Publik

GRCvid LFAB

Säkerhetschef/informationssäkerhetschefAgneta Syrén

Piperska muren2012-12-06

Länsförsäkringsgruppens vision är attskapa trygghet

3

4

Strategiskt beslut:Arbeta långsiktigt med säkerhet genomLIS – Ledningssystem för informationssäkerhet

Grundas på verksamhetens affärsmål och behov av säkerhetskrav

5

Riskanalysen – central

Flytta Undvik

MinskaAcceptera

A.6.2.2 N/A A.7.2.2 Krav

från ...

Uttalande om

tillämplighet

Policy

Kontinuitetsplan

Mål med informationssäkerheten• ... är att skydda organisationens tillgångar

mot alla typer av hot – interna eller externa, avsiktliga eller oavsiktliga.

• ... är att informationen skyddas oavsett om den är digital, skriftlig eller muntlig samt att bolaget kan kontrollera hur informationen sprids och distribueras

Källa: Säkerhetspolicy 2012 samt Instruktion för Medarbetare och Chefer

7

Intern styrning och kontroll

Affärsverksamheten Kontrollfunktioner Internrevision

Första försvarslinjenÄgande av risker

Verksamheten

Andra försvarslinjenHantering av risker

Tredje försvarslinjenRisksäkring

Säkerhet/informationssäkerhet

Säkerhet återfinns inom första linjen…

RiskkontrollCompliance

Internrevision

Riskkontroll, säkerhet och styrelse

RiskkontrollfunktionSäkerställer att den rapportering av risker som görs i verksamheten sammanställs till en samlad riskbild till vd och styrelse

Säkerhet, informationssäkerhetAnsvarar i första linjen tillsammans med chefer och medarbetare för delriskområdet operativ risk

8

• Styrelsen- är ytterst ansvarig för att det finns ett effektivt system för att hantera bolagets risker. - ansvarar för att kontroll av efterlevnaden görs genom granskning som genomförs av Internrevision

Första linjens säkerhetsarbete

Genom förebyggande arbete och ändamålsenlig riskhantering minska sannolikheten för att operativa risker materialiseras

– I verksamheten, verka för att införa ett ledningssystem för informationssäkerhet

• regelverk policyer, instruktioner, rutiner–Genomföra utbildningar chefer – medarbetare–Kontinuitetsplanering–Leda, följa upp och kontrollera arbetet med operativ risk –Hantera incidenter–M.m.

9

I en föränderlig värld utgör informationssäkerheten en viktigt del av företagets riskhantering

11

Risker i verksamheten

Risker ska identifieras, mätas, hanteras, övervakas och rapporteras

Risktagandet i ett bolag ska styras

Riskerna ska styras medvetet

Risker ska kvantifieras

Risker ska beskrivas

Operativ risk?

12

Operativ risk • Identifiering •Mätning •Hantering•Övervakning •Rapportering

13

14

15

Frågor?