Ledning och styrning av IT-tjänster och informationssäkerhet

Relevanta dokument
Ledningssystem för IT-tjänster

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Myndigheten för samhällsskydd och beredskaps författningssamling

Anslutningsavtal. inom Infrastrukturen för Svensk e-legitimation. Bilaga 4 Rapporteringsrutiner. för Utfärdare av Svensk e-legitimation

Policy för informationssäkerhet

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Informationssäkerhetspolicy för Umeå universitet

ISO/IEC och Nyheter

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

I n fo r m a ti o n ssä k e r h e t

Bilaga Från standard till komponent

Finansinspektionens författningssamling

Informationssäkerhetspolicy. Linköpings kommun

Finansinspektionens författningssamling

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

1(6) Informationssäkerhetspolicy. Styrdokument

Bilaga 3 Säkerhet Dnr: /

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Myndigheten för samhällsskydd och beredskaps författningssamling

Finansinspektionens författningssamling

Ledningssystem för Informationssäkerhet

Ledningssystem för Informationssäkerhet

Policy för informationssäkerhet

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Nya regler om styrning och riskhantering

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Informationssäkerhetspolicy för Ystads kommun F 17:01

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Skapa ett ledningssystem för informationssäkerhet (LIS) enligt nya ISO/IEC eller konsten att införa LIS

Välkommen till enkäten!

Riktlinjer för informationssäkerhet

Koncernkontoret Enheten för säkerhet och intern miljöledning

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Riktlinjer för informationssäkerhet

Bilaga till rektorsbeslut RÖ28, (5)

ISO/IEC 20000, marknaden och framtiden

Informationssäkerhetspolicy för Vetlanda kommun

Informationssäkerhetspolicy

Riskhantering & Informationssäkerhet. Agneta Syrén Säkerhetschef/Informationssäkerhetschef Länsförsäkringar AB

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Policy för informations- säkerhet och personuppgiftshantering

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Att införa LIS. Informationssäkerhet för offentlig sektor Johan Kallum Säkerhetschef/Informationssäkerhetschef

Fortsättning av MSB:s metodstöd

Kravställning på e-arkiv från informationssäkerhetsperspektiv

POLICY INFORMATIONSSÄKERHET

IT-Policy. Tritech Technology AB

Styr och utveckla ditt IT-stöd utifrån internationella standarder

Riskanalys och riskhantering

KLISTER KARTLÄGGNING INFORMATIONSSÄKERHET I KOMMUNER

Frågor att ställa om IK

Riktlinjer för säkerhetsarbetet

Metodstöd 2

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Remissutgåva. Program för informationssäkerhet

Informationssäkerhetspolicy

Hantering av IT-risker

Informationssäkerhetspolicy för Ånge kommun

Göteborgs Stads program för IT

Nya krav på systematiskt informationssäkerhets arbete

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Informationssäkerhetspolicy

Administrativ säkerhet

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

Ledningssystem för verksamhetsinformation en introduktion

Informationssäkerhetspolicy

SÖDERTÄLJE KOMMUNALA FÖRFATTNINGSSAMLING

E-strategi för Strömstads kommun

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015

Informationssäkerhetspolicy KS/2018:260

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Trygg och säker - riktlinjer för kommunens säkerhetsarbete

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Skogsägarna Mellanskog Ek. För. Revisionsrapport. Offentlig sammanfattning. Omcertifiering

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Informationssäkerhetspolicy för Nässjö kommun

Risk- och sårbarhetsanalys 2018

Riktlinjer för intern kontroll med tillämpningsanvisningar

Innehåll. Bakgrund Från ett riskhanteringsperspektiv. Bakgrund Från ett riskhanteringsperspektiv

Remissvar Så stärker vi den personliga integriteten (SOU 2017:52)

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Reglemente för intern kontroll

ISD - IT-säkerhetsdeklaration. Information till SESAME Dan Olofsson PrL ISD

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

Informationssäkerhet och earkiv Rimforsa 14 april 2016

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

Riktlinjer för informationssäkerhet vid Stockholms universitet

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Finansinspektionens författningssamling

Transkript:

Ledning och styrning av IT-tjänster och informationssäkerhet sixten.bjorklund@sipit.se 2013-05-21 Sip It AB, Sixten Björklund 1

Några standarder för ledning och styrning 2013-05-21 Sip It AB, Sixten Björklund 2

Grundläggande egenskaper Principer Fokus på Use of IT Fokus på produkter Processer Fokus på informationstillgångar Informationssäkerhetsåtgärder Organisation Fokus på tjänster Processer 2013-05-21 Sip It AB, Sixten Björklund 5

Scenarios för omfattning (scope) A B A B A B A B 2013-05-21 Sip It AB, Sixten Björklund 6

Organisatoriska gränser D A B Tjänsteleverantör Kund C 2013-05-21 Sip It AB, Sixten Björklund 7

Integrerat ledningssystem Andra ledningssystem, tex kvalitet Beroenden inom och mellan ledningssystemen Vilka delar som kan slås ihop Delar som ska vara separat Påverkan på kunder, underleverantörer, mfl Påverkan på system och stödsystem Påverkan på respektive område Utbildning och införande Planering införande, etapper Upprätthåll spårbarhet till krav i respektive standard 2013-05-21 Sip It AB, Sixten Björklund 8

