Vis hjælpelinjer som er en hjælp

på den aktuelle side og

Sæt kryds ved ’Vis’

3. Skriv ønsket dato ind i feltet 5. november 2014 1

Cyber Security Konference 6. nov. 2014Informationssikkerhed og tryghed i digitalisering

v/Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning

FAKTA OM DIGITALISERINGSSTYRELSEN

• Ca. 170 medarbejdere

• Direktør Lars Frelle-Petersen og

vicedirektør Rikke Hougaard Zeberg og

Carsten Møller Jensen

• Styrelse etableret i Finansministeriet i efter

regeringsskifte 2011

• Sat i verden for at skabe et mere digitalt

offentligt Danmark, der effektiviserer og

frigør ressourcer og moderniserer servicen

• Opgaver: strategi og politikudvikling,

implementering af standarder, øget

udbredelse af velfærdsteknologi, nye

styringsmodeller, bedre brugervenlighed og

tilgængelighed, udvikling og drift af

infrastruktur mv.

november 2014

2

november 2014

3

• Digitaliseringsstyrelsens aktuelle fokus på

sikkerhed:

• Strategi for cyber- og informationssikkerhed

• Anbefalinger til styrkelse af outsourcet drift

• Vejledningen ”Cyberforsvar, der virker”

• Statens Informationssikkerhedsforum

• Vejledninger på Digst.dk

• Regeringens sikkerhedstiltag

• Ny fælles digitaliseringsstrategi skal blandt

andet styrke arbejdet med it-sikkerhed i den

fællesoffentlige digitale infrastruktur.

• ØA15 om næste generation af NemID og

videreudvikling af Digital Post.

INDSATSER I FORHOLD TIL SIKKERHED

INFORMATIONSSIKKERHED

Fokus på organisationers informationssikkerhed

• Fortrolighed

• Tilgængelighed

• Integritet

Handler om at beskytte

• IT-systemer

• Processer

• Viden

november 2014

4

Viden

It-systemerProcesser

Information

5

Informationssikkerhed defineres som de samlede foranstaltninger til at sikre

informationer og informationssystemer i forhold til Fortrolighed, Integritet

og Tilgængelighed (FIT)

It-sikkerhed- er en delmængde.

Dækker teknologisk sikring af data

i systemer og tekniske produkter.

Informationssikkerhed- er det hele. Dækker også styring

og ledelse af informationssikkerhed

(ISMS).

Definition

Cybersikkerhed- er en delmængde.

Dækker Internet-relateret sikring

og anvendelse af data og systemer.

ISO27001

• International standard til styring af

informationssikkerhed

• Afløser DS484 som obligatorisk i staten

fra januar 2014.

november 2014

6

Ledelsesinvolvering gennem…

• Risikovurdering

• Organisation, processer og dokumentation

• Beslutningsdokument (statement of

applicability)

• Øget fokus på området.

ISO 27000-SERIEN

TI BASALE SIKKERHEDSKRAV

1. Sikkerhedsudvalg

2. Sikkerhedspolitik

3. Risikovurdering

4. Beslutningsdokument

5. Årsplan

6. Retningslinjer og procedurer

7. Opfølgning og kvalitetstjek

8. Leverandørstyring

9. Beredskabsplan

10.Sikkerhedsbevidsthed

november 2014

8

1. SIKKERHEDSUDVALG

Etabler et ledelsesudvalg der varetager ansvaret for risikostyring af

den fysiske, forretningsmæssige og organisatoriske sikkerhed samt

udpeg en it-sikkerhedskoordinator.

• Forretningsorden

• Dokumentation for mødebeslutninger

• Sagsbehandling af sikkerhedshændelser

• Identificer kritiske forretningsområder

• Handlingsplan og årshjul

november 2014

9

2. OVERORDNET SIKKERHEDSPOLITIK

Formuler en overordnet sikkerhedspolitik der beskriver ledelsens

målsætninger og regler for institutionens forretningsområder samt

tilhørende informationer og systemer.

• Omfang 1½ - 3 sider

• Ledelsens forventninger til sikkerhed

• Forretningsmæssige krav og love

• Beskriver retning og principper

• Ledelsesgodkendt

november 2014

10

3. RISIKOVURDERING

Identificer de kritiske

forretningsområder samt

foretag en risikovurdering af de

forretnings- og it-mæssige risici

i tilknytning til interessenter,

forretningsområder og -

systemer samt lovgivning.

4. BESLUTNINGSDOKUMENT

Udarbejd et beslutningsnotat på baggrund af resultatet fra

risikovurderingen, som beskriver hvad ledelsen aktivt har besluttet og

hvorfor (SoA-Statement of Applicability).

• Begrunder til- og fravalg

• Beskriv indsatsområder

• Vælg kontrolområder

• Rapport-, notat- eller skemaform

• Ledelsesgodkendt

november 2014

12

5. KONTINUERLIG PLAN

En kontinuerlig plan for realisering af planlagte aktiviteter

• Kritikalitet

• Prioritering

• Handling

• Tidsplan

• Ansvarlig

november 2014

13

PlanlægningMål og omfang defineres fx risikovurdering, politik og handlingsplan

ImplementeringDe planlagte sikkerhedstiltag implementeres i praksis

OpfølgningDer følges op på deimplementerede sikkerhedstiltag

ForbedringSikkerhedstiltag

justeresog ændres i forhold tilden reelle situation

6. RETNINGSLINJER OG PROCEDURER

Udform relevante retningslinjer og procedurer for forretningsgange

med udgangspunkt i resultatet fra risikovurderingen.

• Personale

• Praktisk redskab i hverdagen

• Kommunikeres på fx intranettet

• Kort og pædagogisk

november 2014

14

7. OPFØLGNING OG KVALITETSTJEK

14 kontrolområder beskrevet i ISO 27002.

• Identificer kontroller

• Etabler en plan

• Udfør kontroller

• Dokumenter som bevis

• Vurder effektivitet

november 2014

15

8. LEVERANDØRSTYRING

Forretningsmæssige styring af leverandører, kontrakter og projekter.

• Dokumenter og skab overblik

• Risikovurdering

• Krav kontra kvalitet

• Økonomi og ressourcer

• Efterlevelse af lovkrav

november 2014

16

9. BEREDSKABSPLAN

Udarbejd en beredskabsplan der beskriver tiltag i tilfælde af en

nødsituation og etabler en generel plan for kommunikation.

• Fokus på kritiske forretningsområder

• Præciser opgaver, roller og ansvar

• Både fysisk og digital sikkerhed

• Genskab

• Test

november 2014

17

10. SIKKERHEDSBEVIDSTHED

Bevidsthed om et givent emne.

Kommunikation skal fremme forståelsen for sikkerhed og ændre vores

adfærd.

• Roller, ansvar og beføjelser

• Persondataloven

• Brugen af adgangskort, nøgler og koder

• Anvendelse af Smartphone, tablet og bærbar

• Gøres nærværende, så det opleves som værdiskabende.

november 2014

18

FINANSMINISTERIETS MÅL

• Professionel

informationssikkerhedsstyring i

det offentlige

• Viden og erfaringer deles.

• Bevarelse af borgernes tillid til

det offentlige

november 2014

19

BALANCE

20

Sikkerhed Brugervenlighed

Økonomi

ØVRIGE TILTAG

• Regeringsstrategi for cyber og informationssikkerhed

• Se og Hør sagen

• JMs arbejdsgruppe til kortlægning af databeskyttelse på

kortbetalingsområdet mv.

• Retsudvalgets og Kulturudvalgets arbejdsgrupper til kortlægning af

databeskyttelse

november 2014

21

SPØRGSMÅL

november 2014

22