Præsentation er lastning. Vent venligst

Præsentation er lastning. Vent venligst

It-sikkerhedsledelse

Offentliggjort afFreja Marcussen Redigeret for ca. et år siden

Lignende præsentationer

Præsentationer af emnet: "It-sikkerhedsledelse"— Præsentationens transcript:

1 It-sikkerhedsledelse
Om værktøjer til it-sikkerhedsfunktionen (c) 2003, 2004, 2005 Neupart A/S

2 Neupart’ fokus: It-sikkerhedsledelse
Vi leverer software som: Hjælper sikkerhedsansvarlige med effektiv it-sikkerhed F.eks. It-sikkerhedshåndbog, politik, procedurer, beredskab, risikovurdering & analyse, awareness, uddannelse og opfølgning. Styrker Den menneskelige Firewall Politik-baserede awareness-programmer Målrettet & effektiv uddannelse til alle brugere Kort sagt: Et komplet ISMS Information Security Management System Ledelsessystem til it-sikkerhed (c) 2003, 2004, 2005 Neupart A/S

3 Relevante Standarder ISO / IEC 27002 (tidligere 17799) ISO / IEC 27001
Code of practice for Information Security Management Alias BS :2005 ISO / IEC 27001 Kontrolpunkter ISMS Alias BS7799-2:2005 DS484 Standard for Informationssikkerhed Samme kontroller som ISO/IEC 17799 Note: 2005-opdateringer: Ingen voldsomme ændringer. Strukturforbedringer øger anvendeligheden. ISO17799 er frigivet i juni DS484 er frigivet i oktober ISO27001 er frigivet i oktober (c) 2003, 2004, 2005 Neupart A/S

4 BS 7799-1 BS 7799-2 ISO 27001 DS 484:2005 Code of practice
ISMS requirements Implementation guidance Controls ISO 27002 ISO 17799:2005 ISO 27001 ”shall” ”should” Statement of applicability Implementerings- retningslinjer Sikringsforanstaltninger DS 484:2005 ”skal” ”skal” (c) 2003, 2004, 2005 Neupart A/S

5 F.eks. I kommuner Komplet it-sikkerhedshåndbog med politik, regler, retningslinier og procedurer. Compliance-styring måler, om kommunen efterlever kravene. Nem opfølgning giver kommunen styr på processer, aktiviteter  og tilbagevendende opgaver. Skabeloner til politik, regler, beredskab og hændelsesstyring gør det enklere for jer at etablere den anerkendte og rigtige sikkerhed. Risikostyring med konsekvensvurderinger, risikovurderinger og analyser. Awareness kommunikerer den konkrete it-sikkerhedspolitik med målgrupper, quizzer, pauseskærme og giver grundlæggende viden til it-brugere. Uddannelse, workshops og rådgivning kan leveres i det omfang I ønsker (c) 2003, 2004, 2005 Neupart A/S

6 It-sikkerhedshåndbog: SecureAware Policy
(c) 2003, 2004, 2005 Neupart A/S

7 Struktur i it-sikkerhedshåndbog
Hvorfor? Mål, strategi, definitioner m.m. Overordnet politik Hvad? Hvad gør vi, og hvad gør vi ikke. Retningslinier. Regler Hvordan? Sådan gør vi. Regel-implementering. Instrukser. Procedurer (c) 2003, 2004, 2005 Neupart A/S

8 Målgruppeopdeling brugere systemejere it-administratorer ledere
Overordnet politik Regler Procedurer Målgruppeopdeling brugere systemejere it-administratorer ledere (c) 2003, 2004, 2005 Neupart A/S

9 Emneopdeling Eksempler på indholdskategorier:
Overordnet politik Regler Procedurer Emneopdeling Eksempler på indholdskategorier: kodeord -brug persondatalov hændelser beredskab (c) 2003, 2004, 2005 Neupart A/S

10 Politik-objekter In SecureAware, politiker består af objekter.
Objekter er små tekst-stykker, typisk regler med nogle ”optioner” på. Objekter tildeles forskellige ”egenskaber”, fx: Målgruppe Indholdskategori (mapping til Standard-struktur-reference Objekter findes i flere sprog (pt 5) Objekter genbruges i politik, awareness-programmer m.m. (c) 2003, 2004, 2005 Neupart A/S

11 Objekt-baseret = Fordele
Flere indgangsvinkler til det samme indhold Målgrupper - Kortere politikker Standard-strukturer - Velkendt & ”revisorvenlig” Politik- Objekter Indholdskategorier - Brugervenlig (c) 2003, 2004, 2005 Neupart A/S

12 Demo af it-sikkerhedshåndbog
De tre niveauer (”Pyramiden”) Skabeloner Ændringer, tilføjelser Målgrupper, indholdskategorier PDF, RTF, HTML Publicering Logning (c) 2003, 2004, 2005 Neupart A/S

