Appendix 3 - Riskanalys

Storlek: px
Starta visningen från sidan:

Download "Appendix 3 - Riskanalys"

Transkript

1 Appendix3 Riskanalys Inledning Riskanalysen ska identifiera allt som kan gå snett i ett företag och hur stor sannolikheten är att det ska inträffa, vilka konsekvenser och om möjligt en kostnadskalkyl. För att genomföra en riskanalys krävs att kärnverksamheten d.v.s. den verksamhetsprocess och de resurser företaget lever på har identifierats. Till detta finns stödjande verksamheter som i sig är viktiga, men ändå har något lägre prioritet. I kärnverksamheten ingår resurser som personal, utrustningar och maskiner, program, service och underhåll, externa beroenden som leverantörer, råvaror, tjänster, transporter etc. Varje komponent (del) i kärnverksamheten måste identifieras och därefter analyseras ur risksynpunkt. Noggrannheten avgör kvaliteten på resultatet. Det finns många olika metoder och underlag att arbeta efter, det viktigaste är ändå att kunna värdera konsekvenserna och förlängningen av det som kan inträffa. Det är därför inte metoderna eller underlagen som är det viktigaste, utan kunskapen hos den eller de som leder riskanalysprocessen. Riskanalys handlar om att definiera de hot som en verksamhet möter. Eftersom hoten inte av sig själva påverkar verksamheten utan behöver ett hål i verksamheten, brukar detta hål kallas sårbarhet. Det är först när vi har kombinationen hot tillsammans med sårbarhet som vi får en större eller mindre påverkan på de tillgångar som vi försöker skydda. Aktivt riskanalysarbete är grunden för att införa och vidmakthålla ett ledningssystem för ssäkerhet i verksamheten. Det rekommenderade tillvägagångssättet är att först genomföra en övergripande riskanalys. Utifrån resultatet från denna genomförs sedan en mer detaljerad riskanalys för de områden som i den första riskanalysen har ansetts utgöra en risk för verksamheten. Appendix 3.1 Referenser i berörda standarder Riskanalys är en process som identifierar säkerhetsrisker och bestämmer deras betydelse (ISO Guide 73). Riskanalysen är grunden för att införa ett ledningssystem för ssäkerhet i verksamheten. Några områden lyfter kravet på riskanalys extra tydligt i de råd som finns i SS ISO/IEC 17799: Samordning av ssäkerhet. Avsikten är att samordna alla de aktiviteter som ska genomföras för att bland annat utjämna skillnader mellan olika funktioner, avdelningar och geografiskt spridda delar av verksamheten Riskanalys vid utomståendes åtkomst. Avsikten är att bedöma risken med att låta en tredje part ansluta sig till verksamhetens ssystem Säkerhet för utrustning utanför egna lokaler. Avsikten är att bedöma risken med att ha utrustning utanför egna skyddade lokaler Analys och specifikation av säkerhetskrav. Grunden för att göra en analys av säkerhetskraven och för att identifiera de adekvata åtgärderna är riskanalysen Säkerhet i tillämpningssystem. Eventuella ytterligare åtgärder som kan krävas för system som bearbetar eller kan påverka känsliga, värdefulla eller kritiska tillgångar för verksamheten ska avgöras på grundval av en riskanalys och eventuella säkerhetskrav Policy för användning av krypteringsmetoder. En riskanalys bör ligga till grund för att bestämma ens skydd och därmed också valet av en eventuell krypteringsmetod Avbrotts- och konsekvensanalys. Riskanalysens syfte är att bedöma följderna av ett avbrott och utgör tillsammans med andra analyser grunden för kontinuitetsplanen. Appendix 3.2 Definitioner av begrepp Hot: ett möjligt utfall av en oönskad incident som kan leda till skada i ett system eller för en verksamhet. Konsekvens: den effekt som blir resultatet när en risk förverkligats. Kvarvarande risk: skyddsåtgärder tar inte bort risken till fullo. Det finns alltid en viss sannolikhet att den kvarvarande risken realiseras och medför skada i någon form (konsekvens). Påverkan: resultatet av en oönskad incident. Riskacceptans: den medvetna handlingen att leva med riskens konsekvens/-er. Riskanalys: processen att identifiera risker och försöka förutsäga hur de påverkar verksamheten. Riskreduktion: att minska risken genom att mildra, förebygga eller föregripa den. Det kan ske genom att undvika risken, överföra den genom exempelvis försäkringar, eller genom att reducera hotet, sårbarheten eller den möjliga påverkan (skadan). Det kan också ske genom att upptäcka oönskade händelser, reagera på dem och sedan återställa förhållandena till sitt ursprungsläge. Riskskydd: reduktionen av sannolikheten och/eller konsekvensen. Sannolikhet: frekvensen med vilket ett hot realiseras. Appendix 3 Sida 1

2 Skyddsåtgärd: rutin, procedur eller mekanism som reducerar risken. Sårbarhet: en svaghet, felkonstruktion, ett säkerhetshål eller liknande som kan användas och därmed blir ett hot som leder till en skada. Tillgång: allt som har ett värde för verksamheten. Det kan bland annat röra sig om det verksamheten äger, driver, hyr, kontrollerar, har vårdanden om, ansvarar för, köper, säljer, designar, producerar, testar, analyserar och underhåller. Utsatthet: vad verksamheten är utsatt för och hur kan det bidra till skada, stöld, förlust av egendom eller andra verksamhetstillgångar. Utsattheten kan också bidra till personskada på anställda eller andra personer. Appendix 3.3 Riskstyrningsprocessen Riskstyrning (risk management) hade sin födelse i 1700-talets upplysningstid, då man utforskade det okända i jakten på kunskap. I dag använder vi riskstyrning som en generell process för att komma till rätta med lösa risker. Om konsekvensen av en risk är acceptabel anses risken vara löst. I riskstyrningsprocessen ingår två huvuddelar. Den första är riskanalysen, som vi använder för att definiera riskerna. Riskanalysen är en sökande och upptäckande process för att finna hoten och dess källor. Det är sedan möjligt att bedöma den effekt hoten kan ha på verksamheten. Den andra delen kallas riskkontroll och är ett sätt att kontrollera riskerna och reducera dem. Processen leder fram till att det blir möjligt att ta fram en åtgärdsplan, kontrollera riskstatus, införa åtgärder och korrigera eventuella avsteg från planen. Förändringar av hotbilden resulterar i en förnyad riskanalys. Det är normalt att verksamheten i ett tidigt skede av riskstyrningsprocessen bara har vaga aningar om vad som kan drabba den. Ofta finns många funderingar, viss misstro och okända faktorer att begrunda. Meningen med riskstyrningsprocessen är att omvandla osäkerheterna till ett mer acceptabelt och beräkningsbart risktagande, men också att förstå vilka komponenter som måste beaktas i de beslut som fattas. När risker ska identifieras och analyseras inleds också arbetet med att undersöka sannolikheten för att risken ska realiseras och vad som kan bli konsekvensen. Appendix Riskanalys Hoten mot verksamheten tillsammans med säkerhetshål ökar verksamhetens sårbarhet. En risk existerar även om ingen har lyckats identifiera den, och konsekvensen av risken beror inte på om den har bedömts viktig eller inte. Det är bara de åtgärder som vidtagits för att komma till rätta med risken förebyggande eller skadereducerande som motverkar att den blir ett problem. Oavsett hur risken en gång bedömts kan den ändra sin betydelse allt eftersom tiden går. Det medför också att riskanalysen som arbetssätt inte är en engångsföreteelse utan en cyklisk process som helst bör återkomma minst en gång per år eller när förändringar sker i processer eller på andra sätt. Åtgärderna reducerar riskerna och motverkar hoten. En mycket viktig del inom riskanalysområdet är att balansera kostnaden för åtgärderna mot de risker som finns. Ett skydd eller en åtgärd mot en viss risk ska alltså inte vara starkare än nödvändigt, men inte heller kosta för mycket i förhållande till vad skadan hade kostat om den faktiskt inträffat. Om verksamheten vill förenkla och standardisera besluten som måste fattas i samband med riskanalysen kan olika typer av beslutsmatriser byggas upp. Nedan följer ett exempel på hur en sådan matris skulle kunna vara uppbyggd. Appendix 3 Sida 2

