Ledningens informationssäkerhet

Relevanta dokument
Strukturerat informationssäkerhetsarbete

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Verktygsstöd för Informationssäkerhet KLASSA

Information om dataskyddsförordningen

Kerstin Wardman, 25 april 2018

GDPR- Seminarium 2017

Den nya dataskyddsförordningen Vad innebär förordningen för din verksamhet?

Dataskyddsförordningen (GDPR)

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Vården och reglerna om dataskydd

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Dataskyddsförordningen. GDPR (General Data Protection Regulation)

Riktlinjer för dataskydd

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Informationsklassning och systemsäkerhetsanalys en guide

Dataskyddsförordningen

Dataskyddsförordningen för prefekter och administrativa chefer

Att införa LIS. Informationssäkerhet för offentlig sektor Johan Kallum Säkerhetschef/Informationssäkerhetschef

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

INFORMATIONSSÄKERHET OCH DATASKYDD

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

Policy för informations- säkerhet och personuppgiftshantering

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

GDPR UTBILDNINGSDAG SKKF

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Den nya dataskyddsförordningen

Lindesbergs kommuns arbete med dataskyddsförordningen

Dataskyddsförordningen, GDPR

Dataskyddsförordningen

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

VÄGLEDNING INFORMATIONSKLASSNING

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Riktlinjer för informationssäkerhet

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

Rubrik. LIS + GDPR = Sant! Anne-Marie Eklund Löwinder, CISO Internetstiftelsen i

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

GDPR. Ulrika Harnesk 17 oktober 2018

GDPR Panik eller full koll på läget?

EU:s dataskyddsförordning

Bilaga - Personuppgiftsbiträdesavtal

Dataskyddsförordningen 2018

Dataskyddsförordningen 2018

36. GDPR-sex månader kvar november 2017

GDPR Presentation Agenda

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

PUL OCH DATASKYDDSFÖRORDNINGEN

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

GDPR General data protection regulation Dataskyddsförordningen

Punkt 21 Riktlinje för fritextfält

GDPR-DSF. Göran Humling IKT-Kommittén PRO Uppsala Län

Presentation för Sveriges Tidskrifter om GDPR - Medlemstidskrifter. 5 oktober 2017

Personuppgiftslagen (PuL) - En kort introduktion

En guide om GDPR och vad du behöver tänka på

Dataskyddspolicy CENTRO KAKEL OCH KLINKER AB

Dataskyddsförordningen och kvalitetsregister

EU:s nya dataskyddsförordning. Med Emanuel Nyberg från

Göran Rydeberg, Stockholms universitet

Dataskyddsombudsrollen och Dataskyddsförordningen i korthet. Madeleine Arvidsson Wäli, Dataskyddsombud

Acando Simplifying GDPR. ACANDO CAPABLE BUSINESS GDPR Från ord till handling

Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

DATASKYDDSFÖRORDNINGEN. Webbinar den 26 april 2018

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Informationssäkerhet, säker identifikation och KLASSA. Webbseminarium

Dataskyddsförordningen i utbildningsverksamhet

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Dataskyddsförordningen

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

GDPR. General Data Protection Regulation. dataskyddsförordningen

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Översikt av GDPR och förberedelser inför 25/5-2018

PULSENDAGARNA GDPR. EU:s dataskyddsförordning ÅRETS MÖTESPLATS FÖR INSPIRATION & INNOVATION

GDPR. General Data Protection Regulation

Policy för personuppgiftsbehandling

Dataskyddsförordningen

EU:s dataskyddsförordning (GDPR) vad betyder den för er förening? Dataskyddet ett nytt sätt att tänka på. Verktyg för ett bättre dataskydd.

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Lathund Dataskydd för krögare

GDPR och molnet. Konferens SUNET Inkubator den 16 maj 2017

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Behandling av personuppgifter vid Göteborgs universitet

Dataskyddsförordningen GDPR. Samfällighetsföreningar Madeleine Arvidsson Wäli

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

GDPR Utbildning Varför görs denna förändring? När börjar den nya lagen gälla? Individens rätt Likformighet Uppdatering Kostnadsbesparingar

Dataskyddsförordningen GDPR

GDPR & eprivacy för e- handlare. Agnes Hammarstrand, E-handelsadvokaten Advokatfirman Magentodagen 2018

Nya krav när PUL blir GDPR. Vad innebär det för din organisation?

