Appendix 3 - Riskanalys
|
|
- Nils Jonasson
- för 8 år sedan
- Visningar:
Transkript
1 Appendix3 Riskanalys Inledning Riskanalysen ska identifiera allt som kan gå snett i ett företag och hur stor sannolikheten är att det ska inträffa, vilka konsekvenser och om möjligt en kostnadskalkyl. För att genomföra en riskanalys krävs att kärnverksamheten d.v.s. den verksamhetsprocess och de resurser företaget lever på har identifierats. Till detta finns stödjande verksamheter som i sig är viktiga, men ändå har något lägre prioritet. I kärnverksamheten ingår resurser som personal, utrustningar och maskiner, program, service och underhåll, externa beroenden som leverantörer, råvaror, tjänster, transporter etc. Varje komponent (del) i kärnverksamheten måste identifieras och därefter analyseras ur risksynpunkt. Noggrannheten avgör kvaliteten på resultatet. Det finns många olika metoder och underlag att arbeta efter, det viktigaste är ändå att kunna värdera konsekvenserna och förlängningen av det som kan inträffa. Det är därför inte metoderna eller underlagen som är det viktigaste, utan kunskapen hos den eller de som leder riskanalysprocessen. Riskanalys handlar om att definiera de hot som en verksamhet möter. Eftersom hoten inte av sig själva påverkar verksamheten utan behöver ett hål i verksamheten, brukar detta hål kallas sårbarhet. Det är först när vi har kombinationen hot tillsammans med sårbarhet som vi får en större eller mindre påverkan på de tillgångar som vi försöker skydda. Aktivt riskanalysarbete är grunden för att införa och vidmakthålla ett ledningssystem för ssäkerhet i verksamheten. Det rekommenderade tillvägagångssättet är att först genomföra en övergripande riskanalys. Utifrån resultatet från denna genomförs sedan en mer detaljerad riskanalys för de områden som i den första riskanalysen har ansetts utgöra en risk för verksamheten. Appendix 3.1 Referenser i berörda standarder Riskanalys är en process som identifierar säkerhetsrisker och bestämmer deras betydelse (ISO Guide 73). Riskanalysen är grunden för att införa ett ledningssystem för ssäkerhet i verksamheten. Några områden lyfter kravet på riskanalys extra tydligt i de råd som finns i SS ISO/IEC 17799: Samordning av ssäkerhet. Avsikten är att samordna alla de aktiviteter som ska genomföras för att bland annat utjämna skillnader mellan olika funktioner, avdelningar och geografiskt spridda delar av verksamheten Riskanalys vid utomståendes åtkomst. Avsikten är att bedöma risken med att låta en tredje part ansluta sig till verksamhetens ssystem Säkerhet för utrustning utanför egna lokaler. Avsikten är att bedöma risken med att ha utrustning utanför egna skyddade lokaler Analys och specifikation av säkerhetskrav. Grunden för att göra en analys av säkerhetskraven och för att identifiera de adekvata åtgärderna är riskanalysen Säkerhet i tillämpningssystem. Eventuella ytterligare åtgärder som kan krävas för system som bearbetar eller kan påverka känsliga, värdefulla eller kritiska tillgångar för verksamheten ska avgöras på grundval av en riskanalys och eventuella säkerhetskrav Policy för användning av krypteringsmetoder. En riskanalys bör ligga till grund för att bestämma ens skydd och därmed också valet av en eventuell krypteringsmetod Avbrotts- och konsekvensanalys. Riskanalysens syfte är att bedöma följderna av ett avbrott och utgör tillsammans med andra analyser grunden för kontinuitetsplanen. Appendix 3.2 Definitioner av begrepp Hot: ett möjligt utfall av en oönskad incident som kan leda till skada i ett system eller för en verksamhet. Konsekvens: den effekt som blir resultatet när en risk förverkligats. Kvarvarande risk: skyddsåtgärder tar inte bort risken till fullo. Det finns alltid en viss sannolikhet att den kvarvarande risken realiseras och medför skada i någon form (konsekvens). Påverkan: resultatet av en oönskad incident. Riskacceptans: den medvetna handlingen att leva med riskens konsekvens/-er. Riskanalys: processen att identifiera risker och försöka förutsäga hur de påverkar verksamheten. Riskreduktion: att minska risken genom att mildra, förebygga eller föregripa den. Det kan ske genom att undvika risken, överföra den genom exempelvis försäkringar, eller genom att reducera hotet, sårbarheten eller den möjliga påverkan (skadan). Det kan också ske genom att upptäcka oönskade händelser, reagera på dem och sedan återställa förhållandena till sitt ursprungsläge. Riskskydd: reduktionen av sannolikheten och/eller konsekvensen. Sannolikhet: frekvensen med vilket ett hot realiseras. Appendix 3 Sida 1
2 Skyddsåtgärd: rutin, procedur eller mekanism som reducerar risken. Sårbarhet: en svaghet, felkonstruktion, ett säkerhetshål eller liknande som kan användas och därmed blir ett hot som leder till en skada. Tillgång: allt som har ett värde för verksamheten. Det kan bland annat röra sig om det verksamheten äger, driver, hyr, kontrollerar, har vårdanden om, ansvarar för, köper, säljer, designar, producerar, testar, analyserar och underhåller. Utsatthet: vad verksamheten är utsatt för och hur kan det bidra till skada, stöld, förlust av egendom eller andra verksamhetstillgångar. Utsattheten kan också bidra till personskada på anställda eller andra personer. Appendix 3.3 Riskstyrningsprocessen Riskstyrning (risk management) hade sin födelse i 1700-talets upplysningstid, då man utforskade det okända i jakten på kunskap. I dag använder vi riskstyrning som en generell process för att komma till rätta med lösa risker. Om konsekvensen av en risk är acceptabel anses risken vara löst. I riskstyrningsprocessen ingår två huvuddelar. Den första är riskanalysen, som vi använder för att definiera riskerna. Riskanalysen är en sökande och upptäckande process för att finna hoten och dess källor. Det är sedan möjligt att bedöma den effekt hoten kan ha på verksamheten. Den andra delen kallas riskkontroll och är ett sätt att kontrollera riskerna och reducera dem. Processen leder fram till att det blir möjligt att ta fram en åtgärdsplan, kontrollera riskstatus, införa åtgärder och korrigera eventuella avsteg från planen. Förändringar av hotbilden resulterar i en förnyad riskanalys. Det är normalt att verksamheten i ett tidigt skede av riskstyrningsprocessen bara har vaga aningar om vad som kan drabba den. Ofta finns många funderingar, viss misstro och okända faktorer att begrunda. Meningen med riskstyrningsprocessen är att omvandla osäkerheterna till ett mer acceptabelt och beräkningsbart risktagande, men också att förstå vilka komponenter som måste beaktas i de beslut som fattas. När risker ska identifieras och analyseras inleds också arbetet med att undersöka sannolikheten för att risken ska realiseras och vad som kan bli konsekvensen. Appendix Riskanalys Hoten mot verksamheten tillsammans med säkerhetshål ökar verksamhetens sårbarhet. En risk existerar även om ingen har lyckats identifiera den, och konsekvensen av risken beror inte på om den har bedömts viktig eller inte. Det är bara de åtgärder som vidtagits för att komma till rätta med risken förebyggande eller skadereducerande som motverkar att den blir ett problem. Oavsett hur risken en gång bedömts kan den ändra sin betydelse allt eftersom tiden går. Det medför också att riskanalysen som arbetssätt inte är en engångsföreteelse utan en cyklisk process som helst bör återkomma minst en gång per år eller när förändringar sker i processer eller på andra sätt. Åtgärderna reducerar riskerna och motverkar hoten. En mycket viktig del inom riskanalysområdet är att balansera kostnaden för åtgärderna mot de risker som finns. Ett skydd eller en åtgärd mot en viss risk ska alltså inte vara starkare än nödvändigt, men inte heller kosta för mycket i förhållande till vad skadan hade kostat om den faktiskt inträffat. Om verksamheten vill förenkla och standardisera besluten som måste fattas i samband med riskanalysen kan olika typer av beslutsmatriser byggas upp. Nedan följer ett exempel på hur en sådan matris skulle kunna vara uppbyggd. Appendix 3 Sida 2