3 Skadefrekvens Grad av förlust Hög Medium Låg Hög Skadeförebygg Skadeförebygg och reducera Medium Skadeförebygg och reducera Skadereducera och överför till försäkring Låg Skadereducera Skadereducera med eftertanke Överför till försäkring Avvakta förändring, överför till försäkring Avvakta förändring, ingen åtgärd För att placera riskhantering och -styrning i ett affärsmässigt sammanhang bör man se till vad skadan kostar och hur mycket verksamheten måste tjäna in för att täcka förlusten. Tabellen nedan försöker översiktligt beskriva detta. Nettovinst (försäljningsvärde för att tjäna in förlusten, avr. värde i kr) Skadekostnad/förlust (kr) 4% 5% 6% Förlustkostnaderna är hämtad från Brottsförebyggande rådets analys 2000 (BRÅ:2000:2) över skadekostnader i samband med dataintrång. Enligt rapporten är medelkostnaden för ett dataintrång kronor. Om verksamheten utsätts för ett intrång måste en verksamhet med 4 procents vinstmarginal sälja för nästan 9 miljoner kronor innan förlusten är täckt. Appendix Riskkontroll Riskkontrollen är en ständigt pågående verksamhet som syftar till att se om hotbilden förändras. Gör den det signalerar riskkontrollen om att en ny isolerad riskanalys ska genomföras för det område vars verklighet förändrats i någon form. Det innebär samtidigt att en ny åtgärdsplan ska tas fram för att reducera de nya hoten så långt som möjligt men också att korrigera verksamheten om och när den gör avsteg från de fastlagda planerna. Riskkontrollen blir därmed en mycket viktig del av riskstyrningsprocessen. Appendix 3.4 Riskanalys i praktiken exempel I det här kapitlet beskrivs en översiktlig modell som tar relativt kort tid i anspråk Det är nödvändigt att de personer som besitter kunskap om verksamheten och hur den bedrivs också finns med under de praktiska delarna i hela analysarbetet. Någon hänsyn till befintliga skyddsåtgärder ska inte tas, eftersom det är mycket svårt att bedöma effektiviteten hos varje åtgärd. I det följande praktiska exemplet på riskanalys används modellen på det typföretag som är gemensamt för hela den här handboken Medytekk. En utförligare beskrivning av Medytekk finns i kapitel 15. Exemplet är en riskanalys genomförd på den administrativa enheten. Detta är en delmängd av den totala riskanalysen. Enheten omfattar, förutom den administrative chefen, också en ekonomiavdelning med sex personer, en personalavdelning med fyra, en it-avdelning med fyra samt inköps- och försäljningsavdelningen med tio personer. I arbetsgruppen ingår den administrative chefen, en person från ekonomi-, personal-, IT- respektive inköpsoch försäljningsavdelningen. För att underlätta analysarbetet att har en konsult anlitats som motor och pådrivare. Appendix Översiktlig modell Denna analysmodell är indelad i tre faser. Gemensamt för alla faser är att de befintliga skyddsåtgärderna inte får beaktas under analysen. Orsaken är att det är mycket svårt att bedöma hur effektiva olika skyddsåtgärder är. Den första fasen genomförs oftast som en så kallad brainstorming session och omfattar följande delar: Appendix 3 Sida 3

4 identifiering av resurser (vad behövs för att kunna genomföra verksamheten), identifiering av hot mot respektive resurs, bedömning av sannolikheten för att hotet mot den specifika resursen ska uppträda, bedömning av konsekvensen av hotet mot den specifika resursen när det har uppträtt, visualisering av resultatet genom projektion i ett koordinatsystem, samstämmighet över vilka hot (per resurs) som ska hanteras vidare eller överföras till den fördjupade/ detaljerade modellen. I den andra fasen ingår följande del: utifrån varje enskilt hot (per resurs) analyseras källan till hotet. Är hotet exempelvis brand kan källan vara levande ljus, elfel, anlagd brand (sabotage) etcetera. I den tredje och avslutande fasen ingår följande delmoment: analysera källorna till respektive hot (per resurs) och ta fram lämpliga förebyggande skyddsåtgärder för att möta hotens ursprung. Det förebyggande skyddet vänder sig alltid mot hotets källa. Är källan exempelvis levande ljus kan ett förbud mot att ha levande ljus införas. analysera hoten (per resurs) och ta fram lämpliga skadebegränsande lösningar. Lösningen vänder sig alltid mot det realiserade hotet, exempelvis brand där den skadebegränsande lösningen kan vara sprinkler. åtgärdslistan (form av förebyggande och skadebegränsande lösningar) jämförs med vilka skydd som redan finns i verksamheten. Resultatet är skydd som bör införas för att möta hoten eller deras källor. förebyggande skydd och/eller skadebegränsande lösningar som återfinns på flera ställen i den reducerade åtgärdslistan är bra att införa eftersom de möter flera hot eller källor till hoten på samma gång. Normalt tar en analys som den ovan beskrivits mellan 40 och 80 mantimmar att genomföra. Fas 1 Identifiera resurser Identifiera hot mot varje resurs Bedöm hot till Sannolikhet Bedöm hot till Konsekvens Urval av hot Fas 3 Väg in befintligt skydd. Åtgärdsplan Identifera alla katastrofskydd till hoten Fas 2 Identifiera alla förebyggande skydd till orsakerna Identifiera alla orsaker till varje valt hot Appendix 3.5Förslag till lösningar översiktlig modell Nedan presenteras ett förslag till lösning som är baserat på företaget Medytekk. Syftet är att visa en arbetsmodell och ett strukturerat angreppsätt. Analyserna är inte kompletta utan visar en del av vad man bör ta hänsyn till för den administrativa avdelningen.. Appendix 3 Sida 4