13 Awareness: Intranet-pakke
(c) 2003, 2004, 2005 Neupart A/S

14 Forestil dig trafikken uden færdselsregler!
Færdselsregler giver færdselssikkerhed. it-sikkerhedsregler giver it-sikkerhed. FORUDSÆTNINGER FOR SIKKERHED: 1. Reglerne skal eksistere! 2. Alle skal kende dem 3. Alle skal have motivation til at følge dem (c) 2003, 2004, 2005 Neupart A/S

15 Sammenhæng mellem SecureAware® Policy & Awareness
(c) 2003, 2004, 2005 Neupart A/S

16 Demo af awareness-redskaber
Målgruppe-opdelte regler og procedurer ”Ja, jeg har læst......”-kvittering Quizzer Vidensbaserede Regel / håndbogs-baserede. Korte animerede film med tekst og tale Web-service grænseflade F.eks til pauseskærme, andre intranet (c) 2003, 2004, 2005 Neupart A/S

17 SecureAware Education
Korte animerede film med tekst og tale til at uddanne brugere i sikkerhedsbevidst brug af computere: Skadelige programmer, Kodeord, Brug af , Brug af internet, Mobilt udstyr, Softwareinstallation, Sikkerhedskopiering, Adgang til virksomhedens netværk, Kryptering og Håndtering af hændelser. (c) 2003, 2004, 2005 Neupart A/S

18 Fordele Tidsbesparende. Automatisk mangelcheck. Overblik.
Aktiviteter kan uddelegeres automatisk med et fast interval Automatisk mangelcheck. Hvilke opgaver er endnu ikke uddelegerede? Overblik. Automatisk generering af skræddersyede rapporter. Overskuelighed. Brugere vil automatisk modtage med en liste over opgaver. Brugervenlighed. Brugere guides direkte til det sted i SecureAware, hvor opgaven skal udføres. Integration til øvrige SecureAware-moduler (c) 2003, 2004, 2005 Neupart A/S

19 Observation/Anbefaling fra revision
Sikkerhedskopiering – test Anbefaling Vi anbefaler, at det periodisk kontrolleres og dokumenteres, at der er gennemført tilstrækkelig og tilfredsstillende retableringer af data til at underbygge formodningen om, at backupløsningen understøtter ledelses- og lovkrav. RISIKO! Øget risiko for unødig økonomiske tab, som følge af at data ikke kan retableres efter et nedbrud. (c) 2003, 2004, 2005 Neupart A/S

20 Periodiske opgaver/kontroller, fortsat
Observationer Licensstyring – afstemning Anbefalinger Vi anbefaler, at der periodisk gennemføres en kontrol af, at anvendte programmer på servere og pc’er stemmer overens med indkøbte licenser. RISIKO! Såfremt virksomheden ikke kontrollerer, at licensregler for software overholdes, er der øget risiko for, at der kan pådrages erstatningsansvar over for leverandører af software. (c) 2003, 2004, 2005 Neupart A/S

21 Periodiske opgaver/kontroller, fortsat
Observationer Virusbeskyttelse – opdatering Anbefalinger Vi anbefaler, at der fremadrettet kvitteres for daglige kontrol af antivirus aktivering eller at årsagen til at proceduren fraviges noteres. RISIKO! Utilstrækkelig virusbeskyttelse øger risikoen for økonomiske tab som følge af nedbrud i it-anvendelsen eller tab af data. (c) 2003, 2004, 2005 Neupart A/S

22 Periodiske opgaver/kontroller, fortsat
Observationer Fysisk sikring – strømsikring Anbefalinger Vi anbefaler, at den etablerede UPS-løsning serviceres og testes regelmæssigt, samt at der etableres dokumentation herfor. RISIKO! Manglende sikring mod strømsvigt, brand, vandskade mv. øger risikoen for økonomiske tab som følge af nedbrud i it-anvendelsen eller tab af data. (c) 2003, 2004, 2005 Neupart A/S

23 Periodiske opgaver/kontroller, fortsat
Ændringskontrol – separate miljøer Vi anbefaler generelt, at i revurderer jeres kontrolmiljø og etablere en forebyggende automatisk kontrol der sikre, at udviklere kun har display-adgang til produktionsmiljøer Såfremt dette ikke af organisatoriske eller forretningsmæssige årsager er muligt, skal vi anbefale, at gennemgang af log over transaktioner som genereres af udviklere sker med faste intervaller og dokumenteres, samt at denne kontrol foretages af økonomiafdelingen og ikke af it-afdelingen. RISIKO! Utilstrækkelige eller svage procedurer i relation til styring af tilretninger til applikationer øger risikoen for, at ændringer til applikationer sættes i drift uden fornøden kvalitetssikring eller ledelsesgodkendelse, og at applikationer dermed ikke fungerer i overensstemmelse med jeres behov. (c) 2003, 2004, 2005 Neupart A/S

