It-sikkerhedsledelse

Slides:



Advertisements
Lignende præsentationer
Anskaffelse af ny teknologi
Advertisements

Teststrategi Engrosmodellen
Datakvalitetsstrategi Engrosmodellen
Første gang du logger på, skal du bestille ny adgangskode her
Egenkontrol.
Videregående pc-vejledning Modul Sik: Sikkerhed Lidt om antivirusprogrammer mm. 60+Bornholm.
Introduktion til kriterium 4 Partnerskab og ressourcer Excellence netværk 2004 Jørgen Kjærgaard.
Big Data – muligheder og udfordringer for sundhedsvæsnet
Arbejdsmiljøcertificering
Energiledelse Energiledelse betyder, at virksomheden gennemfører en systematisk, løbende indsats for at bruge energien bedre og derigennem øge virksomhedens.
Windows ® 7 og Office 2010 til små og mellemstore virksomheder WINDOWS ® 7 OG OFFICE 2010 TIL SMÅ OG MELLEMSTORE VIRKSOMHEDER Vi anbefaler ægte Microsoft.
Etablering af samordningsudvalg i psykiatrien
Virksomheders Risk Management i juridisk kontekst
Implementering af it-system
Firewalls & netsikkerhed Henrik Størner,
Opstartsmøde fase 2: Implementering og etablering af miljøerne
Beskyt din computer og dine data!
Kommunikation alvor og sjov
DDB Hindsgavl den 26. maj 2011 René Birkemark Olesen
Præsenteret af: Peter Bøhme Projektleder på Office XP
Services Services som fundament for virksomhedens infrastruktur
Input FMEA Output Shit in = Shit out FMEA
Snigpremiere: Styrk dit beslutningsgrundlag med Microsofts nye Business Intelligence platform Mads Kjærsgaard og Jesper Priskorn Business Intelligence,
Obligatorisk projekt 5: ERP-systemer
Arbejdet med åbne standarder – fokus på implementeringen af B 103 Oplæg ved 3. workshop for it-governance 21. februar 2007.
Introkursus Køn og ligestilling i udviklingsarbejdet METODE
Fælles EPJ til hospitalerne i Region Midtjylland
Dynamisk styring af Office skabeloner Inspirationsseminar 31. oktober 2006.
Introduktion til Microsoft CRM Christian Cletus Bjørn Eilertsen.
WorldIQ A/S - Technology Briefing
Søgning - et værktøj til videndeling Inspirationsseminar 31. oktober 2006.
Brug af IT redskaber og -systemer i den administrative stilling
KABS – Konference Stofmisbrug 2008 Undersøgelse: Stofmisbrugsområdet efter kommunalreformen.
Workshop om trivselsmålinger SSID – årskonference Rita Jensen Personalestyrelse 29. April 2009.
Michael Hald Konsulent, KL
Videnskabsministeriets arbejde med åbne standarder Vicedirektør Mikkel Hemmingsen, Videnskabsministeriet
Portalanalyse Udfordringer ved iFrame integrationsformen i forbindelse med FOBS løsningen.
Barrierer i og for forbedringsprojekter Udenom, indenom, henover eller igennem barriererne Hvilken vej vil du? 12. oktober C2E netværk.
Ledelsestilsyn, hvad er det?
1 COWI BAR Handel, BAR Jord til Bord, BAR Kontor, Grafisk BAR, Industriens BAR 1 ARBEJDSMILJØLEDELSE OHSAS Seminar 1 Arbejdsmiljøledelse OHSAS
Arbejdsmiljøledelse – hvad er det? Oktober Formål Arbejde målrettet og systematisk på at sikre medarbejdernes sundhed, trivsel og arbejdsglæde.
Quality Management Systems
It-sikkerhedsledelse
Videregående pc-vejledning Modul 07: Elektronisk post 60+Bornholm.
Videregående pc-vejledning 60+Bornholm Velkommen til.
Microsoft Office System 21. Oktober 2003 Jesper Aaberg, Business Productivity Advisor Microsoft Danmark.
Informationssamfundet Dansk Statistisk Forening 30. maj 2005.
September 20031KUP - Projektstyring Formålet med projektstyring Formålet med projektstyring er at planlægge og styre et udviklingsprojekt, således at projektet.
IT-strategi i Glostrup Kommune - Nu og i fremtiden Henriette Graff Nielsen Maria Hvenegaard Carsten M. Smidt Peter Haargaard Morten Lind.
Seminar 6 – Arbejdsmiljøledelse
Styr på ressourcer og projekter Inspirationsseminar 31. oktober 2006.
Jesper Aaberg ForretningskunsulentMicrosoft Strategy Briefing, 12. maj 2005 US title: Business Productivity Advisor.
Produkt præsentation Christian Cletus Bjørn Eilertsen.
Digital forvaltning: Organisatoriske og kompetencemæssige forudsætninger Kontorchef Lars Frelle-Petersen og chefkonsulent Sten Mogensen Videnskabsministeriet.
C O N N E C T I N G B U S I N E S S & T E C H N O L O G Y Copyright © Projektmodel for Beredskabsplan.
Arbejdsdirektoratet, Finsensvej 78, 2000 Frederiksberg Tlf: Fax: E-post: Hjemmeside: Projekt sikker Internet.
NKOR 2015 – Spor 3 - Datasikkerhed 5. november Kontorchef Michael Kubel.
Workcyclus Mere end 10 års erfaring Facilitering, rådgivning og gennemførelse af APV og trivselsundersøgelser m.m. Private og offentlige virksomheder.
Beskyt din virksomhed- Workshop
Temadag om sikkerhed på SDN
OS2indberetning – tjenestekørselsindberetning og ferie
Hvorfor er vi her i dag?. Databeskyttelsesforordningen (GDPR) og Databeskyttelsesrådgiveren (DPO)
Michael Ørnø, direktør Statens It & Fagrådsformand Dansk IT
Modul 07, Elektronisk post
Intern tidsmæssig omkostning
Statens HR – Implementeringskoncept
Præsentation af IT-sikkerhedsfunktionen
Præsentation af IT-sikkerhedsfunktionen
Overview challenges the methodology -short version
APV - Arbejdspladsvurdering
Præsentationens transcript:

It-sikkerhedsledelse Om værktøjer til it-sikkerhedsfunktionen Lars.Neupart@neupart.dk Alex.Wounlund@neupart.dk (c) 2003, 2004, 2005 Neupart A/S

Neupart’ fokus: It-sikkerhedsledelse Vi leverer software som: Hjælper sikkerhedsansvarlige med effektiv it-sikkerhed F.eks. It-sikkerhedshåndbog, politik, procedurer, beredskab, risikovurdering & analyse, awareness, uddannelse og opfølgning. Styrker Den menneskelige Firewall Politik-baserede awareness-programmer Målrettet & effektiv uddannelse til alle brugere Kort sagt: Et komplet ISMS Information Security Management System Ledelsessystem til it-sikkerhed (c) 2003, 2004, 2005 Neupart A/S

Om Neupart Neupart-kontorer i: Neupart-forhandlere & -distributører i: Danmark (Lyngby) USA (Ferndale, Washington) Tyskland (Düsseldorf) Neupart-forhandlere & -distributører i: England, Norge, Østrig, Schweiz, New Zealand. (c) 2003, 2004, 2005 Neupart A/S

Kunde-eksempler fra staten Integrationsministeriet Kulturministeriets Administrationscenter Udenrigsministeriet Økonomi- og Erhvervsministeriet Fødevareministeriet Ministeriet for Familie- og Forbrugeranliggender Finanstilsynet Konkurrencestyrelsen Kystdirektoratet SLV (Statens Luftfartsvæsen) Patent og Varemærkestyrelsen Banedanmark (c) 2003, 2004, 2005 Neupart A/S

Kunde-eksempler, kommuner Aabenraa Kommune Aalborg Kommune Allerød Kommune Ballerup Kommune Bornholms Regionskommune Faxe Kommune Fredensborg Kommune Frederikssund Kommune Frederiksværk-Hundested Kommune Furesø Kommune Gladsaxe Kommune Guldborgsund Kommune Helsingør Kommune Holbæk Kommune Hørsholm Kommune Kalundborg Kommune Kolding Kommune Københavns Kommune Lolland Kommune Mariagerfjord Kommune Middelfart Kommune Norddjurs Kommune Roskilde Kommune Rudersdal Kommune Syddjurs Kommune Svendborg Kommune Vallensbæk Kommune Vesthimmerlands Kommune Vordingborg Kommune (c) 2003, 2004, 2005 Neupart A/S