5 Appendix Fas 1 I den indelade delen av analysen kunde analysgruppen bland annat finna resurserna i tabellen nedan (R1 R7). Man fann också att vissa specifika hot (H1 H15) kunde kopplas till respektive resurs. R-nr Resurs H-nr Hot R1 Personal H1 Våld eller hot om våld H2 Olycka R2 Datorer H3 Obehörig tillskansar sig konfidentiell H4 Stöld R3 Ekonomisystem H5 Inte tillgängligt H6 Falska utbetalningar H7 Manipulation av en R4 Nätverk H8 Inte tillgängligt H9 Avlyssning R5 Personaladministrativt system H10 Inte tillgängligt H11 Obehörig får del av konfidentiell R6 Betalningsrutiner H12 Inte tillgängligt H13 Manipulation av R7 Order, lager och faktureringssystem H14 Inte tillgängligt H15 Manipulation av En tabell som visar sannolikheten för att hoten ska realiseras togs också fram. Nivåerna 1 och 2 kan ses som mellanting mellan 0 och 3. Detsamma gäller för 4, 6, 7, 9 och 10. Sannolikhet (S) Nivå 0 = Osannolik, inträffar om 30 år. Nivå 3 = Mindre sannolik, inträffar om 5 år. Nivå 5 = Möjlig, kan inträffa under året. Nivå 8 = Sannolik, inträffar flera gånger per år. Konsekvens (K) Nivå 0 = Betydelselös. Nivå 3 = Låg, kan påverka trovärdighet, viss ekonomisk påverkan, gränslandet för vad som är lagligt (ej gråzon), lite påverkan på människor (liv och hälsa). Nivå 5 = Hög, är avgörande för trovärdighet, har stor ekonomisk påverkan, gråzonen för vad som är lagligt, stor påverkan på människor (liv och hälsa, flertal skadade). Nivå 8 = Mycket hög, kan hota företagets trovärdighet, mycket stor ekonomisk påverkan, är olagligt, mycket stor påverkan på människor (liv och hälsa, flertal döda eller svårt skadade). Appendix 3 Sida 5

6 Efter analysgruppens sannolikhets- och konsekvensbedömning framkom följade bild. R-nr Resurs H-nr Hot S K R1 Personal H1 Våld eller hot om våld 7 8 H2 Olycka 4 8 R2 Datorer H3 Obehörig tillskansar sig konfidentiell 3 9 H4 Stöld 6 3 R3 Ekonomisystem H5 Inte tillgängligt 6 7 H6 Falska utbetalningar 4 7 H7 Manipulation av en 3 8 R4 Nätverk H8 Inte tillgängligt 1 4 R5 Personaladministrativt system H9 Avlyssning 2 4 H10 Inte tillgängligt 1 4 H11 Obehörig får del av konfidentiell 3 3 R6 Betalningsrutiner H12 Inte tillgängligt 1 4 R7 Order, lager och faktureringssystem H13 Manipulation av 1 4 H14 Inte tillgängligt 1 4 H15 Manipulation av 2 4 Samtidigt förde man in värdena för hot och konsekvenser i ett koordinatsystem (origo = 5). Gruppen gick sedan vidare med att behandla de hot som ligger ovanför x-axeln, det vill säga de hot som har ett konsekvensvärde på 5 eller mer. Även om hoten under x-axeln inte behandlas vidare i analysen måste företaget regelbundet kontrollera att de inte kommit att spela en roll för verksamheten. Det troliga är att när åtgärder sätts in mot de utvalda hoten (över x-axeln) kommer de som lämnats kvar att få en ökad betydelse. Appendix 3 Sida 6

7 Appendix Fas 2 I den andra fasen ska arbetet leda fram till att orsakerna till varför hoten uppstår ska klarläggas. Gruppen fyller på med ytterligare en kolumn i den tabell de tidigare arbetat med. R-nr Resurs H-nr Hot S K Orsak R1 Personal H1 Våld eller hot om våld R2 Datorer H3 Obehörig tillskansar sig konfidentiell 7 8 Försöksdjursverksamhet Utsläpp av gift i närmiljö Industrispionage H2 Olycka 4 8 Trafikolycka säljpersonal Otillräckliga arbetarskydd 3 9 Lättillgänglig dator (ej fysiskt skyddad) Dator lämnad oövervakad och inloggad Fientligt program installerat som kopierar ut H4 Stöld 6 3 Bärbar dator förvaras i bil Datorn står lättillgänglig Industrispionage R3 Ekonomisystem H5 Inte tillgängligt 6 7 Nätverkskomponent har gått sönder Strömlöst H6 H7 Falska utbetalningar Manipulation av en Systemet fungerar inte 4 7 Felskrivning Anställd missnöjd Anställd i ekonomisk kris 3 8 Databrott Appendix Fas 3 I den avslutande tredje fasen ska förebyggandeskydd och skadebegränsande lösningar tas fram. Dessa skydd och lösningar ska vara dimensionerade för att klara av att stå emot de hot man vet finns mot verksamheten. Skydden ska därmed minimera sannolikheten för, och konsekvensen av att hoten förverkligas. Gruppen överlämnar tabellen nedan till analysledaren som dels kontrollerar relevansen hos punkterna, dels planerar hur skydden ska finansieras och införas. Appendix 3 Sida 7

8 Nr Resurs H-nr Hot S K Orsak R1 Personal H1 Våld eller hot om våld R2 Datorer H3 Obehörig tillskansar sig konfidentiell 7 8 Försöksdjursverksamhet Utsläpp av gift i närmiljö Industrispionage H2 Olycka 4 8 Trafikolycka säljpersonal Otillräckliga arbetarskydd 3 9 Lättillgänglig dator (ej fysiskt skyddad) Lämnad oövervakad och inloggad Fientlig programvara installerad som kopierar ut H4 Stöld 6 3 Bärbar dator förvaras i bil Förebyggande skydd (mot orsak) Regelbunden översyn av utrustning Invallning av området Information och utbildning Bra personalpolitik högt i tak Personal endast tillgång till den info som behövs för arbetet Bra tjänstebilar (hög klass) Regelbunden översyn av utrustningen Information och utbildning Tillse att obehöriga inte kan komma åt datorerna (fysiskt) Förvara inte konfidentiell på lätt-tillgängliga datorer Inför automatisk utloggning/låsning av dator inom viss tidsrymd Information och utbildning Installera antivirusprogram Tillåt inte användare att installera program Tillåt inte bifogade filer i e-post Information och utbildning Förvara inte bärbara datorer i Katastrofskydd (mot hot) Krisgrupp Inte genomföra tester på försöksdjur Företagshälsovård Krisgrupp Företagshälsovård Kryptera konfidentiell Appendix 3 Sida 8

9 Nr Resurs H-nr Hot S K Orsak Förebyggande skydd (mot orsak) bilen Katastrofskydd (mot hot) Datorn står lättillgänglig Industrispionage R3 Ekonomisystem H5 Inte tillgängligt 6 7 Nätverkskomponent har gått sönder Appendix 3.6 H6 H7 Falska utbetalningar Manipulation av en Förslag till åtgärder Flytta datorn till en plats som inte är lättillgänglig Lås fast datorn Kryptera en Spara ingen på pc Reservutrustning för nätverkskomponent som kan gå sönder Manuella rutiner Strömlöst Reservkraft Kontinuitetsplan Systemet fungerar inte Regelbundet underhåll 4 7 Felskrivning Inför rimlighetskontroller Lägg upp betalningsmottagare så att de endast kan väljas från fast meny Inför dualitet vid utbetalningar Anställd missnöjd Anställd i ekonomisk kris Bra personalpolitik högt i tak Information och utbildning för att känna igen missnöje Bra personalpolitik högt i tak Bra lön Goda möjligheter till personallån 3 8 Databrott Kontroll av loggar Prioriteringen av åtgärder görs med hänsyn till antalet hot, risknivåer och om det redan finns några skyddsåtgärder införda. Därefter är rapporten med föreslagna åtgärder och deras inbördes bedömning klar. Appendix 3 Sida 9

10 Appendix 3.7 Datorstödd riskanalys Det finns i dag en mängd hjälpmedel för att genomföra riskanalyser. Exempel på verktyg är SBA Scenario är ett verktyg vilket utvecklats med stöd från Dataföreningen i Sverige och ger en hot-, risk- och konsekvensanalys via scenarioteknik. RA2 (engelsk version) tar användaren steg för steg genom riskanalysen och föreslår åtgärder. RA2 är baserat på BS och ISO/IEC och är även användbart för att utforma dokumentet uttalande om tillämplighet vilket är ett måste vid en eventuell certifiering. CRAMM (engelsk version) - användbart vid fördjupad riskanalys. Appendix 3.8 Checklista Riskanalys Uppgift Planerad Utförd Möte med ledningen för att få dennas uttalade stöd för att genomföra en riskanalys. Utse en projektledare (internt eller externt) som får avsätta erforderlig tid för projektet. Kallelse till analysgruppsarbete skickas till de personer i verksamheten som aktivt kan bidra till arbetet och som får avsätta den tid som krävs tid för projektet. Informera och utbilda analysgruppen i valda riskanalysmetoder. Planera in projektet med tillhörande milstolpar (fasindelningen i den här skriften). Planera också in leveranstidpunkter till ledningen. Håll ledningen och andra berörda informerade om projektet. Finns processer och rutiner definierade och implementerade? Appendix 3 Sida 10

IT-säkerhetspolicy för Landstinget Sörmland

IT-säkerhetspolicy för Landstinget Sörmland Bilaga 1, LS 115 /02 1.0 1(5) IT-säkerhetspolicy för Landstinget Sörmland Inledning Bakgrund och motiv Mål Medel Omfattning Organisation och ansvar Regelverk 1.0 2(5) Inledning Policyn är landstingsstyrelsens

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

Kommunövergripande riktlinjer för säkerhet och krisberedskap i Östra Göinge kommun mandatperioden 2015-2018

Kommunövergripande riktlinjer för säkerhet och krisberedskap i Östra Göinge kommun mandatperioden 2015-2018 Ansvarig namn Jonas Rydberg, kommunchef Dokumentnamn Riktlinjer säkerhetsarbete Upprättad av Bertil Håkanson, säkerhetssamordnare Reviderad: Berörda verksamheter Samtliga verksamheter Fastställd datum

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Observera att denna konsoliderade version är en sammanställning, och att den tryckta författningen är den officiellt giltiga. En konsoliderad version är en fulltextversion där alla ändringar har införts

Läs mer

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C Säkerhet Säkerhet 2 (14) Innehåll 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll säkerhetsrevision 5 2.1.3 Säkerhets-

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och

Läs mer

Vad kan hända? Hur troligt är det? Hur stor blir skadan? Hur kan detta mätas? Hur hanteras osäkerheterna? Utbildning i riskanalyser Riskanalysmetoder

Vad kan hända? Hur troligt är det? Hur stor blir skadan? Hur kan detta mätas? Hur hanteras osäkerheterna? Utbildning i riskanalyser Riskanalysmetoder Utbildning i riskanalyser metoder Johan Lundin, WSP johan.lundin@wspgroup.se 2011-04-29 Riskhantering (IEC-modellen, ISO-standard) Hanteringsprocess Bestäm omfattning Identifiera risker Riskuppskattning

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Tillväxtverkets riktlinjer för intern styrning och kontroll

Tillväxtverkets riktlinjer för intern styrning och kontroll Dokumentnamn Dokumenttyp Datum Tillväxtverkets riktlinjer för intern styrning och kontroll 2016-02-02 Diarienr/Projektnr Upprättad av Godkänd av Version 1.3.6-Ä 2015-1717 Kjell Wenna/Håkan Karlsson/ Gunilla

Läs mer

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet UFV 2012/715 Riktlinjer för informationssäkerhet Anvisningar för genomförande av risk- och hotbildsanalyser Fastställd av: Säkerhetschef 2012-04-02 Innehållsförteckning 1 Riskanalyser av systemförvaltningsobjekt

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010. Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice

Läs mer

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun. V A R B E R G S K O M M U N föregångare inom IT-säkerhet av lena lidberg Vilka är kommunens viktigaste IT-system? Och hur länge kan systemen ligga nere innan det uppstår kaos i verksamheterna? Frågor som

Läs mer

Hur påvisar man värdet med säkerhetsarbetet i turbulenta tider och när budgeten är tight?

