Appendix 3 - Riskanalys

Storlek: px
Starta visningen från sidan:

Download "Appendix 3 - Riskanalys"

Transkript

1 Appendix3 Riskanalys Inledning Riskanalysen ska identifiera allt som kan gå snett i ett företag och hur stor sannolikheten är att det ska inträffa, vilka konsekvenser och om möjligt en kostnadskalkyl. För att genomföra en riskanalys krävs att kärnverksamheten d.v.s. den verksamhetsprocess och de resurser företaget lever på har identifierats. Till detta finns stödjande verksamheter som i sig är viktiga, men ändå har något lägre prioritet. I kärnverksamheten ingår resurser som personal, utrustningar och maskiner, program, service och underhåll, externa beroenden som leverantörer, råvaror, tjänster, transporter etc. Varje komponent (del) i kärnverksamheten måste identifieras och därefter analyseras ur risksynpunkt. Noggrannheten avgör kvaliteten på resultatet. Det finns många olika metoder och underlag att arbeta efter, det viktigaste är ändå att kunna värdera konsekvenserna och förlängningen av det som kan inträffa. Det är därför inte metoderna eller underlagen som är det viktigaste, utan kunskapen hos den eller de som leder riskanalysprocessen. Riskanalys handlar om att definiera de hot som en verksamhet möter. Eftersom hoten inte av sig själva påverkar verksamheten utan behöver ett hål i verksamheten, brukar detta hål kallas sårbarhet. Det är först när vi har kombinationen hot tillsammans med sårbarhet som vi får en större eller mindre påverkan på de tillgångar som vi försöker skydda. Aktivt riskanalysarbete är grunden för att införa och vidmakthålla ett ledningssystem för ssäkerhet i verksamheten. Det rekommenderade tillvägagångssättet är att först genomföra en övergripande riskanalys. Utifrån resultatet från denna genomförs sedan en mer detaljerad riskanalys för de områden som i den första riskanalysen har ansetts utgöra en risk för verksamheten. Appendix 3.1 Referenser i berörda standarder Riskanalys är en process som identifierar säkerhetsrisker och bestämmer deras betydelse (ISO Guide 73). Riskanalysen är grunden för att införa ett ledningssystem för ssäkerhet i verksamheten. Några områden lyfter kravet på riskanalys extra tydligt i de råd som finns i SS ISO/IEC 17799: Samordning av ssäkerhet. Avsikten är att samordna alla de aktiviteter som ska genomföras för att bland annat utjämna skillnader mellan olika funktioner, avdelningar och geografiskt spridda delar av verksamheten Riskanalys vid utomståendes åtkomst. Avsikten är att bedöma risken med att låta en tredje part ansluta sig till verksamhetens ssystem Säkerhet för utrustning utanför egna lokaler. Avsikten är att bedöma risken med att ha utrustning utanför egna skyddade lokaler Analys och specifikation av säkerhetskrav. Grunden för att göra en analys av säkerhetskraven och för att identifiera de adekvata åtgärderna är riskanalysen Säkerhet i tillämpningssystem. Eventuella ytterligare åtgärder som kan krävas för system som bearbetar eller kan påverka känsliga, värdefulla eller kritiska tillgångar för verksamheten ska avgöras på grundval av en riskanalys och eventuella säkerhetskrav Policy för användning av krypteringsmetoder. En riskanalys bör ligga till grund för att bestämma ens skydd och därmed också valet av en eventuell krypteringsmetod Avbrotts- och konsekvensanalys. Riskanalysens syfte är att bedöma följderna av ett avbrott och utgör tillsammans med andra analyser grunden för kontinuitetsplanen. Appendix 3.2 Definitioner av begrepp Hot: ett möjligt utfall av en oönskad incident som kan leda till skada i ett system eller för en verksamhet. Konsekvens: den effekt som blir resultatet när en risk förverkligats. Kvarvarande risk: skyddsåtgärder tar inte bort risken till fullo. Det finns alltid en viss sannolikhet att den kvarvarande risken realiseras och medför skada i någon form (konsekvens). Påverkan: resultatet av en oönskad incident. Riskacceptans: den medvetna handlingen att leva med riskens konsekvens/-er. Riskanalys: processen att identifiera risker och försöka förutsäga hur de påverkar verksamheten. Riskreduktion: att minska risken genom att mildra, förebygga eller föregripa den. Det kan ske genom att undvika risken, överföra den genom exempelvis försäkringar, eller genom att reducera hotet, sårbarheten eller den möjliga påverkan (skadan). Det kan också ske genom att upptäcka oönskade händelser, reagera på dem och sedan återställa förhållandena till sitt ursprungsläge. Riskskydd: reduktionen av sannolikheten och/eller konsekvensen. Sannolikhet: frekvensen med vilket ett hot realiseras. Appendix 3 Sida 1

2 Skyddsåtgärd: rutin, procedur eller mekanism som reducerar risken. Sårbarhet: en svaghet, felkonstruktion, ett säkerhetshål eller liknande som kan användas och därmed blir ett hot som leder till en skada. Tillgång: allt som har ett värde för verksamheten. Det kan bland annat röra sig om det verksamheten äger, driver, hyr, kontrollerar, har vårdanden om, ansvarar för, köper, säljer, designar, producerar, testar, analyserar och underhåller. Utsatthet: vad verksamheten är utsatt för och hur kan det bidra till skada, stöld, förlust av egendom eller andra verksamhetstillgångar. Utsattheten kan också bidra till personskada på anställda eller andra personer. Appendix 3.3 Riskstyrningsprocessen Riskstyrning (risk management) hade sin födelse i 1700-talets upplysningstid, då man utforskade det okända i jakten på kunskap. I dag använder vi riskstyrning som en generell process för att komma till rätta med lösa risker. Om konsekvensen av en risk är acceptabel anses risken vara löst. I riskstyrningsprocessen ingår två huvuddelar. Den första är riskanalysen, som vi använder för att definiera riskerna. Riskanalysen är en sökande och upptäckande process för att finna hoten och dess källor. Det är sedan möjligt att bedöma den effekt hoten kan ha på verksamheten. Den andra delen kallas riskkontroll och är ett sätt att kontrollera riskerna och reducera dem. Processen leder fram till att det blir möjligt att ta fram en åtgärdsplan, kontrollera riskstatus, införa åtgärder och korrigera eventuella avsteg från planen. Förändringar av hotbilden resulterar i en förnyad riskanalys. Det är normalt att verksamheten i ett tidigt skede av riskstyrningsprocessen bara har vaga aningar om vad som kan drabba den. Ofta finns många funderingar, viss misstro och okända faktorer att begrunda. Meningen med riskstyrningsprocessen är att omvandla osäkerheterna till ett mer acceptabelt och beräkningsbart risktagande, men också att förstå vilka komponenter som måste beaktas i de beslut som fattas. När risker ska identifieras och analyseras inleds också arbetet med att undersöka sannolikheten för att risken ska realiseras och vad som kan bli konsekvensen. Appendix Riskanalys Hoten mot verksamheten tillsammans med säkerhetshål ökar verksamhetens sårbarhet. En risk existerar även om ingen har lyckats identifiera den, och konsekvensen av risken beror inte på om den har bedömts viktig eller inte. Det är bara de åtgärder som vidtagits för att komma till rätta med risken förebyggande eller skadereducerande som motverkar att den blir ett problem. Oavsett hur risken en gång bedömts kan den ändra sin betydelse allt eftersom tiden går. Det medför också att riskanalysen som arbetssätt inte är en engångsföreteelse utan en cyklisk process som helst bör återkomma minst en gång per år eller när förändringar sker i processer eller på andra sätt. Åtgärderna reducerar riskerna och motverkar hoten. En mycket viktig del inom riskanalysområdet är att balansera kostnaden för åtgärderna mot de risker som finns. Ett skydd eller en åtgärd mot en viss risk ska alltså inte vara starkare än nödvändigt, men inte heller kosta för mycket i förhållande till vad skadan hade kostat om den faktiskt inträffat. Om verksamheten vill förenkla och standardisera besluten som måste fattas i samband med riskanalysen kan olika typer av beslutsmatriser byggas upp. Nedan följer ett exempel på hur en sådan matris skulle kunna vara uppbyggd. Appendix 3 Sida 2

3 Skadefrekvens Grad av förlust Hög Medium Låg Hög Skadeförebygg Skadeförebygg och reducera Medium Skadeförebygg och reducera Skadereducera och överför till försäkring Låg Skadereducera Skadereducera med eftertanke Överför till försäkring Avvakta förändring, överför till försäkring Avvakta förändring, ingen åtgärd För att placera riskhantering och -styrning i ett affärsmässigt sammanhang bör man se till vad skadan kostar och hur mycket verksamheten måste tjäna in för att täcka förlusten. Tabellen nedan försöker översiktligt beskriva detta. Nettovinst (försäljningsvärde för att tjäna in förlusten, avr. värde i kr) Skadekostnad/förlust (kr) 4% 5% 6% Förlustkostnaderna är hämtad från Brottsförebyggande rådets analys 2000 (BRÅ:2000:2) över skadekostnader i samband med dataintrång. Enligt rapporten är medelkostnaden för ett dataintrång kronor. Om verksamheten utsätts för ett intrång måste en verksamhet med 4 procents vinstmarginal sälja för nästan 9 miljoner kronor innan förlusten är täckt. Appendix Riskkontroll Riskkontrollen är en ständigt pågående verksamhet som syftar till att se om hotbilden förändras. Gör den det signalerar riskkontrollen om att en ny isolerad riskanalys ska genomföras för det område vars verklighet förändrats i någon form. Det innebär samtidigt att en ny åtgärdsplan ska tas fram för att reducera de nya hoten så långt som möjligt men också att korrigera verksamheten om och när den gör avsteg från de fastlagda planerna. Riskkontrollen blir därmed en mycket viktig del av riskstyrningsprocessen. Appendix 3.4 Riskanalys i praktiken exempel I det här kapitlet beskrivs en översiktlig modell som tar relativt kort tid i anspråk Det är nödvändigt att de personer som besitter kunskap om verksamheten och hur den bedrivs också finns med under de praktiska delarna i hela analysarbetet. Någon hänsyn till befintliga skyddsåtgärder ska inte tas, eftersom det är mycket svårt att bedöma effektiviteten hos varje åtgärd. I det följande praktiska exemplet på riskanalys används modellen på det typföretag som är gemensamt för hela den här handboken Medytekk. En utförligare beskrivning av Medytekk finns i kapitel 15. Exemplet är en riskanalys genomförd på den administrativa enheten. Detta är en delmängd av den totala riskanalysen. Enheten omfattar, förutom den administrative chefen, också en ekonomiavdelning med sex personer, en personalavdelning med fyra, en it-avdelning med fyra samt inköps- och försäljningsavdelningen med tio personer. I arbetsgruppen ingår den administrative chefen, en person från ekonomi-, personal-, IT- respektive inköpsoch försäljningsavdelningen. För att underlätta analysarbetet att har en konsult anlitats som motor och pådrivare. Appendix Översiktlig modell Denna analysmodell är indelad i tre faser. Gemensamt för alla faser är att de befintliga skyddsåtgärderna inte får beaktas under analysen. Orsaken är att det är mycket svårt att bedöma hur effektiva olika skyddsåtgärder är. Den första fasen genomförs oftast som en så kallad brainstorming session och omfattar följande delar: Appendix 3 Sida 3

4 identifiering av resurser (vad behövs för att kunna genomföra verksamheten), identifiering av hot mot respektive resurs, bedömning av sannolikheten för att hotet mot den specifika resursen ska uppträda, bedömning av konsekvensen av hotet mot den specifika resursen när det har uppträtt, visualisering av resultatet genom projektion i ett koordinatsystem, samstämmighet över vilka hot (per resurs) som ska hanteras vidare eller överföras till den fördjupade/ detaljerade modellen. I den andra fasen ingår följande del: utifrån varje enskilt hot (per resurs) analyseras källan till hotet. Är hotet exempelvis brand kan källan vara levande ljus, elfel, anlagd brand (sabotage) etcetera. I den tredje och avslutande fasen ingår följande delmoment: analysera källorna till respektive hot (per resurs) och ta fram lämpliga förebyggande skyddsåtgärder för att möta hotens ursprung. Det förebyggande skyddet vänder sig alltid mot hotets källa. Är källan exempelvis levande ljus kan ett förbud mot att ha levande ljus införas. analysera hoten (per resurs) och ta fram lämpliga skadebegränsande lösningar. Lösningen vänder sig alltid mot det realiserade hotet, exempelvis brand där den skadebegränsande lösningen kan vara sprinkler. åtgärdslistan (form av förebyggande och skadebegränsande lösningar) jämförs med vilka skydd som redan finns i verksamheten. Resultatet är skydd som bör införas för att möta hoten eller deras källor. förebyggande skydd och/eller skadebegränsande lösningar som återfinns på flera ställen i den reducerade åtgärdslistan är bra att införa eftersom de möter flera hot eller källor till hoten på samma gång. Normalt tar en analys som den ovan beskrivits mellan 40 och 80 mantimmar att genomföra. Fas 1 Identifiera resurser Identifiera hot mot varje resurs Bedöm hot till Sannolikhet Bedöm hot till Konsekvens Urval av hot Fas 3 Väg in befintligt skydd. Åtgärdsplan Identifera alla katastrofskydd till hoten Fas 2 Identifiera alla förebyggande skydd till orsakerna Identifiera alla orsaker till varje valt hot Appendix 3.5Förslag till lösningar översiktlig modell Nedan presenteras ett förslag till lösning som är baserat på företaget Medytekk. Syftet är att visa en arbetsmodell och ett strukturerat angreppsätt. Analyserna är inte kompletta utan visar en del av vad man bör ta hänsyn till för den administrativa avdelningen.. Appendix 3 Sida 4

5 Appendix Fas 1 I den indelade delen av analysen kunde analysgruppen bland annat finna resurserna i tabellen nedan (R1 R7). Man fann också att vissa specifika hot (H1 H15) kunde kopplas till respektive resurs. R-nr Resurs H-nr Hot R1 Personal H1 Våld eller hot om våld H2 Olycka R2 Datorer H3 Obehörig tillskansar sig konfidentiell H4 Stöld R3 Ekonomisystem H5 Inte tillgängligt H6 Falska utbetalningar H7 Manipulation av en R4 Nätverk H8 Inte tillgängligt H9 Avlyssning R5 Personaladministrativt system H10 Inte tillgängligt H11 Obehörig får del av konfidentiell R6 Betalningsrutiner H12 Inte tillgängligt H13 Manipulation av R7 Order, lager och faktureringssystem H14 Inte tillgängligt H15 Manipulation av En tabell som visar sannolikheten för att hoten ska realiseras togs också fram. Nivåerna 1 och 2 kan ses som mellanting mellan 0 och 3. Detsamma gäller för 4, 6, 7, 9 och 10. Sannolikhet (S) Nivå 0 = Osannolik, inträffar om 30 år. Nivå 3 = Mindre sannolik, inträffar om 5 år. Nivå 5 = Möjlig, kan inträffa under året. Nivå 8 = Sannolik, inträffar flera gånger per år. Konsekvens (K) Nivå 0 = Betydelselös. Nivå 3 = Låg, kan påverka trovärdighet, viss ekonomisk påverkan, gränslandet för vad som är lagligt (ej gråzon), lite påverkan på människor (liv och hälsa). Nivå 5 = Hög, är avgörande för trovärdighet, har stor ekonomisk påverkan, gråzonen för vad som är lagligt, stor påverkan på människor (liv och hälsa, flertal skadade). Nivå 8 = Mycket hög, kan hota företagets trovärdighet, mycket stor ekonomisk påverkan, är olagligt, mycket stor påverkan på människor (liv och hälsa, flertal döda eller svårt skadade). Appendix 3 Sida 5

6 Efter analysgruppens sannolikhets- och konsekvensbedömning framkom följade bild. R-nr Resurs H-nr Hot S K R1 Personal H1 Våld eller hot om våld 7 8 H2 Olycka 4 8 R2 Datorer H3 Obehörig tillskansar sig konfidentiell 3 9 H4 Stöld 6 3 R3 Ekonomisystem H5 Inte tillgängligt 6 7 H6 Falska utbetalningar 4 7 H7 Manipulation av en 3 8 R4 Nätverk H8 Inte tillgängligt 1 4 R5 Personaladministrativt system H9 Avlyssning 2 4 H10 Inte tillgängligt 1 4 H11 Obehörig får del av konfidentiell 3 3 R6 Betalningsrutiner H12 Inte tillgängligt 1 4 R7 Order, lager och faktureringssystem H13 Manipulation av 1 4 H14 Inte tillgängligt 1 4 H15 Manipulation av 2 4 Samtidigt förde man in värdena för hot och konsekvenser i ett koordinatsystem (origo = 5). Gruppen gick sedan vidare med att behandla de hot som ligger ovanför x-axeln, det vill säga de hot som har ett konsekvensvärde på 5 eller mer. Även om hoten under x-axeln inte behandlas vidare i analysen måste företaget regelbundet kontrollera att de inte kommit att spela en roll för verksamheten. Det troliga är att när åtgärder sätts in mot de utvalda hoten (över x-axeln) kommer de som lämnats kvar att få en ökad betydelse. Appendix 3 Sida 6

7 Appendix Fas 2 I den andra fasen ska arbetet leda fram till att orsakerna till varför hoten uppstår ska klarläggas. Gruppen fyller på med ytterligare en kolumn i den tabell de tidigare arbetat med. R-nr Resurs H-nr Hot S K Orsak R1 Personal H1 Våld eller hot om våld R2 Datorer H3 Obehörig tillskansar sig konfidentiell 7 8 Försöksdjursverksamhet Utsläpp av gift i närmiljö Industrispionage H2 Olycka 4 8 Trafikolycka säljpersonal Otillräckliga arbetarskydd 3 9 Lättillgänglig dator (ej fysiskt skyddad) Dator lämnad oövervakad och inloggad Fientligt program installerat som kopierar ut H4 Stöld 6 3 Bärbar dator förvaras i bil Datorn står lättillgänglig Industrispionage R3 Ekonomisystem H5 Inte tillgängligt 6 7 Nätverkskomponent har gått sönder Strömlöst H6 H7 Falska utbetalningar Manipulation av en Systemet fungerar inte 4 7 Felskrivning Anställd missnöjd Anställd i ekonomisk kris 3 8 Databrott Appendix Fas 3 I den avslutande tredje fasen ska förebyggandeskydd och skadebegränsande lösningar tas fram. Dessa skydd och lösningar ska vara dimensionerade för att klara av att stå emot de hot man vet finns mot verksamheten. Skydden ska därmed minimera sannolikheten för, och konsekvensen av att hoten förverkligas. Gruppen överlämnar tabellen nedan till analysledaren som dels kontrollerar relevansen hos punkterna, dels planerar hur skydden ska finansieras och införas. Appendix 3 Sida 7

8 Nr Resurs H-nr Hot S K Orsak R1 Personal H1 Våld eller hot om våld R2 Datorer H3 Obehörig tillskansar sig konfidentiell 7 8 Försöksdjursverksamhet Utsläpp av gift i närmiljö Industrispionage H2 Olycka 4 8 Trafikolycka säljpersonal Otillräckliga arbetarskydd 3 9 Lättillgänglig dator (ej fysiskt skyddad) Lämnad oövervakad och inloggad Fientlig programvara installerad som kopierar ut H4 Stöld 6 3 Bärbar dator förvaras i bil Förebyggande skydd (mot orsak) Regelbunden översyn av utrustning Invallning av området Information och utbildning Bra personalpolitik högt i tak Personal endast tillgång till den info som behövs för arbetet Bra tjänstebilar (hög klass) Regelbunden översyn av utrustningen Information och utbildning Tillse att obehöriga inte kan komma åt datorerna (fysiskt) Förvara inte konfidentiell på lätt-tillgängliga datorer Inför automatisk utloggning/låsning av dator inom viss tidsrymd Information och utbildning Installera antivirusprogram Tillåt inte användare att installera program Tillåt inte bifogade filer i e-post Information och utbildning Förvara inte bärbara datorer i Katastrofskydd (mot hot) Krisgrupp Inte genomföra tester på försöksdjur Företagshälsovård Krisgrupp Företagshälsovård Kryptera konfidentiell Appendix 3 Sida 8

9 Nr Resurs H-nr Hot S K Orsak Förebyggande skydd (mot orsak) bilen Katastrofskydd (mot hot) Datorn står lättillgänglig Industrispionage R3 Ekonomisystem H5 Inte tillgängligt 6 7 Nätverkskomponent har gått sönder Appendix 3.6 H6 H7 Falska utbetalningar Manipulation av en Förslag till åtgärder Flytta datorn till en plats som inte är lättillgänglig Lås fast datorn Kryptera en Spara ingen på pc Reservutrustning för nätverkskomponent som kan gå sönder Manuella rutiner Strömlöst Reservkraft Kontinuitetsplan Systemet fungerar inte Regelbundet underhåll 4 7 Felskrivning Inför rimlighetskontroller Lägg upp betalningsmottagare så att de endast kan väljas från fast meny Inför dualitet vid utbetalningar Anställd missnöjd Anställd i ekonomisk kris Bra personalpolitik högt i tak Information och utbildning för att känna igen missnöje Bra personalpolitik högt i tak Bra lön Goda möjligheter till personallån 3 8 Databrott Kontroll av loggar Prioriteringen av åtgärder görs med hänsyn till antalet hot, risknivåer och om det redan finns några skyddsåtgärder införda. Därefter är rapporten med föreslagna åtgärder och deras inbördes bedömning klar. Appendix 3 Sida 9

10 Appendix 3.7 Datorstödd riskanalys Det finns i dag en mängd hjälpmedel för att genomföra riskanalyser. Exempel på verktyg är SBA Scenario är ett verktyg vilket utvecklats med stöd från Dataföreningen i Sverige och ger en hot-, risk- och konsekvensanalys via scenarioteknik. RA2 (engelsk version) tar användaren steg för steg genom riskanalysen och föreslår åtgärder. RA2 är baserat på BS och ISO/IEC och är även användbart för att utforma dokumentet uttalande om tillämplighet vilket är ett måste vid en eventuell certifiering. CRAMM (engelsk version) - användbart vid fördjupad riskanalys. Appendix 3.8 Checklista Riskanalys Uppgift Planerad Utförd Möte med ledningen för att få dennas uttalade stöd för att genomföra en riskanalys. Utse en projektledare (internt eller externt) som får avsätta erforderlig tid för projektet. Kallelse till analysgruppsarbete skickas till de personer i verksamheten som aktivt kan bidra till arbetet och som får avsätta den tid som krävs tid för projektet. Informera och utbilda analysgruppen i valda riskanalysmetoder. Planera in projektet med tillhörande milstolpar (fasindelningen i den här skriften). Planera också in leveranstidpunkter till ledningen. Håll ledningen och andra berörda informerade om projektet. Finns processer och rutiner definierade och implementerade? Appendix 3 Sida 10

Vad kan hända? Hur troligt är det? Hur stor blir skadan? Hur kan detta mätas? Hur hanteras osäkerheterna? Utbildning i riskanalyser Riskanalysmetoder

Vad kan hända? Hur troligt är det? Hur stor blir skadan? Hur kan detta mätas? Hur hanteras osäkerheterna? Utbildning i riskanalyser Riskanalysmetoder Utbildning i riskanalyser metoder Johan Lundin, WSP johan.lundin@wspgroup.se 2011-04-29 Riskhantering (IEC-modellen, ISO-standard) Hanteringsprocess Bestäm omfattning Identifiera risker Riskuppskattning

Läs mer

IT-säkerhetspolicy för Landstinget Sörmland

IT-säkerhetspolicy för Landstinget Sörmland Bilaga 1, LS 115 /02 1.0 1(5) IT-säkerhetspolicy för Landstinget Sörmland Inledning Bakgrund och motiv Mål Medel Omfattning Organisation och ansvar Regelverk 1.0 2(5) Inledning Policyn är landstingsstyrelsens

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun. V A R B E R G S K O M M U N föregångare inom IT-säkerhet av lena lidberg Vilka är kommunens viktigaste IT-system? Och hur länge kan systemen ligga nere innan det uppstår kaos i verksamheterna? Frågor som

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

Riskanalys och handlingsplan för krishantering på bibliotek

Riskanalys och handlingsplan för krishantering på bibliotek Klaz Arvidson, Katarina Engvall & Karin Süld Riskanalys och handlingsplan för krishantering på bibliotek Paper presenterat vid konferensen 11-12 oktober 2006 i Borås Inledning Vi har arbetat i en arbetsgrupp

Läs mer

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet UFV 2012/715 Riktlinjer för informationssäkerhet Anvisningar för genomförande av risk- och hotbildsanalyser Fastställd av: Säkerhetschef 2012-04-02 Innehållsförteckning 1 Riskanalyser av systemförvaltningsobjekt

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

Säkerhet i fokus. Säkerhet i fokus

Säkerhet i fokus. Säkerhet i fokus Säkerhet i fokus Säkerhet i fokus Säkerhet är en av våra viktigaste frågor. Våra hyresgäster bedriver en daglig verksamhet i allt från kriminalvårds anstalter och domstolsbyggnader till speciella vårdhem

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och

Läs mer

Hur påvisar man värdet med säkerhetsarbetet i turbulenta tider och när budgeten är tight?

Hur påvisar man värdet med säkerhetsarbetet i turbulenta tider och när budgeten är tight? Hur påvisar man värdet med säkerhetsarbetet i turbulenta tider och när budgeten är tight? Fredrik Rehnström, CISSP, CISM, CGEIT Seniorkonsult, vvd, partner Ca 50% av de beslut som fattas görs på underlag

Läs mer

Säkerhetspolicy för Kristianstad kommun

Säkerhetspolicy för Kristianstad kommun 2007 POLICY OCH RIKTLINJER FÖR SÄKERHETSARBETE Fastställt av kommunstyrelsen 2007-11-21 267. Säkerhetspolicy för Kristianstad kommun Syfte Kristianstads kommun har ett ansvar att upprätthålla sina verksamheter

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM

SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM Version 2002-11-20 INNEHÅLLSFÖRTECKNING BAKGRUND...3 INLOGGNING...3 HANTERING AV INFORMATION...4 INTERNET...5 E-POST...6 INCIDENTER...6 BÄRBAR PC...6 ARBETSPLATSEN...7

Läs mer

Sitic. Informationssäkerhetspolicy. Om detta dokument. Förebyggande Råd från Sveriges IT-incidentcentrum. Om Förebyggande Råd från Sitic

Sitic. Informationssäkerhetspolicy. Om detta dokument. Förebyggande Råd från Sveriges IT-incidentcentrum. Om Förebyggande Råd från Sitic Sitic Sveriges IT-incidentcentrum FR04-01 Informationssäkerhetspolicy Förebyggande Råd från Sveriges IT-incidentcentrum Om Förebyggande Råd från Sitic Bakgrund I uppdraget för Sveriges IT-incidentcentrum

Läs mer

Riskanalys och riskhantering

Riskanalys och riskhantering Riskanalys och riskhantering Margaretha Eriksson, civ.ing. och doktorand i informationssäkerhet KTH Föreläsning 2 Mål känna till stegen i en risk- och sårbarhetsanalys kunna använda risk- och sårbarhetsanalys

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

Riskanalys. Version 0.3

Riskanalys. Version 0.3 Riskanalys Version 0.3 2 Upphovsrätt Tillåtelse ges att kopiera, distribuera, överföra samt skapa egna bearbetningar av detta dokument, även för kommersiellt bruk. Upphovsmannen måste alltid anges som

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Juridik och informationssäkerhet

Juridik och informationssäkerhet 2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga

Läs mer

Incidenthantering ur ledningskontra teknisktperspektiv. Stefan Öhlund & André Rickardsson 2010-12-14

Incidenthantering ur ledningskontra teknisktperspektiv. Stefan Öhlund & André Rickardsson 2010-12-14 Incidenthantering ur ledningskontra teknisktperspektiv Stefan Öhlund & André Rickardsson 2010-12-14 Stefan Öhlund Senior Advisor Ansvarig för affärsområdet Risk Management Bakgrund från Säkerhetspolisen

Läs mer

IT-säkerhet Internt intrångstest

IT-säkerhet Internt intrångstest Revisionsrapport IT-säkerhet Internt intrångstest Botkyrka kommun Janne Swenson Maj 2015 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Väsentlighets- och riskanalys... 3 Angreppssätt...

Läs mer

Metodstöd www.informationssäkerhet.se 2

Metodstöd www.informationssäkerhet.se 2 Riskanalys www.informationssäkerhet.se 2 Upphovsrätt Tillåtelse ges att kopiera, distribuera, överföra samt skapa egna bearbetningar av detta dokument, även för kommersiellt bruk. Upphovsmannen måste alltid

Läs mer

RIKTLINJER FÖR SÄKERHETSARBETET I 167-1 NYNÄSHAMNS KOMMUN

RIKTLINJER FÖR SÄKERHETSARBETET I 167-1 NYNÄSHAMNS KOMMUN 167-1 RIKTLINJER FÖR SÄKERHETSARBETET I 167-1 NYNÄSHAMNS KOMMUN Antagna av kommunfullmäktige den 9 april år 2003 enligt 49. 1. INLEDNING Syftet med riktlinjerna är att säkerställa en hög säkerhet mot skador

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

Försäkringspolicy med riktlinjer

Försäkringspolicy med riktlinjer KOMMUNLEDNINGSKONTORET Handläggare Datum Diarienummer Malmberg Jan 2015-01-26 KSN-2014-1490 Kommunstyrelsen Försäkringspolicy med riktlinjer Förslag till beslut Kommunstyrelsen föreslår kommunfullmäktige

Läs mer

Säkerhetspolicy för Ulricehamns kommun Antagen av Kommunstyrelsen 2012-06-04, 164

Säkerhetspolicy för Ulricehamns kommun Antagen av Kommunstyrelsen 2012-06-04, 164 120417 Säkerhetspolicy för Ulricehamns kommun Antagen av Kommunstyrelsen 2012-06-04, 164 1. Bakgrund Kommunstyrelsen har det övergripande ansvaret för det kommunala säkerhetsarbetet. En säkerhets- och

Läs mer

Användarhandbok. Nero BackItUp. Ahead Software AG

Användarhandbok. Nero BackItUp. Ahead Software AG Användarhandbok Nero BackItUp Ahead Software AG Information om copyright och varumärken Användarhandboken till Nero BackItUp och innehållet i den är skyddat av copyright och tillhör Ahead Software. Alla

Läs mer

Hot + Svaghet + Sårbarhet = Hotbild

Hot + Svaghet + Sårbarhet = Hotbild 4 Hotbild Du har säkert hört begreppet hotbild tidigare. Om jag skulle försöka mig på att klassificera begreppet hotbild skulle det kunna vara enligt följande formel: Hot + Svaghet + Sårbarhet = Hotbild.

Läs mer

Avbrott i bredbandstelefonitjänst

Avbrott i bredbandstelefonitjänst BESLUT 1(7) Datum Vår referens Aktbilaga 2013-10-17 Dnr: 12-9626 37 Nätsäkerhetsavdelningen Karin Lodin 073-644 56 04 karin.lodin@pts.se Avbrott i bredbandstelefonitjänst Saken Tillsyn enligt 7 kap. 1

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

IT-riktlinjer Nationell information

IT-riktlinjer Nationell information IT-riktlinjer Nationell information Syftet med denna It-riktlinje: den ska vägleda i användningen av Studiefrämjandets gemensamma datornätverk och dess it-resurser, vilket även innefattar den egna datorarbetsplatsen.

Läs mer

Dnr Rev 12-2008. Riskhantering, styrning och intern kontroll, sammanställning. GöteborgsOperan AB

Dnr Rev 12-2008. Riskhantering, styrning och intern kontroll, sammanställning. GöteborgsOperan AB Dnr Rev 12-2008 Riskhantering, styrning och intern kontroll, sammanställning GöteborgsOperan AB Vårt uppdrag/syfte Lekmannarevisorerna, Revisionsenheten VGR, gav oss i uppdrag att medverka till en sammanställning

Läs mer

ANVÄNDARHANDBOK. Advance Online

ANVÄNDARHANDBOK. Advance Online ANVÄNDARHANDBOK Advance Online INNEHÅLL Innehåll... 2 Välkommen!... 3 Allmän information... 3 Idén bakom Advance Online... 3 Att logga in på en terminalstation... 4 Allmänt... 4 Citrix-klienten... 4 Inloggning...

Läs mer

Miljöriskhantering enligt egenkontrollförordningen.

Miljöriskhantering enligt egenkontrollförordningen. Miljöriskhantering enligt egenkontrollförordningen. 2 Förord Denna vägledning är upprättad inför det seminarium om riskhantering som äger rum den 18 april 2007 i Länsstyrelsen lokaler. Seminariet vänder

Läs mer

Informations- säkerhet

Informations- säkerhet ISec Code of Conduct Internal information Informations- säkerhet Ditt ansvar! ISec Code of Conduct Informationssäkerhet Scanias verksamhet är beroende av att information är tillgänglig och hanteras på

Läs mer

KAMP Företagsutveckling

KAMP Företagsutveckling KAMP Företagsutveckling 2 Innehållsförteckning Allmänt... 3 De olika stegen vid riskanalys... 4 Sannolikhets-/påverkan-matrisen eller Rolf Johnsson-modellen... 7 Influensdiagram vid riskanalys... 9 Exempel:

Läs mer

SÄKERHETSPOLICY FÖR KÖPINGS KOMMUN

SÄKERHETSPOLICY FÖR KÖPINGS KOMMUN Köping2000, v3.2, 2011-07-04 1 (8) Drätselkontoret Jan Häggkvist 0221-251 11 jan.haggkvist@koping.se SÄKERHETSPOLICY FÖR KÖPINGS KOMMUN 1. Målsättning Målsättning för säkerhetsarbetet är att ett säkerhetsarbete

Läs mer

Riskhantering för administrativa projekt inom Karolinska Institutet

Riskhantering för administrativa projekt inom Karolinska Institutet Riskhantering för administrativa projekt inom Karolinska Institutet Riskhantering Identifiera Värdera/prioritera Åtgärda Fastställd 2002-06-24 1 Innehållsförteckning OM RISKHANTERING... 3 ALLMÄNT... 3

Läs mer

KRISPLAN VID STOCKHOLMS UNIVERSITET

KRISPLAN VID STOCKHOLMS UNIVERSITET 1 SU FU-2.11.1-3666-14 KRISPLAN VID STOCKHOLMS UNIVERSITET Fastställd av rektor 2014-12-18 2 INNEHÅLL 1 Syfte och mål 3 2 Händelser som omfattas av krisplan 3 3 Krisledningsstruktur 4 3.1 Krisledningsgruppen

Läs mer

Mall för riskbedömning

Mall för riskbedömning 1(6) DNR: Dubbelklicka här för att ändra [Fakultet/Institution/centrumbildning] [20ÅÅ-MM-DD] Mall för riskbedömning Nedan följer en kort beskrivning av på vilket sätt denna mall för riskhantering bör fyllas

Läs mer

Risk- och sårbarhetsanalys fritidsnämnden

Risk- och sårbarhetsanalys fritidsnämnden 2012-11-21 1 (6) TJÄNSTESKRIVELSE FRN 2012/133-809 Fritidsnämnden Risk- och sårbarhetsanalys fritidsnämnden Förslag till beslut Fritidsnämnden noterar informationen till protokollet Sammanfattning Kommunfullmäktige

Läs mer

Välkommen till enkäten!

Välkommen till enkäten! Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av

Läs mer

Patientsäkerhetsberättelse för Hälsan & Arbetslivet

Patientsäkerhetsberättelse för Hälsan & Arbetslivet Patientsäkerhetsberättelse för Hälsan & Arbetslivet Avseende år 2012 2013-02-11 Per Olevik Medicinskt ledningsansvarig läkare Sammanfattning I Hälsan & Arbetslivets ledningssystem ingår riskbedömningar,

Läs mer

FÖRHINDRA DATORINTRÅNG!

FÖRHINDRA DATORINTRÅNG! FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser

Läs mer

Informationssäkerhetsanvisning

Informationssäkerhetsanvisning HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Informationssäkerhetsanvisningar Användare Beslutad av enhetschef för Gemensamma förvaltningen i enlighet med rektors beslut fattat den 16 februari

Läs mer

Säkerhetsinstruktion för användare av UmUs it-resurser

Säkerhetsinstruktion för användare av UmUs it-resurser Sid 1 (7) Säkerhetsinstruktion för användare av UmUs it-resurser Innehållsförteckning 1 Bakgrund...2 2 Tillgång till it-resurserna...2 3 Hantering av information...4 4 Programvaror...4 5 Internet...4 6

Läs mer

ANVÄNDARHANDBOK Advance Online

ANVÄNDARHANDBOK Advance Online ANVÄNDARHANDBOK Advance Online 2013-09-27 INNEHÅLL Innehåll... 2 Välkommen till Advance Online!... 3 Allmän information... 3 Idén bakom Advance Online... 3 Att logga in på en terminalstation... 4 Allmänt...

Läs mer

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799 2003-01-24 Energibranschens IT-säkerhet 1 (13) Att införa LIS Förberedelser inför anpassning till ISO/IEC 17799 Vad är informationssäkerhet? Information är en tillgång som, liksom andra viktiga tillgångar

Läs mer

Presentation och bakgrund Kjell Ekbladh. Per Nordenstam

Presentation och bakgrund Kjell Ekbladh. Per Nordenstam Presentation och bakgrund Kjell Ekbladh Thomas Svensson Ur ett managementperspektiv / kommunledningsperspektiv Människor / teknik Medborgarnas förväntningar och krav idag och i framtiden Hur den kommunala

Läs mer

Policy för internkontroll för Stockholms läns landsting och bolag

Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag 2 (6) Innehållsförteckning Policy för internkontroll... 1 för Stockholms

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet 2 (8) Innehållsförteckning Bilaga 3 Säkerhet 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll

Läs mer

MILJÖHANDBOKEN Kapitel 4.4

MILJÖHANDBOKEN Kapitel 4.4 Naturvetenskapliga fakulteten Göteborgs universitet MILJÖHANDBOKEN Kapitel 4.4 Upprättat av miljösamordnaren 050927 Senast reviderat av miljösamordnaren 080411 Miljöriskinventering vid Naturvetenskapliga

Läs mer

Sänk kostnaderna genom a/ ställa rä/ krav och testa effektivt

Sänk kostnaderna genom a/ ställa rä/ krav och testa effektivt Sänk kostnaderna genom a/ ställa rä/ krav och testa effektivt Kravhantering / Testprocess - Agenda AGENDA Grundläggande kravhanteringsprocess. Insamling, dokumentation, prioritering, Test och förvaltning

Läs mer

Molntjänster och utkontraktering av kritisk verksamhet lagar och regler. Alireza Hafezi

Molntjänster och utkontraktering av kritisk verksamhet lagar och regler. Alireza Hafezi Molntjänster och utkontraktering av kritisk verksamhet lagar och regler Alireza Hafezi Säkerhetsskydd?! 2 Säkerhetsskyddslagen, 6 : Med säkerhetsskydd avses: > skydd mot spioneri, sabotage och andra brott

Läs mer

Ledningssystem för IT-tjänster

Ledningssystem för IT-tjänster Styrning och ledning av IT med stöd av internationella standarder Ledningssystem för IT-tjänster sixten.bjorklund@sipit.se 2013-11-05 Sip It AB, Sixten Björklund 1 Kort om Sixten Konsult i eget bolag Ledning

Läs mer

Inga krav utöver ISO 14001

Inga krav utöver ISO 14001 Förordning (2009:907) om miljöledning i statliga myndigheter Relaterat till motsvarande krav i ISO 14001 och EMAS De krav som ställs på miljöledningssystem enligt EMAS utgår från kraven i ISO 14001. Dessutom

Läs mer

Allmänna villkor för infrastrukturen Mina meddelanden

Allmänna villkor för infrastrukturen Mina meddelanden Allmänna villkor för infrastrukturen Mina meddelanden Bilaga 1 Krav på säkerhet för brevlådeoperatörer version 1.2 (Gäller fr.o.m. 2015-11-11) 2 Bakgrund och syfte Skatteverket tillhandahåller en myndighetsgemensam

Läs mer

Skydd mot stöld av datorutrustning

Skydd mot stöld av datorutrustning November 2003 Teknisk information Skydd mot stöld av datorutrustning En infoskrift från Sveriges Försäkringsförbund Syftet med denna information är att ge en bild av risker med speciell inriktning på inbrott

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

Vägledning för gemensam Lync-användning Västernorrlands län

Vägledning för gemensam Lync-användning Västernorrlands län Vägledning för gemensam Lync-användning Västernorrlands län Länsstyrelsen Västernorrland Styrdokument Sida 2 av 7 Innehållsförteckning 1 Inledning... 3 2 Användningsområden... 3 2.1 Mötesformer med Lync...

