It-sikkerhedsledelse

Slides:



Advertisements
Lignende præsentationer
Anskaffelse af ny teknologi
Advertisements

Teststrategi Engrosmodellen
Datakvalitetsstrategi Engrosmodellen
Egenkontrol.
Videregående pc-vejledning Modul Sik: Sikkerhed Lidt om antivirusprogrammer mm. 60+Bornholm.
Portalintegrationsprojektet Føderationstilslutning ERFA møde 9. januar 2008.
Introduktion til kriterium 4 Partnerskab og ressourcer Excellence netværk 2004 Jørgen Kjærgaard.
Samarbejde med eller uden Service Level Agreement (SLA)
Big Data – muligheder og udfordringer for sundhedsvæsnet
Arbejdsmiljøcertificering
Energiledelse Energiledelse betyder, at virksomheden gennemfører en systematisk, løbende indsats for at bruge energien bedre og derigennem øge virksomhedens.
Windows ® 7 og Office 2010 til små og mellemstore virksomheder WINDOWS ® 7 OG OFFICE 2010 TIL SMÅ OG MELLEMSTORE VIRKSOMHEDER Vi anbefaler ægte Microsoft.
Virksomheders Risk Management i juridisk kontekst
Implementering af it-system
Firewalls & netsikkerhed Henrik Størner,
Teststrategi Engrosmodellen
Opstartsmøde fase 2: Implementering og etablering af miljøerne
Beskyt din computer og dine data!
Kommunikation alvor og sjov
DDB Hindsgavl den 26. maj 2011 René Birkemark Olesen
Digital post på Virk.dk Siden 2010 I dag ca brugere
Input FMEA Output Shit in = Shit out FMEA
Krav til funktionalitet i fremtidens flådestyringssystem
Arbejdet med åbne standarder – fokus på implementeringen af B 103 Oplæg ved 3. workshop for it-governance 21. februar 2007.
Dynamisk styring af Office skabeloner Inspirationsseminar 31. oktober 2006.
Introduktion til Microsoft CRM Christian Cletus Bjørn Eilertsen.
WorldIQ A/S - Technology Briefing
Arkitektur - Sikkerhed
Søgning - et værktøj til videndeling Inspirationsseminar 31. oktober 2006.
Brug af IT redskaber og -systemer i den administrative stilling
IT – sikkerhed Fysisk sikkerhed Logisk sikkerhed
Beskyt & bevar kontrol med information CRM LOB ERP Find information, viden & øget indsigt i forretning Enklere samarbejde mellem mennesker Reducerede.
Workshop om trivselsmålinger SSID – årskonference Rita Jensen Personalestyrelse 29. April 2009.
Michael Hald Konsulent, KL
Videnskabsministeriets arbejde med åbne standarder Vicedirektør Mikkel Hemmingsen, Videnskabsministeriet
Microsoft Dynamics – synergi mellem forretningsområder Susanne Christoph Dynamics Sales Lead
Struktur og processer I alle studier af innovationssucceser og fiaskoer er det konstateret, at de største årsager til manglende succes er: 1.Manglende.
Portalanalyse Udfordringer ved iFrame integrationsformen i forbindelse med FOBS løsningen.
Brønden. Brøndopkoblingen Ved DBC Ding Ding - Hosting Den server som Ding løsningen kører på. ● Internt hos biblioteket ● Hos kommunen ? ● Tredje udbyder.
Barrierer i og for forbedringsprojekter Udenom, indenom, henover eller igennem barriererne Hvilken vej vil du? 12. oktober C2E netværk.
1 COWI BAR Handel, BAR Jord til Bord, BAR Kontor, Grafisk BAR, Industriens BAR 1 ARBEJDSMILJØLEDELSE OHSAS Seminar 1 Arbejdsmiljøledelse OHSAS
Arbejdsmiljøledelse – hvad er det? Oktober Formål Arbejde målrettet og systematisk på at sikre medarbejdernes sundhed, trivsel og arbejdsglæde.
Quality Management Systems
Velkommen Tak fordi I har valgt at deltage i denne session.
Dokumentation af opgaver
It-sikkerhedsledelse
Udregning af UseCasePoints UCP = UUCP*TCF*EF UseCasePoint = Ujusteret Use Case Point * Tekniske Komplexitets Faktor * Miljø Mæssige Faktor.
Microsoft Office System 21. Oktober 2003 Jesper Aaberg, Business Productivity Advisor Microsoft Danmark.
Seminar 6 – Arbejdsmiljøledelse
Styr på ressourcer og projekter Inspirationsseminar 31. oktober 2006.
Jesper Aaberg ForretningskunsulentMicrosoft Strategy Briefing, 12. maj 2005 US title: Business Productivity Advisor.
Produkt præsentation Christian Cletus Bjørn Eilertsen.
C O N N E C T I N G B U S I N E S S & T E C H N O L O G Y Copyright © Projektmodel for Beredskabsplan.
NKOR 2015 – Spor 3 - Datasikkerhed 5. november Kontorchef Michael Kubel.
Dokumentstyringssystem Dokument formalia Håndtering af dokumenter Peter Jezek.
Seminar NVF-udvalg juni 2006 på Færøerne Best practice Indeholder normer – bindende regler i mindre omfang Udmøntning af politikkernes ønsker.
Kort gennemgang – der kommer en nærmere beskrivelse på modul 3
Beskyt din virksomhed- Workshop
Temadag om sikkerhed på SDN
Effektmåling - kvalitative målepunkter
Sikring af kolonne 3-virksomheder
Er din klinik klar til surveyorbesøg?
Hvorfor er vi her i dag?. Databeskyttelsesforordningen (GDPR) og Databeskyttelsesrådgiveren (DPO)
De nye it-konsulent- og projektaftaler
Intern tidsmæssig omkostning
Statens HR – Implementeringskoncept
Præsentation af IT-sikkerhedsfunktionen
Præsentation af IT-sikkerhedsfunktionen
Cost & Schedule risiko analyser (CSRA)
APV - Arbejdspladsvurdering
Præsentationens transcript:

