MÅLING AF INFORMATIONSSIKKERHED

Transkript

1 MÅLING AF INFORMATIONSSIKKERHED Beth Tranberg, Programleder

2 LOKAL OG DIGITAL et sammenhængende Danmark Den fælleskommunale handlingsplan Programmet skal følge op på og dokumentere, at arbejdet med sikkerhed styrkes i de danske kommuner, som aftalt med regeringen 2

3 Kommunal baseline analyse Projekt 1 Baseline analyse Projekt 2 Awareness Projekt 2 ISO Projekt 3 Rammearkitektur Praksis Praksis Praksis Brug for viden og ikke tro 3

4 Afsættet for spørgerammen Persondataloven og sikkerhedsbekendtgørelsen Interesseområder fra datatilsynet ISO Praksisområder ift. aktuelle problemstillinger, herunder Hensyn til stigende grad af outsourcing og cloudservices Historik ift. undersøgelse Sammenhæng den svenske undersøgelse (SKL) EU GDPR 4

5 Forventet OUTPUT fra informationssikkerhedsarbejdet Definering af processer og principper Implementering af principper Eksekvering som konsekvens af principper Evaluering af efterlevelse af effektivitet (evaluering og opfølgning) Der er et dokumenteret overblik over organisationen samt dens kontekst og interessenter Forretningsoverblik og informationssikkerhedsledelsessystem Informationssikkerhedsledelsessystemet er afledt af et aktuelt forretningsoverblik Roller, ansvar og opgaver er defineret med udgangspunkt i forretningsoverblikket Forretningsoverblikket revurderes en gang om året og i forbindelse med større ændringer Politikker/instrukser Overordnede politikker og mål for informationssikkerhed er beskrevet Overordnede politikker og mål er kommunikerede til organisationen Politikkerne er forankrede i instrukser, kontrakter, det daglige arbejde, processer, osv. Politikkerne revurderes en gang om året og i forbindelse med større ændringer Leverandørstyring Der er beskrevet en proces for leverandørstyring De valgte kontroller og leverandørkrav er opdaterede i forhold til det nyeste risikobillede Der følges op på om leverandørerne kan dokumentere deres kapabilitet Leverandørernes produkter testes og det verificeres, at de efterlever relevante krav Hændelseshåndtering Der er beskrevet en proces for hændelseshåndtering Hændelser bliver rapporteret via faste kanaler Rapporterede hændelser bliver vurderet og behandlet inden for en acceptabel tidsramme Effektiviteten af processen bliver målt i opnået læring (fx øget antal af hændelsesrapporteringer) Beredskabsplan Der er beskrevet en proces for planlægningen og styringen af beredskabet Der er etableret beredskabsplaner Medarbejdere, leverandører og interessenter har modtaget undervisning i beredskabsplanen Effektiviteten af beredskabet bliver testet Awareness og uddannelse Der er beskrevet et awarenessprogram Uddannelse og kommunikation eksekveres i overensstemmelse med planen Opdateringer til awarenessprogrammet sker i overensstemmelse med de evt. ændrede behov Effektiviteten af awareness-program bliver verificeret Opdatering af risikovurdering og SoA Der er beskrevet en proces for risikovurderinger Risikovurderinger gennemføres i henhold til processen og risici Risikoejere følger op på handleplaner, der er afledt af risikovurderingerne Effektiviteten af kontroller bliver verificeret Planer for sikkerhedsaktiviteter Der er bekrevet en proces for måling af informationssikkerheden Målinger gennemføres i henhold til processen Handleplaner bliver eksekveret baseret på identificerede mangler Effektiviteten af kontroller bliver verificeret Kilde: En rejsefortælling om funktioner, roller og ledelse planche 20 5

6 Fælleskommunal analyse Awareness & uddannelse Filter 1 = 2016 Filter 2 =

7 Definering af processer og principper 7

8 Implementering af principper 8

9 Eksekvering som konsekvens af principper 9

10 Evaluering af efterlevelse af effektivitet 10

11 Informationssikkerhed i din organisation Udvælg de områder/leverancer fra modellen I ønsker at inddrage i workshoppen? Spørgsmål til inspiration: Politikker/instrukser Leverandørstyring Har din organisation en implementeringsorganisation? Hvis nej hvad er årsagen? Hvis ja Hvilke erfaringer har I gjort jer? Forretningsoverblik og informationssikkerhedsledelsessystem Hændelseshåndtering Beredskabsplan Har din organisation en struktureret proces for måling af informationssikkerhed? Hvis nej hvad er årsagen? Hvis ja hvad gjorde I med succes? Hvad var/er svært? Evaluering og efterlevelse Har din organisation implementeret et årshjul, hvor der indgår processer for kontrol og opfølgning? Hvis nej hvad er årsagen? Hvad tror du, der skal til hos jer for at øge modenheden? Hvis ja Har din organisation en høj modenhed. Hvordan er I nået hertil? Hvad virker godt og hvorfor? Awareness og uddannelse Opdatering af risikovurdering og SoA Planer for sikkerhedsaktiviteter 11