Vilket mervärde ger certifiering dig?



Relevanta dokument
Ledningssystem för Informationssäkerhet

Ledningssystem för Informationssäkerhet

Svensk Standard SS ISO/IEC SS

ISO/IEC och Nyheter

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Ledningssystem för IT-tjänster

Ledningssystem för informationssäkerhet - Kompetensprofil

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799

Att införa LIS. Informationssäkerhet för offentlig sektor Johan Kallum Säkerhetschef/Informationssäkerhetschef


Koncernkontoret Enheten för säkerhet och intern miljöledning

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Skapa ett ledningssystem för informationssäkerhet (LIS) enligt nya ISO/IEC eller konsten att införa LIS

Välkommen till enkäten!

SIS tre produktområden

Ledningssystem för informationssäkerhet (LIS)

Dnr

Kvalitets och miljösystem på byggföretag

Matriser för korrelation mellan ISO 9001:2008 och ISO 9001:2015

Informationssäkerhet nyckeln till nya affärer

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Bilaga till rektorsbeslut RÖ28, (5)

Riktlinje för säkerhetsarbetet i Norrköpings kommun


Ledningens informationssäkerhet

Informationssäkerhetspolicy

Administrativ säkerhet

Informationssäkerhetspolicy för Ånge kommun

Organisation för samordning av informationssäkerhet IT (0:1:0)

Primärvården Falkenberg invånare Hälso- och sjukvård och tandvård 240 anställda

Kontinuitetshantering i samhällsviktig verksamhet

FÖRHINDRA DATORINTRÅNG!

Informationssäkerhetspolicy

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Svar på revisionsskrivelse informationssäkerhet

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Ledningssystem för verksamhetsinformation en introduktion

Informationssäkerhetspolicy KS/2018:260

Fortsättning av MSB:s metodstöd

Myndigheten för samhällsskydd och beredskaps författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Informations- och IT-säkerhet i kommunal verksamhet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Nyheter i ISO och 14004

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

Informationssäkerhetspolicy IT (0:0:0)

Nr Ärende /Beslut Ansvarig, klart senast

OHSAS Ledningssystem för arbetsmiljö

KURS I STRATEGISK INFORMATIONSSÄKERHET

Informationssäkerhetspolicy. Linköpings kommun

Myndigheten för samhällsskydd och beredskaps författningssamling

TJÄNSTESKRIVELSE Motion om uppdrag att utreda förutsättningarna för att införa miljöledningssystem i vissa kommunala verksamheter 2018

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Att införa kvalitets- och miljöledning i projektform

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Regler och instruktioner för verksamheten

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

skapa ett ökat mervärde uppnå ännu bättre resultat bidra positivt till människors tillvaro

Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Mellan ISO 9001:2015 och ISO 9001:2008 Korrelationsmatris

Informationssäkerhetspolicy inom Stockholms läns landsting

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Nytt regelverk för personuppgifter varför ska vi ta tag i det nu?

Ledningens genomgång

Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare;

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Riskhantering & Informationssäkerhet. Agneta Syrén Säkerhetschef/Informationssäkerhetschef Länsförsäkringar AB

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

ISO :2015 4: Ledarskap, ansvar och delaktighet

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Det här är OHSAS 18001

Granskning av informationssäkerhet

POLICY INFORMATIONSSÄKERHET

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

OHSAS Av Benny Halldin

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Bengt Sebring OKTOBER 2000 Ordförande GRANSKNINGSRAPPORT 3 Sida: 1

Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Kvalitets- och miljösystem? Välkomna! Vad är ett kvalitets- miljösystem? Varför i byggprocessen?

Internrevision för ständig

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhet i. Torsby kommun

Bilaga 3 Säkerhet Dnr: /

COOR HÅLLBARHETSPOLICY

Transkript:

Vilket mervärde ger certifiering dig? En debatt Håkan Skyllberg, KPMG Inger Nordin, WM-data Validation Information Risk Management 0

Presentation Håkan! Medytekk AB! Tillverkning av läkemedel & medicinskteknisk utrustning! Främsta marknader: Sverige, Europa & USA! IT-Chef & tillika ansvarig för IT-säkerhet Inger! Global Fund & Banking Sweden AB! Svenskt dotterbolag till en amerikansk investmentbank! Säkerhetschef 1

Riskekonomi Kostnad för skador Kostnad för säkerhetsåtgärder Kostnad Kostnader i balans Säkerhetsnivå 2

Kontinuitet ett tidsperspektiv Förlorad information Restore Inmatning av data från reservrutiner Normaldrift Backup Backup Reservrutiner Kan vi lita på den återskapade informationen? Återskapande av förlorad information 3

Juridiska aspekter Generellt! Personuppgiftslagen (PUL)! Sekretesslagen Privata sektorn! Åtaganden mot kund (Förtroende & Anseende)! Sarbanes-Oxley Act! Basel II! Food and Drug Administration (FDA)! Revisionsregler (t. ex. RS 401)! Offentliga sektorn! 24-timmarsmyndigheten! Krisberedskapsförordningen! Hälso- och sjukvårdslagen! Patientjournallagen! Health Insurance Portability and Assurance Act (HIPAA)! 4

