fra ds484 til iso27001
DESCRIPTION
En gennemgang af fordelene ved ISO27001 contra DS484 og kort præsentation af den kommende opdatering af ISO 27001.TRANSCRIPT
Fra DS 484 til ISO 27001 © 2013 Neupart A/S 1
Fra DS 484 til ISO 27001
Hvordan kan din virksomhed efterleve den internationale standard for informationssikkerhed -‐ ISO 27001? En praktisk vejledning i at skifte fra den udgående danske standard, DS
484 til den internationale ISO 27001.
Af Gaffri Johnson
Sikkerhedskonsulent hos Neupart
Fra DS 484 til ISO 27001 © 2013 Neupart A/S 2
Fra DS 484 til ISO 27001
Engang for længe siden var der ingen dansk standard for it-‐sikkerhed.
Men så en dag i 2004 besluttede Folketinget at indføre åbne standarder i alle statslige institutioner, og med i pakken var den nye danske standard DS 484. DS 484 blev udarbejdet som en oversættelse af den internationale standard ISO 17999 der igen stammer fra den engelsk standard BS 7799-‐1. DS 484 blev dog hurtigt de facto standarden for it-‐sikkerhedsimplementering i mange danske virksomheder.
Den var dog langt fra perfekt.
For mange har det, at forstå og dække alle standardens krav til sikringsforanstaltninger, været en administrativ udfordring. DS 484 er en rigid standard med meget lidt albuerum der gør det svært at fravælge afsnit som ikke er relevante for netop din virksomhed.
Men nu er det heldigvis snart slut. DS 484 udfases nu til fordel for den internationale standard ISO 27001 i sammenhæng med at sidstnævnte revideres. Når 2013 glider over i 2014 skal staten, kommuner og mange virksomheder overgå til ISO 27001 som deres foretrukne rammeværktøj for it-‐sikkerhedsstyring.
Men før vi ser på hvordan man håndterer selve overgangsprocessen så lad os først se på hvad forskellen egentlig er på DS 484 og ISO 27001.
Hvorfor ISO 27001?
ISO 27001 lægger op til en mere helhedsorienteret tilgang til sikkerhedsstyring hvor mennesker og processer sættes i fokus.
Effektiv it-‐sikkerhedsstyring kræver et velbalanceret samspil mellem fortsat at sikre at it-‐processer og systemer understøtter forretningens behov og krav, og at væsentlige it-‐risici bliver håndteret.
Der er en tendens blandt virksomheder til at fokusere meget på risici og at håndhæve kontrolmiljøerne med tekniske løsninger. Sådan en tilgang ender ofte i ”her og nu løsninger” når f.eks. it-‐revisionen kommer med deres krav.
Uden forankring i it-‐processer, involvering af ledelsen og medarbejdere, er værdien af disse tiltag ikke stor, har oftest kun kortsigtet effekt, er tungt at vedligeholde og kan ende med at være et økonomisk dyrt bekendtskab.
Tekniske løsninger kan og bør ikke stå alene. Der bør være et afbalanceret forhold mellem teknologi, mennesker og processer. Teknologi bør kun være det værktøj der understøtter elementerne og på sigt er værdiskabende – ikke en omkostning. Og netop det hjælper ISO 27001 med.
Fra DS 484 til ISO 27001 © 2013 Neupart A/S 3
Med ISO 27001 skifter I fokus fra en kontrol-‐ og checklistebaseret tilgang til it-‐sikkerhedsledelse, til en mere procesorienteret tilgang.
God it-‐sikkerhedsledelse tager udgangspunkt i et balanceret forhold mellem mennesker, processer og teknologi.
Hvad er forskellen på DS 484 og ISO 27001?
Når din virksomhed skifter til ISO 27001 vil du opleve nogle markante ændringer. Du vil opleve en betydeligt større fleksibilitet i dine processer men du vil også opleve at ledelsen får en større rolle i it-‐sikkerhedsstyringen. De fire vigtigste forskelle du skal være opmærksom på er:
1. Kontrolcentrisk vs. Procesorienteret En af de største udfordringer ved DS 484 er at se den forretningsmæssige værdi af alle de sikringstiltag den stiller krav til. Arbejdet med den løbende vedligeholdelse, sikring af efterlevelse og rapportering af afvigelser er en administrativ byrde og fører til at mange DS 484 projekter aldrig bliver effektivt forankret i organisationerne.
