Platform voor Informatiebeveiliging IB Governance en management dashboards

Transcription

1 Platform voor Informatiebeveiliging IB Governance en management dashboards Johan Bakker MSc CISSP ISSAP Principal Policy Advisor KPN Corporate Center Information Security Governance

2 Agenda Drivers voor Informatiebeveiliging bij KPN KPN Corporate Security Policy (CSP) Security Governance Security Compliance Vragen? 1

3 Drivers voor Informatiebeveiliging bij KPN De business en de Business strategy Opta SOx TW Wet & regelgeving NMa WBP Basel2 Partners SAS70 ISO Security Beleid SAS70 ISO Suppliers PCI Product chains PCI Customers TPM ITIL TPM ITIL klant, de wet en de keten 2

4 KPN Corporate Security Policy Hoe doen we dat bij KPN? Corporate Security Policy (CSP) Onderdeel Business Control Framework (BCF) Per 4 sept 2006 door de CFO ondertekend Daarmee de geldende security policy Gebaseerd op een Security Management System (SMS) Een risico gedreven cyclisch process (gebaseerd op ISO 27001) Methode om maatregelen te selecteren (uit ISO 27002) Uitrol in progress 3

5 KPN Corporate Security Policy Het CSP Framework Policy Rules Means Corporate Security Policy Security Management Requirements Design principles and axioms Implementation Manual CSP Compliance Framework Baseline Security Controls Guidelines, templates, methods, tools Introduction into the CSPF Functional Security Policies Report Repository In lagen opgebouwd 4

6 KPN Corporate Security Policy Strategic Tactical Security Governance en compliance Policy, Organization & Management CISO is owner Corporate Security Policy MT CISO / CFO TRU Tactical Reporting Unit Consumer Business Wholesale Internal IT Corporate MT Aggregated reporting & Compliance Operational Three levels of security management MT MT MT MT ORU Operational Reporting Unit Business requirements & Reporting (Products & Services) [= business alignment] MT MT MT MT Hiërarchisch en in de Supply chain IPB Internet IP-TV Mobiel Vaste tel 5

7 Security Governance - Hiërarchisch Strategic Tactical Operational Scope KPN Enterprise Tactical Reporting Unit Product(s), service(s) or process(es) Context Market, legal, regulatory, societal developments, KPN Mission Business developments, demand/supply chain, tactical scopes, CSP Cust. requirements, CSP and local policies and procedures Security aspects Enterprise impact, tactical level of compliance Business impact, operational level of compliance Confidentiality, Integrity and Availability Assets The KPN Brand(s) Products, services and processes Typical Information assets Risks Enterprise risks Business risks Security risks Controls CSP Framework, tactical ISMS s SLA s, local policies operational ISMS s ISO/IEC controls 6

8 Security Governance Supply chain Rollen in de supply chain Requirements Agreements Owner Customer PWB Implementer Development contract Handover Service delivery Operator Service Contract, SLA De verantwoordelijkheden beschreven 7

9 Compliance reporting - Hiërarchisch Iedere TRU aggregeert en rapporteert Organisatie en management Wie is de policyhouder voor de TRU? Welke ORU s rapporteren over security? Wie zijn er op die ORU s accountable voor security? Wie zijn er op die ORU s responsible voor security? Mate van implementatie Voor welke ORU s zijn AC, BIA en RA uitgevoerd? Zijn de baseline controls geïmplementeerd? En in welke mate? Gerapporteerde security exceptions de mate van volwassenheid 8

10 Compliance reporting Supply chain In de Supply chain geldt Extern (aan klant en van leverancier) SLA reporting ISO certificaten TPM s SAS 70 verklaringen Intern SLA s tussen bedrijfsonderdelen Complaince reports security services (HR, Facilities, CPO, IT, Corp) Rapporten KPN audit wat er met de klant is afgesproken 9

11 Compliance reporting Dashboard Op Corporate niveau Kwartaalrapportage aan RVB: Stoplichtrapportage compliance TRU s High profile incidenten Trends en ontwikkeling Statistieken: Abusemeldingen Spam en virussen Integriteitsonderzoeken overzien we het geheel 10

12 Vragen? 11