Rätt säkerhet Outsourcing

Relevanta dokument
Molnet ett laglöst land?

Smartare affärer med det bästa från molnet

Riskhantering för informationssäkerhet med ISO Lars Söderlund, TK 318 Ag 7 Lüning Consulting AB

Introduktion till molntjänster Tekniken bakom molntjänster och legala utmaningar

DIG IN TO Nätverksadministration

Molnet - standarder, översikt. 26 mars 2015

Säkerhet i molnet krav och standarder

Molnet eller outsourcing??

Utmaningar vid molnupphandlingar

Hot eller möjlighet? Datormolnet och SMHI. Lisa Hammar, IT-arkivarie, SMHI. Mallversion

Välkommen! Bakgrund Cloud Sweden Vad är molnet? Legala aspekter på molntjänster.

Framgångsfaktorer i molnet!

ISO STATUS. Prof. dr Vidosav D. MAJSTOROVIĆ 1/14. Mašinski fakultet u Beogradu - PM. Tuesday, December 09,

FMV användning av ISO/IEC för ledningssystem implementering. Harold Bud Lawson Styrelsemedlem och Consulting Partner

Aditro Our focus benefits yours Molnet -- Presentation

A metadata registry for Japanese construction field

Molntjänster för administration, utbildning och forskning. Projektplan för 2017

Digital Lagring. Jukka Salo Flygteknisk inspektör

ISO/IEC och Nyheter

Economicmodelimpactand cloud management. PART 2: Business model enactment

Nå fler kunder och utöka ditt IT-tjänsteutbud med HPE och Ingram Micro

Molntjänster -- vad är molnet?

OUTSOURCING TILL MOLNET

Economic model impact and cloud management. PART 1: Cloud service model

Rätt säkerhet Incident

MOLNTJÄNSTER ÄR DET NÅGOT FÖR OSS?

Molntjänster - vilka är riskerna och vad säger PUL? ADVOKAT HANS NICANDER

Collaborative Product Development:

Plattform as a Service, leverantör tillhandahåller plattformen, jag tillhandahåller applikation och ansvarar för denna.

JHS 179 Planering och utveckling av en övergripande arkitektur Bilaga 9. Virtualisering och molntjänster i planering av teknologiarkitektur

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

Molnet - en fluga eller här för att stanna. Lars Backhans vice VD Radar Group International.

Effektivt stöd för GRC med nya ISO Standarder

Produktens väg från idé till grav

Molntjänster och molnteknologi: En ordlista

Allmänna råd. Datainspektionen informerar Nr 2/2014. om användning av molntjänster (Cloud Computing) i den offentliga sektorn.

Vad är vad uppe bland molnen stratus, cumulus eller nimbus?

Copyright 2008 RADAR GROUP AB All rights reserved Copyright 2008 RADAR GROUP AB All rights reserved

SVENSK STANDARD SS-ISO/IEC :2014

TRENDERNA SOM FORMAR DIN VERKLIGHET 2014 ÅRETS IT AVDELNING

Molntjänster. Översikt. Lektion 1: Introduktion till molntjänst. Introduktion till molntjänst. Vilka tjänster finns? Säkerhet.

KONCEPTUALISERING. Copyright Dansk & Partners

Molntjänster och integritet vad gäller enligt PuL?

Tjänstefiera din IT. - Vi har beslutat oss för att flytta vår IT till molnet. - Vilka tjänster passar våra behov och vår budget?

Minnesisolering för virtuella maskiner en hypervisorstudie

School of Management and Economics Reg. No. EHV 2008/220/514 COURSE SYLLABUS. Fundamentals of Business Administration: Management Accounting

Klicka här för att ändra format

Nyttjande av kartor och kartteknik hur ser framtiden ut? Jonas Bäckström, Sokigo AB

UPPSAMLINGSTENTAMINA AUGUSTI 2018 Follow-up exams, August 2018

Daniel Akenine, Teknikchef, Microsoft Sverige

SVENSK STANDARD SS-ISO/IEC :2014

UPPSAMLINGSTENTAMINA AUGUSTI 2017 Follow-up exams, August 2017

GÄSTENS DIGITALA RESA IDAG OCH FRAMÅT

SVENSK STANDARD SS-ISO/IEC :2014

Information technology Open Document Format for Office Applications (OpenDocument) v1.0 (ISO/IEC 26300:2006, IDT) SWEDISH STANDARDS INSTITUTE

Tack till våra sponsorer!