It-sikkerhedsledelse Om værktøjer til it-sikkerhedsfunktionen Lars.Neupart@neupart.dk Alex.Wounlund@neupart.dk (c) 2003, 2004, 2005 Neupart A/S

Neupart’ fokus: It-sikkerhedsledelse Vi leverer software som: Hjælper sikkerhedsansvarlige med effektiv it-sikkerhed F.eks. It-sikkerhedshåndbog, politik, procedurer, beredskab, risikovurdering & analyse, awareness, uddannelse og opfølgning. Styrker Den menneskelige Firewall Politik-baserede awareness-programmer Målrettet & effektiv uddannelse til alle brugere Kort sagt: Et komplet ISMS Information Security Management System Ledelsessystem til it-sikkerhed (c) 2003, 2004, 2005 Neupart A/S

Relevante Standarder ISO / IEC 27002 (tidligere 17799) ISO / IEC 27001 Code of practice for Information Security Management Alias BS-7799-1:2005 ISO / IEC 27001 Kontrolpunkter ISMS Alias BS7799-2:2005 DS484 Standard for Informationssikkerhed Samme kontroller som ISO/IEC 17799 Note: 2005-opdateringer: Ingen voldsomme ændringer. Strukturforbedringer øger anvendeligheden. ISO17799 er frigivet i juni DS484 er frigivet i oktober ISO27001 er frigivet i oktober (c) 2003, 2004, 2005 Neupart A/S

BS 7799-1 BS 7799-2 ISO 27001 DS 484:2005 Code of practice ISMS requirements Implementation guidance Controls ISO 27002 ISO 17799:2005 ISO 27001 ”shall” ”should” Statement of applicability Implementerings- retningslinjer Sikringsforanstaltninger DS 484:2005 ”skal” ”skal” (c) 2003, 2004, 2005 Neupart A/S

F.eks. I kommuner Komplet it-sikkerhedshåndbog med politik, regler, retningslinier og procedurer. Compliance-styring måler, om kommunen efterlever kravene. Nem opfølgning giver kommunen styr på processer, aktiviteter  og tilbagevendende opgaver. Skabeloner til politik, regler, beredskab og hændelsesstyring gør det enklere for jer at etablere den anerkendte og rigtige sikkerhed. Risikostyring med konsekvensvurderinger, risikovurderinger og analyser. Awareness kommunikerer den konkrete it-sikkerhedspolitik med målgrupper, quizzer, pauseskærme og giver grundlæggende viden til it-brugere. Uddannelse, workshops og rådgivning kan leveres i det omfang I ønsker (c) 2003, 2004, 2005 Neupart A/S

