Soumettre la recherche
Mettre en ligne
Erfarenhet från granskning av tredje parter utifrån fffs 20145
•
0 j'aime
•
507 vues
Transcendent Group
Suivre
Presentation från GRC 2016 den 19 maj. Kontakta gärna talaren om du har några frågor.
Lire moins
Lire la suite
Économie & finance
Signaler
Partager
Signaler
Partager
1 sur 18
Télécharger maintenant
Télécharger pour lire hors ligne
Recommandé
Exempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapportering
Transcendent Group
Kravställning för grc systemstöd
Kravställning för grc systemstöd
Transcendent Group
Input till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalys
Transcendent Group
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Transcendent Group
Hur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcm
Transcendent Group
Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...
Transcendent Group
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Transcendent Group
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Transcendent Group
Recommandé
Exempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapportering
Transcendent Group
Kravställning för grc systemstöd
Kravställning för grc systemstöd
Transcendent Group
Input till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalys
Transcendent Group
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Transcendent Group
Hur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcm
Transcendent Group
Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...
Transcendent Group
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Transcendent Group
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Transcendent Group
Förberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementering
Transcendent Group
Mobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjaren
Transcendent Group
GRC börjar med governance
GRC börjar med governance
Transcendent Group
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Transcendent Group
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagen
Transcendent Group
Cybersecurity inom bilindustrin
Cybersecurity inom bilindustrin
Transcendent Group
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Transcendent Group
Intern styrning och kontroll - lärdomar från FI
Intern styrning och kontroll - lärdomar från FI
Transcendent Group
Hantering av personuppgifter kommande regelförändringar
Hantering av personuppgifter kommande regelförändringar
Transcendent Group
Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhet
Transcendent Group
Ledning, kultur och riskhantering
Ledning, kultur och riskhantering
Transcendent Group
Tredjepartsintyg som en del i affärsstrategin
Tredjepartsintyg som en del i affärsstrategin
Transcendent Group
Styrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvar
Transcendent Group
Riskhantering
Riskhantering
Nils Thulin
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?
Transcendent Group
Ny översättning av COSO
Ny översättning av COSO
Transcendent Group
Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07
Transcendent Group
Frukostseminarium COSO
Frukostseminarium COSO
Transcendent Group
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Transcendent Group
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Transcendent Group
Är kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptx
Transcendent Group
Måling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhet
Transcendent Group
Contenu connexe
Tendances
Förberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementering
Transcendent Group
Mobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjaren
Transcendent Group
GRC börjar med governance
GRC börjar med governance
Transcendent Group
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Transcendent Group
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagen
Transcendent Group
Cybersecurity inom bilindustrin
Cybersecurity inom bilindustrin
Transcendent Group
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Transcendent Group
Intern styrning och kontroll - lärdomar från FI
Intern styrning och kontroll - lärdomar från FI
Transcendent Group
Hantering av personuppgifter kommande regelförändringar
Hantering av personuppgifter kommande regelförändringar
Transcendent Group
Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhet
Transcendent Group
Ledning, kultur och riskhantering
Ledning, kultur och riskhantering
Transcendent Group
Tredjepartsintyg som en del i affärsstrategin
Tredjepartsintyg som en del i affärsstrategin
Transcendent Group
Styrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvar
Transcendent Group
Riskhantering
Riskhantering
Nils Thulin
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?
Transcendent Group
Ny översättning av COSO
Ny översättning av COSO
Transcendent Group
Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07
Transcendent Group
Frukostseminarium COSO
Frukostseminarium COSO
Transcendent Group
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Transcendent Group
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Transcendent Group
Tendances
(20)
Förberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementering
Mobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjaren
GRC börjar med governance
GRC börjar med governance
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagen
Cybersecurity inom bilindustrin
Cybersecurity inom bilindustrin
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Intern styrning och kontroll - lärdomar från FI
Intern styrning och kontroll - lärdomar från FI
Hantering av personuppgifter kommande regelförändringar
Hantering av personuppgifter kommande regelförändringar
Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhet
Ledning, kultur och riskhantering
Ledning, kultur och riskhantering
Tredjepartsintyg som en del i affärsstrategin
Tredjepartsintyg som en del i affärsstrategin
Styrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvar
Riskhantering
Riskhantering
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?
Ny översättning av COSO
Ny översättning av COSO
Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07
Frukostseminarium COSO
Frukostseminarium COSO
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
En vedette
Är kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptx
Transcendent Group
Måling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhet
Transcendent Group
Penetration testing as an internal audit activity
Penetration testing as an internal audit activity
Transcendent Group
Integrated GRC
Integrated GRC
Transcendent Group
CRO:n mitt i GRC
CRO:n mitt i GRC
Transcendent Group
Forrester GRC Q1 2016 Report
Forrester GRC Q1 2016 Report
Daryl Resnick
Nya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningar
Transcendent Group
Dataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRC
Transcendent Group
Frukostseminarium om molntjänster
Frukostseminarium om molntjänster
Transcendent Group
Next generation access controls
Next generation access controls
Transcendent Group
Frukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplaner
Transcendent Group
Finansiering av terrorism
Finansiering av terrorism
Transcendent Group
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Transcendent Group
Value added security services
Value added security services
Transcendent Group
Penningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institut
Transcendent Group
Hur skyddar vi oss mot oegentligheter?
Hur skyddar vi oss mot oegentligheter?
Transcendent Group
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
Transcendent Group
En vedette
(17)
Är kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptx
Måling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhet
Penetration testing as an internal audit activity
Penetration testing as an internal audit activity
Integrated GRC
Integrated GRC
CRO:n mitt i GRC
CRO:n mitt i GRC
Forrester GRC Q1 2016 Report
Forrester GRC Q1 2016 Report
Nya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningar
Dataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRC
Frukostseminarium om molntjänster
Frukostseminarium om molntjänster
Next generation access controls
Next generation access controls
Frukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplaner
Finansiering av terrorism
Finansiering av terrorism
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Value added security services
Value added security services
Penningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institut
Hur skyddar vi oss mot oegentligheter?
Hur skyddar vi oss mot oegentligheter?
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
Similaire à Erfarenhet från granskning av tredje parter utifrån fffs 20145
IT-revision för nybörjare
IT-revision för nybörjare
Transcendent Group
Drift av affärssystem (ERP)
Drift av affärssystem (ERP)
Idenet
Eilerth Sjölund, Goodtech och Ola Wallinder, Affecto BC14
Eilerth Sjölund, Goodtech och Ola Wallinder, Affecto BC14
IBM Sverige
Så förbättrar du din företagswebbplats
Så förbättrar du din företagswebbplats
Comprend
Rammeverk: ISO20252 - ett stöd i SCBs kvalitetsarbete
Rammeverk: ISO20252 - ett stöd i SCBs kvalitetsarbete
Nordisk statistikermøte 2013
Logganalys med Elastic & Findwise
Logganalys med Elastic & Findwise
Findwise
20150910 controllern som förädnringsagent hypergene användarträff pontus ...
20150910 controllern som förädnringsagent hypergene användarträff pontus ...
Pontus Wadström
Seminarie göteborg: GDPR i praktiken
Seminarie göteborg: GDPR i praktiken
Acando Sweden
Verksamhetsnytta med Office365
Verksamhetsnytta med Office365
Frontit
Agila kontrakt 0611
Agila kontrakt 0611
Knowit_TM
Intro Vägledning i Nyttorealisering
Intro Vägledning i Nyttorealisering
E-delegationen
Tillgänglighet i interna it system på försäkringskassan
Tillgänglighet i interna it system på försäkringskassan
Erik Borälv
Öppna data - nytta och utmaningar för verksamheten
Öppna data - nytta och utmaningar för verksamheten
Magnus Kolsjö
Hållbara inköp verktygslåda 2011
Hållbara inköp verktygslåda 2011
CSR Västsverige
Företagspresentation merico 140103
Företagspresentation merico 140103
Henrik Smedberg
Insight Works KPI Strategi @ Berghs School of Communication
Insight Works KPI Strategi @ Berghs School of Communication
Stockholm Insight Works AB
Totalentreprenader med driftsansvar - Magnus Alfredsson och Greta Jodal, NCC.
Totalentreprenader med driftsansvar - Magnus Alfredsson och Greta Jodal, NCC.
Svenska Betongföreningen
Trafikverkets satsning på att få mer för pengarna och intressanta väg- och ...
Trafikverkets satsning på att få mer för pengarna och intressanta väg- och ...
Sveriges Byggindustrier
Liten men smart - SecMaker - Hägvall & Sjöman på Content Marketing Day wednes...
Liten men smart - SecMaker - Hägvall & Sjöman på Content Marketing Day wednes...
Crescando
Detta är Strikersoft
Detta är Strikersoft
Strikersoft
Similaire à Erfarenhet från granskning av tredje parter utifrån fffs 20145
(20)
IT-revision för nybörjare
IT-revision för nybörjare
Drift av affärssystem (ERP)
Drift av affärssystem (ERP)
Eilerth Sjölund, Goodtech och Ola Wallinder, Affecto BC14
Eilerth Sjölund, Goodtech och Ola Wallinder, Affecto BC14
Så förbättrar du din företagswebbplats
Så förbättrar du din företagswebbplats
Rammeverk: ISO20252 - ett stöd i SCBs kvalitetsarbete
Rammeverk: ISO20252 - ett stöd i SCBs kvalitetsarbete
Logganalys med Elastic & Findwise
Logganalys med Elastic & Findwise
20150910 controllern som förädnringsagent hypergene användarträff pontus ...
20150910 controllern som förädnringsagent hypergene användarträff pontus ...
Seminarie göteborg: GDPR i praktiken
Seminarie göteborg: GDPR i praktiken
Verksamhetsnytta med Office365
Verksamhetsnytta med Office365
Agila kontrakt 0611
Agila kontrakt 0611
Intro Vägledning i Nyttorealisering
Intro Vägledning i Nyttorealisering
Tillgänglighet i interna it system på försäkringskassan
Tillgänglighet i interna it system på försäkringskassan
Öppna data - nytta och utmaningar för verksamheten
Öppna data - nytta och utmaningar för verksamheten
Hållbara inköp verktygslåda 2011
Hållbara inköp verktygslåda 2011
Företagspresentation merico 140103
Företagspresentation merico 140103
Insight Works KPI Strategi @ Berghs School of Communication
Insight Works KPI Strategi @ Berghs School of Communication
Totalentreprenader med driftsansvar - Magnus Alfredsson och Greta Jodal, NCC.
Totalentreprenader med driftsansvar - Magnus Alfredsson och Greta Jodal, NCC.
Trafikverkets satsning på att få mer för pengarna och intressanta väg- och ...
Trafikverkets satsning på att få mer för pengarna och intressanta väg- och ...
Liten men smart - SecMaker - Hägvall & Sjöman på Content Marketing Day wednes...
Liten men smart - SecMaker - Hägvall & Sjöman på Content Marketing Day wednes...
Detta är Strikersoft
Detta är Strikersoft
Plus de Transcendent Group
Frukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighet
Transcendent Group
Sensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighet
Transcendent Group
Star strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrning
Transcendent Group
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Transcendent Group
Hur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshantering
Transcendent Group
Vem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerier
Transcendent Group
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Transcendent Group
Solvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the risk
Transcendent Group
How we got domain admin
How we got domain admin
Transcendent Group
Effectively managing operational risk
Effectively managing operational risk
Transcendent Group
Åtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringar
Transcendent Group
Plus de Transcendent Group
(11)
Frukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighet
Sensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighet
Star strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrning
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Hur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshantering
Vem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerier
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Solvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the risk
How we got domain admin
How we got domain admin
Effectively managing operational risk
Effectively managing operational risk
Åtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringar
Erfarenhet från granskning av tredje parter utifrån fffs 20145
1.
Erfarenheter från granskning av
tredje parter utifrån FFFS 2014:5 Daniel Gräntz och Jonas Edberg GRC 2016, 19 maj
2.
Agenda • utmaningar • FFFS
2014:5 • erfarenheter från granskning av tredje parter ©TranscendentGroupSverigeAB2016 2
3.
Presentation av oss Daniel
Gräntz • Tjänsteområdesansvarig IT-revision • 15 års arbetslivserfarenhet som IT-revisor och rådgivare • Delägare Transcendent Group Jonas Edberg • Informationssäkerhetsspecialist • 6 års arbetslivserfarenhet som IT-revisor och rådgivare • CISA, CISM, CRISC ©TranscendentGroupSverigeAB2016
4.
Principerna för informationssäkerhet •
Konfidentialitet: information ska inte göras tillgänglig eller avslöjas för obehöriga • Riktighet: informationen ska inte förändras av misstag • Tillgänglighet: information ska kunna användas i förväntad utsträckning och inom önskad tid • Spårbarhet: möjlighet att entydigt kunna härleda utförda aktiviteter till personer och/eller systemfunktioner Informations -säkerhet Konfiden- tialitet Spårbarhet Riktighet Tillgäng- lighet ©TranscendentGroupSverigeAB2016
5.
Utmaningar ©TranscendentGroupSverigeAB2016
6.
Drivfaktorer kring kravställning ©TranscendentGroupSverigeAB2016 Kundspecifika krav Risk-
och sårbarhets- analys Regulatoriska krav Verksamhetens krav Leverantör Informations- inventering Betryggande riskhantering
7.
Aktörer och intressenter Strategiska forum Informations- säkerhetschef Avtalsägare Taktiska forum Under- leverantörer Extern- revision Intern- revision Operativa foum Tillsyns- myndighter Informations- ägare Risk Compliance Styrelse
och ledning Certifierings- organ Revisions- utskott CIO Kunder COO IT-chef IT-säkerhets- chef ©TranscendentGroupSverigeAB2016 Legal
8.
FFFS 2014:5 ©TranscendentGroupSverigeAB2016
9.
Finansinspektionens föreskrifter • FFFS
2014:5 specificerar kraven gällande informationssäkerhet, IT-verksamhet och insättningssystem. • Kraven bygger till stor del på standarderna ISO27000, ISO31000 och COBIT. policy kapitel 2: informationssäkerhet riktlinje kapitel 3: IT-verksamhet instruktion kapitel 4: insättningssystem ©TranscendentGroupSverigeAB2016
10.
Kapitel 2: informationssäkerhet Kraven
inkluderar: • ledningssystem för informationssäkerhet (LIS) • mål och inriktning för arbetet med informations- säkerhet • roller och ansvar för informationssäkerhet • informationsklassificering • årlig riskanalys kring företagets informationssäkerhet • interna regler för arbetet med informationssäkerhet: allmänna råd, behörigheter lyfts fram explicit. ©TranscendentGroupSverigeAB2016
11.
Kapitel 3, IT-verksamhet Kraven
inkluderar: • IT-system säkras baserat på informationsklassning och riskanalys • dokumenterade mål och strategier för IT-verksamhet • dokumenterade processer för förvaltning av IT-systemen • dokumentation över alla IT-system som är av betydelse för verksamheten ©TranscendentGroupSverigeAB2016
12.
Erfarenheter från granskning ©TranscendentGroupSverigeAB2016
13.
©TranscendentGroupSverigeAB2016 ”Beslut om nivån
och inriktningen på riskerna är inte lämpliga att placera på ett annat bolagsorgan än företagets styrelse” Finansinspektionen
14.
Erfarenheter från granskning •
Låg mognadsnivå kring informationssäkerhet internt och hos leverantörer • Bristande utförd due diligence som ej beaktar informations- och IT-säkerhet innan avtal upprättas med tredje part • Avtal som upprättas med tredje part saknar helt eller delvis tydliga informationssäkerhetskrav • Avtal med tydliga separata bilagor ger förutsättningar för uppföljning och förbättringsarbete • Alla leverantörer som tillhandahåller finansiella tjänster har inte en organisation och kompetens för att hantera regulatoriska krav • Kunder skapar inte förutsättningar för att proaktiva följa upp leverantörens efterlevnad av avtalade krav ©TranscendentGroupSverigeAB2016
15.
Erfarenheter från granskning •
Uppföljning av krav utöver vad som definierats i SLA utförs på olika sätt och är i förekommande fall bristfälligt • Avsaknad av klausul i avtal om revisionsrätt • Avsaknad av upprättat ramverk för utvärdering av leverantörer gällande efterlevnad av informationssäkerhetskrav (revisionsplan) • Säkerställ att det finns en utsedd motpart hos leverantören som ansvarar för IT- och informationssäkerhet • Kravställ att leverantör genomför en gap-analys som utreder i vilken omfattning informationssäkerhetskrav efterlevs • Definiera rapporter och mätetal som leverantör skall upprätta och regelbundet leverera återkoppling kring ©TranscendentGroupSverigeAB2016
16.
Erfarenheter från granskning •
Säkerställ att leverantörens ramverk för informations- klassificering är i linje med de krav som vi som kund har • Forum för samverkan mellan CISO, risk, compliance och internrevision är inte tydligt och effektivt • Brister i hur kund och leverantör strukturerar arbetet kring utförande och uppföljning av riskanalyser för informationssäkerhet • Leverantörer har informella processer, rutiner och kontroller kring informationssäkerhet ©TranscendentGroupSverigeAB2016
17.
Erfarenheter från granskning •
Definiera kriterier för vad som är acceptabelt och icke- acceptabelt i leverans och uppföljning av leverantörs åtagande (exempelvis COBIT-skala) • Säkerställ att det finns etablerade forum och former för återkoppling och uppföljning av leverantör • Kravställ och ta del av utförda granskningar och revisioner som leverantörer utför. • Ta del av åtgärdsplaner och följ löpande upp status ©TranscendentGroupSverigeAB2016
18.
www.transcendentgroup.com
Télécharger maintenant