ISO-IEC 27000-serien och ERM

ISO-IEC 27000-serien och ERM

Proof through delivery Ekelöw InfoSecurity har på kort tid växt till den ledande aktören inom området riskhantering och informationssäkerhet Ekelöw InfoSecurity (Ekelöw) grundades år 2001 av Nils-Olof Ekelöw Företaget växer mycket snabbt och har idag kontor i Stockholm (HQ) Göteborg och Umeå. År 2006 omsatte Ekelöw totalt 53 MSEK Sedan starten fram till idag har omsättningen ökat med ca 33 procent årligen Bolaget förväntas fortsätta växa i hög takt under perioden 2007-2008 Ekelöw består idag av totalt av över 50 meriterade konsulter En genomsnittlig konsulterfarenhet inom riskhantering och informationssäkerhet på mer än 17 år och en medelålder om cirka 44 år Omfattande erfarenheter av uppdrag inom det privata näringslivet, offentlig verksamhet och intresseorganisationer 2

Proof through delivery Proof through delivery Privat näringsliv Offentlig verksamhet Organisationer F Ö R S V A R S M A K T E N 3

Bolagsintressen Dotterbolag Intressebolag Proof through delivery Ntegria AB Personrelaterad risk- och säkerhetsrådgivning Säkerhetsrådgivare och stöd åt personer i högre företags- och verksamhetsledningar Skapar trygghet för personer i ledande befattningar Stöd vid personrelaterad riskoch incidenthantering Unikt nätverk ger stor samlad förmåga Erbjuder stöd med hög säkerhet inom: Strategi Skydd Service Support Tjänster både för strategisk och akut hantering BitSec AB Forsknings- och analysföretag Produktoberoende konsulttjänster inom avancerad teknisk säkerhet Vänder sig till företag och myndigheter med särskilt höga krav i sin informationshantering Oberoende, inga externa kommersiella bindningar Tjänster Incidenthantering/forensiska tjänster Teknisk säkerhetsgranskning Penetrationstest Utbildning FoU Huvudägare, samägt med Seccredo AB samt BitCopy AB 4

Bolaget har mycket nöjda kunder år 2007 anlitade över 80 kunder Ekelöw fördelat på över 200 separata uppdrag Privat näringsliv Offentlig verksamhet Organisationer Lokala, regionala och globala företag från ett mycket brett register av branscher Kommuner, landsting och annan offentlig verksamhet Resultat Nöjd Kund Index Ekelöws konsulter är efterfrågade experter inom en mängd respekterade nationella och internationella intresseorganisationer 5

Vi hjälper våra uppdragsgivare att hantera risker inom både kritiska processer och informationsförsörjning Riskhantering blir allt viktigare Företag och myndigheter och organisationer drabbas av störningar och avbrott i den dagliga verksamheten intäkter riskeras, lagar kan brytas och affärer förloras Med ökade krav på produktivitet, kvalitet och servicenivåer, har viljan hos ledningar att förebygga störningsrisker ökat markant under senare år Samtidigt är det ofta, med egna resurser, trögt att komma igång att analysera risker och dess konsekvenser Ekelöws erbjudande Kritiska processer Informationsförsörjning Ekelöws konsulter är experter på riskhantering och på att analysera, åskådliggöra samt förebygga hot mot den dagliga verksamheten Arbete sker ofta i nära samarbete med verksamhetsledning Ekelöw arbetar med riskhantering inom två huvudområden: kritiska processer och informationsförsörjning

Anders Carlstedt Practice Leader Security Management, Ekelöw InfoSec AB BSI Cert. ISMS Lead Auditor Ordförande och Internationell Expert SIS TK 318 AG Risk Management Editor ISO-IEC 27005 Information Security Risk Management (FDIS) Rapporteur SC 27 ISMS Technical Audit (Study Period) Vice Ordförande och Internationell Expert SIS TK 304 AG Revision Internationell Teknisk Expert ISO TC 176 M: +46-76-100 77 72 E: first.last[at]ekelow.se

