EDB Business Partner Sikkerhetskontroller / -revisjoner
Varedeklarasjon Grunnlag for kontroller (revisjoner) Prosess og metodikk Rapportering Oppfølgning av avvik EDB Business Partner > slide 2
Corporate Governance Virksomhetsstyring etablering og iverksetting av interne regler, rutiner og prosesser. virksomhetsstyringen bygger på ekstern lovgiving og interne regelverk som skal etterleves i alle ledd av organisasjonen. virksomhetens styringsstruktur er dels fastlagt av lovverk som regulerer virksomheten og dels interne strukturer, organer og prosedyrer. EDB Business Partner > slide 3
Styringssystem for informasjonssikkerhet (ISMS) i EDB Styring Styring av av informasjonssikkerhet informasjonssikkerhet Forankring Forankring i toppledelsen i toppledelsen Kommunisert Kommunisert informasjonssikkerhetspolicy informasjonssikkerhetspolicy ogogretningslinjer retningslinjer Ansvarliggjøring Ansvarliggjøring i organisasjonen i organisasjonen Strategisk Strategisk plan plan Omfang Omfang -Aktiva -Aktiva Mål: Mål: - Sannsynlighet - Sannsynlighet - - Konsekvens Konsekvens Identifisere Identifisere risikoer risikoer Identifisere Identifisere risikoer risikoer Eierskap Eierskap Vurdere Vurdere risikoer risikoer Sannsynlighet/ Sannsynlighet/ Konsekvens Konsekvens Klassifisering Klassifisering Prioritering Prioritering Tiltak Tiltak og og ansvar ansvar Foreslå Foreslå tiltak tiltak Kost/nytte Kost/nytte Ansvar Ansvar Tiltaksplan Tiltaksplan Overvåke, Overvåke, vedlikeholde vedlikeholde og og forbedre forbedre Overvåkning Overvåkning av av risikobildet risikobildet Oppfølging Oppfølging og og kontroll kontroll Rapportering Rapportering EDB Business Partner > slide 4
Security Management Process En integrert del av EDBs Styringssystem Risikovurdering IS-policy Informasjonssikkerhetshåndboken (ISH) Security Management Policystyring Sikkerhetsrammeverk Sikkerhetsmålinger (Audits) Sikkerhetskontroller (Audits) EDB Business Partner > slide 5
"Security Management" prosess Styre, kontrollere og forbedre EDBs informasjonssikkerhet. Bidra til at EDBs krav til informasjonssikkerhet ivaretas i våre forretningsprosesser og IT-løsninger. Dette oppnås blant annet ved å: Sette krav til informasjonssikkerheten i EDB gjennom policy og sikkerhetskrav Måle utvalgte parametere som over tid kan si oss noe om utviklingen i det generelle sikkerhetsnivået Kontrollere at fastsatte krav blir overholdt Security Management Policystyring Sikkerhetsrammeverk Sikkerhetsmålinger (Audits) Sikkerhetskontroller (Audits) EDB Business Partner > slide 6
Sikkerhetskontroller i EDB Sikkerhet Sikre at sikkerhetsnivået er i henhold til avtale ISO 27001 sertifisert Etablert sikkerhetsstyring i alle ledd Fysisk/logisk/organisatorisk sikkerhet Definerte sikkerhetstjenester Det Norske Veritas Interne revisjoner Eksterne revisjoner Sikkerhetskontroller Risikohåndtering ITIL-baserte driftsprosesser NS ISO 9001:2001-sertifisert Revisjon Sikre at kvalitet og sikkerhet i driftsleveransene er i henhold til avtale og best practice Kvalitet Sikre at driftskvalitet er i henhold til avtale EDB Business Partner > slide 7
Input til sikkerhetskontroll Sikkerhetsstandarden ISO27001 ISH (Sikkerhetshåndboken) Lover / forskrifter POL (Behandlingsansvarlig / Databehandler) Sarbanes-Oxley Act (SOA/SOX) Regnskapsloven, åndsverksloven, arkivloven, med mer. Løsnings- / kundespesifikke krav PCI DSS IKT-forskriften Sarbanes-Oxley Act (SOA/SOX) Risikobilde (Risikoregisteret) Planlagt revisjon av sikkerhetsrammeverket Signifikante endringer i EDBs forretningsvirksomhet Tips fra medarbeidere (følger opp mottatte tips ang. sårbarheter i EDB) EDBs Informasjonssikkerhetspolicy EDB Informasjonssikkerhetshåndbok EDB Informasjonssikkerhetshåndbok Løsnings- og kundespesifikke Løsnings- og kundespesifikke retningslinjer og prosedyrer retningslinjer og prosedyrer EDB Business Partner > slide 8
Sikkerhetskontroll Planlegge, utføre og følge opp sikkerhetskontroller verifisere etterlevelse av sikkerhetskrav i Informasjonssikkerhetshåndbok for EDB identifisere svakheter som ikke er dekket av eksisterende sikkerhetsrammeverk. Beskriver EDBs prosess for egenkontroll på dette området samt oppfølging av avvik og risiko som avdekkes i kontrollrapporter (sikkerhetstester) EDB mottar fra andre parter. EDB Business Partner > slide 9
Kontrollplan Kontrollplan utarbeides årlig Fokusområder Type kontroller (systemer / type systemer) Kundeleveranser Plattformer IP telefoni Fysisk sikkerhet Internetteksponerte løsninger Eventuelt andre kontroller Oppdateres ved behov Ansvarlig Sikkerhetssjef EDB Business Partner > slide 10
EDBs Sikkerhetshåndbok - kontrollområder EDBs Sikkerhetshåndbok EDB Business Partner > slide 11
Kontrollrapport Utarbeides av Sikkerhetskontrollør Kvalitetssikres Hensiktsmessig utført iht. kontrollplan Korrekthet Godkjennes Seksjon Sikkerhetsledelse EDB Business Partner > slide 12
Registrering / godkjenning av plan Sikkerhetskontrollen registreres i Revisjonsdatabasen; Avvik og observasjoner registreres for oppfølging og rapportering; Ansvarlige ledere for kontrollert område informeres om kontrollrapporten; avvik og observasjoner for sitt område. Ansvarlig leder levere en plan med tiltak for lukking av avvik; Plan for lukking av avvik godkjennes Sikkerhetssjef (Sikkerhetsledelse) EDB Business Partner > slide 13
Oppfølging Avvik og observasjoner Risikostyringsprosessen EDB Business Partner > slide 14
EDB Business Partner > slide 15