Upload
dansk-it
View
374
Download
3
Embed Size (px)
Citation preview
Outsourcing og sikkerhed
It-sikkerhed 2016 - 4. februar 2016
11
[Rusland]
[Finland]
[Norge]
[Sverige] [Estland]
[Letland]
[Litauen][Danmark]
[Polen][Tyskland]
[Luxembourg]
[Storbritannien)
[Nordirland]
[Irland]
[New York]
Fakta Markedsleder i Danmark, Finland og
Nordirland 3,6 mio. kunder 313 filialer* og aktiviteter i 15 lande 18.874 fuldtidsmedarbejdere Grundlagt i 1871
En nordisk finansiel koncern med globalt udsyn
Selvstændige enheder
22
Group IT består af 2791 IT medarbejdere i Danmark, Lithauen ogIndien
Danmark (55%)
Indien(29%)
Lithauen (14%)Brabrand (28%)
Ejby (60%)
Lyngby (10%)
City (2%)
Andre ØstEuropæiske
(2%)
33
• Arbejdet med IT sikkerhed siden 1988
• Forsvarets Datatjeneste• Topdanmark• Danica• Danske Bank
• Ansvar for Koncernens IT sikkerhed siden 2006
• Involveret i forskellige outsourcing projekter siden 2000 Outsourcing af sikkerhedsadministration til DMdata Outsourcing af driftsafdeling til IBM Indgåelse af aftale om Office 365
Hvem er jeg?
44
• Baggrund• Paradigme-ændring � kontrolmetode• Lovgivningskrav � hvilke?• Hvad vil det sige at være i kontrol?• Styring og opfølgning• Case: Office 365• Erfaringen konverteret til krav
Agenda
55
Danske Bank startede �outsourcing� i 1990�erne
Større IT drifts outsourcing aftaler (eksempler)• Facility Management 1996• IBM outsourcing 2004• MS Office 365 2013
Mindre aftaler (eksempler)• Lønudbetaling• Medarbejder performance review• Event management
Baggrund
66
Rejsen i ændring af kontrol – paradigme-ændring
Egen platform Delt platform
Kontrol gennem andre
Egen kontrol
Andre:• Revision• Certificering
Egen:• Intern revision• Interne kontroller
77
• Lov om finansiel virksomhed §71 Ledelsesbekendtgørelsen
· Bilag 5
• Outsourcing-bekendtgørelsen
• Regler på persondatalovens område
Lovgivningskrav – hvilke
88
• Viden om leverandørens sikkerhed-arbejde (ISMS)
• Datalagring � hvor?• Adgang til data � hvorfra?• Indsigt i risici• Ret til indsigt i revision • Ret til inspektion• Godkendelse af underleverandører• Exit-klausuler
• Foretage regelmæssig opfølgning og kontrol
Hvad vil det sige at være i kontrol?
99
Styring og opfølgning
Delt platform
Dedikeret platform
Egen platform
Lav risiko Medium risiko Høj risiko
Styring og opfølgning afpasses efter risici og platform
1010
• Office 365 projektet � første leverandør på delt platform (cloud)• Scope � samtlige medarbejdere• Ustrukturede data (email)
• Projektdeltagere - IT Security, Legal, Procurement og IT-projektet
• IT Security og Legal � hvordan kan vi forblive i kontrol?
• MS Compliance program for finansielle virksomheder Indsigt i risici Ret til revision Mulighed for at påvirke 3. part revisors arbejde Adgang for tilsynsmyndigheder Godkendelsesprocedure for underleverandør Exit-klausul
• Scope for MS Compliance program Office 365 Azure Dynamics
Case: Office 365
1111
Nedenstående overordnede krav skal være en del af kontraktgrundlaget:
Erfaringen konverteret til krav
Danske Banks krav Hvorledes?1. Indsigt i leverandørens sikkerheds-
metoder incl. IT kontroller samt adgangtil revisionsrapporter, der dækker hele leverancekæden.
Leverandøren skal årligt sende relevante revisionsrapporter, fx. ISAE 3402, ISO27001- certificeringer samtdokumentation for gennemførelse af kontroller, revisions-observationer incl. afhjælpning af disse.
2 Mulighed for at anmode om yderligereindsigt i den eksterne revisorsdokumentation.
Etablering af forum med minimum 2 årlige møder tildrøftelse af revisionsobservationer og Danske Banks feedback (forum kan være fælles med andre afleverandørens kunder med samme leverance).
3 Mulighed for at påvirke yderligere ellerændrede revisionselementer.
Gennem det etablerede forum skal det være muligt at kunnetilføje nye revisionskontroller, som den eksterne revision gennemfører.
4 Mulighed for at foretage inspektion afrelevante datacentre incl. relevantedriftslokationer.
Tilsynsmyndigheder skal have mulighed for at foretageinspektion.
5 Mulighed for at godkende/afviseunderleverandører herunder flytning afdata til anden lokation.
Kan kontraktligt formuleres som en escape-klausul, hvis der ikke er enighed mellem parterne.