Man kan sige at DS 484 har en ”alt-‐eller intet” tilgang i forhold til struktureringen af indholdet og standardens formuleringer. De procesmæssige værktøjer til at vurdere de konkrete sikkerhedsbehov, herunder hvordan man kunne inddrage ledelsen og måle effektiviteten af sine tiltag er aldrig blevet taget ordentligt op i DS 484 og mange virksomheder har derfor manglet værktøjer til at håndtere disse opgaver.
2. Kravbaseret vs. Risikobaseret Formuleringerne i DS 484 har lagt op til at alle kravene (sikringstiltagene) i de 15 afsnit skal efterleves, herunder også de enkelte afsnits beskrevne implementeringsretningslinier. Det har været med til at give organisationer en meget teknisk og kontrolbaseret tilgang til it-‐sikkerhedsstyring.
Med ISO 27001 flyttes fokus til en mere fleksibel procesorienteret og risikobaseret it-‐
DS 484 beskrev en form for check-‐liste-‐sikkerhed, hvor en mindre grad af ledelsesinvolvering var krævet
Mennesker
Processer
Teknologi
Fra DS 484 til ISO 27001 © 2013 Neupart A/S 4
sikkerhedsstyring. Der stilles nu krav til at organisationer starter med at implementere et ledelsesstyringssystem som skal sikre en passende styring af it-‐ sikkerhedsprocesserne. Det betyder at der faktisk kræves et vist minimum af modenhed i forhold til it-‐governance.
3. Ledelsesinvolvering Hvor DS 484 kun i mindre omfang beskriver hvad ledelsens rolle skal være, bliver ledelsen i ISO 27001 den primære drivkraft i forhold til den overordnede styring af sikkerhed i forhold til forretningsstrategier. Ledelsen skal være garant for at arbejdet omkring it-‐sikkerhed bliver forankret i virksomheden.
ISO 27001 kræver at ledelsen er engageret, blandt andet gennem aktiv deltagelse i risikoarbejdet og i beslutninger omkring håndtering af identificerede risici.
Risikohåndteringsprocessen bruges til at kortlægge hvor meget sikkerhed der er nødvendigt og ønsket. Derudover understøtter den beslutninger om it-‐processer og teknologiske løsninger i forbindelse med kritiske forretningsprocesser og strategiske mål for jeres virksomhed.
4. Fleksibilitet Det er blevet nævnt et par gange før men der er en stor forskel på de to standarders tilgange. DS 484 gør meget ud af at beskrive de konkrete sikringstiltag der skal implementeres. ISO 27001 lægger til gengæld op til at andre rammeværktøjer kan inddrages i forhold til valg af konkrete sikringstiltag og dybden eller effektiviteten af sikringsforanstaltninger.
Det kunne være rammeværktøjer som ISO 27002, ISF, Cobit, ITIL, PCI DSS, NIST standarder m.m.
Hvis din virksomhed har baseret sine sikringsforanstaltninger på DS 484, er jeres primære opgave at vurdere behovet for sikringsforanstaltninger. Dette behov skal tage udgangspunkt i gennemførte risikovurderinger for systemer og processer.
ISO 27001 er risikobaseret, lægger op til større grad af ledelsesinvolvering og er fleksibel i forhold til valg af konkret sikkerhedsstandard til sikrings-‐foranstaltninger.
Dog forventes det, at de overordnede it-‐sikkerhedsprocesser i ISO 27002 bliver behandlet i ISMS’et.
Fra DS 484 til ISO 27001 © 2013 Neupart A/S 5
Hvordan flytter man nemmest fra DS 484 til ISO 27001?
Der er heldigvis et sammenfald mellem indholdet af DS 484 og ISO 27001 så meget af det arbejde du og din virksomhed måske har lagt i implementeringsarbejdet omkring DS 484 ikke er spildt.
I ISO 27001 standardens afsnit 4-‐8 fremlægges alle kravene som dækker over ISMS’et (Information Security Management System) der kan defineres som jeres overordnede metode for styring af jeres it-‐governance processer. ISO 27001 operer med princippet ”Plan-‐Do-‐Check-‐Act”, og nedenstående tegning illustrerer hvordan I skal have etableret en vedvarende og tilbagevendende proces.
Når du har kigget nærmere på den, vil vi gennemgå de fire trin din virksomhed skal igennem for at få en glidende overgang fra DS 484 til ISO 27001.
Plan
• Etablere ISMS
Do
• Implemere og
vedligeholde ISMS
Check • Overvåge og
revurdere ISMS
Act • Vedligeholde og forbedre
ISMS
Fra DS 484 til ISO 27001 © 2013 Neupart A/S 6
Plan: Etablere ISMS I forbindelse med etableringen af et ledelsessystem, skal I identificere de overordnede rammer, og som en del af etableringsfasen skal I have gennemgået og implementeret følgende:
I skal have fastlagt omfanget (”scope”) af for jeres ISMS. Er det hele virksomheden eller kun dele af jeres virksomhed der skal omfattes?
Eksempler på dette kan være specifikke lokationer, afdelinger eller juridiske enheder. F.eks. en supportfunktion, et driftscenter, kontorerne på en adresse eller et selskab.
I skal have etableret jeres organisation omkring ISMS’et og fastlagt roller/ansvarsfordeling. F.eks. hvem er ansvarlig for risikovurderinger, interne/eksterne audit, it-‐styregrupper, ejerskab af kritiske processer (en proces er et ”aktiv” i ISO-‐sammenhæng), beredskabsorganisation, hvor opmærksomme er jeres ansatte på it-‐sikkerhedstrusler (awareness), m.m.
Strategi for den løbende awareness af brugere i jeres virksomhed.
I skal beskrive jeres målsætninger for it-‐sikkerhed, politikker og procedurer og placere ansvar og opgaver.
Formulering af fremgangsmåden for it-‐risikostyring og fastlæggelse af kriterier for risikovillighed.
I skal identificere relevante aktiver såsom forretningsprocesser og it-‐services som er inden for ”scope” og der skal være ejerskab.
I systematiserer dokumentstyringen, således at I nemmere kan håndtere den løbende vedligeholdelse, understøtte den interne/eksterne audit og den periodiske revision af sikringsforanstaltningerne.
I fastlægger det ønskede niveau for intern/ekstern audit.
Plan
Do
Check
Act
Fra DS 484 til ISO 27001 © 2013 Neupart A/S 7
Do: Implementere og vedligeholde Ledelsessystemet skal være implementeret og forankret i organisationen og skal fungere. De implementerede politikker, procedurer, sikringsforanstaltninger skal gennemføres som beskrevet.
Jeres politikker, regler og procedurer skal være indført. Det er vigtigt at de benyttes og ikke kun er vage hensigtserklæringer.
I udarbejder en ”Statement of Applicability”, hvor I udvælger jeres sikringsforanstaltninger: Dem I har udvalgt, skal også være del af jeres kontrolmiljø.1
I skal udpege personer der er ansvarlige for den løbende vedligeholdelse af ISMS’et og de praktiske opgaver forbundet med det.
I skal have fastlagt kriterier for kontrol af sikringsforanstaltninger, og rapportering af afvigelser (metrikker) skal være defineret og indarbejdet i det organisatoriske arbejde med it-‐sikkerhedsstyring.
I forhold til intern audit eller ”kontrol af kontroller” skal I identificere de områder hvor I foretager ”registreringer”. Nogle typiske eksempler er vurdering af opdateringer inden udrulning, årlig opdatering af risikovurderingen, gennemgang af backup log, beredskabstest, brugergennemgange og gennemførelse af sårbarhedsscanninger.
Alle de kontroller der medfører en registrering er også de kontroller hvor man ved audit forventer dokumentation som bevis for udførsel af kontrollen og dermed kan teste eller vurdere ”effektiviteten” af kontrollen.
1 Statement Of Applicability er det dokument der beskriver krav til sikringsforanstaltninger og
Plan
Do
Check
Act
Fra DS 484 til ISO 27001 © 2013 Neupart A/S 8
Check: Overvåg og revurder ISMS Nu hvor I har fået indarbejdet processer, procedurer og sikringsforanstaltninger skal I også overvåge om jeres sikringsforanstaltninger opererer som forventet og jeres politikker bliver overholdt.
I skal følge op på jeres operationelle sikkerhedskrav, og på de målsætninger I har fastlagt.
De afvigelser I identificerede i forbindelse med gennemførsel af intern/ekstern audit af proceduremæssige/tekniske kontroller skal registreres, og der skal være handlingsplaner for hvordan I håndterer afvigelser eller kritiske afvigelser.
Giver resultatet af jeres awareness programmer den ønskede effekt og er der
anledning til at tage de eksisterende processer eller sikringsforanstaltninger op til genovervejelse?
Jeres sikkerhedsorganisationen skal regelmæssigt levere input til en
ledelsesrapportering.
Input er det grundlag ledelsen tager udgangspunkt i når der skal tage strategiske beslutninger og give sikkerhedsorganisationen mandat til de kommende opgaver omkring it-‐processer og sikkerhed.
Plan
Do
Check
Act
Fra DS 484 til ISO 27001 © 2013 Neupart A/S 9
Act: Vedligehold og forbedr I skal løbende sørge for at jeres ISMS revurderes og kvaliteten af sikkerhed måles. Det gør I blandt andet ved at inddrage forskellige parametre. Her er nogle eksempler:
Tekniske security baselines eller overskridelser af fastlagte kriterier for CVSS score ved sårbarhedsscanninger.
Afvigelser, i forbindelse med både den interne og eksterne audit, skal prioriteres og der skal udarbejdes en handlingsplan for hvordan I vil håndtere observationerne. Vil I acceptere observationen eller udbedre den? Det gælde både de forebyggende og korrigerende handlinger.
Resultaterne af jeres målte metrikker eller Key Performance Indicators i forhold til sikringsforanstaltninger skal genovervejes med henblik på at tilpasse disse. I kan eksempelvis udvælge specifikke sikkerhedshændelser som I måler på, og holde det op imod administrative udgifter forbundet med håndtering af disse (driftsforstyrrelser, brud på fortrolighed m. m.).
Opsummering: Plan-‐do-‐check-‐act processen kort fortalt ● Etabler (plan): Etablering af ISMS politik, scope, mål, processer og
procedurer ● Implementér (do): Implementering og drift af ISMS.
Sikringsforanstaltninger er på plads og metrikker er defineret. ● Overvåg (check): Auditprogram, håndtering af afvigelser og
ledelsesrapportering ● Vedligehold (act): Iværksættelse af korrigerende og forbyggende
handlinger
Plan
Do
Check
Act
Fra DS 484 til ISO 27001 © 2013 Neupart A/S 10
Kom hurtigt i gang Med ledelsens opbakning til ISO 27001 projektet, er det næste skridt at få gennemført en egentlig risikovurdering for at få afdækket det nødvendige omfang af ens sikringsforanstaltninger. Der er heldigvis overensstemmelse mellem DS 484 og ISO 27002 sikringsforanstaltningerne, så det I måske allerede har kan fint ”genanvendes.”
I de tilfælde, hvor der foreligger et krav om efterlevelse af ISO 27001 skal I sikre at den eksisterende it-‐sikkerhedsstrategi dækker kravene fra ISO 27001 afsnit 4-‐8.
I bør gennemgå den eksisterende it-‐sikkerhedsorganisation, og i det omfang det er nødvendigt tilpasse den så den bliver gearet til proceskravene i ISO 27001.
I skal identificere vigtige aktiver og disses ejerskab. Typiske er det kritiske
forretningsprocesser, forretningssystemer og it-‐infrastruktur.
I skal gennemføre en it-‐risikovurdering, så scopet for sikringsforanstaltninger og kontroller bliver afvejet op imod jeres reelle risici. Det er vigtigt at jeres ledelse er med i beslutningsprocessen omkring risikohåndteringen, da det er dem der skal tage stilling til om I skal acceptere, undgå, reducere eller dele risiciene.
Lav en forretningskonsekvensvurdering på forretningssystemerne og gennemfør
en sårbarhedsvurdering på den underliggende it-‐infrastruktur der tager udgangspunkt i relevante trusler.
Fra DS 484 til ISO 27001 © 2013 Neupart A/S 11
It-‐risikovurderingen vil danne grundlag for hvilke sikkerhedsområder hvor I bør sætte ind med skærpede sikringsforanstaltninger. Det giver samtidig input til hvilke sikringsforanstaltninger i tilvælger eller udelader fra scopet. Det er blandt andet derfor Neupart har udviklet SecureAware.
PLAN Fastlæg scope for ISMS
Etabler proces
Ledelsesopbakning Riskmetodik
DO Implementer ISMS
Processer
Politikker Procedurer
Sikringsforanstaltninger
CHECK Evaluer ISMS Identificer risici
Mål performance af processer og sikringsforanstaltninger
Intern/ekstern audit
ACT Optimer processer
korrigerende/udbedrende handlinger
Ledelsesunderstøttede forbedringer
Selvom I måske ikke planlægger at blive certificeret, er det alligevel værdifuld viden at indsamle. SOA’en kan fint fungere som et udgangspunkt for jeres interne auditplan og bør også være del af den plan som den eksterne it-‐audit tager
udgangspunkt i.
Fra DS 484 til ISO 27001 © 2013 Neupart A/S 12
Risikovurderingen og udvælgelsen af sikringstiltagene
Afsnit 4-‐8 i ISO 27001 er ufravigelige og kan ikke scopes ud i en ”Statement of Applicability” (SOA). De afsnit er forudsætningen for overhovedet at have et ISMS.
Virksomheder der har benyttet sig af DS 484 strukturen, vil kunne anvende ISO 27002 da indholdet er identisk. Der vil ligge en opgave i at gennemgå alle afsnittene og tage stilling til hvor godt man ønsker at kontrollere disse processer. En hurtig måde at komme i gang med SOA’en på, er at gennemgå alle ISO 27002 kontrolområderne og vurdere hvor relevante de er for jer.
Out of scope (N/A)
I scope – i høj grad
I scope – I mindre grad Det øjeblikkelige resultat af denne øvelse er input til jeres vurdering af de eksisterende politikker, sikringsforanstaltninger og procedurer samt i hvilket omfang I bør tilpasse, slette eller implementere nye sikringsforanstaltninger eller procedurer.
Niveauet for sikringsforanstaltningerne, hvad enten I benytter ISO 27002 eller andre sikkerhedsstandarder, er i et vist omfang frivilligt. Har i allerede vurderet hvilke områder jeres sikkerhedshåndbog eller politik skal indeholde, bør I holde jeres prioriteringer op imod ISO 27002, for at sikre at I ikke mangler at adressere et vigtigt område.
Der vil ofte være kritiske processer der sjældent kan scopes helt ud såsom Change Management, backup processer og beredskabsstyring. I nogle tilfælde vil disse processer være outsourcet. Hvis vigtige processer er outsourcet skal jeres fokus ligge på leverandørstyringen, kontrakter, SLA’er og aftalte metrikker, således at I sikrer at leverandørerne overholder jeres sikkerhedskrav.
ISO 27001 er under revidering, hvad så?
Den eksisterende ISO 27001 standard er i øjeblikket under revidering og forventes at blive officielt klar til anvendelse medio 2013 -‐ primo 2014. Der bliver lagt op til nogle strukturelle ændringer i de enkelte afsnit og Plan-‐Do-‐Check-‐Act får en mindre fremtrædende rolle. Der bliver ligesom ved den sidste revision en overgangsperiode på mellem 1-‐2 år, hvor eksisterende certificerede virksomheder får mulighed for at tilpasse deres ISMS og sikre at de overholder kravene i den nye standard.
Der har i flere it-‐sikkerhedsmedier været snak omkring nogle af ændringerne i den nye standard bl.a. at Plan-‐Do-‐Check-‐Act forsvinder helt. Det er ikke helt korrekt da elementerne fortsat vil være en del af standardens nye afsnit omend mindre eksplicit end i ISO 27005:2005.
Fra DS 484 til ISO 27001 © 2013 Neupart A/S 13
De vigtigste ændringer i det nuværende udkast omfatter følgende elementer:
Der vil være en øget grad af fleksibilitet i forhold til valg af risikometode. Der lægges i højere grad op til at standarden skal tilpasse sig ISO 31000 standarden som omhandler Enterprise Risk Management.
Kravene i de enkelte ISMS afsnit er præciseret så der bør være er en mindre risiko for fejltolkning af kravene.
Kravene til ISMS konteksten er blevet skærpede og kravene til identifikation af succeskriterier for ISMS’et er blevet præciseret.
Der er nu et krav om at der i forbindelse med udvælgelsen af it-‐kontroller (SOA) samtidigt foretages en beskrivelse af succeskriterier og proces for måling af effektiviteten af it-‐kontrollerne eller KPI’er (evaluering af performance).
Neupart vil, i forbindelse med udgivelsen af den nye ISO 27001 standard, udarbejde en officiel vejledning til hvordan virksomheder nemmest kan overgå fra den gamle ISO 27001 standard til den nye. Så når den tid oprinder skal vi også nok hjælpe jer på vej.
Kontekst
Lederskab
Planlægning
Support
Drift
Evaluering af performance
Forbedringer
PLAN
DO
Check
ACT
Fra DS 484 til ISO 27001 © 2013 Neupart A/S 14
Opsummering Overgangen fra DS 484 til ISO 27001 behøver ikke at være en kompleks affære. Faktisk giver skiftet jer muligheden for at få ryddet op i jeres processer og sikringsforanstaltninger, og dermed også reducere kompleksiteten af jeres politikker og sikringsforanstaltninger.
Opsummering af de vigtigste ting I skal overveje
Jeres it-‐sikkerhedsstyring skal være risikobetonet og derfor er gennemførsel af it-‐risikovurderinger en forudsætning for det videre arbejde.
Der er direkte match mellem sikringsforanstaltningerne i DS 484 og ISO 27002.
Jeres it-‐risikovurdering giver jer grundlaget for at kunne tilvælge eller fravælge
sikringsforanstaltninger.
Da ledelsen skal have en aktiv rolle i forhold til risikobehandling, sætter det også krav til organisationens modenhed og ledelsens engagement i projektet.
I kan med fordel tage overgangen i etaper så I får organisationen med. Start med
at få identificeret kritiske processer og systemer og lav en forretningskonsekvensvurdering (BIA) og trussels/sårbarhedsvurdering af underliggende it-‐systemer.
Der er ingen grund til at vente til den revideret udgave af ISO 27001 bliver
offentliggjort, da der ikke grundlæggende bliver ændret ved standarden. ISMS kravene er de samme selvom der bliver foretaget et par ændringer til begreberne.
Neupart vil -‐ når den endelig revision af ISO 27001 er klar -‐ udarbejde en vejledning til skiftet fra ISO 27001:2005 til ISO 27001:2013.
Fra DS 484 til ISO 27001 © 2013 Neupart A/S 15
Erfaringer fra en certificeret virksomhed
Neupart A/S har været certificeret siden 2003. Først i henhold til den britiske standard BS7799-‐2 , som var forgængeren til ISO 27001, og siden 2006 i henhold til ISO 27001. Audit blev udført af Dansk Standard Certificering, og certifikaterne udstedes for en treårig periode. Ved indgangen til hver treårig periode udføres den store certificerings audit. Efter et og to år udføres et opfølgningsaudit, der er lidt mindre omfattende.
Vi har haft tre forskellige ”lead auditors” gennem tiderne. Checklisten er selvfølgelig altid ISO 27001, men vi har oplevet lidt forskellige prioriteter. Det vigtigste er altid at sørge for at ISMS’et er levende og løbende vedligeholdt.
Den er vigtigt at man passer på, over tid, ikke at lade ISMS’et vokse sig for stort til formålet. Det kan virke tillokkende og næsten naturligt at reagere på en hændelse eller en ”audit finding” med at indføre en ny administrativ regel eller procedure. Med tiden giver det et mere bureaukratisk ISMS som er vanskeligere at vedligeholde.
Jo flere regler og procedurer, jo mere intern audit er nødvendig, jo sværere er det for organisationen at efterleve disse regler og procedurer. Det er aldrig godt. Man skal trodsalt overholde sine egne politikker/regler/procedurer.
Hos Neupart voksede ISMS’et på otte år til 70 procedurer. ISMS'et trængte til en slankekur. It-‐sikkerhedschefen satte sig derfor ned og skar fedtet væk så det blev bragt ned på 35 procedurer.
Fra DS 484 til ISO 27001 © 2013 Neupart A/S 16
SecureConsult fra Neupart: Erfarne it-‐sikkerhedskonsulenter Skal I etablere et ISMS? Hvordan udarbejdes en “Statement of Applicability”? Skal den årlige risikovurdering gennemføres? Skal beredskabsplanerne opdateres? Hvordan følger I op på hændelser? Har I aftalt sikkerhedsansvar med jeres it-‐leverandører? Beskyttes persondata tilstrækkeligt?
Vil I starte med en ISO 27001 gap-‐analyse?
Der er mange ting man skal overveje i forhold til it-‐sikkerhed. Derfor stiller vi dygtige og erfarne konsulenter til rådighed så du kan få en problemfri it-‐risikovurdering.
Neupart har været certificeret siden 2003. Vores viden og erfaringer bringer virksomheder, institutioner og styrelser sikkert i mål med ISO 27001-‐efterlevelse på kortere tid. Når I planlægger og udfører jeres ISO 27001-‐aktiviteter rigtigt, kan den nødvendige informationssikkerhed indføres pragmatisk og fleksibelt. Det er Neupart eksperter i. Vi kalder vores konsulentydelser for SecureConsult®.
Ring til Louise Bøttner, Jeppe Kodahl, Jakob Holm Hansen eller Lars Neupart på 7025 8030 hvis du vil høre lidt mere om, hvordan vi kan hjælpe dig – det er uforpligtende.
Fra DS 484 til ISO 27001 © 2013 Neupart A/S 17
Hvad er SecureAware IT-‐GRC Brug mindre tid på it-‐sikkerhedsledelse og få et mere præcist overblik over jeres sikkerhed. Skal I efterleve standarder eller god skik for informationssikkerhed, giver SecureAware jer forbedret effektivitet og mulighed for nemmere at vurdere hvor meget sikkerhed jeres forretning behøver.
Med SecureAware behøver I ikke længere komplekse regneark til risikovurdering og I kan droppe lange sikkerhedshåndbøger i et utal af versioner. SecureAware giver jer en række genveje til ISO 27001 og PCI-‐compliance, og I får helt styr på tilbagevendende sikkerhedsopgaver. Så kan I bruge mindre tid på sikkerhedsledelse, eller I kan vælge at bruge jeres konsulentbudget til andre formål.
SecureAware kan bruges som en samlet IT GRC-‐pakke, eller som enkeltvise moduler.
Læs mere og prøv gratis i 30 dage her: www.neupart.dk/produkter
Med SecureAware får I: • ISO 27001 Information Security
Management System (ISMS)
• Plan-‐Do-‐Check-‐Act håndtering
• It-‐sikkerhedshåndbøger -‐ “policy management”
• Awareness-‐kampagner
• Risikovurdering og risikohåndtering jævnfør ISO 27005
• Compliance analyser
• Styr på sikkerhedsopgaverne
• Beredskabsplanlægning jævnfør BS 25999
• Tidsbesparende skabeloner
• PCI DSS compliance
• Cloud-‐leverandør analyser
• API’er til dataudveksling
• Leveres som SaaS eller traditionel software
• Smart upgrade giver nem adgang til nye funktioner og indhold
• Support for en række anerkendte SQL-‐databaser
• MS Active Directory support med brugere og grupper
Fra DS 484 til ISO 27001 © 2013 Neupart A/S 18
Neupart hjælper virksomheder med it-‐risikostyring og med at leve op til sikkerhedskrav. Også i skyen! Neupart er forskellig fra de traditionelle konsulenthuse, fordi vores egenudviklede IT GRC-‐løsning, SecureAware, sparer virksomheders tid og kræver færre konsulenttimer. Neupart er specialist i ISO 27001, DS 484-‐, Cobit, PCI og cloud-‐sikkerhed. Med mere end 200 private og offentlige virksomheder som kunder er Neupart den førende IT GRC-‐leverandør. Neupart er ISO 27001-‐certificeret.
Neupart A/S Hollandsvej 12
DK-‐2800 Lyngby T: +45 7025 8030 www.neupart.dk