Kunde-eksempler, virksomheder Akademikernes A-kasse AP Pension Arla Foods Bogpa – in/out Grontmij Carl Bro Group Christian Hansen Group Dagbladet Børsen De Gule Sider DLH DanCenter Dansk Standard EIK Bank Elfac A/S EnergiNet.dk Fujitsu Services G4S Security Services Handelshøjskolen i Århus HNG IAK IDA JN Data Kristelig Fagforening Kwintet/Kansas Max Bank Mcphone Telemarketing Naturgas Midt-Nord NRGi OK PBS Segezha Packaging SONOFON Symphogen Tabulex TDC Terma Tryg Vesta Group (c) 2003, 2004, 2005 Neupart A/S

Generelt om SecureAware: (c) 2003, 2004, 2005 Neupart A/S

SecureAware: Praktiske redskaber Moduler: Policy It-sikkerhedshåndbog Awareness (intranet) Awareness quiz, måling Risk Risikostyring Compliance Efterlevelse, kontrol, krav Compliance Workflow Opfølgning i praksis Tilvalg: Portaler Adskilte instanser Sprog Smart sprog-styring. (c) 2003, 2004, 2005 Neupart A/S

Kort om SecureAware: Et system til it-sikkerhedsledelse (ISMS) som hjælper med at efterleve it-sikkerhedskrav, bl.a. DS484, ISO27001, ISO27002 (tidligere ISO17799) Styrer og styrker informationssikkerheden i virksomheder (private og offentlige). Giver tidseffektive redskaber til it- sikkerhedsanvarlige. Har al nødvendig sikkerhedsviden til alle medarbejdere Er en modulær og integreret løsning Også kaldet: It-sikkerhedsportal, sikkerhedsintranet, elektronisk sikkerhedshåndbog. (c) 2003, 2004, 2005 Neupart A/S

SecureAware® software Slutbrugere Superbruger (c) 2003, 2004, 2005 Neupart A/S

Efterlevelse, kontrol, krav: SecureAware Compliance (c) 2003, 2004, 2005 Neupart A/S

SecureAware Compliance Checklister baseret på krav (kontrolpunkter) fra DS484:2005 DS484:2005 har samme krav som ISO/IEC 17799:2005 Komplet med spørgsmål der også afdækker om implementerings-retningslinier er efterlevet. PDF-rapporter med overblik og detaljer (c) 2003, 2004, 2005 Neupart A/S

Relevante Standarder ISO / IEC 27002 (tidligere 17799) ISO / IEC 27001 Code of practice for Information Security Management Alias BS-7799-1:2005 ISO / IEC 27001 Kontrolpunkter ISMS Alias BS7799-2:2005 DS484 Standard for Informationssikkerhed Samme kontroller som ISO/IEC 17799 Note: 2005-opdateringer: Ingen voldsomme ændringer. Strukturforbedringer øger anvendeligheden. ISO17799 er frigivet i juni DS484 er frigivet i oktober ISO27001 er frigivet i oktober (c) 2003, 2004, 2005 Neupart A/S

BS 7799-1 BS 7799-2 ISO 27001 DS 484:2005 Code of practice ISMS requirements Implementation guidance Controls ISO 27002 ISO 17799:2005 ISO 27001 ”shall” ”should” Statement of applicability Implementerings- retningslinjer Sikringsforanstaltninger DS 484:2005 ”skal” ”skal” (c) 2003, 2004, 2005 Neupart A/S

It-sikkerhedshåndbog: SecureAware Policy (c) 2003, 2004, 2005 Neupart A/S

Struktur i it-sikkerhedshåndbog Hvorfor? Mål, strategi, definitioner m.m. Overordnet politik Hvad? Hvad gør vi, og hvad gør vi ikke. Retningslinier. Regler Hvordan? Sådan gør vi. Regel-implementering. Instrukser. Procedurer (c) 2003, 2004, 2005 Neupart A/S

Målgruppeopdeling brugere systemejere it-administratorer ledere Overordnet politik Regler Procedurer Målgruppeopdeling brugere systemejere it-administratorer ledere (c) 2003, 2004, 2005 Neupart A/S

Emneopdeling Eksempler på indholdskategorier: Overordnet politik Regler Procedurer Emneopdeling Eksempler på indholdskategorier: kodeord e-mail-brug persondatalov hændelser beredskab (c) 2003, 2004, 2005 Neupart A/S

