ISMS Audits (Study Period) Information security for critical infrastructure (Study Period) Information security for e-government (Study Period)

Tidtabell för 27000 familjen

Tidtabell för 27000 familjen

Säkerhetsarkitektur

27008 Technical Audits

Technical Verification JIS Q 27001 Annex Requirement No. Control Item Audit / Verification Points A. 10 Communications and Operation Management Principal Subject of Audit / Verification Audit / Verification Procedure Technical Verification Remarks AOperational Procedures and Responsibilities. 1 A. 10.1.1 Operation manuals Are operational Operation manuals 0. 1 procedures documented Are operation manuals Operation manuals etc. reviewed regularly? Are operation manuals etc. made available to all users who need them? A.10.1.2 Change management Are changes to information processing facilities and systems controlled? Operation manuals Review records List of information processing facilities List of information systems Review: review operation manuals and verify that they are documented Review: verify that operation manuals are updated regularly and that they are the latest version Inspection: verify that operation manuals are available to all users as required Audit / Verification Points Indicates the points where to be audited / verified Principal Subject of Audit / Verification Indicates the subject of the audit / verification with respect to Audit / Verification Points For example, rules, procedure manuals or records may be subject to audit / verification Audit / Verification Procedure The Audit / Verification Procedure is the process in which an auditor combines and implements the audit / verification methods needed to obtain auditing evidence

Erfarenheter - lessons learned Kommunicera Dokumentera Arbeta nära revisorn Klarlägg frågeställningar från revisorn Följ upp progress Säkerställ forum för ansvariga Inkludera SOX-kraven i relevanta upphandlingar/kontrakt Fokusera på processer inte verktyg Företagskultur Höj ribban efter hand

Sammanfattning Hårdare krav på effektiv företagsstyrning och intern kontroll Det finns mycket hjälp att hämta i ett väl fungerande ledningssystem. I ISO 9001 är det framför allt kapitel 4 Ledningssystem för kvalitet, kapitel 5 Ledningens ansvar och kapitel 8 Mätning, analys och förbättring som direkt kan stödja i hanteringen av SOX-kraven. Ledningssystemet för informationssäkerhet, ISO 27001, ger större möjligheter att uppfylla kraven på systematisk internkontroll och säkra rutiner. Genom att integrera de nya SOX-kraven med företagets existerande ledningssystem skapar organisationen en flexibel plattform och är redo för nya anpassningar i framtiden.