Medlemsskap för leverantörer (SMP)

Beställare av IT tjänster. Avtal Pris Tjänster SLA Säkerhet Leverans - Mätning

Cloud Computing. Richard Richthoff Strategisk Rådgivare Radar Group International

Agila kontrakt. Mattias Skarin Kanban / Lean coach Konsten att måla ut sig ur ett hörn och in i ett samarbete.

Morgondagens arbetsplats Användarnas syn på trenderna och teknologierna som skapar den. Annsofie Petersson IDC

Caperio CloudSystem NICE TO MEET YOU. Komplett molntjänst för etablering av infrastruktur och applikationer

Privacy Notice Ålö Group. Customers Integritetspolicy Sverige Privacy Notice UK, North America and International

ISO/IEC 20000, marknaden och framtiden

DE TRE UTMANINGARNA..

Hur kan krav på spel- och lotterisäkerhet driva fram ISO certifieringar?

Pulsen IAM: Del 2 Trender och teknik för morgondagens utmaningar. Tobias Ljunggren, PULSEN

Förändrade förväntningar

CIO MÖTE OSLO 17/11 INFORMATION // INTELLIGENCE // ADVICE. Radar Ecosystem Specialists

Informationssäkerhet och medicintekniska produkter eller Information security with respect to safety considerations

UPPSAMLINGSTENTAMINA AUGUSTI 2019 Follow-up exams, August 2019

Riktlinje för molntjänster

1.1 Invoicing Requirements

SAS VIYA JOHAN ELFMAN ROLAND BALI

Freddie Rinderud Senior advisor

Guidance on Ecodesign NWI ISO 14006

Resultatkonferens Välkommen!

Affärssystem. Affärssystem - 1. Affärssystem. Informationssystem (IS) Tobias Nyström

Molntjänster accelererar din affärsverksamhet

SÖ 2005:10. Agreement in the Form of an Exchange of Letters on the Taxation of Savings Income

Intro icore Cloud Services. What about the cloud!

System arbetssystem informationssystem

Lars Söderlund Lüning Consulting AB Uppsala Informationssäkerhet IT-säkerhet 7 Konsulter

Authentication Context QC Statement. Stefan Santesson, 3xA Security AB

TDP013. Innan AJAX Ett synkront webb. Med AJAX Ett Asynkront webb

Vad är molnet? Vad är NAV i molnet? Vem passar NAV i molnet för? Fördelar med NAV i molnet Kom igång snabbt...

Molnets möjligheter och utmaningar. IT Asset Management Summit 24 januari 2017 Peter Nordbeck/Partner/Advokat

Cloudstrategins roll och betydelse

Introduktion till migrering till molnet. PART 4: Plattformar för molntjänster

SNITS-Lunch. Säkerhet & webb


Biblioteket.se. A library project, not a web project. Daniel Andersson. Biblioteket.se. New Communication Channels in Libraries Budapest Nov 19, 2007

Introduktion till migrering till molnet

Nyheter i ITIL Kopplingen till ISO/IEC itsmf Sweden

Studiebesök BT / Toyota

Styr och utveckla ditt IT-stöd utifrån internationella standarder

Informationssäkerhet

THE POWER OF FLOWS UTVECKLING OCH TRENDER INOM DIGITALISERING OCH INTEGRATION

HUR OCH VARFÖR DIGITAL!

Cloud Computing för arkitekter Sten Sundblad IASA och Sundblad & Sundblad

Transkript:

Rätt säkerhet 2015-05-27 - Outsourcing

Plan del 1 27036-Outsourcing Varför finns standarden Vad karaktäriserar outsourcing och leverantörsrelationer? Struktur på standarden Skillnader del 2/3/4 Hur kan man använda den?

