Effektivt stöd för GRC med nya ISO Standarder

Slides:



Advertisements
Liknande presentationer
SOA Governance with SOA Software For BUGS Martin Svensson.
Advertisements

Beräkning av enhetens frekvens av CDK infektioner.
ECRIN–TWG Arbetsgrupp 4: Data management Svensk representant: Mats Hellström.
Utveckling på Universityadmissions.se Hur går processen till? Marleen Whiteley, Engelsk kommunikationsansvarig Marica Sundberg, Produktägare.
Forskarservice – under arbete Stefan Carlstein Högskolebiblioteket i Jönköping
Group HR Strategi & Funktion
© Apoteket AB Sidhuvud med plats för gemensamt namn för OH-serien Sidhuvud med plats för Enhet / Utförare – Internt Swedish community pharmacy classification.
Explained and distilled for Everyone!
1.Numerical differentiation and quadrature Discrete differentiation and integration Ordinary.
Modern Data Protection
Presentation av Marion Gullstrand Presentation av Robert Engberg
Aims and outcomes Levnadsvillkor, attityder, värderingar och traditioner samt sociala, politiska och kulturella förhållanden i olika sammanhang och delar.
EUCEN European University Continuing Education Network -En internationell organisation med 212 medlemsuniversitet från 40 länder -EUCEN grundades 1991.
Nätverket Hälsofrämjande sjukhus och vårdorganisationer (HFS)
Get more efficient use of IFS Application with
Vägledningscentrum Career guidance centre
Kai-Uwe Riedel, Läkemedelsinspektör Inspektionsenheten
Workshop 7 mars 2013 Välkomna Dagens tema: Crowdsourcing Dagens talare 7/3/13 Behovsdriven utveckling i praktiken 1.
Ove Jobring 2004 Online Learning Communities Online learning Communities OLC gruppen vid ITuniversitetet i Göteborg.
Motivation Terese Stenfors Motivation Vad är det? –Motivation is concerned with our movements or actions, and what determines them.
Backup strategies “in-a-nutshell” by System Center Robert Hedblom MVP System Center Cloud and Datacenter Management MEET member TechNet Moderator Consultant.
Utflykt till Järna och utbyte med Youth Initiative Program Vårdinge by folkhögskola 6 maj 2011 Hållbar Utveckling B.
Utflykt till Järna och möte med Youth Initiative Program Vårdinge by folkhögskola 19 Mars 2010 Hållbar Utveckling B och VVV.
Microsoft Office SharePoint Server 2007 – del 1 Pontus Haglund Mid Market Solutions Specialist Microsoft AB.
Microsofts Produkter Mikael Nyström Senior Executive Consultant - TrueSec MVP Windows Server – Setup/Deployment
Unified Communications. Unified Communications and Collaboration Simplify Working Together Pervasive capabilities for where and how people work.
Name Title Microsoft Sweden. Avtalspraktiska fördelar Om-installation med valfritt media Kräver inte samma fysiska media som maskinen kom med Men…
En förnyare av forskning och utbildning Linköpings universitet Atlantis - Joint Bachelor/Masters Degree Peter Gustavsson.
Creating an Adobe Presentation Rapidly create Flash-based presentations and eLearning courses from PowerPoint Set Preferences Add or Edit Audio Add multimedia.
Welcome to Enköping The most central town in Sweden.
The Swedish Travel Card
