SlideShare a Scribd company logo

Hur gör man en effektiv it revision av bcm

Transcendent Group
Transcendent Group

Presentation från GRC 2015 den 20 maj. Kontakta gärna talaren om du har några frågor. Hela schemat för eventet hittar du här: http://www.transcendentgroup.com/sv/har-har-du-hela-schemat-for-grc-2015/

Leadership & Management
1 of 27
Download to read offline
IT-revisorns angreppsätt till BCM Daniel Gräntz 20 maj, GRC 2015
Agenda • Revision av BCM • IT:s del i kontinuitetshantering ©TranscendentGroupSverigeAB2015
Om mig • partner på Transcendent Group • tjänsteområdesansvarig IT- revision • 14 års arbetslivserfarenhet som IT-revisor och rådgivare ©TranscendentGroupSverigeAB2015
Risker ©TranscendentGroupSverigeAB2015
Revision ©TranscendentGroupSverigeAB2015
Inriktning och omfattning • Vilka väsentliga risker skall vår revision adressera? • Vad är det jag som revisor skall uttala mig om när det gäller kontinuitetshantering? • Vilken kompetens behövs för att kunna utföra en granskning av kontinuitetshantering? • Hur lång tid tar det att genomföra en granskning av kontinuitetshantering? ©TranscendentGroupSverigeAB2015
Uppslag till granskning ©TranscendentGroupSverigeAB2015 Efterlevnad av BCP- policy Analys Design Genomförande Projektgranskning Granskning av en kontinuitetsplan
Uppslag till granskning ©TranscendentGroupSverigeAB2015 Planering Utföra Analays Granskning av datacenter Granskning av utförda tester Granskning av kontrakterad tredje part
Teknikutveckling… • Virtualisering av servrar och klienter (kraftfull serverhårdvara och mjukvara) • Molnbaserade tjänster (tillhandahållandet av IT-tjänster över Internet • BYOD (smarta telefoner) • Sociala medier • Big Data ©TranscendentGroupSverigeAB2015
Definitioner ©TranscendentGroupSverigeAB2015
Begrepp ©TranscendentGroupSverigeAB2015 Katastrofplan Kontinuitets planering Reservrutiner Avbrottsplan Kontinuitets plan Plan för återställning Krisplan Kontinuitets hantering Återställning splaner Incident hantering Krishantering
Definition kontinuitetsplanering • Kontinuitetsplanering är en metod för att säkerställa företagets leveransförmåga genom att planera för fortsatt verksamhet vid förlust av operativ förmåga. Det vill säga att trots avbrott kunna leverera de tjänster och produkter som är viktigast för företaget och dess kunder. • Enligt ISO/IEC 27000 standardens definition av begreppet kontinuitetsplanering så är det företagets verksamhet i kontinuitet som ska säkerställas. En kontinuitetsplan innefattar således mer än en kontinuitetsplan för företagets IT-verksamhet. • Det övergripande målet med kontinuitetshantering är att minska konsekvenserna av avbrott och avbrottstiderna där målsättningen i förlängningen är att skydda organisationens intressenter, rykte, varumärke och värdeskapande aktiviteter. ©TranscendentGroupSverigeAB2015
Kontinuitetshantering ©TranscendentGroupSverigeAB2015 OutputInput Process Personal IT 3e part Lokaler Data
Analys av affärs- konsekvenser Test av plan Val av strategi och lösning Kritiska processer, tjänster och funktioner Kontinuitetshantering ©TranscendentGroupSverigeAB2015 BCM Upprätta planer Utbildning och underhåll
©TranscendentGroupSverigeAB2015 Act Granskning av ledning Förbättring Krav från verksamheten Identifiera gap Data IT beredskaps och återställnings- plan Mätning av prestanda Förståelse för kritiska IT- tjänster och IT- kontinuitetskrav IT kontinuitets policy/styr- dokument Konsekvens- analys Leverantörer Kriterier för uppföljning av IT beredskap Lokaler Krav på resiliens Förmåga och kunskap Teknik Kultur, Kompetens och utbildnings- program Dokument- kontroll IT kontinuitets- process Implementering IT strategier Test och övning Intern och extern revision och granskning Bevakning, upptäckt och analys av hotbild Skapa IT kontinuitets- strategi IT kontinuitetsplan sammanställning, underhåll och implementation Uppföljning och utvärdering Löpande Årlig uppföljning Plan Do Check ISO27031
Kontinuitetskomponenter Kontinuitetssteg Konsekvensanalys och riskbedömning Processer Människor Lokaler IT & Infra- struktur Strategi Kontinuitetsplan Test och övningar Medvetenhet och kultur Underhåll och hantering Kontinuitetsramverk IT leverans Önskat resultat IT hantering och återställning IT risk- reducering och kontroll Robusthet ISO27031:2011
Hur kommer då IT in i bilden? ©TranscendentGroupSverigeAB2015
Utgångspunkt • Organisationens affärs- och verksamhetsmål • Identifiera affärskritiska processer (och infrastruktur) som stöder våra mål • Bryter ned kritiska processer i kritiska aktiviteter • Identifierar interna och externa resurser som behövs för att utföra aktiviteter (ex. personal, lokal, IT-system, leverantörer). ©TranscendentGroupSverigeAB2014
