ISO27001 som del av forvaltningen Froskostseminar 8. april 2011 Geir Arild Engh-Hellesvik KPMG Advisory
Presentasjon KPMG Informasjonssikkerhet Krav til informasjonssikkerhet i lovverket ISO27001 Hvor er standarden ift lovkravene? Internkontroll Hvor er standarden ift internkontroll? Oppsummering 1
Presentasjon Geir Arild Engh-Hellesvik Leder informasjonssikkerhetstjenesten i KPMG Norge Styremedlem i Cloud Security Alliance og ISACA Norway Chapters Informasjonssikkerhets tjenester i KPMG Cirka 25 medarbeidere knyttet til sikkerhetstjenester i KPMG med tverrfaglig kapasitet samarbeid med Watchcom Security Group Informasjonssikkerhetstjenesten dekker testing, revisjon, utvikling av ISMS (iht ISO27001, gjeldende lovverk, god internkontroll), utrulling/implementering, bevisstgjøring, opplæring m.m. KPMG er et ledende kompetansehus som tilbyr tjenester innen revisjon, skatt og avgift, samt rådgivning. I Norge er vi over 900 medarbeidere som skaper verdi av kunnskap i 25 byer over hele landet. Globalt har KPMG 140 000 medarbeidere i 146 land. Sikkerhetstjenesten globalt sysselsetter cirka 6 000 personer. 2
Krav til informasjonssikkerhet i lovverket
4
Lover og regler med krav til informasjonssikkerhet LOV OM BEHANDLING AV PERSONOPPLYSNINGER (PERSONOPPLYSNINGSLOVEN) FORSKRIFT TIL PERSONOPPLYSNINGSLOVEN (PERSONOPPLYSNINGSFORSKRIFTEN) LOV OM ELEKTRONISK SIGNATUR (ESIGNATURLOVEN) FORSKRIFT OM KRAV TIL UTSTEDER AV KVALIFISERTE SERTIFIKATER MV. LOV OM OPPHAVSRETT TIL ÅNDSVERK MV. (ÅNDSVERKLOVEN) LOV OM BOKFØRING (BOKFØRINGSLOVEN) MED FORSKRIFT (BOKFØRINGSFORSKRIFTEN) LOV OM KOMMUNER OG FYLKESKOMMUNER (KOMMUNELOVEN) LOV OM BEHANDLINGSMÅTEN I FORVALTNINGSSAKER (FORVALTNINGSLOVEN) FORSKRIFT OM ELEKTRONISK KOMMUNIKASJON MED OG I FORVALTNINGEN (EFORVALTNINGSFORSKRIFTEN) INSTRUKS FOR BEHANDLING AV DOKUMENTER SOM TRENGER BESKYTTELSE AV ANDRE GRUNNER ENN NEVNT I SIKKERHETSLOVEN MED FORSKRIFTER (BESKYTTELSESINSTRUKSEN) LOV OM ARKIV (ARKIVLOVEN) MED FORSKRIFTER FORSKRIFT OM BRUK AV INFORMASJONS- OG KOMMUNIKASJONSTEKNOLOGI (IKT- FORSKRIFTEN) FORSKRIFT OM RISIKOSTYRING OG INTERNKONTROLL (FORSKRIFT OM RISIKOSTYRING OG INTERNKONTROLL, FINANS) 5
LOV OM REGULERTE MARKEDER (BØRSLOVEN) FORSKRIFT OM KAPITALKRAV FOR FORRETNINGSBANKER, SPAREBANKER, FINANSIERINGSFORETAK, HOLDINGSELSKAPER I FINANSKONSERN, VERDIPAPIRFORETAK OG FORVALTNINGSSELSKAPER FOR VERDIPAPIRFOND MV. (KAPITALKRAVFORSKRIFTEN) LOV OM HELSEREGISTRE OG BEHANDLING AV HELSEOPPLYSNINGER (HELSEREGISTERLOVEN) LOV OM HELSEPERSONELL MV. (HELSEPERSONELLOVEN) FORSKRIFT OM PASIENTJOURNAL (JOURNALFORSKRIFTEN) FORSKRIFT OM BEHANDLING AV HELSEOPPLYSNINGER I NASJONAL DATABASE FOR ELEKTRONISKE RESEPTER (RESEPTFORMIDLERFORSKRIFTEN) LOV OM ARBEIDS- OG VELFERDSFORVALTNINGEN (ARBEIDS- OG VELFERDSFORVALTNINGSLOVEN) LOV OM SPESIALISTHELSETJENESTE (SPESIALISTHELSETJENESTELOVEN) FORSKRIFT OM FØRING AV KLIENTJOURNAL OG MEKLINGSPROTOKOLL VED FAMILIEVERNKONTORENE MV. (FORSKRIFT OM JOURNAL VED FAMILIEVERNKONTORENE) LOV OM ELEKTRONISK KOMMUNIKASJON (EKOMLOVEN) FORSKRIFT OM ELEKTRONISK KOMMUNIKASJONSNETT OG ELEKTRONISK KOMMUNIKASJONSTJENESTE (EKOMFORSKRIFTEN) LOV OM PRODUKSJON, OMFORMING, OVERFØRING, OMSETNING, FORDELING OG BRUK AV ENERGI MM. (ENERGILOVEN) MED FORSKRIFT (ENERGILOVFORSKRIFTEN) FORSKRIFT OM BEREDSKAP I KRAFTFORSYNINGEN (BEREDSKAPSFORSKRIFTEN FOR KRAFTFORSYNINGEN) 6
LOV OM FOREBYGGENDE SIKKERHETSTJENESTE (SIKKERHETSLOVEN) FORSKRIFT OM SIKKERHETSADMINISTRASJON FORSKRIFT OM INFORMASJONSSIKKERHET FORSKRIFT OM SIKKERHETSGRADERTE ANSKAFFELSER FORSKRIFT OM PERSONELLSIKKERHET LOV OM SCHENGEN INFORMASJONSSYSTEM (SIS-LOVEN) FORSKRIFT TIL LOV OM SCHENGEN INFORMASJONSSYSTEM (SIS-FORSKRIFTEN) 7
Krav til informasjonssikkerhet i forvaltningen Mange lover og forskrifter Enda flere når vi tar med EU direktiver mv. Karakteriseres av fragmentert og til dels lite samkjørt utforming Flere tilfeller der lover kommer i konflikt med hverandre Eks: Arkivloven og Personopplysningslovens sletteplikt Ikke lett å velge rett lov å forholde seg til Alle kravene flytter fokus fra god sikkerhet til god etterlevelse får vi god sikkerhet av det? 8
