Upload
microsoft
View
93
Download
5
Embed Size (px)
DESCRIPTION
Cyber Security Conference - Informationssikkerhed og tryghed i digitalisering, v/ Kontorchef Cecile Christensen, Digitaliseringsstyrelsen
Citation preview
Vis hjælpelinjer som er en hjælp
på den aktuelle side og
Sæt kryds ved ’Vis’
3. Skriv ønsket dato ind i feltet 5. november 2014 1
Cyber Security Konference 6. nov. 2014Informationssikkerhed og tryghed i digitalisering
v/Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning
FAKTA OM DIGITALISERINGSSTYRELSEN
• Ca. 170 medarbejdere
• Direktør Lars Frelle-Petersen og
vicedirektør Rikke Hougaard Zeberg og
Carsten Møller Jensen
• Styrelse etableret i Finansministeriet i efter
regeringsskifte 2011
• Sat i verden for at skabe et mere digitalt
offentligt Danmark, der effektiviserer og
frigør ressourcer og moderniserer servicen
• Opgaver: strategi og politikudvikling,
implementering af standarder, øget
udbredelse af velfærdsteknologi, nye
styringsmodeller, bedre brugervenlighed og
tilgængelighed, udvikling og drift af
infrastruktur mv.
november 2014
2
november 2014
3
• Digitaliseringsstyrelsens aktuelle fokus på
sikkerhed:
• Strategi for cyber- og informationssikkerhed
• Anbefalinger til styrkelse af outsourcet drift
• Vejledningen ”Cyberforsvar, der virker”
• Statens Informationssikkerhedsforum
• Vejledninger på Digst.dk
• Regeringens sikkerhedstiltag
• Ny fælles digitaliseringsstrategi skal blandt
andet styrke arbejdet med it-sikkerhed i den
fællesoffentlige digitale infrastruktur.
• ØA15 om næste generation af NemID og
videreudvikling af Digital Post.
INDSATSER I FORHOLD TIL SIKKERHED
INFORMATIONSSIKKERHED
Fokus på organisationers informationssikkerhed
• Fortrolighed
• Tilgængelighed
• Integritet
Handler om at beskytte
• IT-systemer
• Processer
• Viden
november 2014
4
Viden
It-systemerProcesser
Information
5
Informationssikkerhed defineres som de samlede foranstaltninger til at sikre
informationer og informationssystemer i forhold til Fortrolighed, Integritet
og Tilgængelighed (FIT)
It-sikkerhed- er en delmængde.
Dækker teknologisk sikring af data
i systemer og tekniske produkter.
Informationssikkerhed- er det hele. Dækker også styring
og ledelse af informationssikkerhed
(ISMS).
Definition
Cybersikkerhed- er en delmængde.
Dækker Internet-relateret sikring
og anvendelse af data og systemer.
ISO27001
• International standard til styring af
informationssikkerhed
• Afløser DS484 som obligatorisk i staten
fra januar 2014.
november 2014
6
Ledelsesinvolvering gennem…
• Risikovurdering
• Organisation, processer og dokumentation
• Beslutningsdokument (statement of
applicability)
• Øget fokus på området.
ISO 27000-SERIEN
TI BASALE SIKKERHEDSKRAV
1. Sikkerhedsudvalg
2. Sikkerhedspolitik
3. Risikovurdering
4. Beslutningsdokument
5. Årsplan
6. Retningslinjer og procedurer
7. Opfølgning og kvalitetstjek
8. Leverandørstyring
9. Beredskabsplan
10.Sikkerhedsbevidsthed
november 2014
8
1. SIKKERHEDSUDVALG
Etabler et ledelsesudvalg der varetager ansvaret for risikostyring af
den fysiske, forretningsmæssige og organisatoriske sikkerhed samt
udpeg en it-sikkerhedskoordinator.