Politik-objekter In SecureAware, politiker består af objekter. Objekter er små tekst-stykker, typisk regler med nogle ”optioner” på. Objekter tildeles forskellige ”egenskaber”, fx: Målgruppe Indholdskategori (mapping til Standard-struktur-reference Objekter findes i flere sprog (pt 5) Objekter genbruges i politik, awareness-programmer m.m. (c) 2003, 2004, 2005 Neupart A/S

Objekt-baseret = Fordele Flere indgangsvinkler til det samme indhold Målgrupper - Kortere politikker Standard-strukturer - Velkendt & ”revisorvenlig” Politik- Objekter Indholdskategorier - Brugervenlig (c) 2003, 2004, 2005 Neupart A/S

Demo af it-sikkerhedshåndbog De tre niveauer (”Pyramiden”) Skabeloner Ændringer, tilføjelser Målgrupper, indholdskategorier PDF, RTF, HTML Publicering Logning (c) 2003, 2004, 2005 Neupart A/S

Awareness: Intranet-pakke (c) 2003, 2004, 2005 Neupart A/S

Forestil dig trafikken uden færdselsregler! Færdselsregler giver færdselssikkerhed. it-sikkerhedsregler giver it-sikkerhed. FORUDSÆTNINGER FOR SIKKERHED: 1. Reglerne skal eksistere! 2. Alle skal kende dem 3. Alle skal have motivation til at følge dem (c) 2003, 2004, 2005 Neupart A/S

Sammenhæng mellem SecureAware® Policy & Awareness (c) 2003, 2004, 2005 Neupart A/S

Demo af awareness-redskaber Målgruppe-opdelte regler og procedurer ”Ja, jeg har læst......”-kvittering Quizzer Vidensbaserede Regel / håndbogs-baserede. Korte animerede film med tekst og tale Web-service grænseflade F.eks til pauseskærme, andre intranet (c) 2003, 2004, 2005 Neupart A/S

SecureAware Education Korte animerede film med tekst og tale til at uddanne brugere i sikkerhedsbevidst brug af computere: Skadelige programmer, Kodeord, Brug af e-mail, Brug af internet, Mobilt udstyr, Softwareinstallation, Sikkerhedskopiering, Adgang til virksomhedens netværk, Kryptering og Håndtering af hændelser. (c) 2003, 2004, 2005 Neupart A/S

Compliance Workflow

Fordele Tidsbesparende. Automatisk mangelcheck. Overblik. Aktiviteter kan uddelegeres automatisk med et fast interval Automatisk mangelcheck. Hvilke opgaver er endnu ikke uddelegerede? Overblik. Automatisk generering af skræddersyede rapporter. Overskuelighed. Brugere vil automatisk modtage e-mail med en liste over opgaver. Brugervenlighed. Brugere guides direkte til det sted i SecureAware, hvor opgaven skal udføres. Integration til øvrige SecureAware-moduler

Koordinatorens menu

Brugerens menu (eksempel)

Aktivitetsrapporter

Opret og tilpas egne rapport-typer

Observation/Anbefaling fra revision Sikkerhedskopiering – test Anbefaling Vi anbefaler, at det periodisk kontrolleres og dokumenteres, at der er gennemført tilstrækkelig og tilfredsstillende retableringer af data til at underbygge formodningen om, at backupløsningen understøtter ledelses- og lovkrav. RISIKO! Øget risiko for unødig økonomiske tab, som følge af at data ikke kan retableres efter et nedbrud.

Periodiske opgaver/kontroller, fortsat Observationer Licensstyring – afstemning Anbefalinger Vi anbefaler, at der periodisk gennemføres en kontrol af, at anvendte programmer på servere og pc’er stemmer overens med indkøbte licenser. RISIKO! Såfremt virksomheden ikke kontrollerer, at licensregler for software overholdes, er der øget risiko for, at der kan pådrages erstatningsansvar over for leverandører af software.

Periodiske opgaver/kontroller, fortsat Observationer Virusbeskyttelse – opdatering Anbefalinger Vi anbefaler, at der fremadrettet kvitteres for daglige kontrol af antivirus aktivering eller at årsagen til at proceduren fraviges noteres. RISIKO! Utilstrækkelig virusbeskyttelse øger risikoen for økonomiske tab som følge af nedbrud i it-anvendelsen eller tab af data.