Hur påvisar man värdet med säkerhetsarbetet i turbulenta tider och när budgeten är tight? Hur påvisar man värdet med säkerhetsarbetet i turbulenta tider och när budgeten är tight? Fredrik Rehnström, CISSP, CISM, CGEIT Seniorkonsult, vvd, partner Ca 50% av de beslut som fattas görs på underlag

Läs mer

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting Informationssäkerhetspolicy för Stockholms läns landsting 1 Innehållsförteckning Inledning... 3 Mål... 4 Omfattning... 4 Innebörd... 4 Ansvar... 6 Uppföljning och revidering... 7 LS 1112-1733 Beslutad

Läs mer

Riskanalys för signaltekniska anläggningsprojekt

Riskanalys för signaltekniska anläggningsprojekt Gäller för Version Standard BV utan resultatenheter 1.0 BVS 1544.94006 Giltigt från Giltigt till Antal bilagor 2009-01-19 Diarienummer Ansvarig enhet Fastställd av F08-3369/SI10 Leverans Anläggning Björn

Läs mer

Policy för säkerhetsarbetet i. Södertälje kommun

Policy för säkerhetsarbetet i. Södertälje kommun Policy för säkerhetsarbetet i Södertälje kommun Antagen av kommunfullmäktige den 28 september 1998 2 Södertälje kommun reglerar genom detta policydokument sin inställning till säkerhet och trygghet. Säkerhetspolicyn

Läs mer

Säkerhet i fokus. Säkerhet i fokus

Säkerhet i fokus. Säkerhet i fokus Säkerhet i fokus Säkerhet i fokus Säkerhet är en av våra viktigaste frågor. Våra hyresgäster bedriver en daglig verksamhet i allt från kriminalvårds anstalter och domstolsbyggnader till speciella vårdhem

Läs mer

Riskanalys och handlingsplan för krishantering på bibliotek

Riskanalys och handlingsplan för krishantering på bibliotek Klaz Arvidson, Katarina Engvall & Karin Süld Riskanalys och handlingsplan för krishantering på bibliotek Paper presenterat vid konferensen 11-12 oktober 2006 i Borås Inledning Vi har arbetat i en arbetsgrupp

Läs mer

Riskanalys och riskhantering

Riskanalys och riskhantering Riskanalys och riskhantering Margaretha Eriksson, civ.ing. och doktorand i informationssäkerhet KTH Föreläsning 2 Mål känna till stegen i en risk- och sårbarhetsanalys kunna använda risk- och sårbarhetsanalys

Läs mer

Här kan du ta del av presentationen från webbseminariet i pdf-format. Tänk på att materialet är upphovsrättsskyddat och endast till för dig som

Här kan du ta del av presentationen från webbseminariet i pdf-format. Tänk på att materialet är upphovsrättsskyddat och endast till för dig som Här kan du ta del av presentationen från webbseminariet i pdf-format. Tänk på att materialet är upphovsrättsskyddat och endast till för dig som abonnent. Trevlig läsning! Videoföreläsning med Bonnier Ledarskapshandböcker

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

Incidenthantering ur ledningskontra teknisktperspektiv. Stefan Öhlund & André Rickardsson 2010-12-14

Incidenthantering ur ledningskontra teknisktperspektiv. Stefan Öhlund & André Rickardsson 2010-12-14 Incidenthantering ur ledningskontra teknisktperspektiv Stefan Öhlund & André Rickardsson 2010-12-14 Stefan Öhlund Senior Advisor Ansvarig för affärsområdet Risk Management Bakgrund från Säkerhetspolisen

Läs mer

IT-säkerhet Internt intrångstest

IT-säkerhet Internt intrångstest Revisionsrapport IT-säkerhet Internt intrångstest Botkyrka kommun Janne Swenson Maj 2015 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Väsentlighets- och riskanalys... 3 Angreppssätt...

Läs mer

1 Risk- och sårbarhetsanalys

1 Risk- och sårbarhetsanalys Bilaga 10 1 Risk- och sårbarhetsanalys I detta kapitel utgår vi från identifierade riskscenarier i följande bilagor: Bilaga X Informationsklassning, digitalt stöd i hemmet.xls Vi värderar hur stor sannolikheten

Läs mer

Skydd mot stöld av datorutrustning

Skydd mot stöld av datorutrustning November 2003 Teknisk information Skydd mot stöld av datorutrustning En infoskrift från Sveriges Försäkringsförbund Syftet med denna information är att ge en bild av risker med speciell inriktning på inbrott

Läs mer

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket 15-12-07 1/6 Tillämpningsområde 1 Denna författning innehåller bestämmelser om myndigheternas arbete med informationssäkerhet och deras tillämpning av standarder i sådant arbete. 2 Författningen gäller

Läs mer

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet 2010-11-22 Beslut 1(9) Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet Inledning Universitetsstyrelsen fastställde 2002-02-27 IT-strategi för Linköpings universitet. Där fastslås

Läs mer

Säkerhetsmekanismer. Säkerhetsmekanismer och risk. Skadlig kod. Tidsperspektiv Säkerhetsprodukter, -system och -lösningar

Säkerhetsmekanismer. Säkerhetsmekanismer och risk. Skadlig kod. Tidsperspektiv Säkerhetsprodukter, -system och -lösningar Säkerhetsmekanismer Säkerhetsmekanismer och risk = Skydd Avser att öka informationssäkerheten Är en typ av informationstillgång IT i vården (28 sidor) 1 2 Skadlig kod Virus (kopierar sig själva inuti andra

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet 2 (8) Innehållsförteckning Bilaga 3 Säkerhet 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll

Läs mer

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE 2013-01-28, 8

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE 2013-01-28, 8 VÄSTERVIKS KOMMUN FÖRFATTNINGSSAMLING SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE 2013-01-28, 8 RIKTLINJER FÖR SÄKERHETSARBETET ANTAGNA AV KOMMUN- STYRELSEN 2013-01-14, 10

Läs mer

EBITS Arbetsgruppen för Energibranschens Reviderad informationssäkerhet

EBITS Arbetsgruppen för Energibranschens Reviderad informationssäkerhet Rapportering av Informations- och IT-incidenter Inledning Ett viktigt led i företagens förebyggande säkerhetsarbete är en väl fungerande policy och rutiner för incident- och händelserapportering. Genom

Läs mer

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 11 mars 2016 Myndigheten

Läs mer

Säkerhetspolicy för Kristianstad kommun

Säkerhetspolicy för Kristianstad kommun 2007 POLICY OCH RIKTLINJER FÖR SÄKERHETSARBETE Fastställt av kommunstyrelsen 2007-11-21 267. Säkerhetspolicy för Kristianstad kommun Syfte Kristianstads kommun har ett ansvar att upprätthålla sina verksamheter

Läs mer

Välja säkerhetsåtgärder

Välja säkerhetsåtgärder Välja säkerhetsåtgärder www.informationssäkerhet.se 2 Upphovsrätt Tillåtelse ges att kopiera, distribuera, överföra samt skapa egna bearbetningar av detta dokument, även för kommersiellt bruk. Upphovsmannen

Läs mer

Förklarande text till revisionsrapport Sid 1 (5)

Förklarande text till revisionsrapport Sid 1 (5) Förklarande text till revisionsrapport Sid 1 (5) Kravelementen enligt standarden ISO 14001:2004 Kap 4 Krav på miljöledningssystem 4.1 Generella krav Organisationen skall upprätta, dokumentera, införa,

Läs mer

Handledning i informationssäkerhet Version 2.0

Handledning i informationssäkerhet Version 2.0 Handledning i informationssäkerhet Version 2.0 2013-10-01 Dnr 1-516/2013 (ersätter Dnr 6255/12-060) Informationssäkerhet 6 saker att tänka på! 1. Skydda dina inloggningsuppgifter och lämna aldrig ut dem

Läs mer

Presentation och bakgrund Kjell Ekbladh. Per Nordenstam

Presentation och bakgrund Kjell Ekbladh. Per Nordenstam Presentation och bakgrund Kjell Ekbladh Thomas Svensson Ur ett managementperspektiv / kommunledningsperspektiv Människor / teknik Medborgarnas förväntningar och krav idag och i framtiden Hur den kommunala

Läs mer

Säkerhetsinstruktion 1 BAKGRUND INLOGGNING HANTERING AV INFORMATION INTERNET E-POST INCIDENTER...

Säkerhetsinstruktion 1 BAKGRUND INLOGGNING HANTERING AV INFORMATION INTERNET E-POST INCIDENTER... 2000-08-11 Sida 1 1 BAKGRUND... 2 2 INLOGGNING... 2 3 HANTERING AV INFORMATION... 3 4 INTERNET... 4 5 E-POST... 5 6 INCIDENTER... 5 7 BÄRBAR PC... 5 8 ARBETSPLATSEN... 6 2000-08-11 Sida 2 1 BAKGRUND Information

Läs mer

FÖRHINDRA DATORINTRÅNG!

FÖRHINDRA DATORINTRÅNG! FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser

Läs mer

Miljöriskhantering enligt egenkontrollförordningen.

Miljöriskhantering enligt egenkontrollförordningen. Miljöriskhantering enligt egenkontrollförordningen. 2 Förord Denna vägledning är upprättad inför det seminarium om riskhantering som äger rum den 18 april 2007 i Länsstyrelsen lokaler. Seminariet vänder

Läs mer

Anvisningar för intern styrning och kontroll vid Karolinska Institutet

Anvisningar för intern styrning och kontroll vid Karolinska Institutet Anvisningar för intern styrning och kontroll vid Karolinska Institutet Universitetsförvaltningen Fastställda av rektor 2012-05-29 Dnr: 2740/2012-010 INNEHÅLL 1 Institutionernas och styrelsernas arbete

Läs mer

Ledning och styrning av IT-tjänster och informationssäkerhet

Ledning och styrning av IT-tjänster och informationssäkerhet Ledning och styrning av IT-tjänster och informationssäkerhet sixten.bjorklund@sipit.se 2013-05-21 Sip It AB, Sixten Björklund 1 Några standarder för ledning och styrning 2013-05-21 Sip It AB, Sixten Björklund

Läs mer

Avbrott i bredbandstelefonitjänst

Avbrott i bredbandstelefonitjänst BESLUT 1(7) Datum Vår referens Aktbilaga 2013-10-17 Dnr: 12-9626 37 Nätsäkerhetsavdelningen Karin Lodin 073-644 56 04 karin.lodin@pts.se Avbrott i bredbandstelefonitjänst Saken Tillsyn enligt 7 kap. 1

Läs mer

Kommunrevisionen KS 2016/00531

Kommunrevisionen KS 2016/00531 V W Halmstad Kommunrevisionen Datum 2017-02-07 kommunrevisionen@halmstad.se Dnr KS 2016/00531 Yttrande - Granskning övergripande säkerhetsgranskning av kommunens säkerhet angående externt och internt dataintrång

Läs mer

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet Dnr UFV 2015/322 Riktlinjer för informationssäkerhet Riskanalyser av informationssystem Fastställda av Säkerhetschefen 2015-03-06 Innehållsförteckning 1 Inledning... 3 2 Definitioner... 3 3 Syfte... 3

Läs mer

Analyser. Verktyg för att avgöra vilka skydd som behövs

Analyser. Verktyg för att avgöra vilka skydd som behövs Analyser Verktyg för att avgöra vilka skydd som behövs Analystyper Sårbarhetsanalys Svarar på frågan Hur viktigt är det att jag bryr mig Hotanalys Svarar på frågan Hur utsatt är just jag för kända, tänkbara

Läs mer

Säkerhetspolicy för Ulricehamns kommun Antagen av Kommunstyrelsen 2012-06-04, 164

Säkerhetspolicy för Ulricehamns kommun Antagen av Kommunstyrelsen 2012-06-04, 164 120417 Säkerhetspolicy för Ulricehamns kommun Antagen av Kommunstyrelsen 2012-06-04, 164 1. Bakgrund Kommunstyrelsen har det övergripande ansvaret för det kommunala säkerhetsarbetet. En säkerhets- och

Läs mer

Talarmanus Bättre arbetsmiljö / Fall 4

Talarmanus Bättre arbetsmiljö / Fall 4 Sid 1 av 9 De föreskrifter från Arbetsmiljöverket som gäller för verksamheten är viktiga underlag vid undersökning av arbetsmiljön. Föreskrifterna AFS 2012:2 Belastningsergonomi handlar om hur arbete ska

Läs mer

Sitic. Informationssäkerhetspolicy. Om detta dokument. Förebyggande Råd från Sveriges IT-incidentcentrum. Om Förebyggande Råd från Sitic

Sitic. Informationssäkerhetspolicy. Om detta dokument. Förebyggande Råd från Sveriges IT-incidentcentrum. Om Förebyggande Råd från Sitic Sitic Sveriges IT-incidentcentrum FR04-01 Informationssäkerhetspolicy Förebyggande Råd från Sveriges IT-incidentcentrum Om Förebyggande Råd från Sitic Bakgrund I uppdraget för Sveriges IT-incidentcentrum

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Försäkringspolicy med riktlinjer

Försäkringspolicy med riktlinjer KOMMUNLEDNINGSKONTORET Handläggare Datum Diarienummer Malmberg Jan 2015-01-26 KSN-2014-1490 Kommunstyrelsen Försäkringspolicy med riktlinjer Förslag till beslut Kommunstyrelsen föreslår kommunfullmäktige

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök

Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök Göteborgs universitet 2007-06-26 Intern miljörevision Exempel på frågor vid platsbesök Nedan finns exempel på frågor som kan ställas vid platsbesök inom den interna miljörevisionen. Ytterligare följdfrågor

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Kapitel 8 Personalresurser och säkerhet

Kapitel 8 Personalresurser och säkerhet Kapitel 8 Personalresurser och säkerhet Människorna i en organisation brukar oftast kallas för kunskapskapitalet och betraktas som den viktigaste resursen. Men de är inte enbart en förutsättning för verksamheten

Läs mer

Ökat säkerhetsmedvetande 2002-10-23

Ökat säkerhetsmedvetande 2002-10-23 Ökat säkerhetsmedvetande 2002-10-23 Mittkretsen, Örnsköldsvik SBA är Dataföreningens verksamhet för programprodukter inom säkerhetsområdet. SBA bildades 1983 och är ursprungligen en förkortning för SårBarhetsAnalys.

Läs mer

Dnr Rev 12-2008. Riskhantering, styrning och intern kontroll, sammanställning. GöteborgsOperan AB

Dnr Rev 12-2008. Riskhantering, styrning och intern kontroll, sammanställning. GöteborgsOperan AB Dnr Rev 12-2008 Riskhantering, styrning och intern kontroll, sammanställning GöteborgsOperan AB Vårt uppdrag/syfte Lekmannarevisorerna, Revisionsenheten VGR, gav oss i uppdrag att medverka till en sammanställning

Läs mer

Policy för internkontroll för Stockholms läns landsting och bolag

Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag 2 (6) Innehållsförteckning Policy för internkontroll... 1 för Stockholms

Läs mer

KRISPLAN VID STOCKHOLMS UNIVERSITET

KRISPLAN VID STOCKHOLMS UNIVERSITET 1 SU FU-2.11.1-3666-14 KRISPLAN VID STOCKHOLMS UNIVERSITET Fastställd av rektor 2014-12-18 2 INNEHÅLL 1 Syfte och mål 3 2 Händelser som omfattas av krisplan 3 3 Krisledningsstruktur 4 3.1 Krisledningsgruppen

Läs mer

Juridik och informationssäkerhet

Juridik och informationssäkerhet 2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

ANVÄNDARHANDBOK. Advance Online

ANVÄNDARHANDBOK. Advance Online ANVÄNDARHANDBOK Advance Online INNEHÅLL Innehåll... 2 Välkommen!... 3 Allmän information... 3 Idén bakom Advance Online... 3 Att logga in på en terminalstation... 4 Allmänt... 4 Citrix-klienten... 4 Inloggning...

Läs mer

SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM

SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM Version 2002-11-20 INNEHÅLLSFÖRTECKNING BAKGRUND...3 INLOGGNING...3 HANTERING AV INFORMATION...4 INTERNET...5 E-POST...6 INCIDENTER...6 BÄRBAR PC...6 ARBETSPLATSEN...7

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010. Revisionsrapport Mälardalens högskola Box 883 721 23 Västerås Datum Dnr 2011-03-08 32-2010-0735 Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010 Riksrevisionen

Läs mer

Arbetet med intern kontroll inom KSK och förslag till tidplan för upprättade av intern kontrollplan under 2006

Arbetet med intern kontroll inom KSK och förslag till tidplan för upprättade av intern kontrollplan under 2006 1(6) Styrelsen för konsult- och service Arbetet med intern kontroll inom KSK och förslag till tidplan för upprättade av intern kontrollplan under 2006 1. Syftet med den interna kontrollen Intern kontroll

Läs mer

Riktlinjer för kriskommunikation Framtaget av Cefic på uppdrag av AFEM communications network

Riktlinjer för kriskommunikation Framtaget av Cefic på uppdrag av AFEM communications network Framtaget av Cefic på uppdrag av AFEM communications network Publicerat: November 2013 Introduktion Det här dokumentet är framtaget efter AFEM Communications Network mötet den 6:e september 2013. Det sammanfattar

Läs mer

Bilaga 1 - Handledning i informationssäkerhet

Bilaga 1 - Handledning i informationssäkerhet Bilaga 1 - Handledning i informationssäkerhet Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Bilagor Bilaga 1. Handledning i informationssäkerhet

Läs mer

Metodstöd www.informationssäkerhet.se 2

Metodstöd www.informationssäkerhet.se 2 Övervaka www.informationssäkerhet.se 2 Upphovsrätt Tillåtelse ges att kopiera, distribuera, överföra samt skapa egna bearbetningar av detta dokument, även för kommersiellt bruk. Upphovsmannen måste alltid

Läs mer

Risk- och sårbarhetsanalys Erfarenheter från tio års forskning (2004 2014)

Risk- och sårbarhetsanalys Erfarenheter från tio års forskning (2004 2014) Risk- och sårbarhetsanalys Erfarenheter från tio års forskning (2004 2014) Henrik Tehler Lunds universitet Avdelningen för riskhantering och samhällssäkerhet LUCRAM (Lund University Centre for Risk Assessment

Läs mer

Riskhantering för administrativa projekt inom Karolinska Institutet

Riskhantering för administrativa projekt inom Karolinska Institutet Riskhantering för administrativa projekt inom Karolinska Institutet Riskhantering Identifiera Värdera/prioritera Åtgärda Fastställd 2002-06-24 1 Innehållsförteckning OM RISKHANTERING... 3 ALLMÄNT... 3

Läs mer

STRÖMSTADS KOMMUN SÄKERHETSPOLICY. Antagen av Kommunfullmäktige 2010-10-28 90

STRÖMSTADS KOMMUN SÄKERHETSPOLICY. Antagen av Kommunfullmäktige 2010-10-28 90 STRÖMSTADS KOMMUN SÄKERHETSPOLICY Antagen av Kommunfullmäktige 2010-10-28 90 INNEHÅLLSFÖRTECKNING SIDA 1. Bakgrund 3 2. Inriktningsmål 3 3. Riktlinjer för att uppnå målen 3 3.1 Inriktning 4 3.1.1 Attityder

Läs mer

Lednings- och styrdokument. SÄKERHET Styrdokument antaget av kommunfullmäktige den 20 juni 2011

Lednings- och styrdokument. SÄKERHET Styrdokument antaget av kommunfullmäktige den 20 juni 2011 Lednings- och styrdokument SÄKERHET Styrdokument antaget av kommunfullmäktige den 20 juni 2011 2012-2015 sidan 1 av 4 Inledning... 2 Omfattning... 2 Säkerhetsskydd... 2 Krishantering... 2 Personsäkerhet...

Läs mer

MANUAL ADVANIA LEDNINGSSYSTEM

MANUAL ADVANIA LEDNINGSSYSTEM MANUAL ADVANIA LEDNINGSSYSTEM Innehållsförteckning: sidan Syfte och omfattning... 3 Kort om Advania... 3 Affärsidé... 3 Kvalitetspolicy... 4 Miljöpolicy... 4 Arbetsmiljöpolicy... 5 Jämställdhetspolicy...

Läs mer

Säkerhetspolicy för Sandvikens kommun

Säkerhetspolicy för Sandvikens kommun Säkerhetspolicy för Sandvikens kommun En trygg och säker kommun Förslag från kommunstyrelsen Antaget av kommunfullmäktige den 3 september 2001, 94 Dnr KS2006/458 Innehållsförteckning Bakgrund... 2 Definition...

