IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda



Relevanta dokument
IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Slaget om informationssäkerheten kommer inte att vinnas på brandväggen utan i styrelserummet! Jan-Olof Andersson, Sveriges riksbank

Riktlinjer för IT-säkerhet i Halmstads kommun

Ledningssystem för IT-tjänster

EBITS Energibranschens IT-säkerhetsforum

Att införa LIS. Informationssäkerhet för offentlig sektor Johan Kallum Säkerhetschef/Informationssäkerhetschef

Informationssäkerhetspolicy inom Stockholms läns landsting

ISO/IEC och Nyheter

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Informationssäkerhetspolicy IT (0:0:0)

Riktlinje för informationssäkerhet

Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy för Vetlanda kommun

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Svensk Standard SS ISO/IEC SS

Riktlinjer för informationssäkerhet

SOLLENTUNA FÖRFATTNINGSSAMLING 1

Strategi Program Plan Policy» Riktlinjer Regler

Kapitel 10 Styrning av kommunikation och drift

Processinriktning i ISO 9001:2015

Finansinspektionens författningssamling

Informationssäkerhet, Linköpings kommun

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

FÖRHINDRA DATORINTRÅNG!

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Säkerhet i fokus. Säkerhet i fokus

Vilket mervärde ger certifiering dig?

SÅ HÄR GÖR VI I NACKA

Säkerhet i fokus. Säkerhet i fokus

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Informationssäkerhet Riktlinje Förvaltning

Finansinspektionens författningssamling

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

IT-Policy. Tritech Technology AB

Administrativ säkerhet

E-strategi för Strömstads kommun

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015

Informationssäkerhetsanvisningar Förvaltning

Fortsättning av MSB:s metodstöd

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Bilaga 3 Säkerhet Dnr: /

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Ledning och styrning av IT-tjänster och informationssäkerhet

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Policy och strategi för informationssäkerhet

Presentation och bakgrund Kjell Ekbladh. Per Nordenstam

Utforma policy och styrdokument

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

Informations- och IT-säkerhet i kommunal verksamhet

Finansinspektionens författningssamling

Informationssäkerhetspolicy

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Informationssäkerhetspolicy. Linköpings kommun

Koncernkontoret Enheten för säkerhet och intern miljöledning

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhetspolicy för Nässjö kommun

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Dnr

Informationssäkerhetspolicy KS/2018:260

IT-Säkerhetsinstruktion: Förvaltning

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Vetenskapsrådets informationssäkerhetspolicy

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Informationssäkerhetspolicy för Ånge kommun

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhet i. Torsby kommun

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

4. Inriktning och övergripande mål

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Informationssäkerhet - Instruktion för förvaltning

Strukturerat informationssäkerhetsarbete

Informationssäkerhetspolicy

SOX & ISO 9000-serien

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

Policy för informationssäkerhet

Informationssäkerhetspolicy

Request For Information (RFI)

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Informationssäkerhet

Informationssäkerhetspolicy

1(6) Informationssäkerhetspolicy. Styrdokument

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning Definition Omfattning Mål för IT-säkerhetsarbetet... 2

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Matriser för korrelation mellan ISO 9001:2008 och ISO 9001:2015

ANVISNING Säkerhetsuppdateringar för IT infrastruktur

Verksamhetsplan Informationssäkerhet

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Myndigheten för samhällsskydd och beredskaps författningssamling

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799

Transkript:

IT governance i praktiken: Styrning och kontroll över ITriskerna med ISO2700X Fredrik Björck Transcendent Group för ADBJ 2006-01-31 Agenda IT governance definierat IT governance i praktiken och infosäk Andra ramverk för IT governance Introduktion till ISO2700X IT governance nu och i framtiden 1

