GRC vid LFAB
description
Transcript of GRC vid LFAB
Publik
GRCvid LFAB
Säkerhetschef/informationssäkerhetschefAgneta Syrén
Piperska muren2012-12-06
Länsförsäkringsgruppens vision är attskapa trygghet
3
4
Strategiskt beslut:Arbeta långsiktigt med säkerhet genomLIS – Ledningssystem för informationssäkerhet
Grundas på verksamhetens affärsmål och behov av säkerhetskrav
5
Riskanalysen – central
Flytta Undvik
MinskaAcceptera
A.6.2.2 N/A A.7.2.2 Krav
från ...
Uttalande om
tillämplighet
Policy
Kontinuitetsplan
Mål med informationssäkerheten• ... är att skydda organisationens tillgångar
mot alla typer av hot – interna eller externa, avsiktliga eller oavsiktliga.
• ... är att informationen skyddas oavsett om den är digital, skriftlig eller muntlig samt att bolaget kan kontrollera hur informationen sprids och distribueras
Källa: Säkerhetspolicy 2012 samt Instruktion för Medarbetare och Chefer
7
Intern styrning och kontroll
Affärsverksamheten Kontrollfunktioner Internrevision
Första försvarslinjenÄgande av risker
Verksamheten
Andra försvarslinjenHantering av risker
Tredje försvarslinjenRisksäkring
Säkerhet/informationssäkerhet
Säkerhet återfinns inom första linjen…
RiskkontrollCompliance
Internrevision
Riskkontroll, säkerhet och styrelse
RiskkontrollfunktionSäkerställer att den rapportering av risker som görs i verksamheten sammanställs till en samlad riskbild till vd och styrelse
Säkerhet, informationssäkerhetAnsvarar i första linjen tillsammans med chefer och medarbetare för delriskområdet operativ risk
8
• Styrelsen- är ytterst ansvarig för att det finns ett effektivt system för att hantera bolagets risker. - ansvarar för att kontroll av efterlevnaden görs genom granskning som genomförs av Internrevision
Första linjens säkerhetsarbete
Genom förebyggande arbete och ändamålsenlig riskhantering minska sannolikheten för att operativa risker materialiseras
– I verksamheten, verka för att införa ett ledningssystem för informationssäkerhet
• regelverk policyer, instruktioner, rutiner–Genomföra utbildningar chefer – medarbetare–Kontinuitetsplanering–Leda, följa upp och kontrollera arbetet med operativ risk –Hantera incidenter–M.m.
9
I en föränderlig värld utgör informationssäkerheten en viktigt del av företagets riskhantering
11
Risker i verksamheten
Risker ska identifieras, mätas, hanteras, övervakas och rapporteras
Risktagandet i ett bolag ska styras
Riskerna ska styras medvetet
Risker ska kvantifieras
Risker ska beskrivas
Operativ risk?
12
Operativ risk • Identifiering •Mätning •Hantering•Övervakning •Rapportering
13
14
15
Frågor?