24 Risikostyring SecureAware Risk
(c) 2003, 2004, 2005 Neupart A/S

25 Fordele ved risikostyring
Overblik og prioriteringsværktøj. Indsats kan rettes mod de vigtige områder. Input til beredskabsplan Sammen med it-sikkerhedspolitik opnås ”balanceret investering” i it-sikkerhed. Standarderne kræver det. (c) 2003, 2004, 2005 Neupart A/S

26 Model for risikovurdering
Ledelses- vurdering Faglig vurdering Fra standarder (c) 2003, 2004, 2005 Neupart A/S

27 Udregning af risiko (c) 2003, 2004, 2005 Neupart A/S

28 Systemer Aktiver Processer F.x. support, ordrebehandling ...
Lav risikovurdering her Systemer F.x. Applikationer, ERP, CRM... Aktiver F.x. servere, pc’er .. (c) 2003, 2004, 2005 Neupart A/S

29 Risikostyring Reducere sårbarheder eller etablere sikringsforanstaltninger
Cost Benefit Analysis Forbyggende sikringstiltag Reduktion af sårbarhed Forebyggelse af konsekvens Handlingsplaner Forretningen acceptere risikoniveau Forretnings-risiko Trussel billed Sårbarhed for organisation (manglende sikringstiltag) Sandsynlighed for hændelse Konsekvens af hændelse Beredskabs- foranstaltninger Interesse for organisationens data (c) 2003, 2004, 2005 Neupart A/S

30 Spørgsmål? På www.neupart.dk kan du få gratis:
Nyhedsbrev Demo-version af SecureAware dit sikkerheds-intranet med ISMS Risikovurderings-værktøj Excel, gratis til eller (c) 2003, 2004, 2005 Neupart A/S

Download ppt "It-sikkerhedsledelse"

Lignende præsentationer

Anskaffelse af ny teknologi

Anskaffelse af ny teknologi
Teststrategi Engrosmodellen

Teststrategi Engrosmodellen
Datakvalitetsstrategi Engrosmodellen

Datakvalitetsstrategi Engrosmodellen
Egenkontrol.

Egenkontrol.
Videregående pc-vejledning Modul Sik: Sikkerhed Lidt om antivirusprogrammer mm. 60+Bornholm.

Videregående pc-vejledning Modul Sik: Sikkerhed Lidt om antivirusprogrammer mm. 60+Bornholm.
Portalintegrationsprojektet Føderationstilslutning ERFA møde 9. januar 2008.

Portalintegrationsprojektet Føderationstilslutning ERFA møde 9. januar 2008.
Introduktion til kriterium 4 Partnerskab og ressourcer Excellence netværk 2004 Jørgen Kjærgaard.

Introduktion til kriterium 4 Partnerskab og ressourcer Excellence netværk 2004 Jørgen Kjærgaard.
Samarbejde med eller uden Service Level Agreement (SLA)

Samarbejde med eller uden Service Level Agreement (SLA)
Big Data – muligheder og udfordringer for sundhedsvæsnet

Big Data – muligheder og udfordringer for sundhedsvæsnet
Arbejdsmiljøcertificering

Arbejdsmiljøcertificering
Energiledelse Energiledelse betyder, at virksomheden gennemfører en systematisk, løbende indsats for at bruge energien bedre og derigennem øge virksomhedens.

Energiledelse Energiledelse betyder, at virksomheden gennemfører en systematisk, løbende indsats for at bruge energien bedre og derigennem øge virksomhedens.
Windows ® 7 og Office 2010 til små og mellemstore virksomheder WINDOWS ® 7 OG OFFICE 2010 TIL SMÅ OG MELLEMSTORE VIRKSOMHEDER Vi anbefaler ægte Microsoft.

Windows ® 7 og Office 2010 til små og mellemstore virksomheder WINDOWS ® 7 OG OFFICE 2010 TIL SMÅ OG MELLEMSTORE VIRKSOMHEDER Vi anbefaler ægte Microsoft.
Virksomheders Risk Management i juridisk kontekst

Virksomheders Risk Management i juridisk kontekst
Implementering af it-system

Implementering af it-system
Firewalls & netsikkerhed Henrik Størner,

Firewalls & netsikkerhed Henrik Størner,
Teststrategi Engrosmodellen

Teststrategi Engrosmodellen
Opstartsmøde fase 2: Implementering og etablering af miljøerne

Opstartsmøde fase 2: Implementering og etablering af miljøerne
Beskyt din computer og dine data!

Beskyt din computer og dine data!
Kommunikation alvor og sjov

Kommunikation alvor og sjov
DDB Hindsgavl den 26. maj 2011 René Birkemark Olesen

DDB Hindsgavl den 26. maj 2011 René Birkemark Olesen

Lignende præsentationer

Annoncer fra Google