ISO/IEC 38500?.
TMSA.
Erik Stenborg Swedish adaptation of ISO TC 211 Quality principles.
För att uppdatera sidfotstexten, gå till menyn: Visa/Sidhuvud och sidfot... E-services – what’s now and what’s next for the Swedish Pensions Agency? Mikael.
in paediatric population
Create a stunning dashboard and keep your job Patrik Sundqvist.
Arbetsförmedlingen The Swedish Public Employment Service.
Self Service in the Enterprise Patrik Sundqvist.
TEMA SÄKERHET Höstmöte Stockholm November VARFÖR TEMA SÄKERHET OCH ARBETSMILÖ? Ingen ska skadas på jobbet! Ökade krav från myndigheter och beställare!
Transport models Are they really that important? Christian Nilsson, WSP 17 October 2014.
Tankesmedja med REK den 19 september 2014 ”Hur kan innovationsmodeller och innovationsledning bli ett stöd för utbildningsaktörer och SME?”
Swedish ports A linchpin in Swedish industry. 95% of Swedish foreign trade is transported through a port.
Bistånd och civil militär relationer Comprehensive Approach and Vision Implementation Geography Interference.
Education for Sustainable Development at Chalmers University of Technology Marie Arehag ESD coordinator
Nordic Innovation Centre Enhancing Nordic innovation capabilities Innovativt Byggande Kick Off möte Köpenhamn
National Assessment Sweden - Organisations: Swedish born Nej Prepared by: Barrett Values Centre March, 2011.
National Assessment Sweden: Age < 20 Prepared by: Barrett Values Centre March, 2011.
Telia Business Innovation AB/khn Den Visionära Organsiationen vs. Den Förvaltande Organisationen...
OSD LIT/ZTI – Bending the rules Johan Arwidmark och Mikael Nyström.
FIRMA OCH VARUMÄRKESENKÄT Näringslivets syn på firma och varumärken Industry’s view of trade names and trademarks.
1 PROBLEM MANAGEMENT Framgångsfaktorer och fallgropar A GLOBAL FORCE FOR GOOD.
För att uppdatera sidfotstexten, gå till menyfliken: Infoga | Sidhuvud och sidfot Fondbolagsträff 2015.
Hållbara Konsumtions- och Produktionsmönster Varför Jordbruk - Vatten?? 70% av uttaget av vatten från sjöar/vattendrag/grundvatten för jordbruksbevattning-
Samordning inom EU Statusrapport från arbetet inom EUs Expert Grupp för elektroniska fakturor Leif Karlsson Chef Betalningar.
DIS 9001:2008 Vilka förändringar kommer i nya standarden Gabriel Bosaeus.
Lab Contact 1  Lab Assistants:  Meng Liu, Group B  Sara Abbaspour, Group A
Digitization and Management Consulting
Why you should consider hiring a real estate attorney!
Types of Business Consulting Services Cornerstoneorg.com.
Annika Winsth April 2017.
Work of a Family law attorney Jagianilaw.com. A Family Law Attorney basically covers a wide range spectrum of issues that a family may face with difficulty.
Strategic Sustainable Development
DLB Day 2 GRP 1.
Integrates many areas of study (science, math, language arts) into one project.
16-19 ESOL Provision in Leicester City Snapshot of provider delivery
Engaging the C-Suite for Value-Based Projects Mary Beth Briscoe
Office of Special Education and Early Intervention Services UPDATES
Your Research Question
Presentationens avskrift:

Effektivt stöd för GRC med nya ISO Standarder Anders Carlstedt, Editor ISO/IEC 27002, 27005 & 28008 Partner, Amentor

About Amentor A Swedish GRC professional services company, founded in 2004, servicing leading multinationals and government agencies - Active members in ISACA and SIS & ISO/IEC - PCI/QSA accredited - Provides ISO/IEC standards training and certification for professionals, e.g. Lead Auditor, Risk Manager

About Amentor

Om presentationen ”Effektivt stöd för GRC och säkerhets- åtgärder med nya ISO-standarder”

Områden Bakgrund Governance – ISO/IEC 27014 Risk – ISO/IEC 27005 Compliance – ISO/IEC 27008 Sammanfattning

Bakgrund Risk Compliance ”Effect of uncertainty on objectives” Governance: “The system by which organizations are directed and controlled.” (Cadbury 1992 and OECD 1999) Corporate governance of IT “The system by which the current and future use of IT is directed and controlled. Risk ”Effect of uncertainty on objectives” Compliance (Comply) ”act in accordance with a wish or command: we are unable to comply with your request.”

Områden Bakgrund Governance – ISO/IEC 27014 Risk – ISO/IEC 27005 Compliance – ISO/IEC 27008 Sammanfattning

Governance - 27014 ISO/IEC 27014 - Governance of information security ”…provides guidance on concepts and principles for the governance of information security, by which organisations can evaluate, direct, monitor and communicate the information security related activities within the organisation. ”

Governance – Cobit 5

Information Security Governance - 27014

Information Security Governance - 27014

Information Security Governance - 27014 “Evaluate” is the governance process that considers the current and forecast achievement of security objectives based on current processes and planned changes, and determines where any adjustments are required to optimise the achievement of strategic objectives in future. To perform the “evaluate” process, the governing body should: ensure that business initiatives take into account information security issues, respond to information security performance results, prioritize and initiate required actions. To enable the “evaluate” process, executive management should: ensure that information security adequately supports and sustains the business objectives, submit new information security projects with significant impact to governing body.

Information Security Governance - 27014 “Direct” is the governance process, by which the governing body gives direction about the information security objectives and strategy that need to be implemented. Direction can include changes in resourcing levels, allocation of resources, prioritisation of activities, and approvals of policies, material risk acceptance and risk management plans. To perform the “direct” process, the governing body should: determine the organisation’s risk appetite, approve the information security strategy and policy, allocate adequate investment and resources. To enable the “direct” process, executive management should: develop and implement information security strategy and policy, align information security objectives with business objectives, promote a positive information security culture.

Information Security Governance - 27014 “Monitor” is the governance process that enables the governing body to assess the achievement of strategic objectives. To perform the “monitor” process, the governing body should: assess the effectiveness of information security management activities, ensure conformance with internal and external requirements, consider the changing business, legal and regulatory environment and their potential impact on information risk. To enable the “monitor” process, executive management should: select appropriate performance metrics from a business perspective, provide feedback on information security performance results to the governing body including performance of action previously identified by governing body and their impacts on the organisation, alert the governing body of new developments affecting information risks and information security.

Information Security Governance - 27014 “Communicate” is the bi-directional governance process by which the governing body and stakeholders exchange information about information security, appropriate to their specific needs. To perform the “communicate” process, the governing body should: report to external stakeholders that the organisation practices a level of information security commensurate with the nature of its business, notify executive management of the results of any external reviews that have identified information security issues, and request corrective actions, recognize regulatory obligations, stakeholders expectations, and business needs with regard to information security. To enable the “communicate” process, executive management should: advise the governing body of any matters that require its attention and, possibly, decision, instruct relevant stakeholders on detailed actions to be taken in support of the governing body’s directives and decisions.

Information Security Governance - 27014 “Assure” is the governance process by which the governing body commissions independent and objective audits, reviews or certifications. These will identify and validate the objectives and actions related to carrying out governance activities and conducting operations in order to attain the desired level of information security. To perform the “assure” process, the governing body should: commission independent and objective opinions of how it is complying with its accountability for the desired level of information security. To enable the “assure” process, executive management should: support the audit, reviews or certifications commissioned by governing body.

Information Security Governance - 27014 Principle 1: Establish organisation-wide information security Principle 2: Adopt a risk-based approach Principle 3: Set the direction of investment decisions Principle 4: Ensure conformance with internal and external requirements Principle 5: Foster a security-positive environment Principle 6: Review performance in relation to business outcomes

Områden Bakgrund Governance – ISO/IEC 27014 Risk – ISO/IEC 27005 Compliance – ISO/IEC 27008 Sammanfattning

Risk - 27005 ISO/IEC 27005 - Riskhantering för informationssäkerhet ”…innehåller en beskrivning av processen för riskhantering för informationssäkerhet och de aktiviteter som den omfattar.”