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER ENLIGT DATASKYDDSFÖRORDNINGEN

Koncernkontoret Enheten för juridik

GDPR definition och hur utbildningen berör(t)s av förordningen

GDPR NYA DATASKYDDSFÖRORDNINGEN

Välkommen till enkäten!

Mertzig Asset Management AB

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Dataskyddsförordningen. Kristina Blomberg PuL-Pedagogen Sverige AB

Riktlinjer informationssäkerhetsklassning

Nya regler för behandling av personuppgifter GDPR EN CHECKLISTA

Transkript:

Ledningens informationssäkerhet Thomas Nilsson thomas@certezza.net

Informationssäkerhet = ISO/IEC 27000 SS-ISO/IEC 27000:2016 Översikt och terminologi SS-ISO/IEC 27001:2014 Ledningssystem för informationssäkerhet - Krav SS-ISO/IEC 27002:2014 Riktlinjer för informationssäkerhetsåtgärder SS-ISO/IEC 27003:2010 Vägledning för införande av ledningssystem för informationssäkerhet SS-ISO/IEC 27004:2009 Mätning SS-ISO/IEC 27005:2011 Riskhantering för informationssäkerhet SS-ISO/IEC 27006:2015 Krav på organ som reviderar och certifierar ledningssystem för informationssäkerhet ISO/IEC 27007 Guidelines for information security management systems auditing SS-ISO/IEC 20008:2011 Vägledning om säkerhetsåtgärder för revisorer ISO/IEC 27010 Information security management for inter-sector and inter-organizational communications ISO/IEC 27011 Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 SS-ISO/IEC 20013:2012 Vägledning för integrerat införande av ISO/IEC 27001 och ISO/IEC 20000-1 SS-ISO/IEC 20017:2015 Riktlinjer för säkerhetsåtgärder för molntjänster baserade på SS-ISO/IEC 27002 SS-ISO/IEC 20018:2015 Riktlinjer för skydd av personuppgifter i publika molntjänster som hanterar personuppgifter ISO/IEC 27019 Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry

Vad är utmaningen med infosäk? Överväldigande? Otydliga nyttor? Inte prioriterat? För teoretiskt? Hinner inte!

Utmaningar i den vanlig vardagen Förändringstakten är enorm! Ny användarmönster Ändrade beteenden Teknisk utveckling Faktiskt informationssäkerhetsarbete underlättar Det kan ju va fruktansvärt långtråkig, o dötrist, o tråkig, o alldeles... alldeles underbart! Våga göra informationssäkerhetsarbetet enkelt!

En första målbild tre parallella spår Fullmäktige Policy Styrelsen Riktlinjer Verksamheten Klassning Mönster Riskanalys Kontinuitetsplanering Säkerhetsarkitektur Kontrollkatalog Skyddsåtgärder (krav)

Klassning Fyra kravområden Konfidentialitet att informationen kan åtkomstbegränsas Riktighet att informationen ska vara tillförlitlig, korrekt och fullständig Tillgänglighet att informationen ska kunna nyttjas efter behov, i förväntad utsträckning samt av rätt person med rätt behörighet Spårbarhet att aktiviteter som rör informationen kan spåras Källa SS-ISO/IEC 27000

Klassning Fyra konsekvensnivåer Allvarlig skada ex massiv informationsförlust, verksamhetsförlust, oöverskådliga konsekvenser, samt fara för liv och hälsa Betydande skada ex tillgänglighetsstörningar, brott mot regelverk, rättsliga krav och avtal, samt förlust av skapat förtroende Måttlig skada ex minskad förmåga att genomföra verksamhetens uppgifter, men effektiviteten är påvisbart reducerad Försumbar skada Källa SIS/MSB/SKL

