Styringssystem basert på ISO 27001

Styringssystem basert på ISO 27001

Agenda ISO/IEC 27001 - krav i standarden Styringssystem ISMS Beslutning og oppstart av prosjekt Definere omfang og kriterier Hva må utarbeides og hvordan? Hvordan implementere ISMS? Hvordan måle success? 2

ISO/IEC 27001 INTERNASJONAL STANDARD FOR INFORMASJONSSIKKERHET

Kortversjonen: Kvalitetsstandard for informasjonssikkerhet 4

Vokabular 27000 vokabular Krav 27001 ISMS krav 27006 Krav til registrar 27002 Best praksis 27003 Implementering 27004 Måling/metrikk 27005 Riskostyring 27008-27008 Revisjons guide Spesifikk Guide 27011 Telecom 27799 Helse 27*** Andre

Krav vs Referanse + 6

Fordeler med ISO 27001

Beskyttelse av verdier Informasjon er verdier som må beskyttes Avhengige av informasjonssystemer Feil kan lede til tap av omdømme, inntekt, etc. En hver feil i informasjonssystemene har potensiale til å forårsake operasjonelle tap!"#$%&'()'*%+$,*)#+-."'"/#" 8

Omfang (scope) Identifisering av hvor et ISMS gir verdi Kan være overordnet eller målrettet ( f.eks prosess) Definerer avgrensninger.%/)"0$'1)%'+ '-'(202"+!"#$%&'$()"&'*+!"#$%&'()'*%+$,*)#+-."'"/#",-'&'*+ 9

Identifisering av mulige fordeler!"#$%&#%'( )*+"#,-./"*.0.)11%#2%'( 3)#1.",2%'.0.'4#)*5( 67%#8%9%8.%( :".'*-&.0 #%&;1./"*( <-#1%&.0 +=#)*5(

Hovedmål med ISMS Synlighet i forhold til gjeldende status bidra til at ledelsesbeslutninger gjennomføres God virksomhetsstyring autorisasjon/mandat for ansatte redusere risiko for søksmål mot ledelsen Billigere sikkerhet adoptere ROSI begrunne investering og drift!"#$%&'()'*%+$,*)#+-."'"/#" 11

Strategisk dashboard (visibilitet)!"#$%&'()'*%+$,*)#+-."'"/#" 12

Implementering av styringssystem - BASERT PÅ ISO/IEC 27001:2005

Styringssystem rammeverk av policyer, prosedyrer, retningslinjer og assosierte ressurser for å oppnå virksomhetens målsetninger

Tilnærming basert på Watchcom-metode: 1. Forretning/Virksomhet 2. systemer Integrerer mot kommersielle aktiviteter i virksomheten Overordnet implementering Unngår å isolere prosesser 5. iterativ Hurtig implementering, fokus på minimumskrav, bytte til kontinuerlig forbedring 3. systematisk 4. integrert Integrerer og/eller harmoniserer ISMS med andre krav i virksomheten Bruker best praksis i prosjektstyring (f.eks PMBOK)

1. forberedelse 2. ledelsens godkjenning 3. utvikling 4. implementering

Forberedelser TA RIKTIG SATS FRA STARTEN

Oppstart av prosjekt Hvordan ligger vi an? Identifiser nå-status Hva skal vi fokusere på? Definer hva som vil gi mest verdi Lag utkast til omfang (scope) Hva vil det innbære og hva vil det koste? Lag business case Hvordan gjennomføres det? Utarbeid prosjektplan 18!"#$%&'()'*%+$,*)#+-."'"/#"

GAP-analyse A.15.x A.14.x A.13.x A.12.x A.11.x A.10.x A.9.x? A.8.x A.7.x A.6.x A.5.x 0 1 2 3 4 5 modenhet 19

GAP-analyse!"#$%#&'($)*(& &$)&+(",-,,-(& 0. Ikke-eksisterende&.(",-,,&32+%-2-0#-(#& 6$,-&78&6$,-& 9#-0&2-#"5-& 1. Initell&.(",-,,&/00-,1&2-0& &304-0&,#$05$(5& 2. Styrt/uformell&.(",-,,& -(&5";92-0#-(#&"4& ;"22903,-(#& 3. Definert&.(",-,,&-(&& ")-():;-#&"4&2:%#& 4. Kvantitativt styrt& <+=2$%3,-(#-& +(",-,,-(&! 5. Optimalisert&!"#$%&'()'*%+$,*)#+-."'"/#" 20

