S12 October, 2018 1
> Hvordan hænger GDPR og informationssikkerhed sammen?Dit arbejde med ISO 27000 understøtter din GDPR-compliance– to separate øvelser med få indbyggede modsætninger
S12 October, 2018 2
Hvad er Informationssikkerhed
• Fortrolighed
• Integritet
• Tilgængelighed
Gennem risikostyringsproces sikre, at interessenter har tillid til, at risici hånderes på en ordentlig måde.
S12 October, 2018 3
Hvad er ISO27001
• En standard til etablering og implementering, af et ledelsessystem for informationssikkerhed.
• Det er en strategisk beslutning for en organisation.
• Ledelsessystemet er en del af organisationens processer og overordnede ledelsesstruktur
S12 October, 2018 4
Fem områder, hvor ISO 27001 understøtter GDPR
4. Databrud
2. Oversigt over persondata
3. Risikovurdering
1. Dokumentation
5. Evaluering og løbende forbedring
Kilde: Anders Linde, Dansk IT
S12 October, 2018 5
> Dokumentation
> GDPR> Krav om dokumentation af efterlevelse
> ISO 27001> Hvis det ikke er dokumenteret, anses kravene ikke for efterlevet
> Der skal foreligge en oversigt over persondata, en rapport vedr. risikovurdering, en hændelseslog …
S12 October, 2018 6
> Oversigt over persondata
> ISO 27001> Overblik over kritiske og følsomme data
udpege relevante sikkerhedsforanstaltninger
> GDPR > ”Fortegnelsen”
kunne styre hvor, hvordan og hvor længe persondata er gemt, hvem der kan få adgang …
S12 October, 2018 7
> Risikovurdering
> GDPR> Kunne identificere risici for kompromittering af EU-borgernes persondata
> Også ved implementering af nye systemer eller nye forretningsprocesser
> ISO 27001> Etablere relevant sikkerhedsindsats via risikostyring
> Vurdere sandsynlighed for og konsekvens af forskellige hændelser
> Sårbarhedsvurderinger som grundlag
S12 October, 2018 8
> Databrud
> GDPR> Underrette myndighederne inden for 72 timer efter et muligt databrud
> Også underretning af de registrerede
> ISO 27001> Krav om håndtering af afvigelser
> Forslag til processer for hændelseshåndtering
S12 October, 2018 9
> Hvad er et brud på persondatasikkerheden?
> GDPR – brud på persondatasikkerheden> ”Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab,
ændring, uautoriseret videregivelse af eller adgang til personoplysninger der er transmitteret, opbevaret eller på anden måde behandlet..”
> ISO 27001 - informationssikkerhedshændelse> ”En identificeret forekomst af en system-, tjeneste- eller netværkstilstand, der
indikerer et muligt brud på informationssikkerhedspolitikken eller svigt af kontroller, eller en tidligere ukendt situation der kan være relevant for sikkerheden …”
S12 October, 2018 10
> Evaluering og løbende forbedring
> GDPR> Etablere arbejdsgange, som sikrer vedblivende beskyttelse af persondata , uanset
> Trusselbilledet ændrer sig
> Nye behandlinger
> Ændrede forretningsgange
> ISO 27001> Værktøjskasse af aktiviteter til beskyttelse af informationer
> Evaluering af sikkerhedskontroller
> Interne audits
> Ledelsens evaluering
S12 October, 2018 11
> Er der en modsætning mellem GDPR og ISO 27001?
> GDPR> Beskyttelse af borgerne og data, der kan henføres til bestemte personer
> Privatlivsbeskyttelse
> DPO er de registreredes talsmand og beskytter
> ISO 27001> Handler om beskyttelse af alle virksomhedens eller myndighedens data
> Skal beskytte ”forretningsdata”
> CISO er virksomhedens beskytter
S12 October, 2018 12
> Hvordan understøtter DKCERT og DeiC efterlevelsen?
> Dokumentation, oversigt over persondata> DPO-tjenesten
> Rådgivning
> Databehandleraftaler
> Indlogning med WAYF – dataminimering og transparens
> Risikovurderinger> Trusselsbilledet generelt – informationstjenesten
> Sårbarhedsvurderinger baseret på dybdegående scanninger
> Daglige sårbarhedsadvarsler fra tredjepart
> Deling af information om malware, ”indicators of compromise”
S12 October, 2018 13
> Hvordan understøtter DKCERT og DeiC efterlevelsen?
> Databrud> Formidling af anmeldelser fra tredjepart
> Støtte til forensics
> Kontakt til eksterne parter, fx Center for Cybersikkerhed
> Evaluering og løbende forbedring > Awarenesstræning – fx phishingkampagner
> Benchmarking