Vilken nytta erbjuder ISO-modellen? ISO 9001, standarden för kvalitetsledning, har i två decennier varit en katalysator för organisationer för att optimera interna rutiner och tydliggöra ansvarsfördelning. Företag med ett fungerande ledningssystem på plats har en inbyggd kontroll avseende verksamhetens effektivitet och kvalitet. ISO 9001 och andra standarder för verksamhetsstyrning, som ISO/IEC 27001 och 27002 för informationssäkerhet och den kommande ISO/IEC 27005 för riskhantering, kan tillsammans med COSO fungera som ramverk för att underlätta hanteringen olika typer av krav inklusive till exempel SOX

COSO s och ISO/IEC 27000 LIS COSO Företagsövergripande riskhantering (Enterprise Risk Management) handlar om risker och gynnsamma möjligheter som påverkar skapandet eller bibehållandet av värden. 27001, 3.7 Ledningssystem för informationssäkerhet, LIS den del av det övergripande ledningssystemet, baserad på en metodik för verksamhetsrisk, som syftar till att upprätta, införa, driva, övervaka, granska, underhålla och förbättra informationssäkerhet. Företagsövergripande riskhantering är en process som: genomförs av en organisations styrelse, ledning och annan personal genomförs i ett strategiskt sammanhang för hela företaget är utformad för att identifiera potentiella händelser som kan påverka organisationen och hantera risker inom ramen för dess riskaptit ger rimlig försäkran om att organisationens mål uppnås.

COSO - Enterprise Risk Management Framework Bilden återspeglar förmågan att fokusera på helheten i en organisations verksamhetsövergripande riskhantering: De fyra målkategorierna återfinns i de vertikala kolumnerna De åtta komponenterna i de horisontella raderna Organisationens olika enheter utgör den tredje dimensionen. Inom ramen för en organisations fastställda syfte eller vision fastställer ledningen strategiska mål, väljer strategi och preciserar en uppsättning mål för verksamhetens olika delar.

COSO s ramverk för intern kontroll och ISO s modell De tre primära kategorierna i konceptet, vars mål man ska uppnå, visas som tre vertikala skivor i modellen: verksamhet, finansiell rapportering och efterlevandet av gällande lagar och förordningar. Systemet för internkontroll representeras av de fem horisontella skivorna. Den tredje dimensionen är exempel på organisatoriska enheter och / eller projekt i en organisation.

Den första skivan ( bottenskivan )... Representerar den omgivande organisationsmiljö i vilken den interna kontrollen skall fungera, d v s organisationens affärsidé, värderingar, principer, verksamhets art och struktur samt strategiska och operativa mål och deras utfall. Jfr. Grundläggande kraven på ett ledningssystem i ISO 9001, i synnerhet kapitel 4.1 med processinriktning och hantering av resurser, samt kraven på policy och mål i 5.3 och 5.4 policy och mål i 5.3 och 5.4.

Den andra skivan... Behandlar riskbedömning, d v s identifiering och analys av riskerna för att inte uppnå olika mål, avgöra hur risker ska hanteras samt ett sätt att hantera förändringar. Riskbedömning finns ISO 9001 och ISO/IEC 27001 men framförallt i 27005 för informationssäkerhet (och ISO 31000 för övergripande riskhantering).

Den tredje skivan... Om styraktiviteter innebär att säkerställa att ledningens direktiv blir genomförda. Det handlar bland annat om delegering, auktorisation och attestregler. I ISO 9001 finns det framförallt i avsnittet om ansvar, befogenheter och kommunikation (5.5) och självklart ledningens genomgång (5.6) men men 8.5.2 och 8.5.3 om korrigerande och förebyggande åtgärder kan hjälpa till.

Den fjärde skivan... Handlar om information och kommunikation och har stor betydelse t ex när det gäller att uppfylla kraven i SOX. Information utgörs både av de hårda och de mjuka delarna i systemet och många affärssystem har visat sig inte motsvara kraven i lagen framförallt när det gäller att säkerställa att obehöriga inte kan manipulera den lagrade informationen. Här finns det mycket att hämta från ledningssystemet för informationssäkerhet ISO 27001. När det gäller kommunikationen är det viktigt att all ekonomisk information av betydelse snabbt och korrekt lämnas ut till alla relevanta intressenter.