3 Skadefrekvens Grad av förlust Hög Medium Låg Hög Skadeförebygg Skadeförebygg och reducera Medium Skadeförebygg och reducera Skadereducera och överför till försäkring Låg Skadereducera Skadereducera med eftertanke Överför till försäkring Avvakta förändring, överför till försäkring Avvakta förändring, ingen åtgärd För att placera riskhantering och -styrning i ett affärsmässigt sammanhang bör man se till vad skadan kostar och hur mycket verksamheten måste tjäna in för att täcka förlusten. Tabellen nedan försöker översiktligt beskriva detta. Nettovinst (försäljningsvärde för att tjäna in förlusten, avr. värde i kr) Skadekostnad/förlust (kr) 4% 5% 6% Förlustkostnaderna är hämtad från Brottsförebyggande rådets analys 2000 (BRÅ:2000:2) över skadekostnader i samband med dataintrång. Enligt rapporten är medelkostnaden för ett dataintrång kronor. Om verksamheten utsätts för ett intrång måste en verksamhet med 4 procents vinstmarginal sälja för nästan 9 miljoner kronor innan förlusten är täckt. Appendix Riskkontroll Riskkontrollen är en ständigt pågående verksamhet som syftar till att se om hotbilden förändras. Gör den det signalerar riskkontrollen om att en ny isolerad riskanalys ska genomföras för det område vars verklighet förändrats i någon form. Det innebär samtidigt att en ny åtgärdsplan ska tas fram för att reducera de nya hoten så långt som möjligt men också att korrigera verksamheten om och när den gör avsteg från de fastlagda planerna. Riskkontrollen blir därmed en mycket viktig del av riskstyrningsprocessen. Appendix 3.4 Riskanalys i praktiken exempel I det här kapitlet beskrivs en översiktlig modell som tar relativt kort tid i anspråk Det är nödvändigt att de personer som besitter kunskap om verksamheten och hur den bedrivs också finns med under de praktiska delarna i hela analysarbetet. Någon hänsyn till befintliga skyddsåtgärder ska inte tas, eftersom det är mycket svårt att bedöma effektiviteten hos varje åtgärd. I det följande praktiska exemplet på riskanalys används modellen på det typföretag som är gemensamt för hela den här handboken Medytekk. En utförligare beskrivning av Medytekk finns i kapitel 15. Exemplet är en riskanalys genomförd på den administrativa enheten. Detta är en delmängd av den totala riskanalysen. Enheten omfattar, förutom den administrative chefen, också en ekonomiavdelning med sex personer, en personalavdelning med fyra, en it-avdelning med fyra samt inköps- och försäljningsavdelningen med tio personer. I arbetsgruppen ingår den administrative chefen, en person från ekonomi-, personal-, IT- respektive inköpsoch försäljningsavdelningen. För att underlätta analysarbetet att har en konsult anlitats som motor och pådrivare. Appendix Översiktlig modell Denna analysmodell är indelad i tre faser. Gemensamt för alla faser är att de befintliga skyddsåtgärderna inte får beaktas under analysen. Orsaken är att det är mycket svårt att bedöma hur effektiva olika skyddsåtgärder är. Den första fasen genomförs oftast som en så kallad brainstorming session och omfattar följande delar: Appendix 3 Sida 3