Informationssäkerhet i verksamheten = RISKHANTERING Intressenter Planera Intressenter Upprätta LIS Inför och driv LIS Utvecklings-, underhålls- och förbättringscykel Upprätthåll och förbättra LIS Genomföra Förbättra Styrd informationssäkerhet Informationssäkerhetskrav och förväntningar Följ upp och granska LIS Följa upp LIS = Ledningssystem för informationssäkerhet 5

SS 62 77 99-2 Gemensamt verksamhetssystem Ledningssystem för kvalitet Organisationens verksamhetssystem Arbetsmiljö Miljö Kvalitet Ekonomi Informationssäkerhet Ledningssystem för miljö Ledningssystem för arbetsmiljö Ledningssystem för informationssäkerhet ETT VERKSAMHETSSYSTEM 6

SS 62 77 99-2 Gemensamt verksamhetssystem likheter! Ledningens styrning - Policy och mål! Organisation, ansvar, befogenheter! Dokumenthantering, styrande respektive redovisande! Processtyrning! Ledningens genomgång! Systemstruktur! Utbildning! Internrevisioner! Korrigerande och förebyggande åtgärder 7

Verksamhetssystem 6 fokusområden skillnader SS 62 77 99-2:2003 ISO 14001:1996 ISO 9001:2000! Riskanalys Miljöutredning -! Uttalande om - Tillämpning (1.2) tillämplighet (4.2.1.h)! Policy Policy Policy - ramverk för att - miljödokument - kvalitetsdokument fastställa LISs mål och gemensam inriktning - disciplinär åtgärd (A6.3.5)! Kontinuitetsplan (A11) Nödlägesberedskap - (4.4.7)! Lagrum - ALLA Lagrum - Miljö Lagrum - ALLA! Förbättring av LIS (7) Process för ständig Ständig förbättring förbättring i prestanda (4.2) i systemet (8.5.1) 8

Sammanfattning Ger ledningen ett bra stöd för att effektivt styra och leda verksamheten mot affärsmålen Säkerställer att beslutsfattare i organisationen grundar beslut på tillförlitlig information Anpassat ramverk för informationssäkerhet ger: Effektiv riskhantering Kostnadseffektiva åtgärder Medvetenhet Rätt kontinuitet i verksamheten Rätt information till rätt person i rätt tid Minskar risken för rättsliga tvister Säkerställer efterlevnad av lagar och interna regler Trygg personal Stärker varumärket Högt förtroendekapital Ökade marknadsandelar Fler och mer nöjda kunder 9

Lycka till och tack för oss Håkan och Inger Information Risk Management 10

Om debattörerna Håkan Skyllberg, KPMG Informationssäkerhetskonsult och ansvarar för informationssäkerhetstjänsterna på KPMG. Han är certifierad ITrevisor (CISA). Håkan har arbetat med säkerhetsfrågor sedan -86 och som konsult sedan -95. I början med fokus på tekniska lösningar men sedan -98 med inriktning mot styrning och ledning av informationssäkerhetsarbetet. Håkan arbetar främst med riskanalyser och utformning av informationssäkerheten för såväl mindre organisationer med ett tiotal anställda till internationella koncerner med fler än 35.000 anställda. hakan.skyllberg@kpmg.se Mobil: 070-265 96 52 Tel: 08-723 96 52 Inger Nordin, WM-data Validation AB Säkerhetschef samt informationssäkerhetschef. Inger är civilingenjör inom Datateknik och har en MBA från Handelshögskolan i Stockholm. Inger har arbetat med säkerhet i olika former sedan 80- talet på IBM. Nu senast med SUA-klassning och internt regelverk inom Validation AB. Inger har även erfarenhet från certifieringssidan inom informationssäkerhet då hon arbetade som marknadsansvarig för informationssäkerhets- och IT-tjänster samt var global projektledare för informationssäkerhet vid DNV Certification. Inger har haft flera förtroendeuppdrag inom SIS LIS-projekt ordförande i informationsgruppen, erfarenhetsutbytesgruppen och i pilotcertifieringsgruppen samt har medverkat vid framtagandet av standarderna för informationssäkerhet. Inger är även medlem i IT-företagens Informationssäkerhetsråd. inger.nordin@wmdata.com Mobil: 070-366 42 58 Tel: 08-606 21 36 11

SKALL och BÖR standarderna = LIS SS 62 77 99-2:2003 SKALL 0 Orientering 1 Omfattning " Normativa hänvisningar " Termer och definitioner " Ledningssystem för informationssäkerhet " Ledningens ansvar " Ledningens genomgång av LIS " Förbättring av LIS Bilaga A (normativ) Styrmedel och styrmål - tabell som mappar SS ISO/IEC 17799 Bilaga B (informativ) Vägledning för användning av denna standard Bilaga C (informativ) Samband mellan ISO 9001 (2000), ISO 14001 (1996) och SS 62 7799-2 (2003) Bilaga D (informativ) Ändringar i intern numrering Litteraturförteckning SS ISO/IEC 17799 -- BÖR 1 Omfattning 2 Termer och definitioner 3 Säkerhetspolicy 4 Organisatorisk säkerhet 5 Klassificering och styrning av tillgångar 6 Personal och säkerhet 7 Fysisk och miljörelaterad säkerhet 8 Styrning av kommunikation och drift 9 Styrning av åtkomst 10 Systemutveckling och systemunderhåll 11 Kontinuitetsplanering för verksamheten 12 Efterlevnad 12