S12 October, 2018 1

> Hvordan hænger GDPR og informationssikkerhed sammen?Dit arbejde med ISO 27000 understøtter din GDPR-compliance– to separate øvelser med få indbyggede modsætninger

S12 October, 2018 2

Hvad er Informationssikkerhed

• Fortrolighed

• Integritet

• Tilgængelighed

Gennem risikostyringsproces sikre, at interessenter har tillid til, at risici hånderes på en ordentlig måde.

S12 October, 2018 3

Hvad er ISO27001

• En standard til etablering og implementering, af et ledelsessystem for informationssikkerhed.

• Det er en strategisk beslutning for en organisation.

• Ledelsessystemet er en del af organisationens processer og overordnede ledelsesstruktur

S12 October, 2018 4

Fem områder, hvor ISO 27001 understøtter GDPR

4. Databrud

2. Oversigt over persondata

3. Risikovurdering

1. Dokumentation

5. Evaluering og løbende forbedring

Kilde: Anders Linde, Dansk IT

S12 October, 2018 5

> Dokumentation

> GDPR> Krav om dokumentation af efterlevelse

> ISO 27001> Hvis det ikke er dokumenteret, anses kravene ikke for efterlevet

> Der skal foreligge en oversigt over persondata, en rapport vedr. risikovurdering, en hændelseslog …

S12 October, 2018 6

> Oversigt over persondata

> ISO 27001> Overblik over kritiske og følsomme data

udpege relevante sikkerhedsforanstaltninger

> GDPR > ”Fortegnelsen”

kunne styre hvor, hvordan og hvor længe persondata er gemt, hvem der kan få adgang …

S12 October, 2018 7

> Risikovurdering

> GDPR> Kunne identificere risici for kompromittering af EU-borgernes persondata

> Også ved implementering af nye systemer eller nye forretningsprocesser

> ISO 27001> Etablere relevant sikkerhedsindsats via risikostyring

> Vurdere sandsynlighed for og konsekvens af forskellige hændelser

> Sårbarhedsvurderinger som grundlag

S12 October, 2018 8

> Databrud

> GDPR> Underrette myndighederne inden for 72 timer efter et muligt databrud

> Også underretning af de registrerede

> ISO 27001> Krav om håndtering af afvigelser

> Forslag til processer for hændelseshåndtering

S12 October, 2018 9

> Hvad er et brud på persondatasikkerheden?

> GDPR – brud på persondatasikkerheden> ”Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab,

ændring, uautoriseret videregivelse af eller adgang til personoplysninger der er transmitteret, opbevaret eller på anden måde behandlet..”

> ISO 27001 - informationssikkerhedshændelse> ”En identificeret forekomst af en system-, tjeneste- eller netværkstilstand, der

indikerer et muligt brud på informationssikkerhedspolitikken eller svigt af kontroller, eller en tidligere ukendt situation der kan være relevant for sikkerheden …”

S12 October, 2018 10

> Evaluering og løbende forbedring

> GDPR> Etablere arbejdsgange, som sikrer vedblivende beskyttelse af persondata , uanset

> Trusselbilledet ændrer sig

> Nye behandlinger

> Ændrede forretningsgange

> ISO 27001> Værktøjskasse af aktiviteter til beskyttelse af informationer

> Evaluering af sikkerhedskontroller

> Interne audits

> Ledelsens evaluering

S12 October, 2018 11

> Er der en modsætning mellem GDPR og ISO 27001?

> GDPR> Beskyttelse af borgerne og data, der kan henføres til bestemte personer

> Privatlivsbeskyttelse

> DPO er de registreredes talsmand og beskytter

> ISO 27001> Handler om beskyttelse af alle virksomhedens eller myndighedens data

> Skal beskytte ”forretningsdata”

> CISO er virksomhedens beskytter

S12 October, 2018 12

> Hvordan understøtter DKCERT og DeiC efterlevelsen?

> Dokumentation, oversigt over persondata> DPO-tjenesten

> Rådgivning

> Databehandleraftaler

> Indlogning med WAYF – dataminimering og transparens

> Risikovurderinger> Trusselsbilledet generelt – informationstjenesten

> Sårbarhedsvurderinger baseret på dybdegående scanninger

> Daglige sårbarhedsadvarsler fra tredjepart

> Deling af information om malware, ”indicators of compromise”

S12 October, 2018 13

> Hvordan understøtter DKCERT og DeiC efterlevelsen?

> Databrud> Formidling af anmeldelser fra tredjepart

> Støtte til forensics

> Kontakt til eksterne parter, fx Center for Cybersikkerhed

> Evaluering og løbende forbedring > Awarenesstræning – fx phishingkampagner

> Benchmarking