4 identifiering av resurser (vad behövs för att kunna genomföra verksamheten), identifiering av hot mot respektive resurs, bedömning av sannolikheten för att hotet mot den specifika resursen ska uppträda, bedömning av konsekvensen av hotet mot den specifika resursen när det har uppträtt, visualisering av resultatet genom projektion i ett koordinatsystem, samstämmighet över vilka hot (per resurs) som ska hanteras vidare eller överföras till den fördjupade/ detaljerade modellen. I den andra fasen ingår följande del: utifrån varje enskilt hot (per resurs) analyseras källan till hotet. Är hotet exempelvis brand kan källan vara levande ljus, elfel, anlagd brand (sabotage) etcetera. I den tredje och avslutande fasen ingår följande delmoment: analysera källorna till respektive hot (per resurs) och ta fram lämpliga förebyggande skyddsåtgärder för att möta hotens ursprung. Det förebyggande skyddet vänder sig alltid mot hotets källa. Är källan exempelvis levande ljus kan ett förbud mot att ha levande ljus införas. analysera hoten (per resurs) och ta fram lämpliga skadebegränsande lösningar. Lösningen vänder sig alltid mot det realiserade hotet, exempelvis brand där den skadebegränsande lösningen kan vara sprinkler. åtgärdslistan (form av förebyggande och skadebegränsande lösningar) jämförs med vilka skydd som redan finns i verksamheten. Resultatet är skydd som bör införas för att möta hoten eller deras källor. förebyggande skydd och/eller skadebegränsande lösningar som återfinns på flera ställen i den reducerade åtgärdslistan är bra att införa eftersom de möter flera hot eller källor till hoten på samma gång. Normalt tar en analys som den ovan beskrivits mellan 40 och 80 mantimmar att genomföra. Fas 1 Identifiera resurser Identifiera hot mot varje resurs Bedöm hot till Sannolikhet Bedöm hot till Konsekvens Urval av hot Fas 3 Väg in befintligt skydd. Åtgärdsplan Identifera alla katastrofskydd till hoten Fas 2 Identifiera alla förebyggande skydd till orsakerna Identifiera alla orsaker till varje valt hot Appendix 3.5Förslag till lösningar översiktlig modell Nedan presenteras ett förslag till lösning som är baserat på företaget Medytekk. Syftet är att visa en arbetsmodell och ett strukturerat angreppsätt. Analyserna är inte kompletta utan visar en del av vad man bör ta hänsyn till för den administrativa avdelningen.. Appendix 3 Sida 4
5 Appendix Fas 1 I den indelade delen av analysen kunde analysgruppen bland annat finna resurserna i tabellen nedan (R1 R7). Man fann också att vissa specifika hot (H1 H15) kunde kopplas till respektive resurs. R-nr Resurs H-nr Hot R1 Personal H1 Våld eller hot om våld H2 Olycka R2 Datorer H3 Obehörig tillskansar sig konfidentiell H4 Stöld R3 Ekonomisystem H5 Inte tillgängligt H6 Falska utbetalningar H7 Manipulation av en R4 Nätverk H8 Inte tillgängligt H9 Avlyssning R5 Personaladministrativt system H10 Inte tillgängligt H11 Obehörig får del av konfidentiell R6 Betalningsrutiner H12 Inte tillgängligt H13 Manipulation av R7 Order, lager och faktureringssystem H14 Inte tillgängligt H15 Manipulation av En tabell som visar sannolikheten för att hoten ska realiseras togs också fram. Nivåerna 1 och 2 kan ses som mellanting mellan 0 och 3. Detsamma gäller för 4, 6, 7, 9 och 10. Sannolikhet (S) Nivå 0 = Osannolik, inträffar om 30 år. Nivå 3 = Mindre sannolik, inträffar om 5 år. Nivå 5 = Möjlig, kan inträffa under året. Nivå 8 = Sannolik, inträffar flera gånger per år. Konsekvens (K) Nivå 0 = Betydelselös. Nivå 3 = Låg, kan påverka trovärdighet, viss ekonomisk påverkan, gränslandet för vad som är lagligt (ej gråzon), lite påverkan på människor (liv och hälsa). Nivå 5 = Hög, är avgörande för trovärdighet, har stor ekonomisk påverkan, gråzonen för vad som är lagligt, stor påverkan på människor (liv och hälsa, flertal skadade). Nivå 8 = Mycket hög, kan hota företagets trovärdighet, mycket stor ekonomisk påverkan, är olagligt, mycket stor påverkan på människor (liv och hälsa, flertal döda eller svårt skadade). Appendix 3 Sida 5
6 Efter analysgruppens sannolikhets- och konsekvensbedömning framkom följade bild. R-nr Resurs H-nr Hot S K R1 Personal H1 Våld eller hot om våld 7 8 H2 Olycka 4 8 R2 Datorer H3 Obehörig tillskansar sig konfidentiell 3 9 H4 Stöld 6 3 R3 Ekonomisystem H5 Inte tillgängligt 6 7 H6 Falska utbetalningar 4 7 H7 Manipulation av en 3 8 R4 Nätverk H8 Inte tillgängligt 1 4 R5 Personaladministrativt system H9 Avlyssning 2 4 H10 Inte tillgängligt 1 4 H11 Obehörig får del av konfidentiell 3 3 R6 Betalningsrutiner H12 Inte tillgängligt 1 4 R7 Order, lager och faktureringssystem H13 Manipulation av 1 4 H14 Inte tillgängligt 1 4 H15 Manipulation av 2 4 Samtidigt förde man in värdena för hot och konsekvenser i ett koordinatsystem (origo = 5). Gruppen gick sedan vidare med att behandla de hot som ligger ovanför x-axeln, det vill säga de hot som har ett konsekvensvärde på 5 eller mer. Även om hoten under x-axeln inte behandlas vidare i analysen måste företaget regelbundet kontrollera att de inte kommit att spela en roll för verksamheten. Det troliga är att när åtgärder sätts in mot de utvalda hoten (över x-axeln) kommer de som lämnats kvar att få en ökad betydelse. Appendix 3 Sida 6
7 Appendix Fas 2 I den andra fasen ska arbetet leda fram till att orsakerna till varför hoten uppstår ska klarläggas. Gruppen fyller på med ytterligare en kolumn i den tabell de tidigare arbetat med. R-nr Resurs H-nr Hot S K Orsak R1 Personal H1 Våld eller hot om våld R2 Datorer H3 Obehörig tillskansar sig konfidentiell 7 8 Försöksdjursverksamhet Utsläpp av gift i närmiljö Industrispionage H2 Olycka 4 8 Trafikolycka säljpersonal Otillräckliga arbetarskydd 3 9 Lättillgänglig dator (ej fysiskt skyddad) Dator lämnad oövervakad och inloggad Fientligt program installerat som kopierar ut H4 Stöld 6 3 Bärbar dator förvaras i bil Datorn står lättillgänglig Industrispionage R3 Ekonomisystem H5 Inte tillgängligt 6 7 Nätverkskomponent har gått sönder Strömlöst H6 H7 Falska utbetalningar Manipulation av en Systemet fungerar inte 4 7 Felskrivning Anställd missnöjd Anställd i ekonomisk kris 3 8 Databrott Appendix Fas 3 I den avslutande tredje fasen ska förebyggandeskydd och skadebegränsande lösningar tas fram. Dessa skydd och lösningar ska vara dimensionerade för att klara av att stå emot de hot man vet finns mot verksamheten. Skydden ska därmed minimera sannolikheten för, och konsekvensen av att hoten förverkligas. Gruppen överlämnar tabellen nedan till analysledaren som dels kontrollerar relevansen hos punkterna, dels planerar hur skydden ska finansieras och införas. Appendix 3 Sida 7
8 Nr Resurs H-nr Hot S K Orsak R1 Personal H1 Våld eller hot om våld R2 Datorer H3 Obehörig tillskansar sig konfidentiell 7 8 Försöksdjursverksamhet Utsläpp av gift i närmiljö Industrispionage H2 Olycka 4 8 Trafikolycka säljpersonal Otillräckliga arbetarskydd 3 9 Lättillgänglig dator (ej fysiskt skyddad) Lämnad oövervakad och inloggad Fientlig programvara installerad som kopierar ut H4 Stöld 6 3 Bärbar dator förvaras i bil Förebyggande skydd (mot orsak) Regelbunden översyn av utrustning Invallning av området Information och utbildning Bra personalpolitik högt i tak Personal endast tillgång till den info som behövs för arbetet Bra tjänstebilar (hög klass) Regelbunden översyn av utrustningen Information och utbildning Tillse att obehöriga inte kan komma åt datorerna (fysiskt) Förvara inte konfidentiell på lätt-tillgängliga datorer Inför automatisk utloggning/låsning av dator inom viss tidsrymd Information och utbildning Installera antivirusprogram Tillåt inte användare att installera program Tillåt inte bifogade filer i e-post Information och utbildning Förvara inte bärbara datorer i Katastrofskydd (mot hot) Krisgrupp Inte genomföra tester på försöksdjur Företagshälsovård Krisgrupp Företagshälsovård Kryptera konfidentiell Appendix 3 Sida 8