It-sikkerhedshåndbog: SecureAware Policy (c) 2003, 2004, 2005 Neupart A/S

Struktur i it-sikkerhedshåndbog Hvorfor? Mål, strategi, definitioner m.m. Overordnet politik Hvad? Hvad gør vi, og hvad gør vi ikke. Retningslinier. Regler Hvordan? Sådan gør vi. Regel-implementering. Instrukser. Procedurer (c) 2003, 2004, 2005 Neupart A/S

Målgruppeopdeling brugere systemejere it-administratorer ledere Overordnet politik Regler Procedurer Målgruppeopdeling brugere systemejere it-administratorer ledere (c) 2003, 2004, 2005 Neupart A/S

Emneopdeling Eksempler på indholdskategorier: Overordnet politik Regler Procedurer Emneopdeling Eksempler på indholdskategorier: kodeord e-mail-brug persondatalov hændelser beredskab (c) 2003, 2004, 2005 Neupart A/S

Politik-objekter In SecureAware, politiker består af objekter. Objekter er små tekst-stykker, typisk regler med nogle ”optioner” på. Objekter tildeles forskellige ”egenskaber”, fx: Målgruppe Indholdskategori (mapping til Standard-struktur-reference Objekter findes i flere sprog (pt 5) Objekter genbruges i politik, awareness-programmer m.m. (c) 2003, 2004, 2005 Neupart A/S

Objekt-baseret = Fordele Flere indgangsvinkler til det samme indhold Målgrupper - Kortere politikker Standard-strukturer - Velkendt & ”revisorvenlig” Politik- Objekter Indholdskategorier - Brugervenlig (c) 2003, 2004, 2005 Neupart A/S

Demo af it-sikkerhedshåndbog De tre niveauer (”Pyramiden”) Skabeloner Ændringer, tilføjelser Målgrupper, indholdskategorier PDF, RTF, HTML Publicering Logning (c) 2003, 2004, 2005 Neupart A/S

Awareness: Intranet-pakke (c) 2003, 2004, 2005 Neupart A/S

Forestil dig trafikken uden færdselsregler! Færdselsregler giver færdselssikkerhed. it-sikkerhedsregler giver it-sikkerhed. FORUDSÆTNINGER FOR SIKKERHED: 1. Reglerne skal eksistere! 2. Alle skal kende dem 3. Alle skal have motivation til at følge dem (c) 2003, 2004, 2005 Neupart A/S

Sammenhæng mellem SecureAware® Policy & Awareness (c) 2003, 2004, 2005 Neupart A/S

Demo af awareness-redskaber Målgruppe-opdelte regler og procedurer ”Ja, jeg har læst......”-kvittering Quizzer Vidensbaserede Regel / håndbogs-baserede. Korte animerede film med tekst og tale Web-service grænseflade F.eks til pauseskærme, andre intranet (c) 2003, 2004, 2005 Neupart A/S

SecureAware Education Korte animerede film med tekst og tale til at uddanne brugere i sikkerhedsbevidst brug af computere: Skadelige programmer, Kodeord, Brug af e-mail, Brug af internet, Mobilt udstyr, Softwareinstallation, Sikkerhedskopiering, Adgang til virksomhedens netværk, Kryptering og Håndtering af hændelser. (c) 2003, 2004, 2005 Neupart A/S

Fordele Tidsbesparende. Automatisk mangelcheck. Overblik. Aktiviteter kan uddelegeres automatisk med et fast interval Automatisk mangelcheck. Hvilke opgaver er endnu ikke uddelegerede? Overblik. Automatisk generering af skræddersyede rapporter. Overskuelighed. Brugere vil automatisk modtage e-mail med en liste over opgaver. Brugervenlighed. Brugere guides direkte til det sted i SecureAware, hvor opgaven skal udføres. Integration til øvrige SecureAware-moduler (c) 2003, 2004, 2005 Neupart A/S

Observation/Anbefaling fra revision Sikkerhedskopiering – test Anbefaling Vi anbefaler, at det periodisk kontrolleres og dokumenteres, at der er gennemført tilstrækkelig og tilfredsstillende retableringer af data til at underbygge formodningen om, at backupløsningen understøtter ledelses- og lovkrav. RISIKO! Øget risiko for unødig økonomiske tab, som følge af at data ikke kan retableres efter et nedbrud. (c) 2003, 2004, 2005 Neupart A/S