Den översta skivan i modellen... Handlar om övervakning och har av COSO definierats som övergripande tillsyn av systemet för internkontroll utförs av ledningen eller andra inblandade parter. Svagheter i det interna kontrollsystemet ska rapporteras uppåt i organisationen. ISO/IEC 27001:2006 4.2.3 Organisationen skall göra följande: a) Utföra rutiner för övervakning och granskning... b) Genomföra regelbundna granskningar av LIS verkan... c) Mäta säkerhetsåtgärders verkan samt utföra interna revisioner av LIS vid planerade intervall osv.

Visionen bakom ISO/IEC 27000 serien Information security is a fundamental component of governance and social responsibilities of organizations. Organizations are expected, and sometimes legally obliged, to implement and manage information security. WG 1 related standards address the protection of information that can exist in many forms (e.g. printed or written on paper, stored electronically, transmitted by post or by using electronic means, shown on films, or spoken in conversation). WG 1 related standards also address mechanisms to limit harm caused by failures in the protection of information (erroneous financial statements, incorrect documents issued by an organization and intangibles such as reputation and image of the organization and privacy, skills and experience of people).

Standard formalia The WG 1 Road Map needs to be consistent with the specifications contained in ISO Guide 72 and applicable ISO/IEC Directives. SC27 WG has adopted a four layer model within which WG 1 related standards should be developed: Type A Vocabulary Standard Type B Requirements Standard Type C Guidelines Standard Type D Related Standard

Type A Vocabulary Standard Standard intended to provide fundamental information including common terminology to be used consistently across a collective series of standards. The vocabulary standard provides common terminology to be used within WG 1 related standards. Please note that each existing standard developed by SC 27/WG 1 has its own Terms and Definitions section and therefore can be difficult to work with due to a lack of harmonized definitions. ISO/IEC 27000 - Information security management systems - Overview and vocabulary (under development)

Type B Requirements Standard B1 - Addresses the requirements for Information Security Management Systems (ISMS); B2 - Addresses sector-specific ISMS requirements standards and standards containing requirements for ISMS auditing. ISO/IEC 27001 - Information security management systems Requirements ISO/IEC 27006 - Requirements for bodies providing audit and certification of information security management systems

Type C Guidelines Standard C-1: Addresses overall aspects of information security management systems/management processes/controls/techniques; C-2: Addresses specific parts of information security systems/management processes/controls/techniques; and C-3: Addresses sector-specific information security systems/management processes/controls. ISO/IEC 27002 - Code of practice for information security management ISO/IEC 27003 - Information security management systems implementation guidance (under development) ISO/IEC 27004 - Information security management measurements (under development) ISO/IEC 27005 - Information security risk management (under development) ISO/IEC 27007 - ISMS Auditor Guidelines (under development)

Status ISO/IEC 27000

Status ISO/IEC 27000

ISO/IEC 27001 0.2 Processinriktning Processinriktningen gällande styrning av informationssäkerhet, som beskrivs i denna standard, uppmanar dess användare att betona betydelsen av: a) förståelse för organisationens krav på informationssäkerhet samt behovet av att upprätta policy och mål för informationssäkerhet b) införande och drift av säkerhetsåtgärder för att hantera en organisations informationssäkerhetsrisker inom ramen för organisationens övergripande verksamhetsrisker c) övervakning och granskning av LIS prestanda och verkan d) ständig förbättring baserad på objektiv mätning. Tillämpningen av PDCA-modellen speglar också de principer som anges i OECD Guidelines (2002) 1) gällande styrning av säkerheten i informationssystem och nätverk..

ISO/IEC 27001 Figure 1 PDCA

ISO/IEC 27001 1. Omfattning 1.1 Allmänt Denna standard omfattar alla typer av organisationer (t.ex. affärsverksamheter, myndigheter, ideella organisationer). Denna internationella standard anger kraven för att upprätta, införa, driva, övervaka, granska, underhålla och förbättra ett dokumenterat LIS inom ramen för organisationens totala verksamhetsrisker. Den anger krav för införandet av säkerhetsåtgärder anpassade till behoven hos enskilda organisationer, eller delar av dem. LIS är utformat för att säkerställa valet av tillräckliga och proportionerliga säkerhetsåtgärder som skyddar informationstillgångar och inger förtroende hos intressenter. ANM. 1 Omnämnande av verksamhet i denna internationella standard bör ges en vid tolkning syftandes på de aktiviteter som är centrala för syftet med organisationens existens.

ISO/IEC 27001 1. Omfattning 1.2 Tillämpning Kraven som framläggs i denna internationella standard är generella och avsedda att kunna tillämpas på alla organisationer, oavsett typ, storlek och egenskaper. Att utelämna något av de krav som anges i avsnitten 4, 5, 6, 7 och 8 är inte godtagbart då en organisation hävdar överensstämmelse med denna internationella standard. Varje uteslutning av krav som anses nödvändiga för att uppfylla kriterier för riskacceptans måste motiveras, och det måste styrkas att tillhörande risker har godkänts av ansvariga personer. När uteslutningar görs får det inte hävdas att kraven i denna standard uppfylls, om inte sådana uteslutningar saknar betydelse för organisationens förmåga och/eller ansvar att tillhandahålla informationssäkerhet som uppfyller de säkerhetskrav som bestäms genom riskbedömning och tillämpliga författningskrav eller andra legala krav. ANM. Om en organisation redan har ett fungerande ledningssystem för sin verksamhet (t.ex. enligt SS-EN ISO 9001 eller SS-EN ISO 14001) är det i de flesta fall lämpligast att uppfylla kraven i denna standard inom det befintliga lednings eller verksamhetssystemet.

ISO/IEC 27001 4. Ledningssystem för Informationssäkerhet ( LIS ) 4.1 Allmänna krav Organisationen skall upprätta, införa, driva, övervaka, granska, underhålla och förbättra ett dokumenterat LIS inom ramen för organisationens totala verksamhet och de risker organisationen utsätts för. I denna standard tillämpas en process som är baserad på PDCA-modellen i figur 1. ANM. Om en organisation redan har ett fungerande ledningssystem för sin verksamhet (t.ex. enligt SS-EN ISO 9001 eller SS-EN ISO 14001) är det i de flesta fall lämpligast att uppfylla kraven i denna standard inom det befintliga lednings eller verksamhetssystemet.

ISO/IEC 27001 4. LIS 4.2 Upprätta och hantera Policy för LIS skall vara anpassad till organisationens strategiska riskhanteringssituation inom vilken upprättande och underhåll av LIS kommer att äga rum och fastställa kriterier som risker kommer att utvärderas mot Definiera organisationens angreppssätt för riskbedömning Identifiera riskerna Analysera och utvärdera riskerna Identifiera och utvärdera alternativ för att behandla risker Välj åtgärdsmål och säkerhetsåtgärder för att behandla risker Inhämta ledningens godkännande avseende de föreslagna kvarvarande riskerna Formulera en riskbehandlingsplan som anger lämpliga aktiviteter, resurser, ansvar och prioriteringar för att hantera informationssäkerhetsrisker Genomföra riskbehandlingsplanen för att uppnå de fastställda åtgärdsmålen, vilket innefattar att finansiering och fördelning av roller och ansvar beaktas Granska riskbedömningar vid planerade intervall och granska kvarvarande risker och fastställda godtagbara risknivåer

ISO/IEC 27001 4. LIS 4.3 Dokumentationskrav Det är viktigt att kunna redovisa sambandet från de valda säkerhetsåtgärderna tillbaka till resultaten frånriskbedömnings- och riskbehandlingsprocessen och därefter tillbaka till policy och mål för LIS. Dokumentationen skall innefatta: En beskrivning av metoden för riskbedömning (se 4.2.1c)) Riskbedömningsrapporten (se 4.2.1 c) till 4.2.1 g)) Riskbehandlingssplanen (se 4.2.2 b))

ISO/IEC 27001 5. Ledningens ansvar 5.1 Ledningens åtagande Ledningen skall ge bevis på sitt åtagande när det gäller att upprätta, införa, driva, övervaka, granska, underhålla och förbättra LIS genom att: bl a besluta om kriterier för att acceptera risker och acceptabla risknivåer

ISO/IEC 27001 7. Ledningens genomgång av LIS 7.2 Underlag för genomgång Underlaget för ledningens genomgång skall inkludera information om bland annat sårbarheter eller hot som inte behandlats tillräckligt vid den föregående riskbedömningen 7.3 Resultat av genomgång Resultaten från ledningens genomgång skall innefatta beslut och åtgärder som rör bland annat uppdatering av riskbedömnings- och riskbehandlingsplanen och nödvändiga anpassningar av rutiner och säkerhetsåtgärder som påverkar informationssäkerheten t ex: risknivåer och/eller kriterier för riskacceptans

ISO/IEC 27001 8. Förbättring av LIS 8.1 Ständig förbättring 8.2 Korrigerande åtgärder 8.3 Förebyggande åtgärder Organisationen skall identifiera förändrade risker och identifiera krav på förebyggande åtgärder med fokus på signifikant ändrade risker. Prioriteringen av förebyggande åtgärder skall grundas på riskbedömningens resultat.