• Definiera maximala tillåtna avbrottstiden för kritiska aktiviteter och effekten av dessa • Definiera mål för återställningstid som ställs på respektive resurs. • Definiera krav för tillgänglighet av data för att medge funktionalitet i den kritiska aktiviteten ©TranscendentGroupSverigeAB2014 Kravställning RECOVERY TIME OF OBJECTIVEC RECOVERY POINT OF OBJECTIVECC Inventera de resurser som identifierats av verksamheten och som har en direkt koppling till IT-verksamheten Ingångsvärde för IT
Kontinuitetshantering ©TranscendentGroupSverigeAB2015 Produktion Ordermottagning Utplock lager - TO LogistikGodsmottagning Reklamation Process IT-system Fabrik Personal Leverantörer Fabrik IT- infrastruktur Personal ElLeverantörerDatahall Aktivitet Resurs IT-resurs BIA MTPD RPO RTO Riskanalys Konsekvensbedömning Tillgänglighetskrav
Erfarenheter från granskningar Fokus på IT • Informationsflöden och beroenden är oftast bristfälligt dokumenterade (input – bearbetning – output) • Befintligt IT-miljö är ej dokumenterad (IT-infrastruktur, datahallar, nätverk, telekom) – kan medföra svårigheter i att identifiera IT-resurser • Affärskonsekvensanalyser är begränsade i sin omfattning • Genomförda affärskonsekvensanalyser (BIA) kopplas ej till krav avseende RPO och RTO. BIA kan utgöra grund för kravställandet av servicenivåer (SLA) för resurser. • Konsekvensanalyser och riskbedömningar för IT-resurser är bristfälligt dokumenterade och ofta begränsade till applikationer. IT-resurser kan grupperas utifrån lokaler, leverantör, teknik, personal och kompetens* ©TranscendentGroupSverigeAB2015 * ISO 27031
Erfarenheter från granskningar Fokus på IT • IT-resurser är ej tydligt kopplade till affärskritiska processer, aktiviteter och resurser. • Kontinuitetstrategier bör utgå från identifierade kritiska IT-resurser och bör vara grupperade (ta del av eventuell tjänstekatalog inom IT) • Outsourcing kan vara ett alternativ för att lösa krav på tillgänglighet (eg. maximala avbrottstider) och då blir upprättat avtal väsentligt. • IT bör ta fram reserv-, återställnings- och återgångsrutiner för kritiska IT-resurser • Scenarioanalyser för att upprätthålla IT-kontinuitet av kritiska resurser kan vara ett effektivt arbetssätt ©TranscendentGroupSverigeAB2015 * ISO 27031
Kontinuitetsplan (BCP) Återställa verksamheten • Syfte, mål, omfattning och målgrupp • Referenser (ex. BCP Policy, verksamhetsplaner, affärskonsekvensanalyser) • Förutsättningar för aktivering och inaktivering av plan • Roller och ansvarsområden (kommunikation med media, aktivering av plan) • Kontaktuppgifter • Fysiska lokaler och alternativa arbetsplatser • Maximala avbrottstider per aktivitet (RTO) • Reservrutiner per aktivitet (infrastruktur, system, personal, information) ©TranscendentGroupSverigeAB2015
Kontinuitetsplan (DRP) Plan för att återställa IT-infrastruktur • Syfte, mål, omfattning och målgrupp • Referenser (ex. BCP, Policy mm.) • Beskrivning av IT-miljön (IT-infrastruktur, datahallar, nätverk, telekom) • Identifierade IT-resurser för verksamhetskritiska processer och aktiviteter (ex. teknik, personal, lokal, leverantör) • Roller och ansvarsområden (kommunikation med media, aktivering av plan) • Reserv-, återställnings- och återgångsrutiner för kritiska IT- resurser • Kontaktuppgifter ©TranscendentGroupSverigeAB2015
DRP Återställningsplaner för • Nätverk (WAN, LAN) • Telefoni • Personal • Hårdvara (inkl. avtal med leverantör) • Säkerhetskopiering (frekvens, lagring, återläsning) • Plattform och operativsystem • Databaser • Applikationer • Datahall och reservarbetsplatser • CMDB (konfiguration och dokumentation) • Help desk • Utvecklingsverktyg • Skrivare ©TranscendentGroupSverigeAB2015
Standarder • Förordningen (2006:942) om krisberedskap och höjd beredskap • SS-EN ISO 22300:2014 Samhällsäkerhet - Terminologi (ISO 22300:2012) • SS-EN ISO 22301:2014 Samhällssäkerhet - Ledningssystem för kontinuitet – Krav • SS 22304:2014 Samhällssäkerhet Ledningssystem för kontinuitet Vägledning till SS-EN ISO 22301 • SS-EN ISO 22313:2014 Samhällssäkerhet - Ledningssystem för kontinuitet - Riktlinjer (ISO 22313:2012) • ISO/TDS 22317 Societal security -- Business continuity management systems -- Business impact analysis (BIA) • SS-ISO 22398:2013 Samhällssäkerhet - Vägledning för övningar (ISO 22398:2013, IDT) • SS-ISO 22397:2014 Samhällssäkerhet - Vägledning för att upprätta privat-offentlig samverkan (ISO 22397:2014, IDT) • ISO 27031 – Guidelines for information and communication technology readiness for business continuity • Finansinspektionen FFFS 2014:4 • EBA: GL 44 • BITS • COSO • ITIL ©TranscendentGroupSverigeAB2015
www.transcendentgroup.com

Recommended

IT-revision för nybörjare
IT-revision för nybörjareIT-revision för nybörjare
IT-revision för nybörjareTranscendent Group
 
IOP u 16 koraka
IOP u 16 korakaIOP u 16 koraka
IOP u 16 korakaZorana Galic
 
Muzika srednjeg veka 123
Muzika srednjeg veka 123Muzika srednjeg veka 123
Muzika srednjeg veka 123MilanIvkovi7
 
Stanić i Banić
Stanić i BanićStanić i Banić
Stanić i Banićdusanjerkovic
 
Suorituskyvyn johtaminen
Suorituskyvyn johtaminenSuorituskyvyn johtaminen
Suorituskyvyn johtaminenMika Aho
 
Autizmas. Diagnostika. Ugdymo būdai – Virginija Juškevičiūtė
Autizmas. Diagnostika. Ugdymo būdai – Virginija JuškevičiūtėAutizmas. Diagnostika. Ugdymo būdai – Virginija Juškevičiūtė
Autizmas. Diagnostika. Ugdymo būdai – Virginija Juškevičiūtėskitoksvaikas
 
Manajemen organisasi mahasiswa
Manajemen organisasi mahasiswaManajemen organisasi mahasiswa
Manajemen organisasi mahasiswaRizky Rahman
 
Ugrožene i zaštićene vrste šumskih ekosistema
Ugrožene i zaštićene vrste šumskih ekosistemaUgrožene i zaštićene vrste šumskih ekosistema
Ugrožene i zaštićene vrste šumskih ekosistemaAnja Sreckovic
 

Recommended

IT-revision för nybörjare
IT-revision för nybörjareIT-revision för nybörjare
IT-revision för nybörjareTranscendent Group
 
IOP u 16 koraka
IOP u 16 korakaIOP u 16 koraka
IOP u 16 korakaZorana Galic
 
Muzika srednjeg veka 123
Muzika srednjeg veka 123Muzika srednjeg veka 123
Muzika srednjeg veka 123MilanIvkovi7
 
Stanić i Banić
Stanić i BanićStanić i Banić
Stanić i Banićdusanjerkovic
 
Suorituskyvyn johtaminen
Suorituskyvyn johtaminenSuorituskyvyn johtaminen
Suorituskyvyn johtaminenMika Aho
 
Autizmas. Diagnostika. Ugdymo būdai – Virginija Juškevičiūtė
Autizmas. Diagnostika. Ugdymo būdai – Virginija JuškevičiūtėAutizmas. Diagnostika. Ugdymo būdai – Virginija Juškevičiūtė
Autizmas. Diagnostika. Ugdymo būdai – Virginija Juškevičiūtėskitoksvaikas
 
Manajemen organisasi mahasiswa
Manajemen organisasi mahasiswaManajemen organisasi mahasiswa
Manajemen organisasi mahasiswaRizky Rahman
 
Ugrožene i zaštićene vrste šumskih ekosistema
Ugrožene i zaštićene vrste šumskih ekosistemaUgrožene i zaštićene vrste šumskih ekosistema
Ugrožene i zaštićene vrste šumskih ekosistemaAnja Sreckovic
 
System thinking
System thinkingSystem thinking
System thinkingInterest_Matematika_2011
 
Fotohemijski procesi u Atmosferi
Fotohemijski procesi u AtmosferiFotohemijski procesi u Atmosferi
Fotohemijski procesi u Atmosferidragoljub vuksic
 
Gaya kepemimpinan
Gaya kepemimpinanGaya kepemimpinan
Gaya kepemimpinanAmir Rahman
 
Manajemen organisasi full
Manajemen organisasi fullManajemen organisasi full
Manajemen organisasi fullPrareswara Putra
 
Zakletve
ZakletveZakletve
ZakletveLara Šarenac
 
Elektronski portfolio
Elektronski portfolioElektronski portfolio
Elektronski portfolioAkademija Filipovic
 
Erozija zemljista ivanović, lazić, poštić
Erozija zemljista ivanović, lazić, poštićErozija zemljista ivanović, lazić, poštić
Erozija zemljista ivanović, lazić, poštićdusanjerkovic
 
Psihologija тт
Psihologija ттPsihologija тт
Psihologija ттProfpsiholog
 
Ventilējamas fasādes apakškonstrukciju pārskats
Ventilējamas fasādes apakškonstrukciju pārskats Ventilējamas fasādes apakškonstrukciju pārskats
Ventilējamas fasādes apakškonstrukciju pārskats Ekonomikas ministrija/ Dzīvo siltāk
 
Ristiriitatilanteet ja konfliktit työyhteisössä
Ristiriitatilanteet ja konfliktit työyhteisössäRistiriitatilanteet ja konfliktit työyhteisössä
Ristiriitatilanteet ja konfliktit työyhteisössäEija Kupi
 
Polarna svetlost
Polarna svetlostPolarna svetlost
Polarna svetlostSanja Bulat
 
efek minuman keras pada tubuh
efek minuman keras pada tubuhefek minuman keras pada tubuh
efek minuman keras pada tubuhRizal Nurfalah
 
Tehnologija proizvodnje papira
Tehnologija proizvodnje papiraTehnologija proizvodnje papira
Tehnologija proizvodnje papiraAna Todorovic
 
Manajemen stres
Manajemen stresManajemen stres
Manajemen stresTriyani Suranto
 
Pembelajaran konstruktivistik
Pembelajaran konstruktivistikPembelajaran konstruktivistik
Pembelajaran konstruktivistikAinun Nuril Haq
 
Solarni kolektori
Solarni kolektoriSolarni kolektori
Solarni kolektorimacen123
 
ys-aika vesot tesot 2022.pdf
ys-aika vesot tesot 2022.pdfys-aika vesot tesot 2022.pdf
ys-aika vesot tesot 2022.pdfOpetusalan Ammattijärjestö OAJ
 
RISET DALAM PSIKOLOGI INDUSTRI
RISET DALAM PSIKOLOGI INDUSTRIRISET DALAM PSIKOLOGI INDUSTRI
RISET DALAM PSIKOLOGI INDUSTRIUniversitas Qomaruddin, Gresik, Indonesia
 
биогориво за
биогориво забиогориво за
биогориво заMarija Malesh
 
Peranan sistem informasi manajemen dalam sekolah
Peranan sistem informasi manajemen dalam sekolahPeranan sistem informasi manajemen dalam sekolah
Peranan sistem informasi manajemen dalam sekolahfatmaseptiani
 
Input till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalysInput till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalysTranscendent Group
 
150520-Global-Cloud-Catalogue-LinkedIN
150520-Global-Cloud-Catalogue-LinkedIN150520-Global-Cloud-Catalogue-LinkedIN
150520-Global-Cloud-Catalogue-LinkedINJorge Andr Conde Ardila
 

More Related Content

What's hot

Fotohemijski procesi u Atmosferi
Fotohemijski procesi u AtmosferiFotohemijski procesi u Atmosferi
Fotohemijski procesi u Atmosferidragoljub vuksic
 
Gaya kepemimpinan
Gaya kepemimpinanGaya kepemimpinan
Gaya kepemimpinanAmir Rahman
 
Erozija zemljista ivanović, lazić, poštić
Erozija zemljista ivanović, lazić, poštićErozija zemljista ivanović, lazić, poštić
Erozija zemljista ivanović, lazić, poštićdusanjerkovic
 
Ristiriitatilanteet ja konfliktit työyhteisössä
Ristiriitatilanteet ja konfliktit työyhteisössäRistiriitatilanteet ja konfliktit työyhteisössä
Ristiriitatilanteet ja konfliktit työyhteisössäEija Kupi
 
Polarna svetlost
Polarna svetlostPolarna svetlost
Polarna svetlostSanja Bulat
 
efek minuman keras pada tubuh
efek minuman keras pada tubuhefek minuman keras pada tubuh
efek minuman keras pada tubuhRizal Nurfalah
 
Tehnologija proizvodnje papira
Tehnologija proizvodnje papiraTehnologija proizvodnje papira
Tehnologija proizvodnje papiraAna Todorovic
 
Pembelajaran konstruktivistik
Pembelajaran konstruktivistikPembelajaran konstruktivistik
Pembelajaran konstruktivistikAinun Nuril Haq
 
Solarni kolektori
Solarni kolektoriSolarni kolektori
Solarni kolektorimacen123
 
биогориво за
биогориво забиогориво за
биогориво заMarija Malesh
 
Peranan sistem informasi manajemen dalam sekolah
Peranan sistem informasi manajemen dalam sekolahPeranan sistem informasi manajemen dalam sekolah
Peranan sistem informasi manajemen dalam sekolahfatmaseptiani
 

What's hot (20)

System thinking
System thinkingSystem thinking
System thinking
 
Fotohemijski procesi u Atmosferi
Fotohemijski procesi u AtmosferiFotohemijski procesi u Atmosferi
Fotohemijski procesi u Atmosferi
 
Gaya kepemimpinan
Gaya kepemimpinanGaya kepemimpinan
Gaya kepemimpinan
 
Manajemen organisasi full
Manajemen organisasi fullManajemen organisasi full
Manajemen organisasi full
 
Zakletve
ZakletveZakletve
Zakletve
 
Elektronski portfolio
Elektronski portfolioElektronski portfolio
Elektronski portfolio
 
Erozija zemljista ivanović, lazić, poštić
Erozija zemljista ivanović, lazić, poštićErozija zemljista ivanović, lazić, poštić
Erozija zemljista ivanović, lazić, poštić
 
Psihologija тт
Psihologija ттPsihologija тт
Psihologija тт
 
Ventilējamas fasādes apakškonstrukciju pārskats
Ventilējamas fasādes apakškonstrukciju pārskats Ventilējamas fasādes apakškonstrukciju pārskats
Ventilējamas fasādes apakškonstrukciju pārskats
 
Ristiriitatilanteet ja konfliktit työyhteisössä
Ristiriitatilanteet ja konfliktit työyhteisössäRistiriitatilanteet ja konfliktit työyhteisössä
Ristiriitatilanteet ja konfliktit työyhteisössä
 
Polarna svetlost
Polarna svetlostPolarna svetlost
Polarna svetlost
 
efek minuman keras pada tubuh
efek minuman keras pada tubuhefek minuman keras pada tubuh
efek minuman keras pada tubuh
 
Tehnologija proizvodnje papira
Tehnologija proizvodnje papiraTehnologija proizvodnje papira
Tehnologija proizvodnje papira
 
Manajemen stres
Manajemen stresManajemen stres
Manajemen stres
 
Pembelajaran konstruktivistik
Pembelajaran konstruktivistikPembelajaran konstruktivistik
Pembelajaran konstruktivistik
 
Solarni kolektori
Solarni kolektoriSolarni kolektori
Solarni kolektori
 
ys-aika vesot tesot 2022.pdf
ys-aika vesot tesot 2022.pdfys-aika vesot tesot 2022.pdf
ys-aika vesot tesot 2022.pdf
 
RISET DALAM PSIKOLOGI INDUSTRI
RISET DALAM PSIKOLOGI INDUSTRIRISET DALAM PSIKOLOGI INDUSTRI
RISET DALAM PSIKOLOGI INDUSTRI
 
биогориво за
биогориво забиогориво за
биогориво за
 
Peranan sistem informasi manajemen dalam sekolah
Peranan sistem informasi manajemen dalam sekolahPeranan sistem informasi manajemen dalam sekolah
Peranan sistem informasi manajemen dalam sekolah
 

Viewers also liked

Input till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalysInput till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalysTranscendent Group
 
Nya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningarNya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningarTranscendent Group
 
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...Transcendent Group
 
Mobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjarenMobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjarenTranscendent Group
 
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sättTa kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sättTranscendent Group
 
Cybersecurity inom bilindustrin
Cybersecurity inom bilindustrinCybersecurity inom bilindustrin
Cybersecurity inom bilindustrinTranscendent Group
 
Är kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptxÄr kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptxTranscendent Group
 
Frukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplanerFrukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplanerTranscendent Group
 
Projektstyrning i en komplex miljö
Projektstyrning i en komplex miljöProjektstyrning i en komplex miljö
Projektstyrning i en komplex miljöTranscendent Group
 
Styrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarStyrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarTranscendent Group
 
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerarHur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerarTranscendent Group
 
Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetFrukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetTranscendent Group
 
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitetUtvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitetTranscendent Group
 
Åtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringarÅtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringarTranscendent Group
 
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanFem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanTranscendent Group
 
Effectively managing operational risk
Effectively managing operational riskEffectively managing operational risk
Effectively managing operational riskTranscendent Group
 
Penningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institutPenningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institutTranscendent Group
 
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...Transcendent Group
 

Viewers also liked (20)

Input till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalysInput till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalys
 
150520-Global-Cloud-Catalogue-LinkedIN
150520-Global-Cloud-Catalogue-LinkedIN150520-Global-Cloud-Catalogue-LinkedIN
150520-Global-Cloud-Catalogue-LinkedIN
 
Nya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningarNya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningar
 
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
 
Mobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjarenMobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjaren
 
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sättTa kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
 
Cybersecurity inom bilindustrin
Cybersecurity inom bilindustrinCybersecurity inom bilindustrin
Cybersecurity inom bilindustrin
 
Är kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptxÄr kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptx
 
Frukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplanerFrukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplaner
 
Projektstyrning i en komplex miljö
Projektstyrning i en komplex miljöProjektstyrning i en komplex miljö
Projektstyrning i en komplex miljö
 
Styrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarStyrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvar
 
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerarHur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
Hur kan kvaliten förbättras på din internrevisionsaktivitet vad fungerar
 
Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetFrukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhet
 
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitetUtvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
 
Åtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringarÅtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringar
 
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanFem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
 
Effectively managing operational risk
Effectively managing operational riskEffectively managing operational risk
Effectively managing operational risk
 
Value added security services
Value added security servicesValue added security services
Value added security services
 
Penningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institutPenningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institut
 
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
 

Similar to Hur gör man en effektiv it revision av bcm

IT-styrning i Sundsvalls kommunkoncern -- IT-planering & systemförvaltning
IT-styrning i Sundsvalls kommunkoncern -- IT-planering & systemförvaltningIT-styrning i Sundsvalls kommunkoncern -- IT-planering & systemförvaltning
IT-styrning i Sundsvalls kommunkoncern -- IT-planering & systemförvaltningThomas Norlin
 
Intro Vägledning i Nyttorealisering
Intro Vägledning i NyttorealiseringIntro Vägledning i Nyttorealisering
Intro Vägledning i NyttorealiseringE-delegationen
 
"KPI-projektet", KTH verksamhetsledning
"KPI-projektet", KTH verksamhetsledning"KPI-projektet", KTH verksamhetsledning
"KPI-projektet", KTH verksamhetsledningPontus Wadström
 
Kravställning för grc systemstöd
Kravställning för grc systemstödKravställning för grc systemstöd
Kravställning för grc systemstödTranscendent Group
 
Kundfokus på riktigt låt din värdeström komma till liv - irm 28 april 2017
Kundfokus på riktigt låt din värdeström komma till liv - irm 28 april 2017Kundfokus på riktigt låt din värdeström komma till liv - irm 28 april 2017
Kundfokus på riktigt låt din värdeström komma till liv - irm 28 april 2017Jane Theobald
 
IBM BC2015 - Vägen till ett moderniserat handläggningsstöd på Försäkringskassan
IBM BC2015 - Vägen till ett moderniserat handläggningsstöd på FörsäkringskassanIBM BC2015 - Vägen till ett moderniserat handläggningsstöd på Försäkringskassan
IBM BC2015 - Vägen till ett moderniserat handläggningsstöd på FörsäkringskassanIBM Sverige
 
Frontit seminarium: "Om COBIT, PM3 eller ITIL är svaret..."- Malmö 22 oktober
Frontit seminarium: "Om COBIT, PM3 eller ITIL är svaret..."- Malmö 22 oktoberFrontit seminarium: "Om COBIT, PM3 eller ITIL är svaret..."- Malmö 22 oktober
Frontit seminarium: "Om COBIT, PM3 eller ITIL är svaret..."- Malmö 22 oktoberFrontit
 
Frontit seminarium: Om COBIT, PM3 eller ITIL är svaret - vad är då frågan?
Frontit seminarium: Om COBIT, PM3 eller ITIL är svaret - vad är då frågan? Frontit seminarium: Om COBIT, PM3 eller ITIL är svaret - vad är då frågan?
Frontit seminarium: Om COBIT, PM3 eller ITIL är svaret - vad är då frågan? Frontit
 
Bra verktyg för produktägare som vidareutvecklar scrum - André Ekespong
Bra verktyg för produktägare som vidareutvecklar scrum - André EkespongBra verktyg för produktägare som vidareutvecklar scrum - André Ekespong
Bra verktyg för produktägare som vidareutvecklar scrum - André Ekespongmanssandstrom
 
Insight Works KPI Strategi @ Berghs School of Communication
Insight Works KPI Strategi @ Berghs School of CommunicationInsight Works KPI Strategi @ Berghs School of Communication
Insight Works KPI Strategi @ Berghs School of CommunicationStockholm Insight Works AB
 
Exempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapporteringExempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapporteringTranscendent Group
 
Brm introduktion brm institute - itsm borås 2018
Brm introduktion brm institute - itsm borås 2018Brm introduktion brm institute - itsm borås 2018
Brm introduktion brm institute - itsm borås 2018Leif Andersson
 
HR i molnet - workshop HR tech 2016
HR i molnet - workshop HR tech 2016HR i molnet - workshop HR tech 2016
HR i molnet - workshop HR tech 2016Fredrik Rexhammar
 
Maintpartner - experter inom industriellt drift och underhåll
Maintpartner - experter inom industriellt drift och underhållMaintpartner - experter inom industriellt drift och underhåll
Maintpartner - experter inom industriellt drift och underhållMaintpartner Group
 
IBM BC2015 - Husqvarna - Den smarta trädgården!
IBM BC2015 - Husqvarna - Den smarta trädgården!IBM BC2015 - Husqvarna - Den smarta trädgården!
IBM BC2015 - Husqvarna - Den smarta trädgården!IBM Sverige
 
BigData med logganalys
BigData med logganalysBigData med logganalys
BigData med logganalysFindwise
 
User Story Mapping: Konsten att dela upp kravbilden på "rätt" sätt
User Story Mapping: Konsten att dela upp kravbilden på "rätt" sättUser Story Mapping: Konsten att dela upp kravbilden på "rätt" sätt
User Story Mapping: Konsten att dela upp kravbilden på "rätt" sättChristophe Achouiantz
 
Effektiv informationssökning i en komplex organisation
Effektiv informationssökning i en komplex organisationEffektiv informationssökning i en komplex organisation
Effektiv informationssökning i en komplex organisationKristian Norling
 

Similar to Hur gör man en effektiv it revision av bcm (20)

IT-styrning i Sundsvalls kommunkoncern -- IT-planering & systemförvaltning
IT-styrning i Sundsvalls kommunkoncern -- IT-planering & systemförvaltningIT-styrning i Sundsvalls kommunkoncern -- IT-planering & systemförvaltning
IT-styrning i Sundsvalls kommunkoncern -- IT-planering & systemförvaltning
 
Intro Vägledning i Nyttorealisering
Intro Vägledning i NyttorealiseringIntro Vägledning i Nyttorealisering
Intro Vägledning i Nyttorealisering
 
"KPI-projektet", KTH verksamhetsledning
"KPI-projektet", KTH verksamhetsledning"KPI-projektet", KTH verksamhetsledning
"KPI-projektet", KTH verksamhetsledning
 
Kravställning för grc systemstöd
Kravställning för grc systemstödKravställning för grc systemstöd
Kravställning för grc systemstöd
 
Kundfokus på riktigt låt din värdeström komma till liv - irm 28 april 2017
Kundfokus på riktigt låt din värdeström komma till liv - irm 28 april 2017Kundfokus på riktigt låt din värdeström komma till liv - irm 28 april 2017
Kundfokus på riktigt låt din värdeström komma till liv - irm 28 april 2017
 
IBM BC2015 - Vägen till ett moderniserat handläggningsstöd på Försäkringskassan
IBM BC2015 - Vägen till ett moderniserat handläggningsstöd på FörsäkringskassanIBM BC2015 - Vägen till ett moderniserat handläggningsstöd på Försäkringskassan
IBM BC2015 - Vägen till ett moderniserat handläggningsstöd på Försäkringskassan
 
Frontit seminarium: "Om COBIT, PM3 eller ITIL är svaret..."- Malmö 22 oktober
Frontit seminarium: "Om COBIT, PM3 eller ITIL är svaret..."- Malmö 22 oktoberFrontit seminarium: "Om COBIT, PM3 eller ITIL är svaret..."- Malmö 22 oktober
Frontit seminarium: "Om COBIT, PM3 eller ITIL är svaret..."- Malmö 22 oktober
 
Frontit seminarium: Om COBIT, PM3 eller ITIL är svaret - vad är då frågan?
Frontit seminarium: Om COBIT, PM3 eller ITIL är svaret - vad är då frågan? Frontit seminarium: Om COBIT, PM3 eller ITIL är svaret - vad är då frågan?
Frontit seminarium: Om COBIT, PM3 eller ITIL är svaret - vad är då frågan?
 
Bra verktyg för produktägare som vidareutvecklar scrum - André Ekespong
Bra verktyg för produktägare som vidareutvecklar scrum - André EkespongBra verktyg för produktägare som vidareutvecklar scrum - André Ekespong
Bra verktyg för produktägare som vidareutvecklar scrum - André Ekespong
 
Insight Works KPI Strategi @ Berghs School of Communication
Insight Works KPI Strategi @ Berghs School of CommunicationInsight Works KPI Strategi @ Berghs School of Communication
Insight Works KPI Strategi @ Berghs School of Communication
 
Exempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapporteringExempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapportering
 
Brm introduktion brm institute - itsm borås 2018
Brm introduktion brm institute - itsm borås 2018Brm introduktion brm institute - itsm borås 2018
Brm introduktion brm institute - itsm borås 2018
 
HR i molnet - workshop HR tech 2016
HR i molnet - workshop HR tech 2016HR i molnet - workshop HR tech 2016
HR i molnet - workshop HR tech 2016
 
Affecto (kort vers)
Affecto (kort vers)Affecto (kort vers)
Affecto (kort vers)
 
Maintpartner - experter inom industriellt drift och underhåll
Maintpartner - experter inom industriellt drift och underhållMaintpartner - experter inom industriellt drift och underhåll
Maintpartner - experter inom industriellt drift och underhåll
 
IBM BC2015 - Husqvarna - Den smarta trädgården!
IBM BC2015 - Husqvarna - Den smarta trädgården!IBM BC2015 - Husqvarna - Den smarta trädgården!
IBM BC2015 - Husqvarna - Den smarta trädgården!
 
BigData med logganalys
BigData med logganalysBigData med logganalys
BigData med logganalys
 
Medytekk AB
Medytekk ABMedytekk AB
Medytekk AB
 
User Story Mapping: Konsten att dela upp kravbilden på "rätt" sätt
User Story Mapping: Konsten att dela upp kravbilden på "rätt" sättUser Story Mapping: Konsten att dela upp kravbilden på "rätt" sätt
User Story Mapping: Konsten att dela upp kravbilden på "rätt" sätt
 
Effektiv informationssökning i en komplex organisation
Effektiv informationssökning i en komplex organisationEffektiv informationssökning i en komplex organisation
Effektiv informationssökning i en komplex organisation
 

More from Transcendent Group

Penetration testing as an internal audit activity
Penetration testing as an internal audit activityPenetration testing as an internal audit activity
Penetration testing as an internal audit activityTranscendent Group
 
Frukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighetFrukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighetTranscendent Group
 
Sensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighetSensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighetTranscendent Group
 
Next generation access controls
Next generation access controlsNext generation access controls
Next generation access controlsTranscendent Group
 
Star strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrningStar strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrningTranscendent Group
 
Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Transcendent Group
 
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigareVarför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigareTranscendent Group
 
Hur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshanteringHur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshanteringTranscendent Group
 
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnadGrc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnadTranscendent Group
 
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerDen anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerTranscendent Group
 
Vem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerierVem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerierTranscendent Group
 
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenVad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenTranscendent Group
 
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagSträngare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagTranscendent Group
 
Solvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the riskSolvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the riskTranscendent Group
 
Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Transcendent Group
 
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Transcendent Group
 
Måling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhetMåling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhetTranscendent Group
 
Förberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementeringFörberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementeringTranscendent Group
 

More from Transcendent Group (20)

Penetration testing as an internal audit activity
Penetration testing as an internal audit activityPenetration testing as an internal audit activity
Penetration testing as an internal audit activity
 
Frukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighetFrukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighet
 
Sensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighetSensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighet
 
Next generation access controls
Next generation access controlsNext generation access controls
Next generation access controls
 
Star strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrningStar strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrning
 
Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...
 
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigareVarför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
 
Hur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshanteringHur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshantering
 
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnadGrc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
 
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerDen anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
 
Vem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerierVem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerier
 
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenVad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagen
 
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagSträngare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
 
Solvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the riskSolvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the risk
 
How we got domain admin
How we got domain adminHow we got domain admin
How we got domain admin
 
Finansiering av terrorism
Finansiering av terrorismFinansiering av terrorism
Finansiering av terrorism
 
Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145Erfarenhet från granskning av tredje parter utifrån fffs 20145
Erfarenhet från granskning av tredje parter utifrån fffs 20145
 
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?
 
Måling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhetMåling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhet
 
Förberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementeringFörberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementering
 

Hur gör man en effektiv it revision av bcm

  • 1. IT-revisorns angreppsätt till BCM Daniel Gräntz 20 maj, GRC 2015
  • 2. Agenda • Revision av BCM • IT:s del i kontinuitetshantering ©TranscendentGroupSverigeAB2015
  • 3. Om mig • partner på Transcendent Group • tjänsteområdesansvarig IT- revision • 14 års arbetslivserfarenhet som IT-revisor och rådgivare ©TranscendentGroupSverigeAB2015
  • 6. Inriktning och omfattning • Vilka väsentliga risker skall vår revision adressera? • Vad är det jag som revisor skall uttala mig om när det gäller kontinuitetshantering? • Vilken kompetens behövs för att kunna utföra en granskning av kontinuitetshantering? • Hur lång tid tar det att genomföra en granskning av kontinuitetshantering? ©TranscendentGroupSverigeAB2015
  • 7. Uppslag till granskning ©TranscendentGroupSverigeAB2015 Efterlevnad av BCP- policy Analys Design Genomförande Projektgranskning Granskning av en kontinuitetsplan
  • 8. Uppslag till granskning ©TranscendentGroupSverigeAB2015 Planering Utföra Analays Granskning av datacenter Granskning av utförda tester Granskning av kontrakterad tredje part
  • 9. Teknikutveckling… • Virtualisering av servrar och klienter (kraftfull serverhårdvara och mjukvara) • Molnbaserade tjänster (tillhandahållandet av IT-tjänster över Internet • BYOD (smarta telefoner) • Sociala medier • Big Data ©TranscendentGroupSverigeAB2015
  • 12. Definition kontinuitetsplanering • Kontinuitetsplanering är en metod för att säkerställa företagets leveransförmåga genom att planera för fortsatt verksamhet vid förlust av operativ förmåga. Det vill säga att trots avbrott kunna leverera de tjänster och produkter som är viktigast för företaget och dess kunder. • Enligt ISO/IEC 27000 standardens definition av begreppet kontinuitetsplanering så är det företagets verksamhet i kontinuitet som ska säkerställas. En kontinuitetsplan innefattar således mer än en kontinuitetsplan för företagets IT-verksamhet. • Det övergripande målet med kontinuitetshantering är att minska konsekvenserna av avbrott och avbrottstiderna där målsättningen i förlängningen är att skydda organisationens intressenter, rykte, varumärke och värdeskapande aktiviteter. ©TranscendentGroupSverigeAB2015
  • 14. Analys av affärs- konsekvenser Test av plan Val av strategi och lösning Kritiska processer, tjänster och funktioner Kontinuitetshantering ©TranscendentGroupSverigeAB2015 BCM Upprätta planer Utbildning och underhåll
  • 15. ©TranscendentGroupSverigeAB2015 Act Granskning av ledning Förbättring Krav från verksamheten Identifiera gap Data IT beredskaps och återställnings- plan Mätning av prestanda Förståelse för kritiska IT- tjänster och IT- kontinuitetskrav IT kontinuitets policy/styr- dokument Konsekvens- analys Leverantörer Kriterier för uppföljning av IT beredskap Lokaler Krav på resiliens Förmåga och kunskap Teknik Kultur, Kompetens och utbildnings- program Dokument- kontroll IT kontinuitets- process Implementering IT strategier Test och övning Intern och extern revision och granskning Bevakning, upptäckt och analys av hotbild Skapa IT kontinuitets- strategi IT kontinuitetsplan sammanställning, underhåll och implementation Uppföljning och utvärdering Löpande Årlig uppföljning Plan Do Check ISO27031
  • 16. Kontinuitetskomponenter Kontinuitetssteg Konsekvensanalys och riskbedömning Processer Människor Lokaler IT & Infra- struktur Strategi Kontinuitetsplan Test och övningar Medvetenhet och kultur Underhåll och hantering Kontinuitetsramverk IT leverans Önskat resultat IT hantering och återställning IT risk- reducering och kontroll Robusthet ISO27031:2011
  • 17. Hur kommer då IT in i bilden? ©TranscendentGroupSverigeAB2015
  • 18. Utgångspunkt • Organisationens affärs- och verksamhetsmål • Identifiera affärskritiska processer (och infrastruktur) som stöder våra mål • Bryter ned kritiska processer i kritiska aktiviteter • Identifierar interna och externa resurser som behövs för att utföra aktiviteter (ex. personal, lokal, IT-system, leverantörer). ©TranscendentGroupSverigeAB2014
  • 19. • Definiera maximala tillåtna avbrottstiden för kritiska aktiviteter och effekten av dessa • Definiera mål för återställningstid som ställs på respektive resurs. • Definiera krav för tillgänglighet av data för att medge funktionalitet i den kritiska aktiviteten ©TranscendentGroupSverigeAB2014 Kravställning RECOVERY TIME OF OBJECTIVEC RECOVERY POINT OF OBJECTIVECC Inventera de resurser som identifierats av verksamheten och som har en direkt koppling till IT-verksamheten Ingångsvärde för IT
  • 20. Kontinuitetshantering ©TranscendentGroupSverigeAB2015 Produktion Ordermottagning Utplock lager - TO LogistikGodsmottagning Reklamation Process IT-system Fabrik Personal Leverantörer Fabrik IT- infrastruktur Personal ElLeverantörerDatahall Aktivitet Resurs IT-resurs BIA MTPD RPO RTO Riskanalys Konsekvensbedömning Tillgänglighetskrav
  • 21. Erfarenheter från granskningar Fokus på IT • Informationsflöden och beroenden är oftast bristfälligt dokumenterade (input – bearbetning – output) • Befintligt IT-miljö är ej dokumenterad (IT-infrastruktur, datahallar, nätverk, telekom) – kan medföra svårigheter i att identifiera IT-resurser • Affärskonsekvensanalyser är begränsade i sin omfattning • Genomförda affärskonsekvensanalyser (BIA) kopplas ej till krav avseende RPO och RTO. BIA kan utgöra grund för kravställandet av servicenivåer (SLA) för resurser. • Konsekvensanalyser och riskbedömningar för IT-resurser är bristfälligt dokumenterade och ofta begränsade till applikationer. IT-resurser kan grupperas utifrån lokaler, leverantör, teknik, personal och kompetens* ©TranscendentGroupSverigeAB2015 * ISO 27031
  • 22. Erfarenheter från granskningar Fokus på IT • IT-resurser är ej tydligt kopplade till affärskritiska processer, aktiviteter och resurser. • Kontinuitetstrategier bör utgå från identifierade kritiska IT-resurser och bör vara grupperade (ta del av eventuell tjänstekatalog inom IT) • Outsourcing kan vara ett alternativ för att lösa krav på tillgänglighet (eg. maximala avbrottstider) och då blir upprättat avtal väsentligt. • IT bör ta fram reserv-, återställnings- och återgångsrutiner för kritiska IT-resurser • Scenarioanalyser för att upprätthålla IT-kontinuitet av kritiska resurser kan vara ett effektivt arbetssätt ©TranscendentGroupSverigeAB2015 * ISO 27031
  • 23. Kontinuitetsplan (BCP) Återställa verksamheten • Syfte, mål, omfattning och målgrupp • Referenser (ex. BCP Policy, verksamhetsplaner, affärskonsekvensanalyser) • Förutsättningar för aktivering och inaktivering av plan • Roller och ansvarsområden (kommunikation med media, aktivering av plan) • Kontaktuppgifter • Fysiska lokaler och alternativa arbetsplatser • Maximala avbrottstider per aktivitet (RTO) • Reservrutiner per aktivitet (infrastruktur, system, personal, information) ©TranscendentGroupSverigeAB2015
  • 24. Kontinuitetsplan (DRP) Plan för att återställa IT-infrastruktur • Syfte, mål, omfattning och målgrupp • Referenser (ex. BCP, Policy mm.) • Beskrivning av IT-miljön (IT-infrastruktur, datahallar, nätverk, telekom) • Identifierade IT-resurser för verksamhetskritiska processer och aktiviteter (ex. teknik, personal, lokal, leverantör) • Roller och ansvarsområden (kommunikation med media, aktivering av plan) • Reserv-, återställnings- och återgångsrutiner för kritiska IT- resurser • Kontaktuppgifter ©TranscendentGroupSverigeAB2015
  • 25. DRP Återställningsplaner för • Nätverk (WAN, LAN) • Telefoni • Personal • Hårdvara (inkl. avtal med leverantör) • Säkerhetskopiering (frekvens, lagring, återläsning) • Plattform och operativsystem • Databaser • Applikationer • Datahall och reservarbetsplatser • CMDB (konfiguration och dokumentation) • Help desk • Utvecklingsverktyg • Skrivare ©TranscendentGroupSverigeAB2015
  • 26. Standarder • Förordningen (2006:942) om krisberedskap och höjd beredskap • SS-EN ISO 22300:2014 Samhällsäkerhet - Terminologi (ISO 22300:2012) • SS-EN ISO 22301:2014 Samhällssäkerhet - Ledningssystem för kontinuitet – Krav • SS 22304:2014 Samhällssäkerhet Ledningssystem för kontinuitet Vägledning till SS-EN ISO 22301 • SS-EN ISO 22313:2014 Samhällssäkerhet - Ledningssystem för kontinuitet - Riktlinjer (ISO 22313:2012) • ISO/TDS 22317 Societal security -- Business continuity management systems -- Business impact analysis (BIA) • SS-ISO 22398:2013 Samhällssäkerhet - Vägledning för övningar (ISO 22398:2013, IDT) • SS-ISO 22397:2014 Samhällssäkerhet - Vägledning för att upprätta privat-offentlig samverkan (ISO 22397:2014, IDT) • ISO 27031 – Guidelines for information and communication technology readiness for business continuity • Finansinspektionen FFFS 2014:4 • EBA: GL 44 • BITS • COSO • ITIL ©TranscendentGroupSverigeAB2015