Periodiske opgaver/kontroller, fortsat Observationer Licensstyring – afstemning Anbefalinger Vi anbefaler, at der periodisk gennemføres en kontrol af, at anvendte programmer på servere og pc’er stemmer overens med indkøbte licenser. RISIKO! Såfremt virksomheden ikke kontrollerer, at licensregler for software overholdes, er der øget risiko for, at der kan pådrages erstatningsansvar over for leverandører af software. (c) 2003, 2004, 2005 Neupart A/S

Periodiske opgaver/kontroller, fortsat Observationer Virusbeskyttelse – opdatering Anbefalinger Vi anbefaler, at der fremadrettet kvitteres for daglige kontrol af antivirus aktivering eller at årsagen til at proceduren fraviges noteres. RISIKO! Utilstrækkelig virusbeskyttelse øger risikoen for økonomiske tab som følge af nedbrud i it-anvendelsen eller tab af data. (c) 2003, 2004, 2005 Neupart A/S

Periodiske opgaver/kontroller, fortsat Observationer Fysisk sikring – strømsikring Anbefalinger Vi anbefaler, at den etablerede UPS-løsning serviceres og testes regelmæssigt, samt at der etableres dokumentation herfor. RISIKO! Manglende sikring mod strømsvigt, brand, vandskade mv. øger risikoen for økonomiske tab som følge af nedbrud i it-anvendelsen eller tab af data. (c) 2003, 2004, 2005 Neupart A/S

Periodiske opgaver/kontroller, fortsat Ændringskontrol – separate miljøer Vi anbefaler generelt, at i revurderer jeres kontrolmiljø og etablere en forebyggende automatisk kontrol der sikre, at udviklere kun har display-adgang til produktionsmiljøer Såfremt dette ikke af organisatoriske eller forretningsmæssige årsager er muligt, skal vi anbefale, at gennemgang af log over transaktioner som genereres af udviklere sker med faste intervaller og dokumenteres, samt at denne kontrol foretages af økonomiafdelingen og ikke af it-afdelingen. RISIKO! Utilstrækkelige eller svage procedurer i relation til styring af tilretninger til applikationer øger risikoen for, at ændringer til applikationer sættes i drift uden fornøden kvalitetssikring eller ledelsesgodkendelse, og at applikationer dermed ikke fungerer i overensstemmelse med jeres behov. (c) 2003, 2004, 2005 Neupart A/S

Risikostyring SecureAware Risk (c) 2003, 2004, 2005 Neupart A/S

Fordele ved risikostyring Overblik og prioriteringsværktøj. Indsats kan rettes mod de vigtige områder. Input til beredskabsplan Sammen med it-sikkerhedspolitik opnås ”balanceret investering” i it-sikkerhed. Standarderne kræver det. (c) 2003, 2004, 2005 Neupart A/S

Model for risikovurdering Ledelses- vurdering Faglig vurdering Fra standarder (c) 2003, 2004, 2005 Neupart A/S

Udregning af risiko (c) 2003, 2004, 2005 Neupart A/S

Systemer Aktiver Processer F.x. support, ordrebehandling ... Lav risikovurdering her Systemer F.x. Applikationer, ERP, CRM... Aktiver F.x. servere, pc’er .. (c) 2003, 2004, 2005 Neupart A/S

Risikostyring Reducere sårbarheder eller etablere sikringsforanstaltninger Cost Benefit Analysis Forbyggende sikringstiltag Reduktion af sårbarhed Forebyggelse af konsekvens Handlingsplaner Forretningen acceptere risikoniveau Forretnings-risiko Trussel billed Sårbarhed for organisation (manglende sikringstiltag) Sandsynlighed for hændelse Konsekvens af hændelse Beredskabs- foranstaltninger Interesse for organisationens data (c) 2003, 2004, 2005 Neupart A/S

Spørgsmål? På www.neupart.dk kan du få gratis: Nyhedsbrev Demo-version af SecureAware dit sikkerheds-intranet med ISMS Risikovurderings-værktøj Excel, gratis email til morten.harboe@neupart.dk eller aw@neupart.dk (c) 2003, 2004, 2005 Neupart A/S

Feedback: Fortrolighedspolitik Feedback
Om projektet: SlidePlayer Brugsbetingelser

© 2024 SlidePlayer.dk Inc. All rights reserved.