5 th WD(!) ISO/IEC 27003 ISMS Implementation Guidance 5. Getting approval for defining and proposing an ISMS 6. ISMS Scope and Policy 7. Conducting Business Analysis 8. Conducting Risk Assessment 9. Designing The ISMS 10. Implement the ISMS Risk treatmen Risk t plan Assessment & Selection Risk of Assessment Report Controls Descript.

5 th WD(!) ISO/IEC 27003 ISMS Implementation Guidance Describe Risk Assessment Descript. Conduct Conclude Plan Treatment & Select Controls Risk Assessment Report Risk treatmen t plan & Selection of Controls

ISO/IEC 27004 ISMS Measurement The objectives of the Information Security Measurement Programme in the context of an ISMS should include: Serve as an input into the risk management process Objectives should be established for an information security measurement programme, to direct the planning and conduct of measurement activities. An organization-specific measurement programme should be based on a number of considerations, including: The role of information security in support of the organization s overall business activities and the risks it faces The risk to the organization Input mechanism into the risk management process to assist with the prioritization of control selection and implementation, as well as resource allocation.

ISO/IEC 27005 Information Security Risk Management Information security risk management should contribute to the following: Risks being identified Risks being assessed in terms of their consequences to the business and the likelihood of their occurrence The likelihood and consequences of these risks being communicated and understood Priority order for risk treatment being established Priority for actions to reduce risks occurring Stakeholders being involved when risk management decisions are made and kept informed of the risk

ISO/IEC 27005 Information Security Risk Management Information security risk management should contribute to the following: (cont.) Effectiveness of risk treatment monitoring Risk and the risk management process being monitored and reviewed regularly Information being captured to improve the risk management approach Managers and staff being educated about the risks and the actions taken to mitigate them Provides guidelines for information security risk management. Supports the general concepts specified in ISO/IEC 27001 Designed to assist the satisfactory implementation of information security based on a risk management approach

Riskhanteringsprocessen enligt ISO/IEC 27005 (FDIS) och COSO 1 2 5 3 6 4

Risk treatment

Verksamhet och verklighet

ISO/IEC 27008 Technical Audits JIS Q 27001 Annex Requirement No. Control Item Audit / Verification Points Principal Subject of Audit / Verification Audit / Verification Procedure Technical Verification Remarks A. 10 Communications and Operation Management A. Operational Procedures and Responsibilities 10.1 A. 10.1.1 Operation manuals Are operational procedures documented Operation manuals Are operation manuals etc. reviewed regularly? Operation manuals Are operation manuals Operation manuals etc. made available to all Review records users who need them? A.10.1.2 Change management Are changes to information processing facilities and systems controlled? List of information processing facilities List of information systems Review: review operation manuals and verify that they are documented Review: verify that operation manuals are updated regularly and that they are the latest version Inspection: verify that operation manuals are available to all users as required

Erfarenheter - lessons learned Kommunicera Dokumentera Klarlägg frågeställningar varefter de dyker upp Följ upp progress Säkerställ forum för ansvariga Inkludera krav i relevanta upphandlingar/kontrakt Fokusera på processer inte verktyg Företagskultur Höj ribban efter hand

Sammanfattning Hårdare krav på effektiv företagsstyrning och intern kontroll Det finns mycket hjälp att hämta i ett väl fungerande ledningssystem. Ledningssystemet för informationssäkerhet, ISO/IEC 27001, ger större möjligheter att uppfylla kraven på systematisk internkontroll och säkra rutiner. ISO/IEC 27005 kommer att ge ytterligare stöd avseende riskhantering Genom att integration med företagets existerande ledningssystem skapar organisationen en flexibel plattform och är redo för nya anpassningar i framtiden.