Ett klassiskt(?) övningsexempel System Applikation Informationstillgång Konfidentialitet Riktighet Tillgänglighet Spårbarhet Nattillsyn???? Allvarlig skada - ex massiv informationsförlust, verksamhetsförlust, oöverskådliga konsekvenser, samt fara för liv och hälsa Betydande skada - ex tillgänglighetsstörningar, brott mot regelverk, rättsliga krav och avtal, samt förlust av skapat förtroende Måttlig skada - ex minskad förmåga att genomföra verksamhetens uppgifter, men effektiviteten är påvisbart reducerad Försumbar skada

Ett klassiskt(?) övningsexempel System Applikation Informationstillgång Konfidentialitet Riktighet Tillgänglighet Spårbarhet Nattillsyn Betydande Allvarlig Måttlig Betydande Allvarlig skada - ex massiv informationsförlust, verksamhetsförlust, oöverskådliga konsekvenser, samt fara för liv och hälsa Betydande skada - ex tillgänglighetsstörningar, brott mot regelverk, rättsliga krav och avtal, samt förlust av skapat förtroende Måttlig skada - ex minskad förmåga att genomföra verksamhetens uppgifter, men effektiviteten är påvisbart reducerad Försumbar skada

Förmågan att tillämpa resultatet är A&O Fullmäktige Policy Styrelsen Riktlinjer Verksamheten Klassning Mönster Riskanalys Kontinuitetsplanering Säkerhetsarkitektur Kontrollkatalog Skyddsåtgärder (krav)

Förmågan att tillämpa resultatet är A&O Fullmäktige Policy Styrelsen Riktlinjer Verksamheten Klassning KLASSA? Mönster Riskanalys Kontinuitetsplanering Kontrollkatalog Skyddsåtgärder (krav)

Krav på innehållet i säkerhetsarkitekturen Verksamheten Klassning Mönster Ramverk MSB 629 KSF 3.x ELN 0700 FIPS 140-2 Riskanalys Kontinuitetsplanering Säkerhetsarkitektur Kontrollkatalog Skyddsåtgärder (krav) Regulatoriska krav PUL/GDPR SOSFS

Dataskyddsförordningen (DSF/GDPR) Ersätter Personuppgiftslagen (PuL) 25 maj 2018 Känsliga personuppgifter: Politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, ras eller etniskt ursprung, hälsa eller sexualliv, eller DNA. Exempel på uttolkning av krav Åtkomst till känsliga personuppgifter som tillgängliggörs över öppna nät måste föregås av stark autentisering Källa: PuL (1998:204) samt flera av Datainspektionens tillsynsärenden

Största skillnaderna mellan GDPR och PuL Dataskyddsombud (DPO) med kunskap och kompetens Missbruksregeln försvinner Behandling i ostrukturerat material Intresseavvägningen försvinner Tydligare krav på samtycke Sanktionsavgifter Max 20 000 000 Euro eller 4% av omsättning Incidentrapportering inom 72h Rätt att bli bortglömd Rätt att få ut personuppgifter i digitalt format Inbyggt dataskydd och dataskydd som standard

Certezzas 7-punktsprogram 1. Skapa medvetenhet inom organisationen 2. Utse ett dataskyddsombud (DPO) 3. Inventera all behandling, rättsligt stöd och typ av behandling 4. Efterlev de registrerades rättigheter 5. Tills incidentrapporteringsförmåga 6. Se över alla avtalsrelationer 7. Bevisa att ni har tillräcklig datasäkerhet 25 maj 2018

Effekten är rätt säkerhet över tid För hög säkerhet ger onödigt höga kostnader För låg säkerhet ger onödigt höga risker Ett metodiskt arbete ger rätt säkerhet över tid Inte längre några specialare vid sidan om det vanliga

Melius est praevenire quam praeveniri Det är bättre att förekomma än att förekommas

Certezzas årliga säkerhetsdag #20 sakerhetsdagen.se Förmiddag Tillit till IoT Mobil LoA3 Kampen mot DDoS Expressen, MSB, IP-only Pentesterfarenheter Senaste årets höjdpunkter Eftermiddag Google tar & Tor ger Dataskyddsförordningen 10 punktsprogrammet Identitetshantering Krypton & nycklar Tänk i boxen https://www.sakerhetsdagen.se/

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss