Presentation laddar. Vänta.

Presentation laddar. Vänta.

Outsourcing - ISO/IEC seriens standarder som stöd?

Publicerades avIngemar Fransson

Liknande presentationer

En presentation över ämnet: "Outsourcing - ISO/IEC seriens standarder som stöd?"— Presentationens avskrift:

1

2 Outsourcing - ISO/IEC seriens standarder som stöd?

3 Jan Branzell Bakgrund inom bl.a. bilindustri samt papper & massa
Arbetar med verksamhetsstyrning och kommunikation Informationssäkerhet sedan år 2000 som VD för Veriscan Security som är inriktat på mätning och införande av informationssäkerhet Varit med i SIS TK för ISO/IEC serien sedan år 2000 Co-Editor för ISO/IEC om införande av LIS samt kommande ISO/IEC TR om IS och ekonomi Ordförande i SIS Arbetsgrupp AG41 kring olika standarder kring införande av säkerhetsåtgärder (ICT Business Continuity, Network security, Incident Management , Outsourcing mm) Stödjer SIS i framtagning och leverans av SIS Informationssäkerhetsakademi

4 Standarder och Outsourcing -Hållpunkter
Vad är outsourcing? Stöd i ISO/IEC och 27002 Stöd i andra standarder kring säkerhetsåtgärder Molnet och standarder

5 Vad är outsourcing?

6 Risk vid outsourcing? Kan standarder hjälpa till?
Medvetna parter har goda förutsättningar att göra allting bättre Omedvetna parter löper stor risk att göra något bra sämre och någonting dåligt ännu sämre Kan standarder hjälpa till?

7 ISO/IEC 27001 och 27002 är vår bas Bilaga A 27002 Guide 27001 LIS
27006 Ackr. 27003 Impl. 27004 Mätn. Bilaga A 27005 Risk 27007 Rev. 27008 Tech 27000 Term.

8 ISO 27000 serien - basstandarder
27001 ISMS 27002 Guide ISO/IEC 27002–Guide (Best Practice) Omfattning Termer och definitioner Säkerhetspolicy Organisatorisk säkerhet Klassificering och styrning av tillgångar Personal och säkerhet Fysisk och miljörelaterad säkerhet Styrning av kommunikation och drift Styrning av åtkomst Systemutveckling och systemunderhåll Incident Kontinuitetsplanering för verksamheten Efterlevnad ISO/IEC 27001– KRAV ”SKALL” Orientering & Omfattning Normativa hänvisningar Termer och definitioner Ledningssystem för informationssäkerhet Ledningens ansvar Ledningens genomgång av LIS Förbättring av LIS Bilaga A (normativ) Styrmedel och styrmåltabell som mappar SS ISO/IEC 27002 Bilaga B (informativ) Vägledning för användning av denna standard Bilaga C (informativ) Samband mellan ISO 9001 (2000), ISO (1996) och ISO (2005) Bilaga D (informativ) Ändringar i intern numrering Litteraturförteckning

9 Vart hittar vi outsourcing?
27001 ISMS 27002 Guide ISO/IEC 27002–Guide (Best Practice) Omfattning Termer och definitioner Säkerhetspolicy Organisatorisk säkerhet Klassificering och styrning av tillgångar Personal och säkerhet Fysisk och miljörelaterad säkerhet Styrning av kommunikation och drift Styrning av åtkomst Systemutveckling och systemunderhåll Incident Kontinuitetsplanering för verksamheten Efterlevnad ISO/IEC 27001– KRAV ”SKALL” Orientering & Omfattning Normativa hänvisningar Termer och definitioner Ledningssystem för informationssäkerhet Ledningens ansvar Ledningens genomgång av LIS Förbättring av LIS Bilaga A (normativ) Styrmedel och styrmåltabell som mappar SS ISO/IEC 27002 Bilaga B (informativ) Vägledning för användning av denna standard Bilaga C (informativ) Samband mellan ISO 9001 (2000), ISO (1996) och ISO (2005) Bilaga D (informativ) Ändringar i intern numrering Litteraturförteckning

10 ISO/IEC Annex A 6.2

11 ISO/IEC 27002 Mål Åtgärd Vägledning Övrig information Säkerhetsåtgärd
Definierar den specifika säkerhetsåtgärd som krävs för att tillgodose åtgärdsmålet. Vägledning Vägledning för införande Tillhandahåller mer detaljerad information Övrig information Övrig information Tillhandahåller ytterligare information som kan behöva beaktas, t.ex. juridiska överväganden och referenser till andra standarder.