9 Nr Resurs H-nr Hot S K Orsak Förebyggande skydd (mot orsak) bilen Katastrofskydd (mot hot) Datorn står lättillgänglig Industrispionage R3 Ekonomisystem H5 Inte tillgängligt 6 7 Nätverkskomponent har gått sönder Appendix 3.6 H6 H7 Falska utbetalningar Manipulation av en Förslag till åtgärder Flytta datorn till en plats som inte är lättillgänglig Lås fast datorn Kryptera en Spara ingen på pc Reservutrustning för nätverkskomponent som kan gå sönder Manuella rutiner Strömlöst Reservkraft Kontinuitetsplan Systemet fungerar inte Regelbundet underhåll 4 7 Felskrivning Inför rimlighetskontroller Lägg upp betalningsmottagare så att de endast kan väljas från fast meny Inför dualitet vid utbetalningar Anställd missnöjd Anställd i ekonomisk kris Bra personalpolitik högt i tak Information och utbildning för att känna igen missnöje Bra personalpolitik högt i tak Bra lön Goda möjligheter till personallån 3 8 Databrott Kontroll av loggar Prioriteringen av åtgärder görs med hänsyn till antalet hot, risknivåer och om det redan finns några skyddsåtgärder införda. Därefter är rapporten med föreslagna åtgärder och deras inbördes bedömning klar. Appendix 3 Sida 9
10 Appendix 3.7 Datorstödd riskanalys Det finns i dag en mängd hjälpmedel för att genomföra riskanalyser. Exempel på verktyg är SBA Scenario är ett verktyg vilket utvecklats med stöd från Dataföreningen i Sverige och ger en hot-, risk- och konsekvensanalys via scenarioteknik. RA2 (engelsk version) tar användaren steg för steg genom riskanalysen och föreslår åtgärder. RA2 är baserat på BS och ISO/IEC och är även användbart för att utforma dokumentet uttalande om tillämplighet vilket är ett måste vid en eventuell certifiering. CRAMM (engelsk version) - användbart vid fördjupad riskanalys. Appendix 3.8 Checklista Riskanalys Uppgift Planerad Utförd Möte med ledningen för att få dennas uttalade stöd för att genomföra en riskanalys. Utse en projektledare (internt eller externt) som får avsätta erforderlig tid för projektet. Kallelse till analysgruppsarbete skickas till de personer i verksamheten som aktivt kan bidra till arbetet och som får avsätta den tid som krävs tid för projektet. Informera och utbilda analysgruppen i valda riskanalysmetoder. Planera in projektet med tillhörande milstolpar (fasindelningen i den här skriften). Planera också in leveranstidpunkter till ledningen. Håll ledningen och andra berörda informerade om projektet. Finns processer och rutiner definierade och implementerade? Appendix 3 Sida 10
Bilaga Från standard till komponent
Bilaga Från standard till komponent TYP REFERENS ÅR Riskhantering ISO 31000 Riskhantering Principer och riktlinjer innehåller principer och generella riktlinjer för riskhantering och kan användas av offentliga,
Läs merRUTIN FÖR RISKANALYS
Koncernkontoret Enhet säkerhet Dokumenttyp Rutin Dokumentansvarig Valter Lindström Beslutad av Valter Lindström, koncernsäkerhetschef Övergripande dokument Riktlinjer för informationssäkerhet Kontaktperson
Läs merAdministrativ säkerhet
Administrativ säkerhet 1DV425 Nätverkssäkerhet Dagens Agenda Informationshantering Hur vi handhar vår information Varför vi bör klassificera information Riskanalys Förarbete till ett säkerhetstänkande
Läs merIT-säkerhetspolicy för Landstinget Sörmland
Bilaga 1, LS 115 /02 1.0 1(5) IT-säkerhetspolicy för Landstinget Sörmland Inledning Bakgrund och motiv Mål Medel Omfattning Organisation och ansvar Regelverk 1.0 2(5) Inledning Policyn är landstingsstyrelsens
Läs merKommunövergripande riktlinjer för säkerhet och krisberedskap i Östra Göinge kommun mandatperioden 2015-2018
Ansvarig namn Jonas Rydberg, kommunchef Dokumentnamn Riktlinjer säkerhetsarbete Upprättad av Bertil Håkanson, säkerhetssamordnare Reviderad: Berörda verksamheter Samtliga verksamheter Fastställd datum
Läs merRiktlinjer för säkerhetsarbetet vid Uppsala universitet
Dnr UFV 2012/2097 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Riskhantering Fastställd av: Säkerhetschef 2012-12-12 Rev. 2015-04-22 Innehållsförteckning 1 Allmänt om riskhantering i staten
Läs merRutiner för fysisk säkerhet
Rutiner för fysisk säkerhet Fastställd av universitetsdirektören 2019-03-18 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 2.1 Efterlevnad 3 2.2 Uppdatering av rutinerna 3 3 Mål 4 4 Personsäkerhet 4 5 Fysisk
Läs merFinansinspektionens författningssamling
Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;
Läs merIT-säkerhet Externt och internt intrångstest
Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och
Läs merBilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C
Säkerhet Säkerhet 2 (14) Innehåll 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll säkerhetsrevision 5 2.1.3 Säkerhets-
Läs merRapport Informationsklassning och riskanalys Mobila enheter Umeå Fritid
Rapport Informationsklassning och riskanalys Mobila enheter Umeå Fritid Umeå 2016-10-18 Analysledare Tommy Rampling, Umeå kommun Innehållsförteckning 1 Bakgrund... 3 2 Deltagare... 3 3 Sammanfattning...
Läs merIT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser
Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning
Läs merFinansinspektionens författningssamling
Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;
Läs merFinansinspektionens författningssamling
Observera att denna konsoliderade version är en sammanställning, och att den tryckta författningen är den officiellt giltiga. En konsoliderad version är en fulltextversion där alla ändringar har införts
Läs merIT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser
Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert
Läs merInformationssäkerhetspolicy inom Stockholms läns landsting
LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4
Läs merVISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet
Riktlinjer Handläggare Vårt diarienummer Datum Sidan 1(8) Jonas Åström KS2016/222 VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL Sandvikens kommuns Riktlinjer för informationssäkerhet
Läs merFÖRFATTNINGSSAMLING Flik Säkerhetspolicy för Vingåkers kommun
FÖRFATTNINGSSAMLING Flik 6.41 Säkerhetspolicy för Vingåkers kommun Dokumenttyp Policy Dokumentnamn Säkerhetspolicy för Vingåkers kommun Fastställd 2018-03-12, 11 Beslutande Kommunfullmäktige Giltighetstid
Läs merVad kan hända? Hur troligt är det? Hur stor blir skadan? Hur kan detta mätas? Hur hanteras osäkerheterna? Utbildning i riskanalyser Riskanalysmetoder
Utbildning i riskanalyser metoder Johan Lundin, WSP johan.lundin@wspgroup.se 2011-04-29 Riskhantering (IEC-modellen, ISO-standard) Hanteringsprocess Bestäm omfattning Identifiera risker Riskuppskattning
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.
Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice
Läs merTillväxtverkets riktlinjer för intern styrning och kontroll
Dokumentnamn Dokumenttyp Datum Tillväxtverkets riktlinjer för intern styrning och kontroll 2016-02-02 Diarienr/Projektnr Upprättad av Godkänd av Version 1.3.6-Ä 2015-1717 Kjell Wenna/Håkan Karlsson/ Gunilla
Läs merBilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag
Förfrågningsunderlag stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav
Läs merUppföljningsrapport för internkontrollplan 2016 för fastighetsnämnden
Bilaga 8 Sida 1 (5) 2017-01-23 Tina Lindberg 08-508 26 735 tina.lindberg@stockholm.se Uppföljningsrapport för internkontrollplan 2016 för fastighetsnämnden Sida 2 (5) Inledning Fastighetsnämnden fastställde
Läs merBVS Riskanalys för signaltekniska anläggningsprojekt
BVDOK 1 (5) Skapat av (Efternamn, Förnamn, org) Dokumentdatum Eriksson Ulf TDOK 2014:0475 2015-04-01 Fastställt av Gäller från Chef VO Underhåll 2009-01-19 Ersätter Ersatt av BVS 1544.94006 [Ersatt av]
Läs merHur påvisar man värdet med säkerhetsarbetet i turbulenta tider och när budgeten är tight?