IT governance definierat Organisationens ledning och styrelse bär ansvaret för IT Governance. Det är en integrerad del av organisationens åtgärder för styrning och kontroll. Består av ledarskap och organisatoriska strukturer och processer, vilka Säkerställer att verksamhetens IT (-avdelning, -kapacitet, -infrastruktur) Skapar förutsättningar för att vidmakthålla och förbättra verksamhetens strategier och mål. Vad är det vi vill undvika med IT governance? Att erhålla felaktig finansiell information Att bryta mot lagar som PuL, ABL, Sekretesslagen, Företagshemligheter, etc. Att få bristande ändamålsenlighet och effektivitet Att få funktionsförlust (tillgänglighet) Att känslig information avslöjas för obehörig (sekretess, konfidentialitet) Att information ändras av misstag eller av någon obehörig (riktighet, integritet) 2

IT governance i praktiken Strategisk avpassning: IT - affärsstrategin IT governance Leverans av värde/nytta genom IT - kostnadskontroll Säkerhet: Styrning och kontroll av IT-risker Resurshantering: IT-kompetens och IT-infrastruktur Mätning av ändamålsenlighet och säkerhet IT governance kräver i grunden två delar: Verksamheten -IT s leverans av värde till verksamheten - Styrning och kontroll av IT-risker Efterfrågan Risk Utbud IT Ramverk för IT governance ISO9000: Kvalitetsledning ITIL: Ramverk för organisation av drift och support för IT-avdelningar COBIT: Kontrollmål för IT- och relaterade tekniker COBIT från ITGI / ISACA / ISACF, http://www.itgi.org ISO2700X: Ledningssystem för informationssäkerhet dagens ämne. 3

Introduktion: ISO2700X En serie internationella standarder under utveckling sedan 1993, som om använda skapar förutsättningar för god styrning och kontroll av IT-risker. Fokus ligger på informationssäkerhet, och tillskapandet av ett ledningssystem för informationssäkerhet. Certifiering mot standarden kan ske. De facto standard för styrning och kontroll över IT-risker i svenska stora organisationer idag. Introduktion: ISO2700X 27000 Grunder: Principer och definitioner Pågående. 27001 Krav: Krav på Ledningssystem för Informationssäkerhet Fastställd 27002 Riktlinjer: Riktlinjer beträffande Ledningssystem för Informationssäkerhet (17799) - Fastställd 27003 Införande: Handledning vid införande av Ledningssystem för Informationssäkerhet Pågående 27004 Mätning: Indikatorer och mätning Pågående 27005 Riskhantering: Riskanalys- och hantering Pågående 27006 Kontinuitet: Kontinuitets- och katastrofplanering - Pågående 4

Introduktion: ISO2700X ISO27001 KRAV VID CERTIFIERING Refererar till Stöd, tips ISO27000 Grunder ISO27002 Riktlinjer ISO27003 Införande ISO27004 Mätning ISO27005 Riskhantering ISO27006 Kontinuitetsplanering ISO27002 i ett nötskal 131 goda idéer Att ta ställning till (införa, avfärda) Gemensam referens Är inte ett ledningssystem är 131 god idéer 5

Säkerhetspolicy Organisation av informationssäkerheten Hantering av tillgångar Personalresurser och säkerhet Fysisk och miljörelaterad säkerhet Styrning av kommunikation och drift Styrning av åtkomst Anskaffning, utveckling och uh. av info.system Hantering av säkerhetsincidenter Kontinuitetsplanering i verksamheten Efterlevnad 10.10 Övervakning 10.9 Elektronisk handel Mål områden 10.8 Utbyte av information 10.1 Driftrutiner och driftansvar 10: Styrning av kommuniaktion och drift 10.2 Kontroll av utomstående tjänsteleverantöre 10.3 Systemplanering och systemgodkännade 10.7 Hantering av media 10.6 Hantering av säkerhet I nätverk 10.5 Säkerhetskopiering 10.4 Skydd mot skadlig och mobil kod. 6

