Företaget har cirka 110 anställda. Verksamhetskonsulter inom säkerhet och teknik. Boden, Göteborg och Kristianstad



Relevanta dokument
Riskhantering för informationssäkerhet med ISO Lars Söderlund, TK 318 Ag 7 Lüning Consulting AB

Administrativ säkerhet

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

Informationsstyrning (Enterprise Information Management, EIM) och ISO/IEC Hans Dahlquist

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

Bilaga Från standard till komponent

ISO/IEC och Nyheter

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Bilaga 4. Normativa specifikationer

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

Konsekvensutredning för föreskrift om krav på informationssäkerhet

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

ISO/IEC 20000, marknaden och framtiden

Förändrade förväntningar

Ledningssystem för Informationssäkerhet

Riskhantering & Informationssäkerhet. Agneta Syrén Säkerhetschef/Informationssäkerhetschef Länsförsäkringar AB

Allmänt säkerhetsarbete. Informationssäkerhet. Dokumentnamn och uppdateringsinfo

Ledningssystem för Informationssäkerhet

GÖRA SKILLNAD. om vikten av hållbar produktion och om hur den kan skapas. Bengt Savén Södertälje Science Park,

Kontinuitetshantering i vård och omsorg

FMV användning av ISO/IEC för ledningssystem implementering. Harold Bud Lawson Styrelsemedlem och Consulting Partner

Informationssäkerhetspolicy. Linköpings kommun

Kontinuitetshantering ur ett samhällsperspektiv SIS Clas Herbring: MSB Enheten för skydd av samhällsviktig verksamhet

Att säkerställa informationssäkerhet vid upphandling

Ledningssystem för informationssäkerhet - Kompetensprofil

Styr och utveckla ditt IT-stöd utifrån internationella standarder

Bygg bro mellan ITIL v2 och v3 - Bridgekurser - DF Seminarium

Vervas kräver ISO och ISO av alla statliga myndigheter. Maylis Karlsson, Utvecklingsstrateg Verva

Utbildning i modern riskhantering Enterprise Risk Management ERM

SOX & ISO 9000-serien

Myndigheten för samhällsskydd och beredskaps författningssamling

Utbildning i modern riskhantering Enterprise Risk Management ERM

Effektivt stöd för GRC med nya ISO Standarder

Stabilitet och lönsamhet Systematiskt säkerhetsarbete, SSA. Efterlevnad Stabilitet Lönsamhet

#JohnRosenbaum. Senior Social Media Advisor, Infomedia SE

Ledning och styrning av IT-tjänster och informationssäkerhet

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Policy för informationssäkerhet

VÄGLEDNING EXAMINATION Certifierad Säkerhetschef Enligt SSF 1071, utgåva 5, delprov 1-4 Version:

FRÅN ORD TILL HANDLING HÅLLBARHETSLEDNINGSSYSTEM FÖR SOCIAL ACCEPTANS. Helena Ranängen

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Hur kan krav på spel- och lotterisäkerhet driva fram ISO certifieringar?

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Ledningssystem för IT-tjänster

Välkommen till enkäten!

Page 1. Aktuella utmaningar för ekonomistyrare. Tema: Aktuella utmaningar för ekonomistyrare. Vad är ekonomistyrning? Vilka är utmaningarna?

Remissvar till Ju2015/2650/SSK, betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Multisourcing och kontinuitet?

Övergripande riskhantering i Göteborgs Stad

Informationssäkerheten i den civila statsförvaltningen

Riktlinjer för informationssäkerhet

Skapa ett ledningssystem för informationssäkerhet (LIS) enligt nya ISO/IEC eller konsten att införa LIS

Informationssäkerhetspolicy

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

Informationssäkerhet. Ett prioriterat granskningsområde. Ann-Marie Dahlros,

Samhällets informationssäkerhet

Utbildning i modern riskhantering Enterprise Risk Management ERM

Informationssäkerhetspolicy KS/2018:260

FÖRSVARETS FÖRFATTNINGSSAMLING

Lagkrav på hållbarhetsrapportering Vad behöver ditt företag göra?

Säkerhet i industriella informations- och styrsystem

Standardisering, Riskhantering och förmågededömning enligt ISO och ISO 22325

Hur påvisar man värdet med säkerhetsarbetet i turbulenta tider och när budgeten är tight?

