Styringssystem basert på ISO 27001

Transkript

1 Styringssystem basert på ISO 27001

2 Agenda ISO/IEC krav i standarden Styringssystem ISMS Beslutning og oppstart av prosjekt Definere omfang og kriterier Hva må utarbeides og hvordan? Hvordan implementere ISMS? Hvordan måle success? 2

3 ISO/IEC INTERNASJONAL STANDARD FOR INFORMASJONSSIKKERHET

4 Kortversjonen: Kvalitetsstandard for informasjonssikkerhet 4

5 Vokabular vokabular Krav ISMS krav Krav til registrar Best praksis Implementering Måling/metrikk Riskostyring Revisjons guide Spesifikk Guide Telecom Helse 27*** Andre

6 Krav vs Referanse + 6

7 Fordeler med ISO 27001

8 Beskyttelse av verdier Informasjon er verdier som må beskyttes Avhengige av informasjonssystemer Feil kan lede til tap av omdømme, inntekt, etc. En hver feil i informasjonssystemene har potensiale til å forårsake operasjonelle tap!"#$%&'()'*%+$,*)#+-."'"/#" 8

9 Omfang (scope) Identifisering av hvor et ISMS gir verdi Kan være overordnet eller målrettet ( f.eks prosess) Definerer avgrensninger.%/)"0$'1)%'+ '-'(202"+!"#$%&'$()"&'*+!"#$%&'()'*%+$,*)#+-."'"/#",-'&'*+ 9

10 Identifisering av mulige fordeler!"#$%&#%'( )*+"#,-./"*.0.)11%#2%'( 3)#1.",2%'.0.'4#)*5( 67%#8%9%8.%( :".'*-&.0 #%&;1./"*( <-#1%&.0 +=#)*5(

11 Hovedmål med ISMS Synlighet i forhold til gjeldende status bidra til at ledelsesbeslutninger gjennomføres God virksomhetsstyring autorisasjon/mandat for ansatte redusere risiko for søksmål mot ledelsen Billigere sikkerhet adoptere ROSI begrunne investering og drift!"#$%&'()'*%+$,*)#+-."'"/#" 11

12 Strategisk dashboard (visibilitet)!"#$%&'()'*%+$,*)#+-."'"/#" 12

13 Implementering av styringssystem - BASERT PÅ ISO/IEC 27001:2005

14 Styringssystem rammeverk av policyer, prosedyrer, retningslinjer og assosierte ressurser for å oppnå virksomhetens målsetninger

15 Tilnærming basert på Watchcom-metode: 1. Forretning/Virksomhet 2. systemer Integrerer mot kommersielle aktiviteter i virksomheten Overordnet implementering Unngår å isolere prosesser 5. iterativ Hurtig implementering, fokus på minimumskrav, bytte til kontinuerlig forbedring 3. systematisk 4. integrert Integrerer og/eller harmoniserer ISMS med andre krav i virksomheten Bruker best praksis i prosjektstyring (f.eks PMBOK)

16 1. forberedelse 2. ledelsens godkjenning 3. utvikling 4. implementering

17 Forberedelser TA RIKTIG SATS FRA STARTEN

18 Oppstart av prosjekt Hvordan ligger vi an? Identifiser nå-status Hva skal vi fokusere på? Definer hva som vil gi mest verdi Lag utkast til omfang (scope) Hva vil det innbære og hva vil det koste? Lag business case Hvordan gjennomføres det? Utarbeid prosjektplan 18!"#$%&'()'*%+$,*)#+-."'"/#"

19 GAP-analyse A.15.x A.14.x A.13.x A.12.x A.11.x A.10.x A.9.x? A.8.x A.7.x A.6.x A.5.x modenhet 19

20 GAP-analyse!"#$%#&'($)*(& &$)&+(",-,,-(& 0. Ikke-eksisterende&.(",-,,&32+%-2-0#-(#& 6$,-&78&6$,-& 9#-0&2-#"5-& 1. Initell&.(",-,,&/00-,1&2-0& &304-0&,#$05$(5& 2. Styrt/uformell&.(",-,,& -(&5";92-0#-(#&"4& ;"22903,-(#& 3. Definert&.(",-,,&-(&& ")-():;-#&"4&2:%#& 4. Kvantitativt styrt& <+=2$%3,-(#-& +(",-,,-(&! 5. Optimalisert&!"#$%&'()'*%+$,*)#+-."'"/#" 20

