Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland
Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke informasjonssikkerheten 2007-2010 (FAD, JD, FD, SD Økonomiregelverket (bestemmelsene) NS-ISO/IEC 27002:2005 Informasjonsteknologi Sikkerhetsteknikk Administrasjon av informasjonssikkerhet (gamle ISO 17799:2005)
Informasjonssikkerhet Beskyttelse mot brudd på konfidensialitet, integritet og tilgjengelighet for den informasjon som behandles i systemet og systemet i seg selv. Fra Nasjonale retningslinjer for å styrke informasjonssikkerheten 2007-2010 2012.04.12 Direktoratet for forvaltning og IKT
HVA ER ET STYRINGSSYSTEM FOR INFORMASJONSSIKKERHET? 2012.04.12 Direktoratet for forvaltning og IKT
Hva ligger foran oss? Utviklingen av en elektronisk forvaltning vil være en av de store effektiviserings- og fornyingstiltakene i årene som kommer. 2012.04.12 Direktoratet for forvaltning og IKT
Dato Direktoratet for forvaltning og IKT
Hvorfor ISO 27001/27002? Nasjonale retningslinjer for å styrke informasjonssikkerhet (Ny versjon på vei) Vurdere krav om bruk av standarder Standarder for informasjonssikkerhet Referansekatalogen v 3.1 høringsfrist 24/4 www.standard.difi.no 2012.04.12 Direktoratet for forvaltning og IKT
ISO/IEC 27001:2005 Standard for et styringssystem for informasjonssikkerhet Information Security Management Systems (ISMS) Plan Do Check Act 2012.04.12 Direktoratet for forvaltning og IKT
11 områder, 39 sikringsmål og 133 sikringstiltak Utdyping av 133 sikringstiltak Direktoratet for forvaltning og IKT
Forholdet mellom regelverk og ISO/IEC 27001 Regelverk gjelder Standarden kan utfylle Vi må avstemme 2012.04.12 Direktoratet for forvaltning og IKT
Et kort overblikk Pof 2-1 Forholdsmessige krav om sikring av personopplysninger ISO 27001 Krav til risikotilnærming 2-3 Sikkerhetsledelse Management 2-4 Risikovurdering Risk management 2-5 Sikkerhetsrevisjon Internal audit 2-6 Avvik Corrective and preventive action 2-16 Dokumentasjon Documentation requirements Direktoratet for forvaltning og IKT
PLAN ACT DO CHECK Dato Direktoratet for forvaltning og IKT
Du skal planlegge det du skal gjøre P FOR PLAN Dato Direktoratet for forvaltning og IKT
PLAN Hva skal styringssystemet gjelde for? ISMS-policy (Mål og strategi) Risikovurdering og -tilnærming Ut fra risikovurderingen skal vi velge sikringsmål og tiltak for håndtering av risiko (Annex A) Få ledelsens godkjennelse for foreslåtte restrisiko 2012.04.12 Direktoratet for forvaltning og IKT
Ivaretakelse av rettslige krav Skal vurdere de rettslige krav i planleggingsfasen Vedlegg A A.15 compliance Mål: Å unngå brudd på lover, forskrifter og kontraktsforpliktelser A.15.1 Compliance with legal requirements Kontraktsforpliktelser Opphavsrettigheter Personvern og personopplysningsvern Med mer 2012.04.12 Direktoratet for forvaltning og IKT
PLAN overgang til neste fase Få ledelsens godkjenning til å implementere og drifte ISMS Forberede SoA sikkerhetstiltak..og deretter starter DO-fasen PLAN ACT DO CHECK 2012.04.12 Direktoratet for forvaltning og IKT
Du skal gjøre det du planla å gjøre D FOR DO Dato Direktoratet for forvaltning og IKT
D for DO Utarbeide risikohåndteringsplan ( prosjektplan ) Gjennomføre planen Definere hvordan man skal måle virkningen av sikringstiltak Utarbeide og implementere prosedyrer og rutiner Gjennomføre opplæring Styre ressurser Implementere prosedyrer/tiltak for å oppdage og håndtere avvik Dato Direktoratet for forvaltning og IKT
Du skal sjekke at du gjør det du planla å gjøre C FOR CHECK Dato Direktoratet for forvaltning og IKT
C for check Tiltak for å overvåke og revidere ISMS Undersøke om sikkerhetskrav blir oppfylt Revidere risikovurderingen(e) Revidere restrisiko Revidere akseptabelt risikonivå Gjennomføre intern revisjon Gjennomføre ledelsens gjennomgang Oppdatere planer Dokumentasjon på isms-hendelser og tiltak Dato Direktoratet for forvaltning og IKT
Du skal korrigere og forbedre P-D-C A for act Dato Direktoratet for forvaltning og IKT
Dokumentasjonskrav den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene pol 13 Mer spesifisert i pof ISO 27001 kap. 4.3 Documentation requirements Dato Direktoratet for forvaltning og IKT
ISO/IEC 27002 ISO/IEC 27002:2005 Administrasjon av informasjonssikkerhet Veiledning til generelt aksepterte sikringstiltak Retningslinjer og generelle prinsipper for planlegge, implementere, vedlikeholde og forbedre styringssystem for informasjonssikkerhet i en virksomhet (anbefalt praksis) Dato Direktoratet for forvaltning og IKT
ISO/IEC 27002 Sikringstiltak Ofte kun en setning Retningslinjer for iverksettelse Råd/veiledning om hvordan tiltaket kan etableres Andre opplysninger Ytterligere råd/henvisning til annen informasjon/standarder 2012.04.12 Direktoratet for forvaltning og IKT
Du skal planlegge Du skal jobbe systematisk Du skal ha tilfredsstillende informasjonssikkerhet Du skal dokumentere Du har ansvaret for eksterne