Kilde for listen IT-Sikkerhetsforum Veiledning lover og regler med betydning for informasjonssikkerheten 9
ISO 27001
ISO27001 Standarden gir retningslinjer for etablering, implementering, drift, vedlikehold, evaluering og forbedring av en organisasjons ledelsessystem for informasjonssikkerhet. Erstatter NS 7799 / BS 7799 Byggger også på andre standarder som ISO 17799:2005, ISO/IEC 13335-1:2004, ISO/IEC TR 13335-3:1998, ISO/IEC TR 13335-4:2000, ISO/IEC TR 18044:2004 og OECD Guidelines for Security of Information Systems and Networks Towards a culture of security 11
Act Plan Do This lnternational Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all ISMS processes. Tilpasset andre ledelsessystem standarder som ISO 9001, ISO 14001 mv. hvor kontinuerlig forbedring av et system er inkludert (henholdsvis kvalitet og miljøvern). Check 12
Plassering av ISO27001 i lover og regler ISO27001 og 2 (tidl BS7799, ISO17799 mv) er allerede å finne igjen i en rekke lover og regler Personopplysningsforskriftens kap 2 Norm for informasjonssikkerhet i Helsesektoren IKT-forskriften (som ref POL/POF på dette punktet) Flere kommer til og forslag om innføring av krav til styring av informasjonssikkerhet iht ISO27001/2 er på bordet (ref Riksrevisjonen Dok1) 13
Informasjonssikkerhet og internkontroll
Målsetninger for internkontroll (her internkontrollforskriften) Virksomheten skal 1. ha tilgjengelig aktuelle lover og forskrifter og oversikt over viktige krav 2. sørge for at alle har tilstrekkelige kunnskaper og ferdigheter 3. sørge for at ansatte medvirker slik at kunnskap og erfaring benyttes 4. fastsette mål og strategisk retning for arbeidet (styrende dokumenter) 5. ha oversikt over organisasjon, ansvarsfordeling og hvem som gjør hva 6. Iverksette rutiner for å avdekke, rette opp og forebygge feil (avvikshåndtering) 7. systematisk overvåkning og gjennomgang/revisjon 15
Krav til prosesser for kontinuerlig forbedring og systematisk arbeid med Helse, Miljø og Sikkerhet foreligger og skal være etablert i norske offentlige virksomheter Disse prosessene kan brukes ved etablering av styringssystem for informasjonssikkerhet integrering av sikkerhetsarbeidet med eksisterende arbeidsprosesser 16
Hva gjør KPMG Bransjenormer Samler lov og regelkrav i ett omforent sett retningslinjer med forslag til konkrete rutiner og verktøy Forenkler etterlevelse av lover og regler for bransjen Sikrer at bransjen og tilsynsmyndigheten har en felles forståelse av beste praksis Kan bidra til å redusere arbeidet for den enkelte virksomhet med etablering av etterlevelse Eks: Norm for informasjonssikkerhet i helsesektoren, bransjenorm for inkassovirksomhet og pågående arbeid med bransjenorm for kollektivtrafikkbransjen i Norge. 17
Takk for oppmerksomheten! Geir Arild Engh-Hellesvik Leder Informasjonssikkerhetstjenester KPMG Norge E-post: geir.arild.engh-hellesvik@kpmg.no Mobil: +47 406 39 464
Vi hjelper våre kunder med Styringssystem for informasjonssikkerhet (Information Security Management System) Utvikling av ISMS (iht ISO27001) Implementering / utrulling av ISMS Evaluering av ISMS og forbedring Risikohåndtering Etablere risikostyringssystem Gjennomføre risikovurderinger Policy og regelverk Utvikling av policy og regelverk Personvern Kartlegging av personopplysninger i virksomheten og behov for vern Vurdering av etterlevelse relevant lovverk Hendelseshåndtering og kontinuitetsplanlegging Utvikling av rutiner for hendelseshåndteringe, kontinuitetsplanlegging og katastrofeplanlegging Basert på standarden BS25999 Opplæring og bevisstgjøring Attestasjon 19
2011 KPMG AS, a Norwegian member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. The KPMG name, logo and cutting through complexity are registered trademarks or trademarks of KPMG International Cooperative (KPMG International).