21 Utarbeide Business Case Prosjektstyring for ISMS, hovedmål Autorisasjon for prosjektet Første argumentasjon, salgsdokument Referansepunkt!"#$%&'()'*%+$,*)#+-."'"/#" 21

22 Innhold Hva er hensikten? Hvilket behov dekkes? Hvilke løsninger har vært vurdert? Hvorfor er foreslått løsning valgt? Hvor mye koster det? Vil mitt arbeid bli påvirket av dette?!"#$%&'()'*%+$,*)#+-."'"/#" 22

23 Business Case Initiell strukturering av prosjektet Beskrive metoder Målsetning: vise fordeler ved ISMS implementering grunnlag for prosjektbudsjett beslutningsverktøy!"#$%&'()'*%+$,*)#+-."'"/#" 23

24 Anbefalt gjennomføring GAP-analyse Rapport/ Business Case Prosjektplan = )3 = ); = )> = )? = )5 = )@ = )AAA !85)9:;!< Aktiviteter Aktiviteter Aktiviteter Aktiviteter Aktiviteter 24

25 #-%-&2) %13#-+,. /"+$"*%"%) /0+$1"#-+,.!"#"$%&'(%) (*'+*",,-+,.

26 Metode for risikovurdering Opp til virksomheten å bestemme Vanlig å benytte en anerkjent metode Minimumskriterier i forhold til ISO 27001: verdier, trusler, sårbarheter, sannsynlighet, beskyttelse i forhold til K-I-T, akseptabel risiko!"#$%&'()'*%+$,*)#+-."'"/#" 26

27 Viktigste aktiviteter ;1,)#$1&)) </1&-$5&,%(=)(%332(3%(=) 1&301(=)#(5+(5'%(5&,%(>)) +##$C(5&,)+,)D%0533'/%') /%&-%$3%3/4&-'%(5&,) F##-1,)+,)/4&-'%() -533%)(13*')+,) %6%*70')!"#"$%& '()*+,-"+.#& /-*+& 01/-(1(+2(3& $%+23%--(+(& ;//-<3"+.& =& '(>"##2)(2& 0454&& 4263"+.7,3"8& 9(+,(-#(#& ):+,2(3"+.&!"#$%"%&'%()*+&'(+$$%()+,) -%.&%()/0+(-1&)-2)3*1$) "4$%)1')-533%)%()%6%*70%) "/')7$)"4$3%'&5&,%&%) 81,$5,)-(59)10) 3':(5&,33:3'%"%')

28 Revisjon!"#$%"&%$'()*+"&, -.'/$"0(0&(&1+%/+23&42&&.54'(#$#$"$&(55$&'(%5)+6/$#$"& &, 7$")8"&42&$9$5#:$%("0&+0& $9$54'(#$#&;5'.2(#$#<& &, =>30('$"3$&%+22$&(&'(%5)+6/$#& &, =$'()*+"&5."&:BC%$)&)+6&$"& 5+"4":$%2(0&.54'(#$#& D5)#$%"&%$'()*+"&, -.'/$"0(0&(&1+%/+23&42&.54'(#$#$"$&+0&'(%5)+6/$#$"& &, 7$")8"&42&$9$5#:$%("0& & &,!"0$"&%>30('$"3$&%+22$E&& ;5:"&0$"$%$22$&."?$1.2("0$%<& &, =$'()*+").54'(#$#$%&F2."2.0#&& )F$)(G5#&

29 Watchcom Security Group Rådgiver fra start til mål forberedelse - plan - utvikling - implementering Medspiller i forhold til implementering Kompetanseleverandør (kurs/tjeneste) risk manager insident manager beredskapsleder internrevisor!"#$%&'()'*%+$,*)#+-."'"/#" 29

30 Takk for oppmerksomheten! Arnfinn Roland, Watchcom Security Group CISSP, ISO Lead Auditor Trainer, ISO Lead Implementer Trainer