Utarbeide Business Case Prosjektstyring for ISMS, hovedmål Autorisasjon for prosjektet Første argumentasjon, salgsdokument Referansepunkt!"#$%&'()'*%+$,*)#+-."'"/#" 21

Innhold Hva er hensikten? Hvilket behov dekkes? Hvilke løsninger har vært vurdert? Hvorfor er foreslått løsning valgt? Hvor mye koster det? Vil mitt arbeid bli påvirket av dette?!"#$%&'()'*%+$,*)#+-."'"/#" 22

Business Case Initiell strukturering av prosjektet Beskrive metoder Målsetning: vise fordeler ved ISMS implementering grunnlag for prosjektbudsjett beslutningsverktøy!"#$%&'()'*%+$,*)#+-."'"/#" 23

Anbefalt gjennomføring GAP-analyse Rapport/ Business Case Prosjektplan = )3 = ); = )> = )? = )5 = )@ = )AAA 011234567!85)9:;!< Aktiviteter Aktiviteter Aktiviteter Aktiviteter Aktiviteter 24

#-%-&2) %13#-+,. /"+$"*%"%) /0+$1"#-+,.!"#"$%&'(%) (*'+*",,-+,.

Metode for risikovurdering Opp til virksomheten å bestemme Vanlig å benytte en anerkjent metode Minimumskriterier i forhold til ISO 27001: verdier, trusler, sårbarheter, sannsynlighet, beskyttelse i forhold til K-I-T, akseptabel risiko!"#$%&'()'*%+$,*)#+-."'"/#" 26

Viktigste aktiviteter ;1,)#$1&)) </1&-$5&,%(=)(%332(3%(=) 1&301(=)#(5+(5'%(5&,%(>)) +,),?%&&+"@A() B*70%()#(+,(1")@+() +##$C(5&,)+,)D%0533'/%') E4)#4)#$133)#(+3%33) @+() /%&-%$3%3/4&-'%(5&,) F##-1,)+,)/4&-'%() -533%)(13*')+,) %6%*70')!"#"$%& '()*+,-"+.#& /-*+& 01/-(1(+2(3& $%+23%--(+(& ;//-<3"+.& =& '(>"##2)(2& 0454&& 4263"+.7,3"8& 9(+,(-#(#& ):+,2(3"+.&!"#$%"%&'%()*+&'(+$$%()+,) -%.&%()/0+(-1&)-2)3*1$) "4$%)1')-533%)%()%6%*70%) "/')7$)"4$3%'&5&,%&%) 81,$5,)-(59)10) 3':(5&,33:3'%"%')

Revisjon!"#$%"&%$'()*+"&, -.'/$"0(0&(&1+%/+23&42&&.54'(#$#$"$&(55$&'(%5)+6/$#$"& &, 7$")8"&42&$9$5#:$%("0&+0& $9$54'(#$#&;5'.2(#$#<& &, =>30('$"3$&%+22$&(&'(%5)+6/$#& :"3$%&$#.?2$%("0&.'&!@A@& &, =$'()*+"&5."&:BC%$)&)+6&$"& 5+"4":$%2(0&.54'(#$#& D5)#$%"&%$'()*+"&, -.'/$"0(0&(&1+%/+23&42&.54'(#$#$"$&+0&'(%5)+6/$#$"& &, 7$")8"&42&$9$5#:$%("0& & &,!"0$"&%>30('$"3$&%+22$E&& ;5:"&0$"$%$22$&."?$1.2("0$%<& &, =$'()*+").54'(#$#$%&F2."2.0#&& )F$)(G5#&

Watchcom Security Group Rådgiver fra start til mål forberedelse - plan - utvikling - implementering Medspiller i forhold til implementering Kompetanseleverandør (kurs/tjeneste) risk manager insident manager beredskapsleder internrevisor!"#$%&'()'*%+$,*)#+-."'"/#" 29

Takk for oppmerksomheten! Arnfinn Roland, Watchcom Security Group CISSP, ISO 27001 Lead Auditor Trainer, ISO 27001 Lead Implementer Trainer