Mapning af forretningsprocesserne og IAM 1 Agenda Kort om LinkGRC Omfanget af præsentationen Overordnet metodik Kravstyring Implementering af krav i organisationen IAM relateret processer Assurance 2 Agenda Kort om LinkGRC Omfanget af præsentationen Overordnet metodik Kravstyring Implementering af krav i organisationen IAM relateret processer Assurance 3 Kort om LinkGRC • Stiftet i 2006 af Tomas Hellum – tidligere it-chef (del af TUI koncernen), management konsulent og it-revisor (PwC) • LinkGRC’s vision er at hjælpe virksomheder og offentlige organisationer med simple og operationelle initiativer og værktøjer og “linke” dem sammen for at sikre bedre governance. • LinkGRC’s kunder er inden for forsikring og pension, finans, kommuner og andre regulerede sektorer • LinkGRC har lang erfaring med at hjælpe med risikominimerende tiltag, herunder governance frameworks, udarbejdelse af dokumentation og kontrolmiljøer samt operationelle it-værktøjer og –systemer. • Vi hjælper vores kunder med at kunne fokusere på deres værdiskabende processer inden for governance, enterprise risk management og compliance. • Tomas Hellum er medlem as SC27 (bla. ISO27001/2 udarbejdelse), bestyrelsesmedlem i den skandinaviske del af thebci.org, Professionelt medlem af IOR (Institute of Operational Risk i UK, og er ved at hjælpe med at starte den skandinaviske del af instituttet. • Tomas Hellum har assisteret ISACA med følgende publikationer internationalt: • • • • • Security Incident Management Audit / Assurance program (SME) Access Management Audit / Assurance program (SME) Configuration management using Cobit 5 (SME) Risk Scenarios using Cobit 5 for Risk (SME) Q1/Q2 2015 Basel and Cobit book (Contributor) 4 Kort om LinkGRC Virksomheds strategi HVAD ER DET VI VIL? Salgs Strategi IT Strategi Compliance & ITGovernance Strategi BASEL II Gramm Leach Bliley §71 Finanstilsynet GLBA FFIEC Directive 2002 58 EC Persondataloven OECD EU Safe Harbor Markedsandele ISA 315 RS315 PCAOB IFAC EBIT GxP Annex 11 PAL HIPAA Politikker Forretningsgange Arbejdsinstruktioner Andre Check af efterlevelse Måling på effektivitet Performance indikatorer HVAD SKAL VI GØRE? HVORDAN GØR VI DET? HVORDAN SIKRER VI AT VI GØR DE RIGTIGE TING RIGTIGT? Nye markeder 5 Agenda Kort om LinkGRC Omfanget af præsentationen Overordnet metodik Kravstyring Implementering af krav i organisationen IAM relateret processer Assurance 6 Omfanget af præsentationen • Fokuseret på at forklare hvordan risikostyringen, herunder gennemgang af forretningens hovedaktiviteter, kan give værdifulde informationer til IAM • Typiske processer der kan indeholdes i et IAM governance setup • Dokumentations niveau og omfang • Hvordan krav kan identificeres og hvordan de kan sikres (assurance) 7 Agenda Kort om LinkGRC Omfanget af præsentationen Overordnet metodik Kravstyring Implementering af krav i organisationen IAM relateret processer Assurance 8 Overordnet metodik 9 Overordnet metodik Hovedaktivitet Underaktivitet og processer Systemer Risici Kontroller Udbedringer Personer Volume of process/business Informationsaktiver 10 Udbytte • Afhold risikoworkshops på hovedaktiviteter og bearbejd hver underaktivitet / proces • Identificer nøgle attributter som specificeret • Implementer governance processer til periodisk opdatering af risikoworkshops 11 Agenda Kort om LinkGRC Omfanget af præsentationen Overordnet metodik Kravstyring Implementering af krav i organisationen IAM relateret processer Assurance 12 Kravstyring 13 Kravstyringsproces Fortolkning § Workshops Legal, Compliance, Risk Ekstern advokat Byg strategi Manuelt / “UCF” Policy A Policy A Policy C Policy D Policy E Standard A Standard A Procedure B Procedure C Standard B Policy F 14 Kravstyring “forklar hvorfor” Forklar “Hvorfor” POLICY A policy is written in clear, simple statements of how organization intends to conduct its services, actions or business. Policies provide a set of guiding principles to help with decision making. Policies must be approved my board of management or board of directors. General management statements PROCEDURES Overall description of who, what, where, when and why in relation to activities INSTRUCTIONS Specific step-by-step instructions in relation to activities CONTROLS Specific mandatory key controls A procedure is a document written to support a policy areas collection of statements. A procedure is designed to describe who, what, where, when, and why in relation to activities by means of establishing corporate accountability in support of the implementation of a policy or policy area. Procedures must be approved by management. An instruction present a sequence of steps to execute a task or activity. The format is typically text, but a visual depiction of the steps can also constitute instructions. A mix of text, hyperlinks, and pictures are typically included in documenting the process steps. Instructions must be approved by the Subject Matter Expert (SME) for the area described. A control must be designed to provide reasonable assurance that the information security setup by organization operates as intended, that data is reliable and that organization is in compliance with applicable laws, regulation, standards and good practice. Controls must be approved by the management. 