Varför finns ISO/IEC 27036? Syftade från början att reglera bättre ICT förhållanden mellan beställare och leverantör Men finns ju en koppling till 27001 Annex A och 27002 så inriktningen breddades till alla typer av outsourcing som påverkar informationssäkerhet Ska kunna användas av både beställare och leverantör Jobba med gemensam begreppsapparat - grunden för samverkan I princip alla organisationer kan ha nytta av standarden Tre delar klara och under svensk översättning Del 4 om moln kommer tidigast sent 2016

Säkerhetsåtgärder 27002 och fördjuping 27036 Två säkerhetsåtgärder mot ett tufft mål!

Vad är outsourcing, vad är leverantörsrelation? 3.6 outsourcing acquisition of services (with or without products) in support of a business function for performing activities using supplier s resources rather than the acquirer s supplier relationship agreement or agreements between acquirers and suppliers to conduct business, deliver products or services, and realize business benefit

ISO/IEC 27036:2014 Basic structure

De olika delarna Del 1: Overview and concepts informativt översikt och begrepp Del 2: Requirements normativt kan användas för att dra upp ramarna i avtal gällande informationssäkerhet mellan beställare och leverantör Del 3: Guidelines for ICT supply chain security vägledande riktar sig till både beställare och leverantörer för att ge råd om hantering av informationssäkerhetrisker Del 4: Guidelines for security of cloud services vägledande bygger vidare på del 2 och del 3, men riktar sig särskilt till användare och leverantörer av molntjänster. KOMMER SENT HÖSTEN 2016

Fyra olika fokusområden Leverantörsrelation produkter Leverantörsrelation tjänster ICT leveranskedja Cloud computing

Leverantörsrelation - produkter Risker framför allt inom Missade krav i kravspecifikationen Sårbarheter i mjukvaran Fel i programvaran Ömsesidig åtkomst till den andra partens information

Leverantörsrelation - tjänster Risker framför allt inom: Beställarens kritiska information kan hanteras helt eller delvis av leverantören Fjärråtkomst till beställarens information eller förvaring av beställarens information hos leverantören (var?)

ISO/IEC 27036 fundamentals

ISO/IEC 27036 vänder sig till både beställare och leverantör för riskerna finns ju på båda sidor!

ISO/IEC 27036 täcker in hela livscykeln från uppköp av tjänst eller produkt till utrangering eller avslut och tar också upp allt som måste fungera runt omkring, såsom; processerna omkring urval av leverantör avtalsförhandlingar med rekommenderade områden för kravställningar nödvändiga ledningsprocesser (ex. livscykelprocesser, HR, kvalitet, etc.) projektprocesser (ex. planeringsprocesser, riskhantering) tekniska processer (arkitektur)

ICT leveranskedjan del 3 Hur får vi samma nivå av säkerhet genom hela kedjan?

Del 4 Cloud computing Cloud computing är att tillhandahålla ex. användning av programvaror (SaaS) och lagringstjänster (IaaS). Tjänsterna innebär goda möjligheter till skalbarhet, flexibilitet och minskade kostnader för intern IT. Många gånger delas miljöer av olika kunder (multi tenant cloud environment). Risker framför allt inom osäkerhet gällande allmän ITsäkerhet hos molnleverantören och okunskap hos kunden

Acquirer Party Relationship Supplier Party Service Acquirer Organization Set information security requirements Communicates requirements Negotiates fulfillment in agreement Determine and accept residual risk Sign agreement Outsourcing Negotiation Both parties accepted Agreement Supplier Organization Offer fulfillment of information security requirements based on communicated Acquirer requirements Offer price Negotiate terms and fulfillment Determine and accept supply risks with the agreement Sign agreement NOT: Principbild som ligger till grund för vad är molnet specifikt. (Anpassas nu för att följa ISO/IEC 17789 Outsourcing General Outsourcing ICT Cloud Service Consumer Cloud Service Outsourcing Non negotiable offer Cloud Service Provider Determines security requirements for information applicable to the service Evaluate risk Risk acceptance Accept service Yes/No Acceptance Accepted As Is Agreement Input till 27036-4 Säkerhet vid outsourcing - Molntjänster Determine information security requirements based on service business model Public Cloud Private Cloud* Hybrid Cloud SaaS PaaS IaaS *) If a private cloud service is negotiated the relationship is as outsourcing above

27036 kan vara ett klart stöd Båda parter kan följa samma frågeställningar och därmed så skapas bättre förutsättningar för bättre balanserade avtal när det informationssäkerhet

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss