Vilket mervärde ger certifiering dig? En debatt Håkan Skyllberg, KPMG Inger Nordin, WM-data Validation Information Risk Management 0
Presentation Håkan! Medytekk AB! Tillverkning av läkemedel & medicinskteknisk utrustning! Främsta marknader: Sverige, Europa & USA! IT-Chef & tillika ansvarig för IT-säkerhet Inger! Global Fund & Banking Sweden AB! Svenskt dotterbolag till en amerikansk investmentbank! Säkerhetschef 1
Riskekonomi Kostnad för skador Kostnad för säkerhetsåtgärder Kostnad Kostnader i balans Säkerhetsnivå 2
Kontinuitet ett tidsperspektiv Förlorad information Restore Inmatning av data från reservrutiner Normaldrift Backup Backup Reservrutiner Kan vi lita på den återskapade informationen? Återskapande av förlorad information 3
Juridiska aspekter Generellt! Personuppgiftslagen (PUL)! Sekretesslagen Privata sektorn! Åtaganden mot kund (Förtroende & Anseende)! Sarbanes-Oxley Act! Basel II! Food and Drug Administration (FDA)! Revisionsregler (t. ex. RS 401)! Offentliga sektorn! 24-timmarsmyndigheten! Krisberedskapsförordningen! Hälso- och sjukvårdslagen! Patientjournallagen! Health Insurance Portability and Assurance Act (HIPAA)! 4
Informationssäkerhet i verksamheten = RISKHANTERING Intressenter Planera Intressenter Upprätta LIS Inför och driv LIS Utvecklings-, underhålls- och förbättringscykel Upprätthåll och förbättra LIS Genomföra Förbättra Styrd informationssäkerhet Informationssäkerhetskrav och förväntningar Följ upp och granska LIS Följa upp LIS = Ledningssystem för informationssäkerhet 5
SS 62 77 99-2 Gemensamt verksamhetssystem Ledningssystem för kvalitet Organisationens verksamhetssystem Arbetsmiljö Miljö Kvalitet Ekonomi Informationssäkerhet Ledningssystem för miljö Ledningssystem för arbetsmiljö Ledningssystem för informationssäkerhet ETT VERKSAMHETSSYSTEM 6
SS 62 77 99-2 Gemensamt verksamhetssystem likheter! Ledningens styrning - Policy och mål! Organisation, ansvar, befogenheter! Dokumenthantering, styrande respektive redovisande! Processtyrning! Ledningens genomgång! Systemstruktur! Utbildning! Internrevisioner! Korrigerande och förebyggande åtgärder 7
Verksamhetssystem 6 fokusområden skillnader SS 62 77 99-2:2003 ISO 14001:1996 ISO 9001:2000! Riskanalys Miljöutredning -! Uttalande om - Tillämpning (1.2) tillämplighet (4.2.1.h)! Policy Policy Policy - ramverk för att - miljödokument - kvalitetsdokument fastställa LISs mål och gemensam inriktning - disciplinär åtgärd (A6.3.5)! Kontinuitetsplan (A11) Nödlägesberedskap - (4.4.7)! Lagrum - ALLA Lagrum - Miljö Lagrum - ALLA! Förbättring av LIS (7) Process för ständig Ständig förbättring förbättring i prestanda (4.2) i systemet (8.5.1) 8
Sammanfattning Ger ledningen ett bra stöd för att effektivt styra och leda verksamheten mot affärsmålen Säkerställer att beslutsfattare i organisationen grundar beslut på tillförlitlig information Anpassat ramverk för informationssäkerhet ger: Effektiv riskhantering Kostnadseffektiva åtgärder Medvetenhet Rätt kontinuitet i verksamheten Rätt information till rätt person i rätt tid Minskar risken för rättsliga tvister Säkerställer efterlevnad av lagar och interna regler Trygg personal Stärker varumärket Högt förtroendekapital Ökade marknadsandelar Fler och mer nöjda kunder 9
Lycka till och tack för oss Håkan och Inger Information Risk Management 10
Om debattörerna Håkan Skyllberg, KPMG Informationssäkerhetskonsult och ansvarar för informationssäkerhetstjänsterna på KPMG. Han är certifierad ITrevisor (CISA). Håkan har arbetat med säkerhetsfrågor sedan -86 och som konsult sedan -95. I början med fokus på tekniska lösningar men sedan -98 med inriktning mot styrning och ledning av informationssäkerhetsarbetet. Håkan arbetar främst med riskanalyser och utformning av informationssäkerheten för såväl mindre organisationer med ett tiotal anställda till internationella koncerner med fler än 35.000 anställda. hakan.skyllberg@kpmg.se Mobil: 070-265 96 52 Tel: 08-723 96 52 Inger Nordin, WM-data Validation AB Säkerhetschef samt informationssäkerhetschef. Inger är civilingenjör inom Datateknik och har en MBA från Handelshögskolan i Stockholm. Inger har arbetat med säkerhet i olika former sedan 80- talet på IBM. Nu senast med SUA-klassning och internt regelverk inom Validation AB. Inger har även erfarenhet från certifieringssidan inom informationssäkerhet då hon arbetade som marknadsansvarig för informationssäkerhets- och IT-tjänster samt var global projektledare för informationssäkerhet vid DNV Certification. Inger har haft flera förtroendeuppdrag inom SIS LIS-projekt ordförande i informationsgruppen, erfarenhetsutbytesgruppen och i pilotcertifieringsgruppen samt har medverkat vid framtagandet av standarderna för informationssäkerhet. Inger är även medlem i IT-företagens Informationssäkerhetsråd. inger.nordin@wmdata.com Mobil: 070-366 42 58 Tel: 08-606 21 36 11
SKALL och BÖR standarderna = LIS SS 62 77 99-2:2003 SKALL 0 Orientering 1 Omfattning " Normativa hänvisningar " Termer och definitioner " Ledningssystem för informationssäkerhet " Ledningens ansvar " Ledningens genomgång av LIS " Förbättring av LIS Bilaga A (normativ) Styrmedel och styrmål - tabell som mappar SS ISO/IEC 17799 Bilaga B (informativ) Vägledning för användning av denna standard Bilaga C (informativ) Samband mellan ISO 9001 (2000), ISO 14001 (1996) och SS 62 7799-2 (2003) Bilaga D (informativ) Ändringar i intern numrering Litteraturförteckning SS ISO/IEC 17799 -- BÖR 1 Omfattning 2 Termer och definitioner 3 Säkerhetspolicy 4 Organisatorisk säkerhet 5 Klassificering och styrning av tillgångar 6 Personal och säkerhet 7 Fysisk och miljörelaterad säkerhet 8 Styrning av kommunikation och drift 9 Styrning av åtkomst 10 Systemutveckling och systemunderhåll 11 Kontinuitetsplanering för verksamheten 12 Efterlevnad 12