10.1.4 Uppdelning av utvecklings- test- och driftresurser. Åtgärder 10.1.1 Dokumenterade drifrutiner 10.1: Driftrutiner Och driftansvar 10.1.2 Ändringshantering 10.1.3 Uppdelning av arbetsuppgifter Example: Control Objectives/Security Control 10.1 Driftrutiner och driftansvar Mål: Att säkerställa korrekt och säker drift av informationsbehandlingsutrustning. Ansvar och rutiner för ledning och drift av all informationsbehandlingsutrustning bör fastställas. Detta omfattar utveckling av lämpliga driftrutiner. Uppdelning av arbetsuppgifter bör i förekommande fall tillämpas för att minska risken för försummelse eller avsiktligt missbruk av system 10.1.1 Dokumenterade driftrutiner Åtgärd Driftrutiner bör dokumenteras, underhållas och göras tillgängliga för alla användare som behöver dom. Vägledning för införande Dokumenterade rutiner bör tas fram för systemaktiviteter kopplade till informations- och kommunikationstill-gångar såsom start- och avstängningsrutiner för datorer, säkerhetskopiering, underhåll av utrustning, mediahantering, datorrums- och posthantering och säkerhet. Driftrutinerna bör omfatta detaljerade instruktionerna för att utföra varje arbetsuppgift inklusive: a) bearbetning och hantering av information; b) säkerhetskopiering (se 10.5); c) krav på tidsplanering, innefattande beroenden av andra system; tidigaste start- och senaste färdigställningstider för arbetsuppgifter; d) instruktioner för hantering av fel och andra exceptionella förhållanden som kan uppstå under arbetets gång, inklusive restriktioner i användningen av hjälpprogram (se 11.5.4); e) lista över kontaktpersoner vid oväntade drift- eller tekniska problem; f) särskilda instruktioner för hantering av utdata och media som t.ex. användning av särskilda blanketter eller hanteringsregler för sekretessbelagda utdata, inklusive rutiner för att på ett säkert sätt ta hand om utdata från misslyckade körningar (se 10.7.2 och 10.7.3) g) återstart- och återställningsrutiner att användas vid eventuellt systemfel; h) hantering av revisionsspår och systemens logg-information (se 10.10). Driftrutiner och dokumenterade rutiner för systemaktiviteter bör behandlas som formella dokument där änd-ringar bör godkännas av ledningen. Där det är tekniskt lämpligt bör informationssystem hanteras konsekvent med användning av samma rutiner, verktyg och hjälpprogram. 7

Drivkrafter enligt användare Skydda kunders och andra intressenters intressen Stärker organisationens varumärke Skapar gemensamma värderingar om säkerhet Skyddar alla informationstillgångar på bästa möjliga sätt Stärker säkerhetsmedvetandet hos alla anställda Förbättrar strukturen på informationshantering Reducerar kostnader för olika skyddsåtgärder Skapar bättre möjligheter för att leda säkerhetsarbetet Slutsatser ISO2700X ISO2700X kan hjälpa dig och din kund att skapa en organisatorisk förmåga till styrning och kontroll över IT-risker. ISO2700X utgör för merparten av sveriges stora organisationer en grundsten i deras IT governance initiativ. ISO2700X kommer att bli alltmer känd och använd nu börjar det! 8

Framtiden: SOA Governance Tjänsteorienterade arkitekturer Olika leverantörer för olika tjänster Olika plattformar, databaser, identifieringsmekanismer, applikationer Krav på integration Hantering av utfästelser i olika led Ansvarsfrågor Vem har helhetssynen? Vems fel är det när kontroll och styrning fallerar? Tack till Bengt Rydstedt projektledare för ISO2700X på SIS och Jan-Olof Andersson på Sveriges Riksbank och ordförande i SIS projekt för utveckling av ISO2700X, för material till presentationen. Eventuella felaktigheter svarar presentatören själv för. 9

http://www.transcendentgroup.com Transcendent Group hjälper organisationer att utvärdera, säkra och effektivisera affärsverksamhetens nyttjande av IT. Vi finns i Europa och USA, med kontor i Stockholm och Tampa, Florida, USA. 10