IT governance i praktiken: Styrning och kontroll över ITriskerna med ISO2700X Fredrik Björck Transcendent Group för ADBJ 2006-01-31 Agenda IT governance definierat IT governance i praktiken och infosäk Andra ramverk för IT governance Introduktion till ISO2700X IT governance nu och i framtiden 1
IT governance definierat Organisationens ledning och styrelse bär ansvaret för IT Governance. Det är en integrerad del av organisationens åtgärder för styrning och kontroll. Består av ledarskap och organisatoriska strukturer och processer, vilka Säkerställer att verksamhetens IT (-avdelning, -kapacitet, -infrastruktur) Skapar förutsättningar för att vidmakthålla och förbättra verksamhetens strategier och mål. Vad är det vi vill undvika med IT governance? Att erhålla felaktig finansiell information Att bryta mot lagar som PuL, ABL, Sekretesslagen, Företagshemligheter, etc. Att få bristande ändamålsenlighet och effektivitet Att få funktionsförlust (tillgänglighet) Att känslig information avslöjas för obehörig (sekretess, konfidentialitet) Att information ändras av misstag eller av någon obehörig (riktighet, integritet) 2
IT governance i praktiken Strategisk avpassning: IT - affärsstrategin IT governance Leverans av värde/nytta genom IT - kostnadskontroll Säkerhet: Styrning och kontroll av IT-risker Resurshantering: IT-kompetens och IT-infrastruktur Mätning av ändamålsenlighet och säkerhet IT governance kräver i grunden två delar: Verksamheten -IT s leverans av värde till verksamheten - Styrning och kontroll av IT-risker Efterfrågan Risk Utbud IT Ramverk för IT governance ISO9000: Kvalitetsledning ITIL: Ramverk för organisation av drift och support för IT-avdelningar COBIT: Kontrollmål för IT- och relaterade tekniker COBIT från ITGI / ISACA / ISACF, http://www.itgi.org ISO2700X: Ledningssystem för informationssäkerhet dagens ämne. 3
Introduktion: ISO2700X En serie internationella standarder under utveckling sedan 1993, som om använda skapar förutsättningar för god styrning och kontroll av IT-risker. Fokus ligger på informationssäkerhet, och tillskapandet av ett ledningssystem för informationssäkerhet. Certifiering mot standarden kan ske. De facto standard för styrning och kontroll över IT-risker i svenska stora organisationer idag. Introduktion: ISO2700X 27000 Grunder: Principer och definitioner Pågående. 27001 Krav: Krav på Ledningssystem för Informationssäkerhet Fastställd 27002 Riktlinjer: Riktlinjer beträffande Ledningssystem för Informationssäkerhet (17799) - Fastställd 27003 Införande: Handledning vid införande av Ledningssystem för Informationssäkerhet Pågående 27004 Mätning: Indikatorer och mätning Pågående 27005 Riskhantering: Riskanalys- och hantering Pågående 27006 Kontinuitet: Kontinuitets- och katastrofplanering - Pågående 4
Introduktion: ISO2700X ISO27001 KRAV VID CERTIFIERING Refererar till Stöd, tips ISO27000 Grunder ISO27002 Riktlinjer ISO27003 Införande ISO27004 Mätning ISO27005 Riskhantering ISO27006 Kontinuitetsplanering ISO27002 i ett nötskal 131 goda idéer Att ta ställning till (införa, avfärda) Gemensam referens Är inte ett ledningssystem är 131 god idéer 5
Säkerhetspolicy Organisation av informationssäkerheten Hantering av tillgångar Personalresurser och säkerhet Fysisk och miljörelaterad säkerhet Styrning av kommunikation och drift Styrning av åtkomst Anskaffning, utveckling och uh. av info.system Hantering av säkerhetsincidenter Kontinuitetsplanering i verksamheten Efterlevnad 10.10 Övervakning 10.9 Elektronisk handel Mål områden 10.8 Utbyte av information 10.1 Driftrutiner och driftansvar 10: Styrning av kommuniaktion och drift 10.2 Kontroll av utomstående tjänsteleverantöre 10.3 Systemplanering och systemgodkännade 10.7 Hantering av media 10.6 Hantering av säkerhet I nätverk 10.5 Säkerhetskopiering 10.4 Skydd mot skadlig och mobil kod. 6
