Description of Image.

Description of Image.  

Description of Image.

Short description of image.

Ydelser




Informationssikkerhedsledelse Det er vigtigt, at I evner at passe godt på informationer og viden.


Informationssikkerhedsledelse
- Din organisation har sandsynligvis et stort ansvar for at kunne dokumentere en upåklagelig evne til at kunne håndtere følsomme informationer med stor værdi og betydning for individuelle personer, andre organisationer og samfundet som helhed. Det kan være registeroplysninger eller personelle oplysninger om helbred, uddannelse, økonomi og sociale forhold eller erhvervshemmeligheder om egne eller kunders produkter, recepter, processer, procedurer, metoder o.l. Med et ledelsessystem inden for informationssikkerhed får du sikkerhed for, at de vigtigste fysiske og ikke-fysiske aktiver samt risici og muligheder er adresseret. Og at der ikke er unødvendige sårbarheder med hensyn til bevarelse datas integritet, autenticitet, konfidentialitet og tilgængelighed. At der er gjort, hvad der gøres kan, for at hindre lækager, virus, hackerangreb, systemnedbrud, driftsstop og datatab ved brand, vandskade, indbrud, tyveri og hærværk.

Informationssikkerhed


Informationssikkerhedsledelsessystemer (ISMS) kan udmærket være kombineret med andre systemer (Se: Kombinerede ledelsessystemer). Kravene er beskrevet i DS/EN ISO/IEC 27001:2017 og i DS Håndbog 189:2018

Indførelsen af et ledelsessystem for informationssikkerhed er en strategisk beslutning for en organisation. Etablering og implementering af en organisations ledelsessystem for informationssikkerhed påvirkes af organisationens forskellige behov og mål, sikkerhedskrav, de anvendte organisationsprocesser samt organisationens størrelse og struktur. Alle disse påvirkningsfaktorer forventes at ændre sig over tid.

Ledelsessystemet for informationssikkerhed skal kunne sikre fortrolighed, integritet og tilgængelighed af information ved hjælp af en risikoledelsessproces og sikre, at interessenter har tillid til, at risici håndteres på en ordentlig måde.

[Eksempel: En konsulentvirksomhed, der arbejder for kunder inden for bioteknologi og farmaceutisk industri, får store datamængder fra forsøgskørsler og produktion stillet til rådighed med henblik på over for myndighederne at skabe dokumentation for validering af de bagvedliggende processer. Det repræsenterer katastrofale forhold med uoverskuelige konsekvenser, hvis disse data forsvinder, forvanskes, misbruges eller forsvinder ud til fx konkurrenter eller andre, der ikke har legitim adgang. Virksomheden må på basis af en risikoanalyse indføre et ISMS for at for at forebygge fejl og utilsigtede hændelser samt at gardere sig mod hackere, indbrudstyve, industrispionage, brodne kar i egne rækker o.l. Der kan samtidigt være et væsentligt behov for, at følsomme persondata og helbredsdata beskyttes. Der er både en fysisk dimension (lokaler, biler, aflåsning af kontorer, brand, indbrud, hærværk, adgang til server osv.) og computerrelateret dimension (VPN-adgang, netværk, passwordbeskyttelse, firewall, validering af databaser, virusbeskyttelse, kryptering og meget andet).

Det er vigtigt, at ledelsessystemet for informationssikkerhed er en del af og er integreret med organisationens processer og overordnede ledelsesstruktur, og at der er taget højde for informationssikkerheden i planlægningen af processer, informationssystemer og kontroller. Det forventes, at et ledelsessystem for informationssikkerhed er implementeret i overensstemmelse med organisationens behov. I en TAPCERT-informationssikkerhedsaudit ser vi meget på forhold som
  • Risikoanalyse
  • Informationssikkerhedspolitikker
  • Organisering af informationssikkerhed
    • Intern organisering
    • Mobilt udstyr og fjernarbejdspladser
  • Personalesikkerhed
    • Før ansættelsen
    • Under ansættelsen
    • Ansættelsesforholdets ophør eller ændring
  • Styring af aktiver
    • Ansvar for aktiver
    • Klassifikation af information
    • Mediehåndtering
  • Adgangsstyring
    • Forretningsmæssige krav til adgangsstyring
    • Administration af brugeradgang
    • Brugernes ansvar
    • Styring af system- og applikationsadgang
  • Kryptografi
    • Kryptografiske kontroller
  • Fysisk sikring og miljøsikring
    • Sikre områder
    • Udstyr
  • Driftssikkerhed
    • Driftsprocedurer og ansvarsområder
    • Beskyttelse mod malware
    • Backup
    • Logning og overvågning
    • Styring af driftssoftware
    • Sårbarhedsstyring
    • Overvejelser i forbindelse med audit af informationssystemer
  • Kommunikationssikkerhed
    • Styring af netværkssikkerhed
    • Informationsoverførsel
  • Anskaffelse, udvikling og vedligeholdelse af systemer
    • Sikkerhedskrav til informationssystemer
    • Sikkerhed i udviklings- og hjælpeprocesser
    • Testdata
  • Leverandørforhold
    • Informationssikkerhed i leverandørforhold
    • Styring af leverandørydelser
  • Styring af informationssikkerhedsbrud
    • Styring af informationssikkerhedsbrud og forbedringer
  • Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring
    • Informationssikkerhedskontinuitet
    • Redundans
  • Overensstemmelse
    • Overensstemmelse med lov- og kontraktkrav
    • Gennemgang af informationssikkerhed