• Forretningsorden
• Dokumentation for mødebeslutninger
• Sagsbehandling af sikkerhedshændelser
• Identificer kritiske forretningsområder
• Handlingsplan og årshjul
november 2014
9
2. OVERORDNET SIKKERHEDSPOLITIK
Formuler en overordnet sikkerhedspolitik der beskriver ledelsens
målsætninger og regler for institutionens forretningsområder samt
tilhørende informationer og systemer.
• Omfang 1½ - 3 sider
• Ledelsens forventninger til sikkerhed
• Forretningsmæssige krav og love
• Beskriver retning og principper
• Ledelsesgodkendt
november 2014
10
3. RISIKOVURDERING
Identificer de kritiske
forretningsområder samt
foretag en risikovurdering af de
forretnings- og it-mæssige risici
i tilknytning til interessenter,
forretningsområder og -
systemer samt lovgivning.
4. BESLUTNINGSDOKUMENT
Udarbejd et beslutningsnotat på baggrund af resultatet fra
risikovurderingen, som beskriver hvad ledelsen aktivt har besluttet og
hvorfor (SoA-Statement of Applicability).
• Begrunder til- og fravalg
• Beskriv indsatsområder
• Vælg kontrolområder
• Rapport-, notat- eller skemaform
• Ledelsesgodkendt
november 2014
12
5. KONTINUERLIG PLAN
En kontinuerlig plan for realisering af planlagte aktiviteter
• Kritikalitet
• Prioritering
• Handling
• Tidsplan
• Ansvarlig
november 2014
13
PlanlægningMål og omfang defineres fx risikovurdering, politik og handlingsplan
ImplementeringDe planlagte sikkerhedstiltag implementeres i praksis
OpfølgningDer følges op på deimplementerede sikkerhedstiltag
ForbedringSikkerhedstiltag
justeresog ændres i forhold tilden reelle situation
6. RETNINGSLINJER OG PROCEDURER
Udform relevante retningslinjer og procedurer for forretningsgange
med udgangspunkt i resultatet fra risikovurderingen.
• Personale
• Praktisk redskab i hverdagen
• Kommunikeres på fx intranettet
• Kort og pædagogisk
november 2014
14
7. OPFØLGNING OG KVALITETSTJEK
14 kontrolområder beskrevet i ISO 27002.
• Identificer kontroller
• Etabler en plan
• Udfør kontroller
• Dokumenter som bevis
• Vurder effektivitet
november 2014
15
8. LEVERANDØRSTYRING
Forretningsmæssige styring af leverandører, kontrakter og projekter.
• Dokumenter og skab overblik
• Risikovurdering
• Krav kontra kvalitet
• Økonomi og ressourcer
• Efterlevelse af lovkrav
november 2014
16
9. BEREDSKABSPLAN
Udarbejd en beredskabsplan der beskriver tiltag i tilfælde af en
nødsituation og etabler en generel plan for kommunikation.
• Fokus på kritiske forretningsområder
• Præciser opgaver, roller og ansvar
• Både fysisk og digital sikkerhed
• Genskab
• Test
november 2014
17
10. SIKKERHEDSBEVIDSTHED
Bevidsthed om et givent emne.
Kommunikation skal fremme forståelsen for sikkerhed og ændre vores
adfærd.
• Roller, ansvar og beføjelser
• Persondataloven
• Brugen af adgangskort, nøgler og koder
• Anvendelse af Smartphone, tablet og bærbar
• Gøres nærværende, så det opleves som værdiskabende.
november 2014
18
FINANSMINISTERIETS MÅL
• Professionel
informationssikkerhedsstyring i
det offentlige
• Viden og erfaringer deles.
• Bevarelse af borgernes tillid til
det offentlige
november 2014
19
BALANCE
20
Sikkerhed Brugervenlighed
Økonomi
ØVRIGE TILTAG
• Regeringsstrategi for cyber og informationssikkerhed
• Se og Hør sagen
• JMs arbejdsgruppe til kortlægning af databeskyttelse på
kortbetalingsområdet mv.
• Retsudvalgets og Kulturudvalgets arbejdsgrupper til kortlægning af
databeskyttelse
november 2014
21
SPØRGSMÅL
november 2014
22