Risk - 27005 En allmän översikt av processen för riskhantering för informationssäkerhet redovisas i avsnitt 6. Fastställande av kontext i avsnitt 7, Riskbedömning i avsnitt 8, Riskbehandling i avsnitt 9, Riskacceptans i avsnitt 10, Riskkommunikation i avsnitt 11, Övervakning och granskning av risker i avsnitt 12.

Risk - 27005

Risk - 27005

Risk – 31000 vs. 27005

Risk 27005

Risk - 27005 Ytterligare information om aktiviteter för hantering av informationssäkerhetsrisker presenteras i bilagorna. Fastställandet av kontext stöds av bilaga A (Fastställande av omfattning och begränsningar för processen för riskhantering för informationssäkerhet). Identifiering och värdering av tillgångar samt bedömning av påverkan diskuteras i bilaga B (Exempel på identifiering av tillgångar), bilaga C (Exempel på typiska hot) och bilaga D (Sårbarheter och metoder för bedömning av sårbarhet). Exempel på förhållningssätt för bedömning av informationssäkerhetsrisker presenteras i bilaga E. Begränsningar för reducering av risk presenteras i bilaga F. Skillnader i definitioner mellan SS-ISO/IEC 27005:27008 och SS- ISO/IEC 27005:2012 redovisas i Annex G!

Områden Bakgrund Governance – ISO/IEC 27014 Risk – ISO/IEC 27005 Compliance – ISO/IEC 27008 Sammanfattning

Compliance - 27008 ISO/IEC 27008 - Vägledning om säkerhetsåtgärder för revisorer ”…ger vägledning om granskning av införande och drift av säkerhetsåtgärder, inklusive granskning av teknisk efterlevnad avseende säkerhetsåtgärder i systemmiljö, mot etablerade informationssäkerhetsstandarder inom en organisation.”

Compliance - 27008 Struktur och innehåll: …en beskrivning av granskningsprocessen för säkerhetsåtgärder, inklusive granskning av teknisk efterlevnad. Bakgrundsinformation återfinns i avsnitt 5. Avsnitt 6 erbjuder en översikt över granskningar av säkerhetsåtgärder. Granskningsmetoderna presenteras i avsnitt 7 Granskningsaktiviteterna i avsnitt 8. Granskning av teknisk efterlevnad återfinns bilaga A Stöd avseende inledande informationsinsamling återfinns i bilaga B.

Compliance - 27008

Compliance - 27008

Compliance - 27008

Områden Bakgrund Governance – ISO/IEC 27014 Risk – ISO/IEC 27005 Compliance – ISO/IEC 27008 Sammanfattning

Sammanfattning Corporate Governance Information Security Governance Key Security Governance Responsibilities Corporate Governance Shareholder value from security investments Minimize and manage risks Information Security Governance Plan and execute strategy to deliver business security and shareholder value Minimize and manage risks Information Security Management Deliver ISMS Deliver security solutions Operate security capabilities

Functional leadership Enterprise perspective Sammanfattning Functional leadership Enterprise perspective Less responsive to end users Scale economies Potentially more costly BU ownership No BU ownership Variable security competencies Control of standards Users control priorities No BU cost control Responsiveness to needs Wheel reinvention Critical mass of skills Does not meet everyone’s needs No synergy Pooled experience Synergy Centralized Decentralized

Sammanfattning Hårdare krav på effektiv företagsstyrning och intern kontroll Genom att integrera de nya ”Governance” kraven med företagets existerande ledningssystem skapar organisationen en flexibel plattform och är redo för nya anpassningar i framtiden. Kommande ISO/IEC 27014 ”ISG ”kommer att tydligöra kopplingen mellan IT Governance – Information Security Governance – och Ledningsystem för Informationssäkerhet (”ISMS”) ISO/IEC 27005 ger tydlig vägledning och stöd för hanteringen av informationssäkerhetsrisker ISO/IEC 27008 ger handledning både för kravställning inför eventuell upphandling av, och inför/under/efter genomförande av revisioner

Tack för mig anders.carlstedt@amentor.se