Analys vid integration Organisation Verktygslådan Separata delar Gemensamma delar Separata delar Likadana delar 2013-05-21 Sip It AB, Sixten Björklund 9

Informationssäkerhet ett område för samordning ISO 27001 Scopet för ISO 27001 behöver inte omfatta tjänsterna. ISO 20000-1 I ISO 20000-1 ska informationssäkerhet hanteras för tjänsterna Görs med fördel med ISO 27001 A B A B A B? 2013-05-21 Sip It AB, Sixten Björklund 10

Informationssäkerhet viss skillnad i definition ISO 27001 Bevarande av konfidentialitet, riktighet och tillgänglighet hos information Med tillgänglighet i ISO 27001 avses såväl åtkomst som användbarhet vid begäran ISO 20000-1 Bevarande (skydd) av konfidentialitet, riktighet och åtkomst till information Tillgänglighet används i ISO 20000-1 avseende förmåga hos en tjänst eller tjänstekomponent att fungera som avsett 2013-05-21 Sip It AB, Sixten Björklund 11

Tillgång något som har värde för organisationen ISO 27001 Tillgångar kopplat till informationssäkerhet ISO 20000-1 Tillgångar kopplat till tjänster, tex licenser CI - element som ska kontrolleras CMDB databas för CI Informationstillgångar CI 2013-05-21 Sip It AB, Sixten Björklund 12

Risk hanteras med fördel samordnat osäkerhetens effekt ISO 27001 Riskbaserad Kombinationen av sannolikhet och konsekvens Risk information Risk tjänster ISO 20000-1 Risk för tjänster Osäkerhetens effekt på mål Hantera risk i bla: Skapa och hantera SMS Planering av tjänster Förändringar och Releaser Kontinuitetshantering Hantering av CI 2013-05-21 Sip It AB, Sixten Björklund 13

Incident skillnad att observera ISO 27001 Informationssäkerhetsincident en enskild eller en serie av oönskade eller oväntade informationssäkerhetshändelser som har en signifikant sannolikhet att äventyra verksamheten och hota informationssäkerheten ISO 20000-1 Incident oplanerat avbrott i en tjänst, en minskning i kvaliteten hos en tjänst eller en händelse som ännu inte har påverkat leveransen av en tjänst till kunden Informationssäkerhetsincident Allvarlig incident Känt fel Problem 2013-05-21 Sip It AB, Sixten Björklund 14

Governance övergripande styrning Hur engagera högsta ledningen? Vad ska de göra? Vad är IT? Vilken information ska de ha? Hur får de mer information? Vilket ansvar ska de ha? Vilket ansvar vill de ha? 2013-05-21 Sip It AB, Sixten Björklund 16

Övergripande styrning Ägare Högsta ledningen Governing body Företagsledningen Management 2013-05-21 Sip It AB, Sixten Björklund 17

ISO/IEC 38500 Högsta ledningen Rätt Styra Strategier Policyer Utvärdera Förslag, planer Följa upp Prestanda Följsamhet frågor ansvar mandat beslut på rätt nivå i organisationen Företagsledningen Ledningssystem för användning av IT 2013-05-21 Sip It AB, Sixten Björklund 18

Tre huvuduppgifter Utvärdera den nuvarande och framtida användningen av IT Högsta ledningen Styra strategier, planer och policys för att säkerställa att IT stöder verksamhetens mål Styra Strategier Policyer Utvärdera Förslag, planer Följa upp Prestanda Följsamhet Följa upp regelefterlevnad och prestation i förhållande till planerna Företagsledningen Ledningssystem för användning av IT 2009-10-05 19

Sex principer Ansvar Strategi Högsta ledningen Anskaffning Utvärdera Prestanda Regelefterlevnad Mänskligt beteende Styra Strategier Policyer Förslag, planer Följa upp Prestanda Följsamhet Företagsledningen Ledningssystem för användning av IT 2009-10-05 20

Huvudsakliga fokus IT ska leverera värde Risker ska vara hanterade Detta kräver att högsta ledningen: Skapar en övergripande kontroll Deltar i beslutsfattande Beslut ska utgår från strategier, prioriteringar och behov 2013-05-21 Sip It AB, Sixten Björklund 21

Högsta ledningen Ansvarar för en effektiv, ändamålsenligt och acceptabel användning av IT inom organisationen Styr genom formulering av strategier och policys samt genom att mäta och följa upp företagsledningens prestation, användningen av IT Tydliggöra ansvar, ansvar kan delegeras till företagsledningen avseende delar av den övergripande styrningen Säkerställa att risker hanteras 2013-05-21 Sip It AB, Sixten Björklund 23

Företagsledningen Ansvarar för att nå organisationens mål inom ramen för de strategier och policyer som är framtagna, dvs inom ramen för modellen för övergripande styrning Upprätthålla ett ledningssystem för användning av IT Effektiv styrning kräver ett effektivt system för uppföljning och intern kontroll i företaget, något som behöver implementeras 2013-05-21 Sip It AB, Sixten Björklund 24

Modell för värdering ISO 38500 Principer Utvärdera Styra Följa upp Ansvar Strategi Anskaffning Prestanda Regelefterlevnad Vad ska uppnås? Vad ska förbättras? Hur skapar vi värde? Mänskligt beteende 2013-05-21 Sip It AB, Sixten Björklund 25

Frågor sixten.bjorklund@sipit.se 2013-05-21 Sip It AB, Sixten Björklund 26

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss