SlideShare une entreprise Scribd logo

Erfarenhet från granskning av tredje parter utifrån fffs 20145

Transcendent Group
Transcendent Group

Presentation från GRC 2016 den 19 maj. Kontakta gärna talaren om du har några frågor.

Économie & finance
1  sur  18
Télécharger pour lire hors ligne
Erfarenheter från granskning av tredje parter utifrån FFFS 2014:5 Daniel Gräntz och Jonas Edberg GRC 2016, 19 maj
Agenda • utmaningar • FFFS 2014:5 • erfarenheter från granskning av tredje parter ©TranscendentGroupSverigeAB2016 2
Presentation av oss Daniel Gräntz • Tjänsteområdesansvarig IT-revision • 15 års arbetslivserfarenhet som IT-revisor och rådgivare • Delägare Transcendent Group Jonas Edberg • Informationssäkerhetsspecialist • 6 års arbetslivserfarenhet som IT-revisor och rådgivare • CISA, CISM, CRISC ©TranscendentGroupSverigeAB2016
Principerna för informationssäkerhet • Konfidentialitet: information ska inte göras tillgänglig eller avslöjas för obehöriga • Riktighet: informationen ska inte förändras av misstag • Tillgänglighet: information ska kunna användas i förväntad utsträckning och inom önskad tid • Spårbarhet: möjlighet att entydigt kunna härleda utförda aktiviteter till personer och/eller systemfunktioner Informations -säkerhet Konfiden- tialitet Spårbarhet Riktighet Tillgäng- lighet ©TranscendentGroupSverigeAB2016
Utmaningar ©TranscendentGroupSverigeAB2016
Drivfaktorer kring kravställning ©TranscendentGroupSverigeAB2016 Kundspecifika krav Risk- och sårbarhets- analys Regulatoriska krav Verksamhetens krav Leverantör Informations- inventering Betryggande riskhantering
Aktörer och intressenter Strategiska forum Informations- säkerhetschef Avtalsägare Taktiska forum Under- leverantörer Extern- revision Intern- revision Operativa foum Tillsyns- myndighter Informations- ägare Risk Compliance Styrelse och ledning Certifierings- organ Revisions- utskott CIO Kunder COO IT-chef IT-säkerhets- chef ©TranscendentGroupSverigeAB2016 Legal
FFFS 2014:5 ©TranscendentGroupSverigeAB2016
Finansinspektionens föreskrifter • FFFS 2014:5 specificerar kraven gällande informationssäkerhet, IT-verksamhet och insättningssystem. • Kraven bygger till stor del på standarderna ISO27000, ISO31000 och COBIT. policy kapitel 2: informationssäkerhet riktlinje kapitel 3: IT-verksamhet instruktion kapitel 4: insättningssystem ©TranscendentGroupSverigeAB2016
Kapitel 2: informationssäkerhet Kraven inkluderar: • ledningssystem för informationssäkerhet (LIS) • mål och inriktning för arbetet med informations- säkerhet • roller och ansvar för informationssäkerhet • informationsklassificering • årlig riskanalys kring företagets informationssäkerhet • interna regler för arbetet med informationssäkerhet: allmänna råd, behörigheter lyfts fram explicit. ©TranscendentGroupSverigeAB2016
Kapitel 3, IT-verksamhet Kraven inkluderar: • IT-system säkras baserat på informationsklassning och riskanalys • dokumenterade mål och strategier för IT-verksamhet • dokumenterade processer för förvaltning av IT-systemen • dokumentation över alla IT-system som är av betydelse för verksamheten ©TranscendentGroupSverigeAB2016
Erfarenheter från granskning ©TranscendentGroupSverigeAB2016
©TranscendentGroupSverigeAB2016 ”Beslut om nivån och inriktningen på riskerna är inte lämpliga att placera på ett annat bolagsorgan än företagets styrelse” Finansinspektionen
Erfarenheter från granskning • Låg mognadsnivå kring informationssäkerhet internt och hos leverantörer • Bristande utförd due diligence som ej beaktar informations- och IT-säkerhet innan avtal upprättas med tredje part • Avtal som upprättas med tredje part saknar helt eller delvis tydliga informationssäkerhetskrav • Avtal med tydliga separata bilagor ger förutsättningar för uppföljning och förbättringsarbete • Alla leverantörer som tillhandahåller finansiella tjänster har inte en organisation och kompetens för att hantera regulatoriska krav • Kunder skapar inte förutsättningar för att proaktiva följa upp leverantörens efterlevnad av avtalade krav ©TranscendentGroupSverigeAB2016
Erfarenheter från granskning • Uppföljning av krav utöver vad som definierats i SLA utförs på olika sätt och är i förekommande fall bristfälligt • Avsaknad av klausul i avtal om revisionsrätt • Avsaknad av upprättat ramverk för utvärdering av leverantörer gällande efterlevnad av informationssäkerhetskrav (revisionsplan) • Säkerställ att det finns en utsedd motpart hos leverantören som ansvarar för IT- och informationssäkerhet • Kravställ att leverantör genomför en gap-analys som utreder i vilken omfattning informationssäkerhetskrav efterlevs • Definiera rapporter och mätetal som leverantör skall upprätta och regelbundet leverera återkoppling kring ©TranscendentGroupSverigeAB2016
Erfarenheter från granskning • Säkerställ att leverantörens ramverk för informations- klassificering är i linje med de krav som vi som kund har • Forum för samverkan mellan CISO, risk, compliance och internrevision är inte tydligt och effektivt • Brister i hur kund och leverantör strukturerar arbetet kring utförande och uppföljning av riskanalyser för informationssäkerhet • Leverantörer har informella processer, rutiner och kontroller kring informationssäkerhet ©TranscendentGroupSverigeAB2016
Erfarenheter från granskning • Definiera kriterier för vad som är acceptabelt och icke- acceptabelt i leverans och uppföljning av leverantörs åtagande (exempelvis COBIT-skala) • Säkerställ att det finns etablerade forum och former för återkoppling och uppföljning av leverantör • Kravställ och ta del av utförda granskningar och revisioner som leverantörer utför. • Ta del av åtgärdsplaner och följ löpande upp status ©TranscendentGroupSverigeAB2016
www.transcendentgroup.com

Recommandé

Exempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapporteringExempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapporteringTranscendent Group
 
Kravställning för grc systemstöd
Kravställning för grc systemstödKravställning för grc systemstöd
Kravställning för grc systemstödTranscendent Group
 
Input till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalysInput till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalysTranscendent Group
 
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystemSkärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystemTranscendent Group
 
Hur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcmHur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcmTranscendent Group
 
Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Transcendent Group
 
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...Transcendent Group
 
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnadGrc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnadTranscendent Group
 

Recommandé

Exempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapporteringExempel på effektiv risk och kontrollrapportering
Exempel på effektiv risk och kontrollrapporteringTranscendent Group
 
Kravställning för grc systemstöd
Kravställning för grc systemstödKravställning för grc systemstöd
Kravställning för grc systemstödTranscendent Group
 
Input till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalysInput till it risker i internrevisorns riskanalys
Input till it risker i internrevisorns riskanalysTranscendent Group
 
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystemSkärpta krav för informationssäkerhet IT verksamhet och insättningssystem
Skärpta krav för informationssäkerhet IT verksamhet och insättningssystemTranscendent Group
 
Hur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcmHur gör man en effektiv it revision av bcm
Hur gör man en effektiv it revision av bcmTranscendent Group
 
Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Har ditt företag implementerat en process för att identifiera och hantera int...
Har ditt företag implementerat en process för att identifiera och hantera int...Transcendent Group
 
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...
Workshop - praktisk planering av arbetet för kontrollfunktionerna risk och co...Transcendent Group
 
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnadGrc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnad
Grc succéfaktorer; hur får man ut mer värde av grc än enbart regelefterlevnadTranscendent Group
 
Förberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementeringFörberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementeringTranscendent Group
 
Mobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjarenMobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjarenTranscendent Group
 
GRC börjar med governance
GRC börjar med governanceGRC börjar med governance
GRC börjar med governanceTranscendent Group
 
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanFem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanTranscendent Group
 
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenVad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenTranscendent Group
 
Cybersecurity inom bilindustrin
Cybersecurity inom bilindustrinCybersecurity inom bilindustrin
Cybersecurity inom bilindustrinTranscendent Group
 
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitetUtvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitetTranscendent Group
 
Intern styrning och kontroll - lärdomar från FI
Intern styrning och kontroll - lärdomar från FIIntern styrning och kontroll - lärdomar från FI
Intern styrning och kontroll - lärdomar från FITranscendent Group
 
Hantering av personuppgifter kommande regelförändringar
Hantering av personuppgifter kommande regelförändringarHantering av personuppgifter kommande regelförändringar
Hantering av personuppgifter kommande regelförändringarTranscendent Group
 
Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetFrukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetTranscendent Group
 
Ledning, kultur och riskhantering
Ledning, kultur och riskhanteringLedning, kultur och riskhantering
Ledning, kultur och riskhanteringTranscendent Group
 
Tredjepartsintyg som en del i affärsstrategin
Tredjepartsintyg som en del i affärsstrateginTredjepartsintyg som en del i affärsstrategin
Tredjepartsintyg som en del i affärsstrateginTranscendent Group
 
Styrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarStyrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarTranscendent Group
 
Riskhantering
RiskhanteringRiskhantering
RiskhanteringNils Thulin
 
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Transcendent Group
 
Ny översättning av COSO
Ny översättning av COSONy översättning av COSO
Ny översättning av COSOTranscendent Group
 
Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07Transcendent Group
 
Frukostseminarium COSO
Frukostseminarium COSOFrukostseminarium COSO
Frukostseminarium COSOTranscendent Group
 
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerDen anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerTranscendent Group
 
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigareVarför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigareTranscendent Group
 
Är kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptxÄr kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptxTranscendent Group
 
Måling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhetMåling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhetTranscendent Group
 

Contenu connexe

Tendances

Förberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementeringFörberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementeringTranscendent Group
 
Mobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjarenMobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjarenTranscendent Group
 
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanFem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanTranscendent Group
 
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenVad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenTranscendent Group
 
Cybersecurity inom bilindustrin
Cybersecurity inom bilindustrinCybersecurity inom bilindustrin
Cybersecurity inom bilindustrinTranscendent Group
 
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitetUtvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitetTranscendent Group
 
Intern styrning och kontroll - lärdomar från FI
Intern styrning och kontroll - lärdomar från FIIntern styrning och kontroll - lärdomar från FI
Intern styrning och kontroll - lärdomar från FITranscendent Group
 
Hantering av personuppgifter kommande regelförändringar
Hantering av personuppgifter kommande regelförändringarHantering av personuppgifter kommande regelförändringar
Hantering av personuppgifter kommande regelförändringarTranscendent Group
 
Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetFrukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetTranscendent Group
 
Ledning, kultur och riskhantering
Ledning, kultur och riskhanteringLedning, kultur och riskhantering
Ledning, kultur och riskhanteringTranscendent Group
 
Tredjepartsintyg som en del i affärsstrategin
Tredjepartsintyg som en del i affärsstrateginTredjepartsintyg som en del i affärsstrategin
Tredjepartsintyg som en del i affärsstrateginTranscendent Group
 
Styrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarStyrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarTranscendent Group
 
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Transcendent Group
 
Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07Transcendent Group
 
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerDen anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerTranscendent Group
 
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigareVarför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigareTranscendent Group
 

Tendances (20)

Förberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementeringFörberedelser inför GRC-systemimplementering
Förberedelser inför GRC-systemimplementering
 
Mobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjarenMobila enheter och informationssäkerhetsrisker för nybörjaren
Mobila enheter och informationssäkerhetsrisker för nybörjaren
 
GRC börjar med governance
GRC börjar med governanceGRC börjar med governance
GRC börjar med governance
 
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplanFem dataanalyser varje internrevisor bör ha med i sin revisionsplan
Fem dataanalyser varje internrevisor bör ha med i sin revisionsplan
 
Vad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagenVad innebär den nya penningtvättslagen
Vad innebär den nya penningtvättslagen
 
Cybersecurity inom bilindustrin
Cybersecurity inom bilindustrinCybersecurity inom bilindustrin
Cybersecurity inom bilindustrin
 
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitetUtvecklandet av en strategisk plan för din internrevisionsaktivitet
Utvecklandet av en strategisk plan för din internrevisionsaktivitet
 
Intern styrning och kontroll - lärdomar från FI
Intern styrning och kontroll - lärdomar från FIIntern styrning och kontroll - lärdomar från FI
Intern styrning och kontroll - lärdomar från FI
 
Hantering av personuppgifter kommande regelförändringar
Hantering av personuppgifter kommande regelförändringarHantering av personuppgifter kommande regelförändringar
Hantering av personuppgifter kommande regelförändringar
 
Frukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhetFrukostseminarium om informationssäkerhet
Frukostseminarium om informationssäkerhet
 
Ledning, kultur och riskhantering
Ledning, kultur och riskhanteringLedning, kultur och riskhantering
Ledning, kultur och riskhantering
 
Tredjepartsintyg som en del i affärsstrategin
Tredjepartsintyg som en del i affärsstrateginTredjepartsintyg som en del i affärsstrategin
Tredjepartsintyg som en del i affärsstrategin
 
Styrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvarStyrelseledamotens roll och ansvar
Styrelseledamotens roll och ansvar
 
Riskhantering
RiskhanteringRiskhantering
Riskhantering
 
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?
 
Ny översättning av COSO
Ny översättning av COSONy översättning av COSO
Ny översättning av COSO
 
Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07Frukostseminarium om GL 44 2013-05-07
Frukostseminarium om GL 44 2013-05-07
 
Frukostseminarium COSO
Frukostseminarium COSOFrukostseminarium COSO
Frukostseminarium COSO
 
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska bankerDen anpassningsbare överlever; den ökade regleringens effekter på svenska banker
Den anpassningsbare överlever; den ökade regleringens effekter på svenska banker
 
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigareVarför kostnadskontroll och riskhantering av programvara blir allt viktigare
Varför kostnadskontroll och riskhantering av programvara blir allt viktigare
 

En vedette

Är kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptxÄr kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptxTranscendent Group
 
Måling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhetMåling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhetTranscendent Group
 
Penetration testing as an internal audit activity
Penetration testing as an internal audit activityPenetration testing as an internal audit activity
Penetration testing as an internal audit activityTranscendent Group
 
Forrester GRC Q1 2016 Report
Forrester GRC Q1 2016 ReportForrester GRC Q1 2016 Report
Forrester GRC Q1 2016 ReportDaryl Resnick
 
Nya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningarNya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningarTranscendent Group
 
Dataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRCDataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRCTranscendent Group
 
Frukostseminarium om molntjänster
Frukostseminarium om molntjänsterFrukostseminarium om molntjänster
Frukostseminarium om molntjänsterTranscendent Group
 
Next generation access controls
Next generation access controlsNext generation access controls
Next generation access controlsTranscendent Group
 
Frukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplanerFrukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplanerTranscendent Group
 
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...Transcendent Group
 
Penningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institutPenningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institutTranscendent Group
 
Hur skyddar vi oss mot oegentligheter?
Hur skyddar vi oss mot oegentligheter?Hur skyddar vi oss mot oegentligheter?
Hur skyddar vi oss mot oegentligheter?Transcendent Group
 
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...Transcendent Group
 

En vedette (17)

Är kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptxÄr kris en förutsättning för compliance.pptx
Är kris en förutsättning för compliance.pptx
 
Måling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhetMåling og visualisering av informasjonssikkerhet
Måling og visualisering av informasjonssikkerhet
 
Penetration testing as an internal audit activity
Penetration testing as an internal audit activityPenetration testing as an internal audit activity
Penetration testing as an internal audit activity
 
Integrated GRC
Integrated GRCIntegrated GRC
Integrated GRC
 
CRO:n mitt i GRC
CRO:n mitt i GRCCRO:n mitt i GRC
CRO:n mitt i GRC
 
Forrester GRC Q1 2016 Report
Forrester GRC Q1 2016 ReportForrester GRC Q1 2016 Report
Forrester GRC Q1 2016 Report
 
Nya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningarNya IT-säkerhetshot och trender i en värld av lösningar
Nya IT-säkerhetshot och trender i en värld av lösningar
 
Dataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRCDataanalys som möjliggörare inom GRC
Dataanalys som möjliggörare inom GRC
 
Frukostseminarium om molntjänster
Frukostseminarium om molntjänsterFrukostseminarium om molntjänster
Frukostseminarium om molntjänster
 
Next generation access controls
Next generation access controlsNext generation access controls
Next generation access controls
 
Frukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplanerFrukostseminarium om återhämtningsplaner
Frukostseminarium om återhämtningsplaner
 
Finansiering av terrorism
Finansiering av terrorismFinansiering av terrorism
Finansiering av terrorism
 
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
Rundabordssamtal kring FISK:en - hur tillämpas förordningen i praktiken och t...
 
Value added security services
Value added security servicesValue added security services
Value added security services
 
Penningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institutPenningtvättsgranskning i finansiella institut
Penningtvättsgranskning i finansiella institut
 
Hur skyddar vi oss mot oegentligheter?
Hur skyddar vi oss mot oegentligheter?Hur skyddar vi oss mot oegentligheter?
Hur skyddar vi oss mot oegentligheter?
 
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
Frigör möjligheterna i ditt data – fem enkla sätt att analysera data för att ...
 

Similaire à Erfarenhet från granskning av tredje parter utifrån fffs 20145

Drift av affärssystem (ERP)
Drift av affärssystem (ERP)Drift av affärssystem (ERP)
Drift av affärssystem (ERP)Idenet
 
Eilerth Sjölund, Goodtech och Ola Wallinder, Affecto BC14
Eilerth Sjölund, Goodtech och Ola Wallinder, Affecto BC14Eilerth Sjölund, Goodtech och Ola Wallinder, Affecto BC14
Eilerth Sjölund, Goodtech och Ola Wallinder, Affecto BC14IBM Sverige
 
Så förbättrar du din företagswebbplats
Så förbättrar du din företagswebbplatsSå förbättrar du din företagswebbplats
Så förbättrar du din företagswebbplatsComprend
 
Rammeverk: ISO20252 - ett stöd i SCBs kvalitetsarbete
Rammeverk: ISO20252 - ett stöd i SCBs kvalitetsarbeteRammeverk: ISO20252 - ett stöd i SCBs kvalitetsarbete
Rammeverk: ISO20252 - ett stöd i SCBs kvalitetsarbeteNordisk statistikermøte 2013
 
Logganalys med Elastic & Findwise
Logganalys med Elastic & FindwiseLogganalys med Elastic & Findwise
Logganalys med Elastic & FindwiseFindwise
 
20150910 controllern som förädnringsagent hypergene användarträff pontus ...
20150910 controllern som förädnringsagent hypergene användarträff pontus ...20150910 controllern som förädnringsagent hypergene användarträff pontus ...
20150910 controllern som förädnringsagent hypergene användarträff pontus ...Pontus Wadström
 
Seminarie göteborg: GDPR i praktiken
Seminarie göteborg: GDPR i praktikenSeminarie göteborg: GDPR i praktiken
Seminarie göteborg: GDPR i praktikenAcando Sweden
 
Verksamhetsnytta med Office365
Verksamhetsnytta med Office365Verksamhetsnytta med Office365
Verksamhetsnytta med Office365Frontit
 
Agila kontrakt 0611
Agila kontrakt 0611Agila kontrakt 0611
Agila kontrakt 0611Knowit_TM
 
Intro Vägledning i Nyttorealisering
Intro Vägledning i NyttorealiseringIntro Vägledning i Nyttorealisering
Intro Vägledning i NyttorealiseringE-delegationen
 
Tillgänglighet i interna it system på försäkringskassan
Tillgänglighet i interna it system på försäkringskassanTillgänglighet i interna it system på försäkringskassan
Tillgänglighet i interna it system på försäkringskassanErik Borälv
 
Öppna data - nytta och utmaningar för verksamheten
Öppna data - nytta och utmaningar för verksamhetenÖppna data - nytta och utmaningar för verksamheten
Öppna data - nytta och utmaningar för verksamhetenMagnus Kolsjö
 
Hållbara inköp verktygslåda 2011
Hållbara inköp verktygslåda 2011 Hållbara inköp verktygslåda 2011
Hållbara inköp verktygslåda 2011 CSR Västsverige
 
Företagspresentation merico 140103
Företagspresentation merico 140103Företagspresentation merico 140103
Företagspresentation merico 140103Henrik Smedberg
 
Insight Works KPI Strategi @ Berghs School of Communication
Insight Works KPI Strategi @ Berghs School of CommunicationInsight Works KPI Strategi @ Berghs School of Communication
Insight Works KPI Strategi @ Berghs School of CommunicationStockholm Insight Works AB
 
Totalentreprenader med driftsansvar - Magnus Alfredsson och Greta Jodal, NCC.
Totalentreprenader med driftsansvar - Magnus Alfredsson och Greta Jodal, NCC.Totalentreprenader med driftsansvar - Magnus Alfredsson och Greta Jodal, NCC.
Totalentreprenader med driftsansvar - Magnus Alfredsson och Greta Jodal, NCC.Svenska Betongföreningen
 
Trafikverkets satsning på att få mer för pengarna och intressanta väg- och ...
Trafikverkets satsning på att få mer för pengarna och intressanta väg- och ...Trafikverkets satsning på att få mer för pengarna och intressanta väg- och ...
Trafikverkets satsning på att få mer för pengarna och intressanta väg- och ...Sveriges Byggindustrier
 
Liten men smart - SecMaker - Hägvall & Sjöman på Content Marketing Day wednes...
Liten men smart - SecMaker - Hägvall & Sjöman på Content Marketing Day wednes...Liten men smart - SecMaker - Hägvall & Sjöman på Content Marketing Day wednes...
Liten men smart - SecMaker - Hägvall & Sjöman på Content Marketing Day wednes...Crescando
 
Detta är Strikersoft
Detta är StrikersoftDetta är Strikersoft
Detta är StrikersoftStrikersoft
 

Similaire à Erfarenhet från granskning av tredje parter utifrån fffs 20145 (20)

IT-revision för nybörjare
IT-revision för nybörjareIT-revision för nybörjare
IT-revision för nybörjare
 
Drift av affärssystem (ERP)
Drift av affärssystem (ERP)Drift av affärssystem (ERP)
Drift av affärssystem (ERP)
 
Eilerth Sjölund, Goodtech och Ola Wallinder, Affecto BC14
Eilerth Sjölund, Goodtech och Ola Wallinder, Affecto BC14Eilerth Sjölund, Goodtech och Ola Wallinder, Affecto BC14
Eilerth Sjölund, Goodtech och Ola Wallinder, Affecto BC14
 
Så förbättrar du din företagswebbplats
Så förbättrar du din företagswebbplatsSå förbättrar du din företagswebbplats
Så förbättrar du din företagswebbplats
 
Rammeverk: ISO20252 - ett stöd i SCBs kvalitetsarbete
Rammeverk: ISO20252 - ett stöd i SCBs kvalitetsarbeteRammeverk: ISO20252 - ett stöd i SCBs kvalitetsarbete
Rammeverk: ISO20252 - ett stöd i SCBs kvalitetsarbete
 
Logganalys med Elastic & Findwise
Logganalys med Elastic & FindwiseLogganalys med Elastic & Findwise
Logganalys med Elastic & Findwise
 
20150910 controllern som förädnringsagent hypergene användarträff pontus ...
20150910 controllern som förädnringsagent hypergene användarträff pontus ...20150910 controllern som förädnringsagent hypergene användarträff pontus ...
20150910 controllern som förädnringsagent hypergene användarträff pontus ...
 
Seminarie göteborg: GDPR i praktiken
Seminarie göteborg: GDPR i praktikenSeminarie göteborg: GDPR i praktiken
Seminarie göteborg: GDPR i praktiken
 
Verksamhetsnytta med Office365
Verksamhetsnytta med Office365Verksamhetsnytta med Office365
Verksamhetsnytta med Office365
 
Agila kontrakt 0611
Agila kontrakt 0611Agila kontrakt 0611
Agila kontrakt 0611
 
Intro Vägledning i Nyttorealisering
Intro Vägledning i NyttorealiseringIntro Vägledning i Nyttorealisering
Intro Vägledning i Nyttorealisering
 
Tillgänglighet i interna it system på försäkringskassan
Tillgänglighet i interna it system på försäkringskassanTillgänglighet i interna it system på försäkringskassan
Tillgänglighet i interna it system på försäkringskassan
 
Öppna data - nytta och utmaningar för verksamheten
Öppna data - nytta och utmaningar för verksamhetenÖppna data - nytta och utmaningar för verksamheten
Öppna data - nytta och utmaningar för verksamheten
 
Hållbara inköp verktygslåda 2011
Hållbara inköp verktygslåda 2011 Hållbara inköp verktygslåda 2011
Hållbara inköp verktygslåda 2011
 
Företagspresentation merico 140103
Företagspresentation merico 140103Företagspresentation merico 140103
Företagspresentation merico 140103
 
Insight Works KPI Strategi @ Berghs School of Communication
Insight Works KPI Strategi @ Berghs School of CommunicationInsight Works KPI Strategi @ Berghs School of Communication
Insight Works KPI Strategi @ Berghs School of Communication
 
Totalentreprenader med driftsansvar - Magnus Alfredsson och Greta Jodal, NCC.
Totalentreprenader med driftsansvar - Magnus Alfredsson och Greta Jodal, NCC.Totalentreprenader med driftsansvar - Magnus Alfredsson och Greta Jodal, NCC.
Totalentreprenader med driftsansvar - Magnus Alfredsson och Greta Jodal, NCC.
 
Trafikverkets satsning på att få mer för pengarna och intressanta väg- och ...
Trafikverkets satsning på att få mer för pengarna och intressanta väg- och ...Trafikverkets satsning på att få mer för pengarna och intressanta väg- och ...
Trafikverkets satsning på att få mer för pengarna och intressanta väg- och ...
 
Liten men smart - SecMaker - Hägvall & Sjöman på Content Marketing Day wednes...
Liten men smart - SecMaker - Hägvall & Sjöman på Content Marketing Day wednes...Liten men smart - SecMaker - Hägvall & Sjöman på Content Marketing Day wednes...
Liten men smart - SecMaker - Hägvall & Sjöman på Content Marketing Day wednes...
 
Detta är Strikersoft
Detta är StrikersoftDetta är Strikersoft
Detta är Strikersoft
 

Plus de Transcendent Group

Frukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighetFrukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighetTranscendent Group
 
Sensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighetSensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighetTranscendent Group
 
Star strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrningStar strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrningTranscendent Group
 
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sättTa kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sättTranscendent Group
 
Hur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshanteringHur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshanteringTranscendent Group
 
Vem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerierVem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerierTranscendent Group
 
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagSträngare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagTranscendent Group
 
Solvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the riskSolvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the riskTranscendent Group
 
Effectively managing operational risk
Effectively managing operational riskEffectively managing operational risk
Effectively managing operational riskTranscendent Group
 
Åtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringarÅtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringarTranscendent Group
 

Plus de Transcendent Group (11)

Frukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighetFrukostseminarium om finansiell brottslighet
Frukostseminarium om finansiell brottslighet
 
Sensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighetSensommarmingel på temat finansiell brottslighet
Sensommarmingel på temat finansiell brottslighet
 
Star strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrningStar strategy en inspirerande metod för mål och verksamhetsstyrning
Star strategy en inspirerande metod för mål och verksamhetsstyrning
 
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sättTa kontroll över personuppgiftshanteringen på ett effektivt sätt
Ta kontroll över personuppgiftshanteringen på ett effektivt sätt
 
Hur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshanteringHur etablerar man en effektiv kris och kontinuitetshantering
Hur etablerar man en effektiv kris och kontinuitetshantering
 
Vem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerierVem är personen bakom masken hur man hanterar interna bedrägerier
Vem är personen bakom masken hur man hanterar interna bedrägerier
 
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lagSträngare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
Strängare krav på personuppgiftsbehandling senaste nytt om vår nya eu lag
 
Solvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the riskSolvency ii and return on equity; optimizing capital and manage the risk
Solvency ii and return on equity; optimizing capital and manage the risk
 
How we got domain admin
How we got domain adminHow we got domain admin
How we got domain admin
 
Effectively managing operational risk
Effectively managing operational riskEffectively managing operational risk
Effectively managing operational risk
 
Åtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringarÅtgärder mot penningtvätt och kommande förändringar
Åtgärder mot penningtvätt och kommande förändringar
 

Erfarenhet från granskning av tredje parter utifrån fffs 20145

  • 1. Erfarenheter från granskning av tredje parter utifrån FFFS 2014:5 Daniel Gräntz och Jonas Edberg GRC 2016, 19 maj
  • 2. Agenda • utmaningar • FFFS 2014:5 • erfarenheter från granskning av tredje parter ©TranscendentGroupSverigeAB2016 2
  • 3. Presentation av oss Daniel Gräntz • Tjänsteområdesansvarig IT-revision • 15 års arbetslivserfarenhet som IT-revisor och rådgivare • Delägare Transcendent Group Jonas Edberg • Informationssäkerhetsspecialist • 6 års arbetslivserfarenhet som IT-revisor och rådgivare • CISA, CISM, CRISC ©TranscendentGroupSverigeAB2016
  • 4. Principerna för informationssäkerhet • Konfidentialitet: information ska inte göras tillgänglig eller avslöjas för obehöriga • Riktighet: informationen ska inte förändras av misstag • Tillgänglighet: information ska kunna användas i förväntad utsträckning och inom önskad tid • Spårbarhet: möjlighet att entydigt kunna härleda utförda aktiviteter till personer och/eller systemfunktioner Informations -säkerhet Konfiden- tialitet Spårbarhet Riktighet Tillgäng- lighet ©TranscendentGroupSverigeAB2016
  • 6. Drivfaktorer kring kravställning ©TranscendentGroupSverigeAB2016 Kundspecifika krav Risk- och sårbarhets- analys Regulatoriska krav Verksamhetens krav Leverantör Informations- inventering Betryggande riskhantering
  • 9. Finansinspektionens föreskrifter • FFFS 2014:5 specificerar kraven gällande informationssäkerhet, IT-verksamhet och insättningssystem. • Kraven bygger till stor del på standarderna ISO27000, ISO31000 och COBIT. policy kapitel 2: informationssäkerhet riktlinje kapitel 3: IT-verksamhet instruktion kapitel 4: insättningssystem ©TranscendentGroupSverigeAB2016
  • 10. Kapitel 2: informationssäkerhet Kraven inkluderar: • ledningssystem för informationssäkerhet (LIS) • mål och inriktning för arbetet med informations- säkerhet • roller och ansvar för informationssäkerhet • informationsklassificering • årlig riskanalys kring företagets informationssäkerhet • interna regler för arbetet med informationssäkerhet: allmänna råd, behörigheter lyfts fram explicit. ©TranscendentGroupSverigeAB2016
  • 11. Kapitel 3, IT-verksamhet Kraven inkluderar: • IT-system säkras baserat på informationsklassning och riskanalys • dokumenterade mål och strategier för IT-verksamhet • dokumenterade processer för förvaltning av IT-systemen • dokumentation över alla IT-system som är av betydelse för verksamheten ©TranscendentGroupSverigeAB2016
  • 13. ©TranscendentGroupSverigeAB2016 ”Beslut om nivån och inriktningen på riskerna är inte lämpliga att placera på ett annat bolagsorgan än företagets styrelse” Finansinspektionen
  • 14. Erfarenheter från granskning • Låg mognadsnivå kring informationssäkerhet internt och hos leverantörer • Bristande utförd due diligence som ej beaktar informations- och IT-säkerhet innan avtal upprättas med tredje part • Avtal som upprättas med tredje part saknar helt eller delvis tydliga informationssäkerhetskrav • Avtal med tydliga separata bilagor ger förutsättningar för uppföljning och förbättringsarbete • Alla leverantörer som tillhandahåller finansiella tjänster har inte en organisation och kompetens för att hantera regulatoriska krav • Kunder skapar inte förutsättningar för att proaktiva följa upp leverantörens efterlevnad av avtalade krav ©TranscendentGroupSverigeAB2016
  • 15. Erfarenheter från granskning • Uppföljning av krav utöver vad som definierats i SLA utförs på olika sätt och är i förekommande fall bristfälligt • Avsaknad av klausul i avtal om revisionsrätt • Avsaknad av upprättat ramverk för utvärdering av leverantörer gällande efterlevnad av informationssäkerhetskrav (revisionsplan) • Säkerställ att det finns en utsedd motpart hos leverantören som ansvarar för IT- och informationssäkerhet • Kravställ att leverantör genomför en gap-analys som utreder i vilken omfattning informationssäkerhetskrav efterlevs • Definiera rapporter och mätetal som leverantör skall upprätta och regelbundet leverera återkoppling kring ©TranscendentGroupSverigeAB2016
  • 16. Erfarenheter från granskning • Säkerställ att leverantörens ramverk för informations- klassificering är i linje med de krav som vi som kund har • Forum för samverkan mellan CISO, risk, compliance och internrevision är inte tydligt och effektivt • Brister i hur kund och leverantör strukturerar arbetet kring utförande och uppföljning av riskanalyser för informationssäkerhet • Leverantörer har informella processer, rutiner och kontroller kring informationssäkerhet ©TranscendentGroupSverigeAB2016
  • 17. Erfarenheter från granskning • Definiera kriterier för vad som är acceptabelt och icke- acceptabelt i leverans och uppföljning av leverantörs åtagande (exempelvis COBIT-skala) • Säkerställ att det finns etablerade forum och former för återkoppling och uppföljning av leverantör • Kravställ och ta del av utförda granskningar och revisioner som leverantörer utför. • Ta del av åtgärdsplaner och följ löpande upp status ©TranscendentGroupSverigeAB2016