ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen
Informasjonssikkerhet
Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere, drifte, styre og vedlikeholde et informasjonsstyringssystem som samsvarer med internasjonale standarder og som omfatter allment anerkjent sikkerhetspraksis»
Informasjon er en eiendel som på lik linje med andre viktige eiendeler har en verdi for en organisasjon og derfor må beskyttes ISO 27002:2005
«Informasjonssikkerhet er definert som bevaring av konfidensialitet, integritet og tilgjengelighet» ISO 27001:2005 Konfidensialitet Å sikre at informasjon og informasjonssystemer bare er tilgjengelig for de som skal ha tilgang Integritet Tilgjengelighet Å sikre at informasjon og informasjonssystemer er korrekte, gyldige og fullstendige Å sikre at informasjon og informasjonssystemer er tilgjengelig innenfor de tilgjengelighetskrav som er satt
God informasjonssikkerhet har en verdi Beskytter informasjon mot ulike trusler Sikrer kontinuitet i kjernevirksomheten Minimerer finansielle tap og uønskede hendelser Optimaliserer avkastningen av investeringer Eksempler på risiko Tap av informasjon Stopp i kritiske systemer Overtredelse lover og regler Fysisk skade (brann, vannskader osv) Legger til rette for å drive forretning på en trygg måte Sikrer personvern og etterlevelse av lover og regler Vi er alle avhengig av informasjonssikkerhet!
Risikostyring
Tilnærming til risikostyring Velg en modell som egner seg for deg og din virksomhet Definer hva som er akseptabel risk for din virksomhet Valgt metodikk skal sikre at risikoanalysen gir resultater som kan sammenlignes og repeteres
Identifisere risk Eiendel som skal vurderes (system, informasjon, prosess) Trusler Sårbarheter Konsekvenser Konfidensialitet Integritet Tilgjengelighet
Vurdere og evaluere risiko Sikkerhetshendelse Sannsynlighet Konsekvens Risikonivå
Risikoakseptanse Risikonivå Akseptabelt? Ja Aksepter Nei Håndtere
Alternativer for å håndtere risiko Iverksette tiltak for å redusere risiko Akseptere risiko Unngå risiko Overføre risiko til annen part Forsikring / leverandører
Sikringstiltak fordelt på 11 områder A5. Informasjonssikkerhetspolicy A6. Organisering av informasjonssikkerhet A7. Administrasjon av aktiva A8. Personellsikkerhet A9. Fysisk og miljømessig sikkerhet A10. Kommunikasjons- og driftsadministrasjon A11. Aksesskontroll A12. Anskaffelse, utvikling og vedlikehold av informasjonssystemer A13. Administrasjon av informasjonssikkerhetsbrudd A14. Kontinuitetsplanlegging A15. Samsvar
ISO 27001
IT informasjonssikkerhet basert på ISO 27001 Hva Etablere og implementere en sikkerhetsorganisasjon Etablere «risk management» som nøkkelen til alt sikkerhetsarbeid Skape forankring og aktiv deltagelse fra virksomhetsledelsen Verdi Forutsigbar håndtering av risiko Oppfyller interne og eksterne krav og standarder Beste praksis målbart og med stor markedsaksept Awareness og opplæring av sikkerhetspersonell Et etablert rammeverk som passer for alle kunder
Information Security Management System
Etablere et ISMS Definere omfang av ISMS Definere en ISMS policy Definere tilnærmingsmåte for risikovurdering Identifisere risikoene Analysere og evaluere risikoene Identifisere og evaluere alternativer for håndtering av risikoene Velge mål for tiltakene og tiltak for å behandle risikoene Innhente ledelsens godkjenning for restrisikoene Innhente ledelsens godkjenning for å iverksete og drifte ISMS Utarbeide anvendelighetserklæringen (SoA Statement of Applicability)
Implementere og forvalte ISMS Formulere en handlingsplan for risiko Implementere handlingsplanen for risiko Implementere valgte sikringstiltak som oppfyller målet for informasjonssikkerhet Definere hvordan effektiviteten på tiltakene skal måles, og spesifisere hvordan målingene skal benyttes til å avdekke tiltakenes virkningsgrad på en måte som kan repeteres og sammenliknes Iverksette bevisstgjørings- og opplæringsprogrammer Administrere oppgavene i styringssystemet Administrere ressursene i styringssystemet Implementere prosedyrer og andre tiltak for raskt å kunne oppdage og håndtere sikkerhetsbrudd
Monitorere og revidere ISMS Gjennomføre prosedyrer for overvåking Gjennomføre regelmessig gjennomganger av effektiviteten til styringssystemet Måle effektiviteten på sikringstiltakene for å verifisere at kravene til sikkerhet oppfylles Jevnlig gjennomføre risikovurderinger og vurdere om nivået på restrisiko og akseptabel risiko er riktig Jevnlig gjennomføre interne revisjoner av styringssystemet Jevnlig gjennomføre ledelsens gjennomgang av ISMS for å verifisere at omfanget er riktig og at forbedringer av styringssystemet kan identifiseres Oppdatere planer og sikringstiltak basert på observasjoner gjort under revisjoner og gjennomganger Dokumentere aktiviteter og hendelser som kan påvirke egnetheten og effektiviteten til styringssystemet
Vedlikeholde og forbedre ISMS Implementere de identifiserte forbedringene i styringssystemet Iverksette dekkende korrektive og preventive tiltak og aktiviteter Kommunisere aktivitetene og forbedringene til alle interessenter og dersom det er relevant, innhente samtykke til videre aktiviteter Sikre at forbedringene oppnår de forventede målene
Syscom din strategiske sikkerhetsrådgiver! Bistå ledelsen i planlegging av sikkerhetsarbeid GAP-analyse for å dokumentere forbedringspotensialet Utarbeide sikkerhetsplaner som samsvarer med bedriftens mål Risikovurdering og sårbarhetsanalyser Suksesskriterier Ledelsesinvolvering Fordeling av ansvar Kunnskap og engasjement Dokumentert og forutsigbart Kontinuerlig forbedring Dokumentere rutiner og prosesser Opplæring og bevisstgjøring