Läs mer

Förklarande text till revisionsrapport Sid 1 (5)

Förklarande text till revisionsrapport Sid 1 (5) Förklarande text till revisionsrapport Sid 1 (5) Kravelementen enligt standarden ISO 14001:2004 Kap 4 Krav på miljöledningssystem 4.1 Generella krav Organisationen skall upprätta, dokumentera, införa,

Läs mer

Utgångsvärden för Riskanalys

Utgångsvärden för Riskanalys Sida 1 (9) Utgångsvärden för Riskanalys 1.1.1. Syfte och mål Vid varje ändring i verksamheten som t ex omorganisation, är arbetsgivaren skyldig att upprätta en separat skriftlig riskbedömning kopplat mot

Läs mer

Policy för informationssäkerhet

Policy för informationssäkerhet .. - T C Q o,.. e Policy för informationssäkerhet Landstingsdirektörens stab augusti 2015 CJiflt LANDSTINGET BLEKINGE Innehållsförteckning Inledning och bakgrund... 3 Syfte... 3 Mål... 3 Genomförande...

Läs mer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf

Läs mer

Informationsklassning, riskanalys och åtgärdsplan för system som har direkt beroende till HSA

Informationsklassning, riskanalys och åtgärdsplan för system som har direkt beroende till HSA BYT UT DENNA GULA RUTA TILL DIN KOMMUNS LOGGA Dokumenttyp Informationssäkerhet Sida Område Systemkartläggning 1 (9) Läs detta och ta därefter bort denna kommentarruta. Denna mall syftar till att användas

Läs mer

Intern styrning och kontroll

Intern styrning och kontroll Intern styrning och kontroll Fastställd av rektor 2014-02-04 Innehållsförteckning Inledning 3 1 Processen för intern styrning och kontroll 3 1.1 Riskanalyser 4 1.1.1 Riskidentifikation 4 1.1.2 Riskvärdering

Läs mer

METODBESKRIVNING. Riskbedömning för användning av trycksatta anordningar INSPECTA. Revision nr: 1

METODBESKRIVNING. Riskbedömning för användning av trycksatta anordningar INSPECTA. Revision nr: 1 INSPECTA Riskbedömning för användning av trycksatta anordningar Revision nr: 1 INSPECTA SWEDEN AB BOX 30100 104 25 STOCKHOLM TEL 08-5011 3000 FAX 08-5011 3001 www.inspecta.com Sida 1 av 7 Tekn_Rapp_Swe_Sv_003_090101

Läs mer

Bilaga 1 Komplettering av säkerhetsrapport

Bilaga 1 Komplettering av säkerhetsrapport Bilaga 1 Komplettering av säkerhetsrapport Ni ska komplettera säkerhetsrapporten med den riskanalys som ligger till grund för rapporten och i övrigt i enlighet med punkterna 2 8 i länsstyrelsens yttrande

Läs mer

Riktlinjer för internkontroll i Kalix kommun

Riktlinjer för internkontroll i Kalix kommun Riktlinjer för internkontroll i Kalix kommun Antaget av kommunfullmäktige 2012-11-26--27, 182 Innehållsförteckning Riktlinjer för internkontroll i Kalix kommun...1 Inledning...1 Internkontroll...1 Organisation

Läs mer

Begrepp och definitioner

Begrepp och definitioner Begrepp och definitioner I riskanalysen förekommer flera begrepp och definitioner som är nödvändiga att känna till för att kunna förstå riskanalysen. Några väsentliga begrepp och definitioner förklaras

Läs mer

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Metoder för datasäkerhet. Vad handlar en sådan kurs om??? Metoder för datasäkerhet Vad handlar en sådan kurs om??? Vad avses då media rapporterar om datasäkerhet? Oftast resultat av brister i säkerheten Allt möjligt av helt olika karaktär, som Försvunna viktiga

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 )

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 ) Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 14-11-24 dnr V 2014/853 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum November 2014 Publicerad Beslutsfattare

Läs mer

NYA Panda Platinum Internet Security 2007 Snabbguide Viktigt! Läs avsnittet om onlineregistrering i den här guiden noggrant. Informationen i det här avsnittet är viktig för att skydda din dator. Avinstallera

Läs mer

Kontinuitetshantering IT-avbrott - hur beroende är ditt företag?

Kontinuitetshantering IT-avbrott - hur beroende är ditt företag? Kontinuitetshantering IT-avbrott - hur beroende är ditt företag? IT-avbrott - hur beroende är ditt företag? Automatisk kontroll av mängd och vikt, kontinuerlig övervakning av kyl- och frystemperaturer,

Läs mer

Handbok Informationsklassificering

Handbok Informationsklassificering Stockholms stad Handbok Informationsklassificering Stockholm 2008-03-18 1. Informationssäkerhet Kraven på säkerhet i en organisation med IT-stöd skall ställas i relation till de krav som ställs på organisationens

Läs mer

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system Stockholms läns landsting Landstingsstyrelsens förvaltning SLL Informationssäkerhet SLL IT Handläggare: Vesna Lucassi Landstingsstyrelsens innovationsberedning Ankom Stockholms läns landsting 2015-08-

Läs mer

Regler för användning av Oskarshamns kommuns IT-system

Regler för användning av Oskarshamns kommuns IT-system Regler för användning av Oskarshamns kommuns IT-system Gäller från 2006-01-01 1. Bakgrund Information är en viktig tillgång för vår organisation. All information som har skapats här på kommunen har tagit

Läs mer

HANDLINGSPLAN FÖR ÖKAD KOMPETENS HOS MEDARBETARE PÅ STERILTEKNISK ENHET

HANDLINGSPLAN FÖR ÖKAD KOMPETENS HOS MEDARBETARE PÅ STERILTEKNISK ENHET HANDLINGSPLAN FÖR ÖKAD KOMPETENS HOS MEDARBETARE PÅ STERILTEKNISK ENHET Sterilteknikerutbildningen Sollefteå Lärcenter 300 YH p, 2013 Författare: Cecilia Söderberg Handledare: Maria Hansby Sammanfattning

Läs mer

Tekniskt driftdokumentation & krishantering v.1.0

Tekniskt driftdokumentation & krishantering v.1.0 Tekniskt driftdokumentation & krishantering v.1.0 Denna driftdokumentation avser driftmiljön hos Camero AB:s webbhotell, både delade och dedikerade lösningar. Teknisk dokumentation Cameros webbhotell har

Läs mer

Ledningsfilosofi Vision, verksamhetsidé och mål

Ledningsfilosofi Vision, verksamhetsidé och mål Ledningsfilosofi Vision, verksamhetsidé och mål V 4.2, fastställd av direktionen 2011-12-08 Innehåll Inledning... 2 1. Uppdrag... 3 2. Ledningsfilosofi... 4 Värdegrund... 4 Ledningssystem i kvalitet...