12 ISO/IEC Kap 6 och då 6.2

13 ISO/IEC 27002 Kap 6.2 6.2 Utomstående parter
Mål : Att bibehålla säkerheten hos organisationens information och informationsbehandlingsresurser som är åtkomliga för, bearbetas av, kommuniceras till eller hanteras av utomstående parter. Säkerheten hos organisationens information och informationsbehandlingsresurser bör inte minskas genom introduktion av utomstående parters produkter eller tjänster. All åtkomst till organisationens informationsbehandlingsresurser liksom utomståendes bearbetning och kommunikation av information bör styras. Där verksamhetsbehov finns för att arbeta med utomstående parter som kan kräva åtkomst till organisationens information och informationsbehandlingsresurser eller att erhålla eller lämna en produkt eller tjänst från eller till en utomstående part, bör en riskbedömning göras. Riskbedömningen görs för att avgöra säkerhetskonsekvenser och behov av styrning. Säkerhetsåtgärder bör överenskommas och definieras i en överenskommelse med den utomstående parten.

14 Exempel med utdrag från ISO/EC 27002
6.2.1 Identifiering av risker med utomstående parter Säkerhetsåtgärd Riskerna för organisationens information och informationsbehandlingsresurser i verksamhetsprocesser där utomstående parter är involverade bör identifieras och lämpliga säkerhetsåtgärder införas innan åtkomst beviljas. Vägledning för införande Där det finns behov av att tillåta en utomstående part att ha åtkomst till informationsbehandlingsresurser eller information i en organisation bör en riskbedömning (se även avsnitt 4) utföras för att identifiera eventuella krav på särskilda säkerhetsåtgärder. Vid identifieringen av risker vid utomståendes åtkomst bör följande faktorer beaktas: a) de informationsbehandlingsresurser som den utomstående parten behöver få åtkomst till b) den typ av åtkomst som den utomstående kommer att ha till information och informationsbehandlingsresurser, t.ex. 1) fysisk åtkomst, t.ex. till kontorsutrymmen, datorrum, arkiv 2) logisk åtkomst, t.ex. till en organisations databaser, informationssystem 3) nätverkskoppling mellan organisationens och den utomstående partens nätverk, t.ex. permanent uppkoppling, fjärråtkomst 4) om åtkomsten äger rum inom eller utanför organisationens lokaler OSV……….

15 Vi hittar alltså stöd i ISO/IEC 27002
Men……

16 Vad gäller hantering av övriga säkerhetsåtgärder?

17 Det betyder! Att övriga ”relevanta” säkerhetsåtgärderna i ISO/IEC gäller! Att för att uppnå målen när det gäller säkerhetsåtgärderna så är kraven minst lika höga på outsourcing partnern som om det varit den egna organisationen Snarare så har ett beroende uppstått till en annan organisation som i sig utgör en risk Men vi kan också ha reducerat andra risker – Som vadå?

18 Steg 1 är alltså att nyttja ISO/IEC 27002 som bas
Säkerhetsåtgärderna skall vara adresserade (kravställda) i avtalet med den andra parten Säkerhet som “Non Functional Requirements” bör mao vara borta Vissa säkerhetsåtgärder och risk mitigering tas över av outsourcing parten – T.ex. risker vid Back Up tagning, risk DoS attacker Men ansvaret att kontrollera betyder ytterligare aktiviteter för uppföljning och kontroll som t.ex. revision, mätning och även riskstatus som återrapporteras inom ramen för LIS (ISO/IEC 27001)

19 Hur gör vi det? Teoretiskt enkelt – Praktiskt inte lika enkelt….
133 säkerhetsåtgärder skall omsättas till krav i avtalet Säkerhetspolicy Organisatorisk säkerhet Klassificering och styrning av tillgångar Personal och säkerhet Fysisk och miljörelaterad säkerhet Styrning av kommunikation och drift Styrning av åtkomst Systemutveckling och systemunderhåll Incident Kontinuitetsplanering för verksamheten Efterlevnad Appendix A + Motsvarande i ISO/IEC 27002 Vad outsourcas till vem av vem?