Enterprise App Store. Sammi Khayer. Igor Stevstedt. Konsultchef mobila lösningar. Teknisk Lead mobila lösningar

Införandet av Enterprise Risk Management (ERM) i Vattenfall

Configuration Management

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Risk- och sårbarhetsanalys Erfarenheter från tio års forskning ( )

INFORMATIONSSÄKERHET ETT HINDER ELLER EN MÖJLIGGÖRARE FÖR VERKSAMHETEN

Utbildning i modern riskhantering Enterprise Risk Management ERM

Enterprise Risk Management Från teori till praktik. Kjell Olsson E.ON Sverige AB SIS December 2008

ISACA och Euro CACSkonferensen. Kerstin Fredén, ordförande ISACA. Internrevisorerna tackar sina sponsorer

Bygga intern styrning och kontroll Från kaos till kontroll på ett år. Katrin Westling Palm Stephan Sandelin

SIS tre produktområden

Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50

Risk-, kris- och kontinuitetshantering Utbildningar 2010

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

RUTIN FÖR RISKANALYS

Kostnadskontroll genom kvalitetssäkrad Programvaruhantering

FSPOS & SOES - Beskrivning för att tydliggöra gränsdragning

Risk Management i Nordea

REVISION AV OUTSOURCAD VERKSAMHET - EXEMPEL UR VERKLIGHETEN

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Policy för informations- säkerhet och personuppgiftshantering

Svensk Standard SS ISO/IEC SS

Riktlinjer för redovisning av myndigheternas åtgärder inom e-förvaltningsområdet

Solvens II ur ett IR-perspektiv

Skattejurist för en dag på Deloitte i Malmö! 26 april 2016

Internrevisionsdagarna 2011 Sociala Medier möjligheter och risker, men för vem?

Organisering och ekonomistyrning. Professor Fredrik Nilsson Uppsala

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Serotonin Gåshud Kittlar i magen Skratt Uppskattad

Kursplan. FÖ3032 Redovisning och styrning av internationellt verksamma företag. 15 högskolepoäng, Avancerad nivå 1

Transkript:

Erfarna verksamhetskonsulter inom säkerhet och teknik Ledningsperspektivet på riskhantering roller, styrning och införande CRR seminarium 009-0-4 Hans Dahlquist Hans Dahlquist Från 007 Affärsområdeschef Risk, Säkerhet och Kris i Rote Consulting AB Fem år som Koncernsäkerhetschef (CSO) på LM Ericsson. Informationssäkerhet Fysisk säkerhet Personalsäkerhet Risk Management och Krishanering Försäkringar och Captives Överste vid MUST (Militära Underrättelse och Säkerhetstjänsten) och ansvarig för Försvarsmaktens informations- och kommunikationssäkerhet till 00

Kort om ROTE Medarbetare VD Ägare Företaget har cirka 0 anställda Kjell Larsson Privatägt Utbud Verksamhetskonsulter inom säkerhet och teknik Lokalkontor Boden, Göteborg och Kristianstad Bildades Rote startade sin verksamhet 989 Våra kompetensområden Verksamhetsutveckling Systemutveckling Risk Management IT Styrning Säkerhet

Rote kompetensområden Säkerhet Risk - Kris Risk Management Säkerhet Business Continuity Management Informationssäkerhet Krishantering Incidenthantering Ledningssystem (LIS) IT- säkerhet Säkerhetsrevisioner Definition på Risk ISO 3000 definition of Risk Management: The effects of uncertainty on objectives

Standarder för riskhantering ISO 3000 Risk Management Guidelines and principles Publicering i september 008, fastställs i höst Ej för certifiering Generisk och inte industri- eller sektorspecifik Betonar både upp- och nersida av risk ISO/IEC 7005 (Information security risk management) Enterprise Risk Management (Integrerad riskhantering) enligt COSO/ERM Helhetssyn på riskexponering för företag och organisationer/myndigheter Tre dimensioner

COSO/ERM struktur tre dimensioner Varför Risk Management? ERM's roll i kreditvärderingsprocessen At Standard & Poor's, an analyst's job is to provide prospective opinions when rating credits. Incorporating ERM analysis can provide more structure and consistency to our assessment of a company's risks. It enables analysts to drill deeper into quantitative financials, links risk management to overall corporate strategy, and allows greater prospectiveness in our company analyses. The process of asking top executives at different companies how they manage risk can help us differentiate each company's risk management capabilities more effectively. Also, we consider a favorable ERM evaluation to be a competitive advantage that can positively impact a rating.

