Business Continuity Management. Alexander Haccou A. Beerten KPN Information Security Governance 21 juni 2007

Maat: px

Weergave met pagina beginnen:

Download "Business Continuity Management. Alexander Haccou A. Beerten KPN Information Security Governance 21 juni 2007"

Katrien Meyer
7 jaren geleden
Aantal bezoeken:

1 0

2 Business Continuity Management Alexander Haccou A. Beerten KPN Information Security Governance 21 juni 2007

3 Agenda Business Continuity Management Strategisch Beleid Tactisch Richtlijnen & Continuïteitsplannen Operationeel Werkinstructies & Draaiboeken BCM Corporate Vitale Infrastructuren 2

4 Business Continuity Management Continu proces ter voorkoming van schade (persoonlijk, financieel, imago) Afweging op basis van kosten vs. geleden schade (gederfde inkomsten/imago) Ook na falen (technisch, organisatorisch of menselijk handelen) Business Continuity Management obv risico analyse : Wat is het bedrijfsproces? Waarvan is dit sterk afhankelijk? Wat kost het als dit uitvalt? Welke alternatieven zijn er mogelijk? Wat kosten deze alternatieven? Als het dan toch is misgegaan: Disaster Recovery 3

5 Business Continuity Management en KPN Basisverwachting: Telecom doet het altijd! KPN levert aan iedereen (eindgebruikers & whole salers) KPN heeft talloze zeer kritische bedrijfsprocessen Niet alleen zakelijke belangen, ook maatschappelijke: Nationaal Noodnet 112 Diverse BZK projecten BVI SOVI NAVI 4

6 Beleid Informatie beveiliging Zorgen dat informatie & systemen beschikbaar zijn, daar en wanneer dat nodig is. Beschikbaarheid Zorgen dat informatie niet ongeautoriseerd of onbedoeld gewijzigd wordt. Integriteit Vertrouwelijkheid Zorgen dat alleen geautoriseerde personen kennis kunnen nemen van informatie. Waarborgen 5

7 Corporate Security Policy Framework (CSPF) Onderdeel Business Control Framework (BCF) De geldende security policy Gebaseerd op een Security Management System (SMS) Een cyclisch process (gebaseerd op ISO 27001) Methode om maatregelen te selecteren (uit ISO 17799) 6

8 Corporate Security Policy statements 1. This KPN corporate security policy is mandatory for all reporting units, all employees and contractors within the KPN Group. 2. This policy must be reviewed at least once every two years and updated when necessary. 3. KPN must actively promote (information) security & personal safety awareness among its own employees, contractors and visitors. 4. All KPN reporting units must ensure that this policy and its underlying rules, principles and guidelines are translated into implemented and effective security measures. 5. All KPN reporting units must assign owners and security classifications to all its assets (these include data, information, information systems, network infrastructures, offices and sites). 6. All KPN reporting units must implement Security Management processes, to ensure continuous assessment of security risks as well as selection, implementation and periodical review of security controls to mitigate these risks. 7. All KPN reporting units must be able to manage business disruptions in such a way that damage to the organisation, customers and partners is limited to acceptable levels. Therefore each KPN reporting unit has a tested business continuity plan and a crisis organisation to execute the plan. 8. Temporary exceptions and deviations from this policy are allowed, provided they are authorized by the responsible management, have substantiated reasons and are approved by the Chief Information Security Officer. 9. KPN has adopted the internationally recognised ISO/IEC 27001:2005 and ISO/IEC 17799:2005 standards as a framework for guiding effective Information Security Management. 10. KPN must seek to achieve ISO/IEC 27001:2005 certification, for those services where certification has an added business value. 11. All KPN employees and contractors must protect assets (such as data, information, information systems, network infrastructures, offices and sites) against unauthorized access, use, modification, disclosure, destruction, loss or transfer. 12. All KPN reporting units must evaluate the security status of partners when deciding whether to enter into any form of co-operation. 13. All KPN reporting units must ensure that every contract, partnership or Service Level Agreement to which KPN reporting units commit themselves, contains clauses in which mutual security obligations are elaborated. 14. KPN must test compliance with the KPN Corporate Security Policy at least once a year. 15. All KPN reporting units are under the obligation to comply with the rules and guidelines concerning the personal safety of employees, contractors and visitors. 16. All existing and new products, services, applications, IT-systems and networks must comply with the KPN Corporate Security Policy and the KPN IT-Governance Policy and related rules, principles and guidelines. 17. All products and services delivered to KPN customers must contain security measures that reflect and support the KPN brand values. 18. All employees must ensure that applicable legal requirements are complied with. This includes national, international law and other external regulatory authorities (such as; national telecom, labour safety and privacy legislation). 19. All KPN reporting units must adhere to the Protocol for Integrity Investigations. The KPN Board of Management has designated KPN Security to conduct these investigations within the Netherlands. 20. All KPN reporting units must comply with the applicable laws concerning lawful interception. Similarly, they must meet the laws requiring disclosure of information to law enforcement agencies, intelligence services and security services. Within the Netherlands, all disclosure of information to the relevant authorities is assigned and restricted to KPN Security. 21. All KPN reporting units must report security incidents, misconduct, breaches and non-compliances concerning the KPN Corporate Security Policy to the department that the KPN Board of Management has designated in each country. For the Netherlands, this is KPN Security 7

9 BCM Tactisch Richtlijnen & Continuïteitsplannen Asset classificatie Business Impact Analyse Risico Assessment 8

10 Asset classificatie Vertrouwelijkheid Integriteit Beschikbaarheid High Geheim Bewijsbaar Kritisch Medium Vertrouwelijk Betrouwbaar Noodzakelijk Low Intern gebruik Bruikbaar Ondersteunend 9

11 Business Impact Assessment Het bepalen van de potentiële impact van mishaps op de business Zonder nu al rekening te houden met de kans dat dit gebeurt Voor de hele scope, stellen we de vraag: Wat is de potentiële business impact van de ergst denkbare incidenten? 10

12 Risk Assessment Een continuïteits-risico bestaat uit: Bedreiging (wie kan een verstoring veroorzaken? wat voor event kan er op treden?) Kwetsbaarheid (waardoor kan dit gebeuren?) Kans (is het reëel dat dit gebeurt en hoe vaak?) Gevolg (welke consequenties heeft dit voor onze diensten?) Impact (wat voor business impact heeft dit?) Reeds bestaande risicoregisters worden ook als input gebruikt! 11

13 Business Continuity Management en ICT Bedrijven worden steeds afhankelijker van ICT 12

14 BCM Operationeel Draaiboeken & Werkinstructies Dienst geörienteerd Netwerkbewaking Crisismanagement Crisiscommunicatie Ontruiming Uitwijk Wel: ondersteunende diensten Content, Billing, Kantoor(Automatisering) Anders: primaire infrastructurele diensten Oefenen 13

15 BCM Corporate Techniek overstijgend Algemene bedreigingen: staking, oproer, ontvoering, pandemie Personeel (HR, beveiliging) Veiligheid (ARBO, BHV) Facilitair (gebouwen, energie) Crisismanagement: Raad van Bestuur, Human Resources, Communicatie, Security, Facilities, Operations 14

16 Vitale Infrastructuren Motie Wijn; specifieke aandacht voor kwetsbaarheid Ministerie van Binnenlandse Zaken & Koninkrijksrelaties: trekker Project Bescherming Vitale Infrastructuren (BVI) Inventarisatie infrastructuren: 12 sectoren Energie, Telecom, Water, Gezondheid, Vervoer etc Oprichting coördinatie cie Vitale Infrastructuren bij VNO-NCW Rapportage aan 2 e kamer: er is veel op orde, nader onderzoek nodig Instelling Strategisch Overleg Vitale Infrastructuren (SOVI) Instelling Nationaal Adviescentrum Vitale Infrastructuren (NAVI) 15

17 Onderzoek TNO in opdracht van SOVI: Opdracht: Bepaal (onderlinge cq wederzijdse) afhankelijkheden Pilot bij Energie, Telecom en Water Conclusies: 1. Energie & Water sterk afhankelijk van Telecom 2. Telecom beperkt afhankelijk van Electriciteit Vervolg opdracht: bepaal afhankelijkheden overige sectoren 16

18 17 VRAGEN?

Vergelijkbare documenten

Opleiding PECB IT Governance.

Opleiding PECB IT Governance. Opleiding PECB IT Governance www.bpmo-academy.nl Wat is IT Governance? Information Technology (IT) governance, ook wel ICT-besturing genoemd, is een onderdeel van het integrale Corporate governance (ondernemingsbestuur)