20 Den första förenklade slutsatsen att nyttja standarder
ATT Outsourcing Parten är ISO/IEC Certifierade Kontrollera omfattning och avgränsningar samt SoA* enligt ISO/IEC 27001 Analysera prestanda/hantering vissa säkerhetsåtgärder utifrån ISO/IEC 27002 Sök gärna ytterligare tredje parts information *) SoA = Statement of Applicability, dvs. vilka säkerhetsåtgärder man har certifierat

21 Men vi vill ha mer samarbete! Speciellt om det gäller ICT Outsourcing
Incidentprocessen Kontinuitetsplanering Riskrapportering “CHANGE” Egna processer Outsourcing partnerns process Livscykel problematik Forensics MMMMM? Kan vi finna mer stöd i ISO serien av standarder?

22 Veriscan - IS utbildning ISO 27000
Dom här? 27002 Guide 27001 ISMS 27006 Accr. 27003 Impl. 27004 Measurement Annex A 27005 Risk 27007 Rev. 27008 Tech 27000 Term.

23 En bubblare? …”Vi kör ITIL”
Veriscan - IS utbildning ISO 27000 En bubblare? …”Vi kör ITIL” 27013 Om & 20000 27002 Guide 27001 ISMS 27006 Accr. 27003 Impl. 27004 Measurement Annex A 27005 Risk 27007 Rev. 27008 Tech 27000 Term.

24 ISO/IEC om och 20000

25 Dom här fördjupningarna?
Veriscan - IS utbildning ISO 27000 Dom här fördjupningarna? KLARA! Under utveckling 27031 ICT readiness for BCM 27033 Network security 27034 Application security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27040 Storage 27033 Network security Flera delar 27034 Application security Flera delar 27036 Outsourcing Flera delar JAPP – Begrepp & Processer kan vara ett bra underlag för standardiserad samverkan

26 Veriscan - IS utbildning ISO 27000
Vad till vad? 27031 ICT readiness for BCM 27033 Network security 27034 Application security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27040 Storage 27033 Network security 27034 Application security 27036 Outsourcing Flera delar Stödja att målen för verksamheten är de samma när det gäller ICT – klarar man dem för BCP?

27 ISO/IEC 27031 ICT Readiness for Business Continuity

28 Veriscan - IS utbildning ISO 27000
Vad till vad? 27031 ICT readiness for BCM 27033 Network security 27034 Application security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27040 Storage 27033 Network security 27034 Application security 27036 Outsourcing Flera delar Nätverkssäkerhet är bas för all ICT säkerhet. Det som står här skall outsourcing leverantören ha koll på. En sådan självklarhet att den kanske inte behövs?

29 ISO/IEC 27002 OBS Delvis UNDER UTVECKLING
Valt exempel ur kap 11 ISO/IEC Nätverkssäkerhet OBS Delvis UNDER UTVECKLING

30 Nätverkssäkerhet är grundläggande och det märks….
DIS DIS 2wd Overview and Concept Design och införande Risk scenarier och säkerhets-åtgärder Nät-koppling via Secure Gateways VPN kommunikation Trådlöst

31 Veriscan - IS utbildning ISO 27000
Vad till vad? 27031 ICT readiness for BCM 27033 Network security 27034 Application security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27040 Storage 27033 Network security 27034 Application security 27036 Outsourcing Flera delar Om man har lagt ut sin applikationsutveckling så finns det stöd för hur säkerhet bör hanteras i processen

32 ISO/IEC 27002 ISO/IEC 27034 Applikationssäkerhet
OBS Delvis UNDER UTVECKLING

33 27034 “Applikations-säkerhet”

34 Veriscan - IS utbildning ISO 27000
Vad till vad? 27031 ICT readiness for BCM 27033 Network security 27034 Application security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27040 Storage 27033 Network security 27034 Application security 27036 Outsourcing Flera delar Vad är en incident? Vem rapporterar vad till vem? Hur eskalerar man till ev BCM läge? Osv…..

35 ISO/IEC 27002 ISO/IEC 27035 “Incident”

36 ISO/IEC 27035 Basic structure
1 Plan and prepare phase 2 Detection and reporting phase 3 Assessment and decision phase 4 Responses phase 5 Lessons learnt phase Annex A Example Approaches to the Categorization and Classification of Information Security Events and Incidents Annex B Examples of Information Security Incidents and their Causes Annex C Example Information Security Event, Incident and Vulnerability Reports and Forms Annex D Cross Reference Table of ISO/IEC 27001/27002 vs ISO/IEC 27035 Annex E Legal and Regulatory Aspects

37 Veriscan - IS utbildning ISO 27000
Vad till vad? 27031 ICT readiness for BCM 27033 Network security 27034 Application security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27040 Storage 27033 Network security 27034 Application security 27036 Outsourcing Flera delar Hela livscykel perspektivet. Brett angreppssätt. Flera delar…

38 ISO/IEC 27002 Kap 6 ISO/IEC 27036 Outsorcing OBS UNDER UTVECKLING
ISO/IEC Kap 6 ISO/IEC 27036 Outsorcing OBS UNDER UTVECKLING

39 Relationship Management ICT Supply Chain Security
ISO/IEC Structure Part 1 (Overview and Concepts) (15 pages) Part 2 (Common Requirements) 20 pages) Part 3 (Guidelines for ICT Supply Chain) (25 pages) Definitions Problem Definition Problem Definition Threat Landscape Relationship Management Framework - Governance; Lifecycle Processes; Requirements Statements Threat Landscape Provider and Supplier Characteristics Related Threats Provider and Supplier Characteristics Related Threats ICT Supply Chain Security Generic “Guide” Detailed and Specific “Guide” Overview of other parts (e.g. framework part 2) OBS UNDER UTVECKLING High level and general

40 Veriscan - IS utbildning ISO 27000
Vad till vad? 27031 ICT readiness for BCM 27033 Network security 27034 Application security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27040 Storage 27033 Network security 27034 Application security 27036 Outsourcing Flera delar Vad gäller här? Vet vi det? Vet outsourcing partnern det? Hur kan vi lära om digitala bevis?

41 Exempel från ISO/IEC 27037 “Forensics”

42 Veriscan - IS utbildning ISO 27000
Vad till vad? 27031 ICT readiness for BCM 27033 Network security 27034 Application security 27035 Incident Management 27036 Outsourcing 27037 Forensics 27040 Storage 27033 Network security 27034 Application security 27036 Outsourcing Flera delar Lagring och destruktion beror på informationen.Vet outsourcing partnern det? Hur kan vi följa upp det här?

43 Exempel från ISO/IEC 27037 “Storage”
OBS UNDER UTVECKLING

44 Den andra förenklade slutsatsen att nyttja standarder
ATT båda parter tar stöd i andra standarder för att samverka inom områden som är viktiga för informationssäkerheten inom ramen för avtalet

45 Glömt något?

46 OUTSOURCING?

47 Structure of Standards related to Cloud Computing security and privacy in SC27
ISO/IEC Common Requirements ISO/IEC 27002 WG4 WG1 WG5 ISO/IEC (New) Guidelines for Security of Cloud Services ISO/IEC Cloud Specific Control ISO/IEC Data Protection Controls ISO/IEC 17788/WD (vocabulary) and ISO/IEC 17789/WD (Reference Architecture) SC38

48 Koji Nakao and Adrian Davis Co-Editors of 27036-5
Current status on ISO/IEC ISO SC27 Meeting Rome Oct Koji Nakao and Adrian Davis Co-Editors of

49 A New Part of – Rome Oct 2012 Title: Guidelines for Security of Cloud Services Scope statement: This part of international standard ISO/IEC provides guidelines for information security of cloud services throughout the supply chain from the perspective of both the acquirer and supplier of such services. Specifically, it involves gaining visibility into and managing the information security risks associated with cloud services throughout the lifecycle.

50 Current “Scope” – Rome Oct 2012
This part of international standard ISO/IEC provides cloud service acquirers and suppliers with guidance on: gaining visibility into and managing the information security risks caused by using cloud services; Integrating information security processes and practices into the cloud –based product and service lifecycle processes, described in ISO/IEC and ISO/IEC while supporting information security controls, described in ISO/IEC 27002; responding to risks specific to the acquisition or provision of cloud-based services that can have an information security impact on organisations using these services. This part of ISO/IEC does not include business continuity management/resiliency issues involved with the cloud service. ISO/IEC addresses business continuity.

51 Men fortfarande lite dimmigt
NB Type Comment Resolution SE 1 Ge In order to provide comments in the right context we see a need to further define Cloud services and in what way it is different to outsourcing of ICT in general terms. We see this standard as focusing on Cloud Services specific and the distinction requested is not only to review this document but also to avoid repletion of texts in the other parts of ISO/IEC We do understand that this definition may have an impact on other Cloud related standard work within SC27 but we see that this document is where the overlap and confusion can rely create problems. A clarification will be most welcome not only for the document but for the market. Please see SE2 for our standpoint and view to discuss. Accepted in principle Discuss in meeting

52 Current: PD stage – Rome Oct 2012
The PD (Preliminary Draft text) was produced by the editors and has been reviewed by NBs. 84 comments (general, technical and editorial) received for the PD. Work items (to be discussed in this meeting): - Remove parts which are not related to cloud security; - Relationship with 27017/27018 should be clarified; - Consider further detailed cloud security issues; - etc.

53 Liaisons – Rome Oct 2012 The meeting agreed to liaize with the following SDOs: - SC38 - ITU-T JCA Cloud (SG13 and SG17) - SC7 - CSA and ISF

54 ISO/IEC 27036 - 4 Cloud Services
(”27002 för Cloud”) ISO/IEC Cloud Services

55 Tackar och gärna frågor!
“Now this is not the end. It is not even the beginning of the end. But it is, perhaps, the end of the beginning.” W. Churchill

Ladda ner ppt "Outsourcing - ISO/IEC seriens standarder som stöd?"

Liknande presentationer

Magnus Ivarsson Kvalitetssamordnare

Magnus Ivarsson Kvalitetssamordnare
En bild av debatten Vårdskandaler Vinster

En bild av debatten Vårdskandaler Vinster
En presentation om test utifrån ett projektledarperspektiv

En presentation om test utifrån ett projektledarperspektiv
Praktisk nytta och användning av SS-ISO/IEC och 27002

Praktisk nytta och användning av SS-ISO/IEC och 27002
Slutsatser från Thomas och Aurora (SOA)

Slutsatser från Thomas och Aurora (SOA)
Några viktiga krav i ISO9001:2000

Några viktiga krav i ISO9001:2000
Verksamhetsledning Tre viktiga komponenter i ledningen Styrning

Verksamhetsledning Tre viktiga komponenter i ledningen Styrning
U can’t buy happiness BUT and that is pretty close

U can’t buy happiness BUT and that is pretty close
Vägledningscentrum Career guidance centre

Vägledningscentrum Career guidance centre
2007 Microsoft Office System - Klienten Pontus Haglund Mid Market Solutions Specialist Microsoft AB.

2007 Microsoft Office System - Klienten Pontus Haglund Mid Market Solutions Specialist Microsoft AB.
ROLF BECKMAN 9/4 2013. INTEGRATION FN: The goal of social integration is to create “a more stable, safe and just society for all”, in which every individual,

ROLF BECKMAN 9/ INTEGRATION FN: The goal of social integration is to create “a more stable, safe and just society for all”, in which every individual,
Advisory Ekonomifunktionen 2020

Advisory Ekonomifunktionen 2020
Modell för Utveckling av ledningssystem

Modell för Utveckling av ledningssystem
För att uppdatera sidfotstexten, gå till menyfliken: Infoga | Sidhuvud och sidfot. 1 2015-01-15 Fondbolagsträff 2015.

För att uppdatera sidfotstexten, gå till menyfliken: Infoga | Sidhuvud och sidfot Fondbolagsträff 2015.
Hållbara Konsumtions- och Produktionsmönster Varför Jordbruk - Vatten?? 70% av uttaget av vatten från sjöar/vattendrag/grundvatten för jordbruksbevattning-

Hållbara Konsumtions- och Produktionsmönster Varför Jordbruk - Vatten?? 70% av uttaget av vatten från sjöar/vattendrag/grundvatten för jordbruksbevattning-
Nya föreskrifter och allmänna råd

Nya föreskrifter och allmänna råd
Systemdesign som process

Systemdesign som process
2008-05-20. Varför säkerhet Att bevara en hemlighet Att skydda tillgångar materiella och immateriella Krav från leverantörer eller kunder Säkerhet för.

Varför säkerhet Att bevara en hemlighet Att skydda tillgångar materiella och immateriella Krav från leverantörer eller kunder Säkerhet för.
Kursexempel Tekniska projekt och rapportskrivning.

Kursexempel Tekniska projekt och rapportskrivning.
Hållbart Nyföretagande/ CSR som värdegrund 14:15-16:50.

Hållbart Nyföretagande/ CSR som värdegrund 14:15-16:50.

Liknande presentationer

Google-annonser