Riskhantering på alla nivåer Corporate Governance/Bolagsstyrning SOX/Euro-SOX, Intern Styrning och Kontroll (ISK) COSO/ERM ISO 900 ISO 700/7005 ISO 0000 (BITS, Common Criteria, TR, PCI-DSS etc) Svenska lagar och förordningar om riskhantering. Förordning (007:603) om intern styrning och kontroll (ISK) Entrerprise Risk Management (ERM). Förordning (006:94) om krisberedskap och höjd beredskap 3. Förordning (995:300) om statliga myndigheters riskhantering 4. VERVAFS 007: Föreskrift om statliga myndigheters arbete med säker elektroniskt informationsutbyte enligt LIS (SS-ISO/IEC 700) Informationssäkerhetsrisker Föreskriftsrätten nu hos MSB (Myndigheten för Samhällsskydd och Beredskap)

Risk Management, grunder som utsätts för fara av Hot som utnyttjar Tillgång Brister/Svagheter som skyddar som resulterar i Skyddsåtgärder Exponering som mildras av Risk som är Riskhanteringsprocessen FASTSTÄLL SAMMANHANG KOMMUNIKATION BEDÖMNING ANALYS BESLUTSPUNKT Bedömning tillfredsställande? IDENTIFIERA TILLGÅNGAR IDENTIFIERING UPPSKATTNING UTVÄRDERING Ja Nej UPPFÖLJING OCH OMPRÖVNING HANTERING BESLUTPUNKT Acceptera risker Nej Ja ACCEPTANS SLUT PÅ FÖRSTA ITERATION

Riskhantering, våra metoder BEDÖMNING BEDÖMNING Resultat, Resultat, t t ex ex ingående ingående risk risk Är risken Är risken acceptabel? acceptabel? Ja Nej HANTERING HANTERING UNDVIK UNDVIK FLYTTA FLYTTA REDUCERA REDUCERA Kvarstående Kvarstående risk risk ACCEPTANS ACCEPTANS Antal risker utplacerade i respektive riskzon K O N S E K V E N S 5 4 3 8 7 5 3 4 5 SANNOLIKHET Riskgrupp A (låg) 6 Riskgrupp B (medel) 7 Riskgrupp C (hög) 0 Totalt 43 risker

Tekniska och administrativa/externa risker/riskbehandlingar Administrativ behandling 6 9 Inget åtgärdsförslag 4 3 T/A behandling 5 Teknisk behandling 5 3 Teknisk risk Administrativ risk/extern risk 30 6 T/A = Teknisk & Administrativ Svagheter med riskhanteringsprocessen. Konsekvens i allmänhet lättare att uppskatta rätt än sannolikhet. Sannolikhetsbedömningarna styrs mycket av: Hearding (man följer andras bedömningar) Egen erfarenhet (kan vara specifik och påverkad av särskilda händelser) 3. Risk på risk på risk osv utelämnas eller är för komplicerat (finansiella krisen) 4. Risk Management består av två viktiga delar Riskstyrning (Risk Governance) Riskhantering (strategiskt och operativt) Utan båda liten effekt.

Hur kommer man igång med riskhantering? VISION. Tydlig och förankrad VISION I ledningen. Vad vill man uppnå? STRATEGI. Strategi och syfte med RM. Hur skall man nå målen? LEDNING ORGANISATION 3. Definition av och processer för styrning och RM i organisationen PROCESSER 4. RM-processen, riskhantering VERKTYG, KONTROLLER mm 5. Stöd och kontroller Sammanfattning Standardisering, lagstiftning och kreditvärdering driver RM i dag COSO/ERM och ISO 3000 Lagstiftning som SOX, EuroSOX och nationell lagstiftning Ledningssystem (kontroller, processer och organisation) och stödverktyg allt viktigare RM Integration med Security tydlig trend (Risk Based Security, RSO Risk and Security Officer) Svagheterna i RM underskattade för mycket teknik och för lite styrning, organisation, roller, ansvar, ledarskap och kultur Riskhantering BCM Kris och säkerhet, allt hänger ihop Vid införande börja rätt med mål och vision, avsluta med verktyg Risk kan också innebära också positiva möjligheter utan risktagande inget företagande!

Frågor och kommentarer? www.rote.se Stockholm - Boden Göteborg - Kristianstad +46 (0)8-474 49 00