10.1.4 Uppdelning av utvecklings- test- och driftresurser. Åtgärder 10.1.1 Dokumenterade drifrutiner 10.1: Driftrutiner Och driftansvar 10.1.2 Ändringshantering 10.1.3 Uppdelning av arbetsuppgifter Example: Control Objectives/Security Control 10.1 Driftrutiner och driftansvar Mål: Att säkerställa korrekt och säker drift av informationsbehandlingsutrustning. Ansvar och rutiner för ledning och drift av all informationsbehandlingsutrustning bör fastställas. Detta omfattar utveckling av lämpliga driftrutiner. Uppdelning av arbetsuppgifter bör i förekommande fall tillämpas för att minska risken för försummelse eller avsiktligt missbruk av system 10.1.1 Dokumenterade driftrutiner Åtgärd Driftrutiner bör dokumenteras, underhållas och göras tillgängliga för alla användare som behöver dom. Vägledning för införande Dokumenterade rutiner bör tas fram för systemaktiviteter kopplade till informations- och kommunikationstill-gångar såsom start- och avstängningsrutiner för datorer, säkerhetskopiering, underhåll av utrustning, mediahantering, datorrums- och posthantering och säkerhet. Driftrutinerna bör omfatta detaljerade instruktionerna för att utföra varje arbetsuppgift inklusive: a) bearbetning och hantering av information; b) säkerhetskopiering (se 10.5); c) krav på tidsplanering, innefattande beroenden av andra system; tidigaste start- och senaste färdigställningstider för arbetsuppgifter; d) instruktioner för hantering av fel och andra exceptionella förhållanden som kan uppstå under arbetets gång, inklusive restriktioner i användningen av hjälpprogram (se 11.5.4); e) lista över kontaktpersoner vid oväntade drift- eller tekniska problem; f) särskilda instruktioner för hantering av utdata och media som t.ex. användning av särskilda blanketter eller hanteringsregler för sekretessbelagda utdata, inklusive rutiner för att på ett säkert sätt ta hand om utdata från misslyckade körningar (se 10.7.2 och 10.7.3) g) återstart- och återställningsrutiner att användas vid eventuellt systemfel; h) hantering av revisionsspår och systemens logg-information (se 10.10). Driftrutiner och dokumenterade rutiner för systemaktiviteter bör behandlas som formella dokument där änd-ringar bör godkännas av ledningen. Där det är tekniskt lämpligt bör informationssystem hanteras konsekvent med användning av samma rutiner, verktyg och hjälpprogram. 7
Drivkrafter enligt användare Skydda kunders och andra intressenters intressen Stärker organisationens varumärke Skapar gemensamma värderingar om säkerhet Skyddar alla informationstillgångar på bästa möjliga sätt Stärker säkerhetsmedvetandet hos alla anställda Förbättrar strukturen på informationshantering Reducerar kostnader för olika skyddsåtgärder Skapar bättre möjligheter för att leda säkerhetsarbetet Slutsatser ISO2700X ISO2700X kan hjälpa dig och din kund att skapa en organisatorisk förmåga till styrning och kontroll över IT-risker. ISO2700X utgör för merparten av sveriges stora organisationer en grundsten i deras IT governance initiativ. ISO2700X kommer att bli alltmer känd och använd nu börjar det! 8
Framtiden: SOA Governance Tjänsteorienterade arkitekturer Olika leverantörer för olika tjänster Olika plattformar, databaser, identifieringsmekanismer, applikationer Krav på integration Hantering av utfästelser i olika led Ansvarsfrågor Vem har helhetssynen? Vems fel är det när kontroll och styrning fallerar? Tack till Bengt Rydstedt projektledare för ISO2700X på SIS och Jan-Olof Andersson på Sveriges Riksbank och ordförande i SIS projekt för utveckling av ISO2700X, för material till presentationen. Eventuella felaktigheter svarar presentatören själv för. 9
http://www.transcendentgroup.com Transcendent Group hjälper organisationer att utvärdera, säkra och effektivisera affärsverksamhetens nyttjande av IT. Vi finns i Europa och USA, med kontor i Stockholm och Tampa, Florida, USA. 10