Läs mer

REDOGÖRELSE FÖR SKANDIA FONDERS ERSÄTTNINGAR 2012

REDOGÖRELSE FÖR SKANDIA FONDERS ERSÄTTNINGAR 2012 1 (6) REDOGÖRELSE FÖR SKANDIA FONDERS ERSÄTTNINGAR 2012 Regelverk för ersättningar Finansinspektionen har utfärdat allmänna råd om ersättningspolicy i försäkringsföretag, fondbolag, börser, clearingorganisationer

Läs mer

Bilaga 3c Informationssäkerhet

Bilaga 3c Informationssäkerhet SID 1 (9) Bilaga 3c Informationssäkerhet Förfrågningsunderlag Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm Box 22049, 104 22 Stockholm. Besöksadress

Läs mer

GUIDE för uppföljning/revision. Uppföljning av integrerade ledningssystem

GUIDE för uppföljning/revision. Uppföljning av integrerade ledningssystem GUIDE för uppföljning/revision Uppföljning av integrerade ledningssystem BAKGRUND / SYFTE Många företag arbetar idag med integrerade ledningssystem för miljö, hälsa och säkerhet. Syftet med denna guide

Läs mer

Metodstöd www.informationssäkerhet.se 2

Metodstöd www.informationssäkerhet.se 2 Projektplanering www.informationssäkerhet.se 2 Upphovsrätt Tillåtelse ges att kopiera, distribuera, överföra samt skapa egna bearbetningar av detta dokument, även för kommersiellt bruk. Upphovsmannen måste

Läs mer

SÄKERHETSLEDNINGSSYSTEM Dokumentnamn: Säkerhetsmål 2015-2018. LUL 3.1 Godkänd: Säkerhetsmål

SÄKERHETSLEDNINGSSYSTEM Dokumentnamn: Säkerhetsmål 2015-2018. LUL 3.1 Godkänd: Säkerhetsmål Gäller för: Landstinget i Uppsala län Handläggare: Mikael Ekberg SÄKERHETSLEDNINGSSYSTEM Dokumentnamn: Dokumentnr: Säkerhetsmål 2015-2018 LUL 3.1 Godkänd: Eva Ljung Version: 1 Sida: 1 (8) Gäller fr.o.m.:

Läs mer

OBS! Kopior papper/filer kan vara ogiltiga, senaste utgåva se Intranet.

OBS! Kopior papper/filer kan vara ogiltiga, senaste utgåva se Intranet. Utgåva: 2 Datum: 2010-09-09 Sida 1(5) Husums fabrik Riskbedömning Riskanalyser I arbetsmiljölagen anges att arbetsgivaren har huvudansvaret för arbetsmiljön. Lagen ger ramarna för hur ansvaret skall uppfyllas.

Läs mer

Toshiba EasyGuard i praktiken: Portégé M300

Toshiba EasyGuard i praktiken: Portégé M300 Superlätt och robust allt-i-ett-produkt. Toshiba EasyGuard innehåller funktioner som är speciellt utformade för att ge ökad datasäkerhet, avancerat systemskydd och enklare anslutningar. I denna artikel

Läs mer

GIS-strategi. för Nybro kommun. GIS-samordnare Lise Svensson. Antagen av kommunfullmäktige 2013-02-25

GIS-strategi. för Nybro kommun. GIS-samordnare Lise Svensson. Antagen av kommunfullmäktige 2013-02-25 GIS-strategi för Nybro kommun Antagen av kommunfullmäktige 2013-02-25 GIS-samordnare Lise Svensson 2 Inledning Bakgrund Geografiska informationssystem, GIS, används idag av de flesta kommuner, organisationer,

Läs mer

Användarmanual Elevdator

Användarmanual Elevdator Användarmanual Elevdator UBG Elev-PC Introduktion Innehållsförteckning 1 GENERELL INFORMATION... 2 1.1 Garanti och försäkring... 2 1.2 Innehåll i datorpaket... 2 2 TIPS FÖR ANVÄNDNING AV DIN DATOR... 2

Läs mer

Riksarkivets författningssamling

Riksarkivets författningssamling Riksarkivets författningssamling ISSN 0283-2941 Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar (upptagningar för automatiserad behandling); RA-FS 2009:1 Utkom från trycket den 1

Läs mer

Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004

Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004 Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004 I checklistan gäller det att instämma med de påståenden som anges i listan för att vara säker på att verksamhetens miljöledningssystem

Läs mer

FCAB KVALITETSSYSTEM. Projektledning och kvalitetssäkring

FCAB KVALITETSSYSTEM. Projektledning och kvalitetssäkring Projektledning och kvalitetssäkring KVALITETSSYSTEM Kvalitetssäkring ingår som en naturlig del i FC. AB:s arbetsmodell. FC. AB:s arbetsmodell är väl dokumenterad och används för alla delar av utvecklingskedjan.

Läs mer

BILAGA 3 Tillitsramverk Version: 1.3

BILAGA 3 Tillitsramverk Version: 1.3 BILAGA 3 Tillitsramverk Version: 1.3 Innehåll Allmänt... 2 A. Generella krav... 2 Övergripande krav på verksamheten... 2 Säkerhetsarbete... 3 Granskning och uppföljning... 3 Kryptografisk säkerhet... 3

Läs mer

Utveckling av gemensamma arbetsprocesser för högskolans verksamhetsstöd

Utveckling av gemensamma arbetsprocesser för högskolans verksamhetsstöd Dnr Mahr 19-2014/568 1 (av 10) Projektplan Beslutsdatum: Beslutande: Dokumentansvarig: 2015-03-27 Susanne Wallmark Jenny Wendle Revisionsinformation Version Datum Kommentar 1.0 150327 Slutgiltig projektplan

Läs mer

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare Lösenord lösenordet ska vara minst 8 tecken långt. lösenordet

Läs mer

Exponerade fakturor på internet

Exponerade fakturor på internet BESLUT 1(6) Datum Vår referens Aktbilaga 2013-12-18 Dnr: 13-9151 12 Nätsäkerhetsavdelningen Jeanette Kronwall 08-6785898 jeanette.kronwall@pts.se TeliaSonera AB Att: Ann Ekstrand Stab Juridik, Regulatoriska

Läs mer

Övergripande granskning av ITverksamheten

Övergripande granskning av ITverksamheten Övergripande granskning av ITverksamheten Februari 2006 (1) 1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads

Läs mer