Läs mer

Bilaga 3 Säkerhet Dnr: /

Bilaga 3 Säkerhet Dnr: / stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav på säkerhetsarbete

Läs mer

BESLUT redigerad Dnr 12/626

BESLUT redigerad Dnr 12/626 BESLUT redigerad 2013-11-06 Dnr 12/626 1(6) bkdkd Krisplan för KMH I händelse av akut nöd eller krissituation: Rädda, larma, släck! 1. Andas djupt och försök bevara ditt lugn 2. Säkra platsen försök släcka

Läs mer

Risk- och sårbarhetsanalys fritidsnämnden

Risk- och sårbarhetsanalys fritidsnämnden 2012-11-21 1 (6) TJÄNSTESKRIVELSE FRN 2012/133-809 Fritidsnämnden Risk- och sårbarhetsanalys fritidsnämnden Förslag till beslut Fritidsnämnden noterar informationen till protokollet Sammanfattning Kommunfullmäktige

Läs mer

Användarhandbok. Nero BackItUp. Ahead Software AG

Användarhandbok. Nero BackItUp. Ahead Software AG Användarhandbok Nero BackItUp Ahead Software AG Information om copyright och varumärken Användarhandboken till Nero BackItUp och innehållet i den är skyddat av copyright och tillhör Ahead Software. Alla

Läs mer

Bilaga till rektorsbeslut RÖ28, (5)

Bilaga till rektorsbeslut RÖ28, (5) Bilaga till rektorsbeslut RÖ28, 2011 1(5) Informationssäkerhetspolicy vid Konstfack 1 Inledning Information är en tillgång som tillsammans med personal, studenter och egendom är avgörande för Konstfack

Läs mer

Riskhantering för anmälningspliktiga företag

Riskhantering för anmälningspliktiga företag Miljö och hälsoskyddsenhetens faktablad nr 19 Riskhantering för anmälningspliktiga företag Ert företag är skyldigt att undersöka och bedöma vilka risker för miljön som företaget kan innebära. Det förebyggande

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet samt transmission -C 2 (7) Innehåll 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 6 3 (7) 1 Allmänt Borderlight har styrdokument

Läs mer

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet Dnr UFV 2014/1307 Riktlinjer för informationssäkerhet Fastställda av Säkerhetschef 2014-10-28 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 2.1 Efterlevnad 3 2.2 Uppdatering av riktlinjerna 4 3 Definitioner

Läs mer

Arbetsförmedlingens Återrapportering 2014

Arbetsförmedlingens Återrapportering 2014 Arbetsförmedlingens Återrapportering 2014 INTERN STYRNING OCH KONTROLL PLANERING OCH GENOMFÖRDA INSATSER 2014-05-15 Sida: 3 av 38 Dnr: Af-2013/508922 Datum: 2014-05-15 kontroll planering och Arbetsförmedlingen

Läs mer

Patientsäkerhetsberättelse för Hälsan & Arbetslivet

Patientsäkerhetsberättelse för Hälsan & Arbetslivet Patientsäkerhetsberättelse för Hälsan & Arbetslivet Avseende år 2012 2013-02-11 Per Olevik Medicinskt ledningsansvarig läkare Sammanfattning I Hälsan & Arbetslivets ledningssystem ingår riskbedömningar,

Läs mer

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar Handläggare: Christina Hegefjärd 1 (1) PAN 2015-12-01 P 6 TJÄNSTEUTLÅTANDE 2015-12-01 PaN A1510-0031257 PaN A1510-0031157 PaN A1510-0031057 Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer

Läs mer

Riktlinjer för säkerhet i Växjö kommun

Riktlinjer för säkerhet i Växjö kommun Riktlinjer för säkerhet i Växjö kommun Dokumenttyp Styrande dokument Dokumentansvarig Säkerhetsfunktionen Dokumentnamn Riktlinjer för säkerhet i Växjö kommun Fastställd/Upprättad Kommunstyrelsen 2015-03-03,

Läs mer

Kontinuitetshantering i samhällsviktig verksamhet

Kontinuitetshantering i samhällsviktig verksamhet Kontinuitetshantering i samhällsviktig verksamhet Spår 1: Informationssäkerhet i kommuner 15 september 2016 Omar Harrami Innehåll Strategi och handlingsplan Skydd av samhällsviktig verksamhet Stöd för

Läs mer

Hot + Svaghet + Sårbarhet = Hotbild

Hot + Svaghet + Sårbarhet = Hotbild 4 Hotbild Du har säkert hört begreppet hotbild tidigare. Om jag skulle försöka mig på att klassificera begreppet hotbild skulle det kunna vara enligt följande formel: Hot + Svaghet + Sårbarhet = Hotbild.

Läs mer

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål. Informationssäkerhetspolicy 2011-2014 1. Bakgrund Detta dokument fastställs av kommunfullmäktige och gäller för all verksamhet inom kommunen. Detta betyder att det inte finns utrymme att besluta om lokala

Läs mer

RISKHANTERING FÖR SCADA

RISKHANTERING FÖR SCADA RISKHANTERING FÖR SCADA Informationsklassificering - Publik VÅR MÅLSÄTTNING Lämna goda råd Förslag på ett första nästa steg 1 VAD KOMMER VI ATT GÅ IGENOM? FAS 1 identifiera risker och förändringar FAS

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

OBS! Kopior papper/filer kan vara ogiltiga, senaste utgåva se Intranet.

OBS! Kopior papper/filer kan vara ogiltiga, senaste utgåva se Intranet. Utgåva: 2 Datum: 2010-09-09 Sida 1(5) Husums fabrik Riskbedömning Riskanalyser I arbetsmiljölagen anges att arbetsgivaren har huvudansvaret för arbetsmiljön. Lagen ger ramarna för hur ansvaret skall uppfyllas.

Läs mer

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A 2 (14) Innehåll 1 Allmänt 3 2 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 6 3 (14) 1 Allmänt 2 4 (14) Informationssäkerhet och de risker myndigheter utsätts för är frågor som

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 646-2012 Socialnämnden i Halmstad kommun Box 230 301 06 Halmstad Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

Riskanalys. Version 0.3

Riskanalys. Version 0.3 Riskanalys Version 0.3 2 Upphovsrätt Tillåtelse ges att kopiera, distribuera, överföra samt skapa egna bearbetningar av detta dokument, även för kommersiellt bruk. Upphovsmannen måste alltid anges som

Läs mer

Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004

Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004 Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004 I checklistan gäller det att instämma med de påståenden som anges i listan för att vara säker på att verksamhetens miljöledningssystem

Läs mer

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A 2 (8) Innehållsförteckning 1 Allmänt 3 2 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 7 3 (8) 1 Allmänt 4 (8) 2 Tele2 bedriver en verksamhet vars produktion till största delen

Läs mer