15 Eksempel på kravstyring 16 Udbytte • Identificer krav, fortolkninger o.a. Beskriv metoden og start proces for governance af fortolkninger • Grupper krav til dokumentation (politikker) for at sikre at vi kun beskriver hvad der er krævet. • Byg et dokumentations hieraki og sørg for fx at krav er implementeret i politikker, som så de underliggende niveauer skal beskrive og sikre de efterlever • Skub det ud i organisationen, så efterlevelsen skal sikres et niveau tilbage. 17 Agenda Kort om LinkGRC Omfanget af præsentationen Overordnet metodik Kravstyring Implementering af krav i organisationen IAM relateret processer Assurance 18 Implementering af krav i organisationen Hvor mange flere dokumenter tror du vi skal udarbejde 19 Implementering af krav i organisationen POLICY General management statements PROCEDURES Overall description of who, what, where, when and why in relation to activities INSTRUCTIONS Specific step-by-step instructions in relation to activities a) Skabeloner til understøttelse af framework b) Procedure omkring udarbejdelse af dokumentation c) Strategi for hvor dokumentation gemmes d) Implementer oppe fra og ned gerne med understøttelse fx i form af review, interview eller eksempler CONTROLS Specific mandatory key controls 20 Udbytte • Byg et dokumentations hierarki fx Politikker/Retningslinjer, Standarder, Forretningsgange og arbejdsbeskrivelser • Definer hvor styret dokumentation er placeret, og beskriv processen • Forsøg så vidt muligt at relatere dokumentation til interne processer • Forsøg så vidt muligt at relatere dokumentations hierarki og krav • Anvend simple værktøjer som fx SharePoint workflows til at sikre ejerskab i virksomheden og at dokumentationen opdateres og godkendes • Skab et overblik over hvad der ikke er godkendt, og hvornår det skal godkendes. 21 Agenda Kort om LinkGRC Omfanget af præsentationen Overordnet metodik Kravstyring Implementering af krav i organisationen IAM relateret processer Assurance 22 IAM relateret processer Definitions Governance Access Concept Role types Access Matrix Audit of access management life cycle Assigned to users Maintenance of roles New or changes to organization New or changes to business applications New or changes to functionality New or changes to process Control and follow-up of assignments Attestation Approval of CRAs Control and follow-up of roles, role content and descriptions Maintenance processes of access management environments Role Assignment Calculated Role Assignments Role scopes “Who can request it” Role risk assessment and control Naming concept Application role naming and descriptions Enterprise role naming and description Daily administration User lifecycle Internals Externals Service accounts Secondary user accounts Envelope users Assignment of roles Self service Roles and responsibilities Resource ownerships and responsibilities Business applications Roles CRAs Role scopes Organizational ownerships and responsibilities Internal Audit Access Administration IAM application and role Maintenance Operational Risk Appendix - Access model 23 Agenda Kort om LinkGRC Omfanget af præsentationen Overordnet metodik Kravstyring Implementering af krav i organisationen IAM relateret processer Assurance 24 Assurance Væbnet røveri?, jeg sidder inde for ikke at efterleve offentlige krav 25 Assurance Never in all history have we harnessed such formidable technology. Every scientific advancement known to man has been incorporated into its design. The operational controls are sound and foolproof! 26 Assurance Never in all history have we harnessed such formidable technology. Every scientific advancement known to man has been incorporated into its design. The operational controls are sound and foolproof! - E. J. Smith, , Captain of the Titanic 27 Udbytte • Identificer og registrer virksomhedens kontroller fx i risikoworkshops • Relater kontroller til metadata (fx processer) og risici for at sikre at der fx ikke er dobbelt kontroller og der i den årlige risikovurdering kan vurderes sandsynlighed og konsekvens • Vurder om det er nøgle kontroller og vurder om de giver den fornødne minimering • Brug fx t-shirt sizes (small, medium etc.) til tidsestimat for at kunne beregne omkostninger for kontroller 28 A Nordic Leader in all aspects of Governance, Risk and Compliance 29
© Copyright 2024