Periodiske opgaver/kontroller, fortsat Observationer Fysisk sikring – strømsikring Anbefalinger Vi anbefaler, at den etablerede UPS-løsning serviceres og testes regelmæssigt, samt at der etableres dokumentation herfor. RISIKO! Manglende sikring mod strømsvigt, brand, vandskade mv. øger risikoen for økonomiske tab som følge af nedbrud i it-anvendelsen eller tab af data.

Periodiske opgaver/kontroller, fortsat Ændringskontrol – separate miljøer Vi anbefaler generelt, at i revurderer jeres kontrolmiljø og etablere en forebyggende automatisk kontrol der sikre, at udviklere kun har display-adgang til produktionsmiljøer Såfremt dette ikke af organisatoriske eller forretningsmæssige årsager er muligt, skal vi anbefale, at gennemgang af log over transaktioner som genereres af udviklere sker med faste intervaller og dokumenteres, samt at denne kontrol foretages af økonomiafdelingen og ikke af it-afdelingen. RISIKO! Utilstrækkelige eller svage procedurer i relation til styring af tilretninger til applikationer øger risikoen for, at ændringer til applikationer sættes i drift uden fornøden kvalitetssikring eller ledelsesgodkendelse, og at applikationer dermed ikke fungerer i overensstemmelse med jeres behov.

Risikostyring SecureAware Risk (c) 2003, 2004, 2005 Neupart A/S

Fordele ved risikostyring Overblik og prioriteringsværktøj. Indsats kan rettes mod de vigtige områder. Input til beredskabsplan Sammen med it-sikkerhedspolitik opnås ”balanceret investering” i it-sikkerhed. Standarderne kræver det. (c) 2003, 2004, 2005 Neupart A/S

PDF-rapport Resultat Oversigt Detaljer Grafer Plads til egne kommentarer. (c) 2003, 2004, 2005 Neupart A/S

Model for risikovurdering Ledelses- vurdering Faglig vurdering Fra standarder (c) 2003, 2004, 2005 Neupart A/S

Udregning af risiko (c) 2003, 2004, 2005 Neupart A/S

Systemer Aktiver Processer F.x. support, ordrebehandling ... Lav risikovurdering her Systemer F.x. Applikationer, ERP, CRM... Aktiver F.x. servere, pc’er .. (c) 2003, 2004, 2005 Neupart A/S

Risikostyring Reducere sårbarheder eller etablere sikringsforanstaltninger Cost Benefit Analysis Forbyggende sikringstiltag Reduktion af sårbarhed Forebyggelse af konsekvens Handlingsplaner Forretningen acceptere risikoniveau Forretnings-risiko Trussel billed Sårbarhed for organisation (manglende sikringstiltag) Sandsynlighed for hændelse Konsekvens af hændelse Beredskabs- foranstaltninger Interesse for organisationens data

Super-brugers hovedside (c) 2003, 2004, 2005 Neupart A/S

Risikovurderingsarkiv (c) 2003, 2004, 2005 Neupart A/S

Informationssystem-database Neupart A/S Standarder SecureAware Risikovurdering It-sikkerhedshåndbog Demo Opsummering Informationssystem-database (c) 2003, 2004, 2005 Neupart A/S

Rolle-opdeling via Active Directory (c) 2003, 2004, 2005 Neupart A/S

Brugeres velkomst-side (c) 2003, 2004, 2005 Neupart A/S

Ledere vurderer konsekvens og interesse (c) 2003, 2004, 2005 Neupart A/S

Teknikere vurderer sårbarhed (c) 2003, 2004, 2005 Neupart A/S

Hjælpespørgsmål kan estimere sårbarhed (c) 2003, 2004, 2005 Neupart A/S

Kobling til arbejds-processer Neupart A/S Standarder SecureAware Risikovurdering It-sikkerhedshåndbog Demo Opsummering Kobling til arbejds-processer (c) 2003, 2004, 2005 Neupart A/S

Spørgsmål? På www.neupart.dk kan du få gratis: Nyhedsbrev Demo-version af SecureAware dit sikkerheds-intranet med ISMS Risikovurderings-værktøj Excel, gratis email til morten.harboe@neupart.dk eller aw@neupart.dk (c) 2003, 2004, 2005 Neupart A/S

Feedback: Fortrolighedspolitik Feedback
Om projektet: SlidePlayer Brugsbetingelser

© 2024 SlidePlayer.dk Inc. All rights reserved.