Erfaringer fra innføring av ISO 27001 i danske kommuner (styringssystem for informasjonssikkerhet) Lars Neupart S,-er, Direktør i Neupart A/S [email protected] twi<er @neupart Om Neupart • ISO 27001 certificeret virksomhed. • Udvikler og sælger SecureAware®, en komplet og effektiv ISMS-‐løsning, som hjælper virksomheder med it-‐risikovurdering og enklere efterlevelse af deres it-‐sikkerhedskrav • Leverer SecureConsult, som er rådgivning og hjælp fra erfarne it-‐sikkerhedskonsulenter. • Mere end 200+ kunder i mange brancher og størrelser ISMS = Styringssystem for informationssikkerhed Program Baggrund – Danmark og Norge Hvad er ISO 27001? (i 2013-‐versionen) Hvad er taget i brug i Danske kommuner? Sådan er standarden implementeret 4 forslag ,l hvad I kan gøre i Norge Danmark Staten I Danmark har regeringens økonomiudvalg truffet beslutning om, at statens ins,tu,oner skal følge ISO27001-‐standarden. h<p://www.digst.dk/Arkitektur-‐og-‐standarder Kommunerne Kommunernes Landsforening anbefaler alle kommuner “at anvende ISO-‐standarden [27001] med henblik på at få en fælles, høj sikkerhedsstandard i den offentlige sektor” h<p://kl.dk/Fagomrader/Administra,on-‐og-‐digitalisering/ Informa,onshandtering/Informa,onssikkerhed/ Udvalgte ISO 2700x-‐ standarder ISO 27000 ISO27001 ISO27002 ISO 27003 • Overview and vocabulary • Informa,on Security Management Systems – Requirements • Code of prac,ce for informa,on security management • ISMS Implementa,on Guidelines ISO 27004 ISO27005 ISO27006 • Informa,on Security Management -‐ Measurement • Informa,on Security Risk Management • Requirements for bodies providing audit and cer,fica,on + + + + I skal vurdere risiko Krav til proces: 1. Kriterier for risiko, også for risikoappetit 2. Risikovurderinger 3. Fortløbende, konsistent proces, der sikrer sammenlignelige og korrekte resultater (afsnit 6.1 ) I skal have en proces for risikohåndtering Eksempel på risikohåndtering Accepter Reducér Del Undgå Risk Treatment = Risikohåndtering Valgmuligheder ISO 27005. ISO 27001:2013 kræver ikke de 4 former. Men krav, at der er en proces. I kan fx vælge disse 4 ,l jeres proces. Performance Evaluation • ISMS målinger – Hvad, hvordan, hvornår, hvem. – Resultater: Hvem gennemgår og hvor ofte • Intern Audit – Compliance & Effektivitet – Planlægning, udførelse & opfølgning Hvad skete der lige med PDCA? Der er krav ”continual improvement”. Plan -‐ Do – Check – Act kan vælges til at opnå dette. Se også indholdsfortegnelsen Erfaringer fra Danmark • Undersøgelse af ISO 27001 i danske kommuner udført af Neupart A/S I maj-‐juni 2014 • 24 af 98 kommuner deltog • Deltagere var inviteret fra Neupart’s kontakter • Foreløbige data Hvor langt er I kommet indenfor disse ISO 27001 områder? Har I et ISMS der vedligeholdes? Kender i sikkerhedskrav? Scope? Lederskab og ledelses engagement? Poli,k? Roller, ansvar og beføjelser? Risikovurdering? Risikohåndtering? Mål? Ressource-‐,ldeling? Kompetencer? Awareness? Kommunika,onsplan? ISMS-‐ dokumentstyring? Statement of Applicability ("SoA")? KPI'er / metrikker? Intern Audit? Ledelsens ISMS review? Håndtering af afvigelser? Løbende forbedringer af ISMS? Status på implementering Løbende forbedringer af ISMS? Håndtering af afvigelser? Ledelsens ISMS review? Intern Audit? KPI'er / metrikker? Statement of Applicability ("SoA")? ISMS-‐dokumentstyring? Kommunika,onsplan? Awareness? Kompetencer? Ressource-‐,ldeling? Mål? Risikohåndtering? Risikovurdering? Roller, ansvar og beføjelser? Poli,k? Lederskab og ledelses engagement? Scope? Kender i sikkerhedskrav? Har I et ISMS der vedligeholdes? 0% 10% 20% Fuldt implementeret 30% 40% Delvist implementeret 50% Planlagt 60% 70% Ikke begyndt 80% 90% 100% Hvordan? Office pakke Konsulenter Værktøj Kommunernes udfordringer Valid from Valid until This is to certify that the2015.11.12 Management System of 2012.11.12 DS certified since Valid from 2003.11.12 2012.11.12 Certificate No. 101010 Valid until 2015.11.12 Neupart A/S Hollandsvej 12 2800 Kongens Lyngby DS certified since 2003.11.12 fulfils the requirements in ISO 27001 Certificerings-‐ erfaringer Certificate ISO/IEC 27001:2005 101010 The scope of the certificate is Solutions and services for information security management in accordance with the Statement of Applicability, dated 2012-10-23 Niels Falk Managing director DS Certificering A/S Kollegievej 6 DK 2920 Charlottenlund Denmark The English text of the certificate is considered to be legally binding in case of doubt with regard to the correctness of the translation Page 1 of 1 Den største ISMS fælde? Neuparts fejl: • ISMS voksede over 10 år. • For stort & for meget • For tungt at vedligeholde • For svært at efterleve • Hindrede vores forretning i stedet for at understøtte den 4 gode steder at starte Risk • Evaluer risiko-‐metode • Risiko-‐håndtering er centralt • Husk “opportuni,es” • Neupart Webinar og whitepaper SoA • Beskriv jeres sikrings,ltag • Begrund ,lvalg og fravalg (annex A) • Husk sammenhæng med risiko-‐håndtering • “Dynamisk gap-‐ analyse” • Neupart Webinar Poli,k • Poli,k for informa,onssikkerhed • Anbefaler 3-‐delt struktur m. poli,k / regler / procedurer Ledelse • Ledelsen skal være engageret! • Sæt mål • KPI’er • Intern kontrol • ISMS skal køre godt og forbedres og vedligeholdes Lær mere om ISO 27001 og ISMS-‐værktøj Webinar: Introduktion til ISO 27001 ISMS • 24. juni 2014 kl. 11 til 11.30 • Gratis Webinar: Hands-‐on gennemgang af SecureAware værktøj • 26. juni 2014 kl. 11 til 11.30 • Gratis Kursus: Værktøj: Styringssystem for informasjonssikkerhet SecureAware ISMS • 25. september 2014 kl. 9.00 til 16.30, Oslo • Tilmeld dig inden 31. juli med rabatkode: KINS-‐ISMS. Værdi Kr. 2000 • ISO 27001 Policy & Compliance, • Risikovurderinger, Risikohåndtering, • Beredskabsplaner • Virker øjeblikkelig, nem at tage i brug, gra,s prøveperiode Tilmelding på www.neupart.dk/arrangementer Er ISO 27001 vanskeligt? • Nej og ja…. • Det amænger af jeres ambitions-‐niveau, jeres værktøjer, kompetancer, jeres erfarings-‐udveksling • Vær pragmatisk og kun lidt ambitiøs INFORMATION SECURITY MANAGEMENT Besøg vores lille bord i foyer J Hils på Esben Mogensen og mig. Få svar på spørgmålet i konkurrencen
© Copyright 2024