Hur påvisar man värdet med säkerhetsarbetet i turbulenta tider och när budgeten är tight? Fredrik Rehnström, CISSP, CISM, CGEIT Seniorkonsult, vvd, partner Ca 50% av de beslut som fattas görs på underlag
Läs merInformationssäkerhetspolicy för Ystads kommun F 17:01
KS 2017/147 2017.2189 2017-06-29 Informationssäkerhetspolicy för Ystads kommun F 17:01 Dokumentet gäller för: Ystads kommuns nämnder, kommunala bolag och kommunala förbund Gäller fr.o.m. - t.o.m. 2017-08-01-tillsvidare
Läs merPolicy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson
Policy för tekniska och organisatoriska åtgärder för 14 juni 2018 Peter Dickson Sida 2 av 6 Innehåll Inledning... 3 Organisation... 3 Allmänt om det tekniska säkerhetsarbetet... 4 Kontinuitetsplanering...
Läs merSedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.
V A R B E R G S K O M M U N föregångare inom IT-säkerhet av lena lidberg Vilka är kommunens viktigaste IT-system? Och hur länge kan systemen ligga nere innan det uppstår kaos i verksamheterna? Frågor som
Läs merHär kan du ta del av presentationen från webbseminariet i pdf-format. Tänk på att materialet är upphovsrättsskyddat och endast till för dig som
Här kan du ta del av presentationen från webbseminariet i pdf-format. Tänk på att materialet är upphovsrättsskyddat och endast till för dig som abonnent. Trevlig läsning! Videoföreläsning med Bonnier Ledarskapshandböcker
Läs merMyndigheten för samhällsskydd och beredskaps författningssamling
Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Anna Asp, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 30 oktober 2018 Myndigheten
Läs merKommunens författningssamling
Kommunens författningssamling Säkerhetspolicy samt tillämpningar och riktlinjer ÖFS 2007:11 Säkerhetspolicy fastställd av Kommunfullmäktige den 20 juni 2007, 101 Tillämpning och riktlinjer för säkerhetsarbetet
Läs merInformationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting
Informationssäkerhetspolicy för Stockholms läns landsting 1 Innehållsförteckning Inledning... 3 Mål... 4 Omfattning... 4 Innebörd... 4 Ansvar... 6 Uppföljning och revidering... 7 LS 1112-1733 Beslutad
Läs merTillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen
Tillitsdeklarationen och revisionsprocessen Åsa Wikenståhl Efosdagen 2018-09-26 Agenda Intro Risk Revision LIS Tillitsdeklarationen På-platsen-revisionen Åtgärder och uppföljning Förbättringsarbetet Tillit
Läs merRiskanalys och handlingsplan för krishantering på bibliotek
Klaz Arvidson, Katarina Engvall & Karin Süld Riskanalys och handlingsplan för krishantering på bibliotek Paper presenterat vid konferensen 11-12 oktober 2006 i Borås Inledning Vi har arbetat i en arbetsgrupp
Läs merRiktlinje för säkerhetsarbetet i Norrköpings kommun
Riktlinje 2008-01-07 Riktlinje för säkerhetsarbetet i Norrköpings kommun Diarienummer KS-1006/2007 Beslutad av kommunstyrelsen den 7 januari 2008 Riktlinjen ersätter Styrdokument för säkerhetsarbetet i
Läs merKOMMUNALA STYRDOKUMENT
Bromölla kommun KOMMUNALA STYRDOKUMENT Antagen/Senast ändrad Gäller från Dnr Ks 2007-11-07 180 2007-11-08 2007/524-008 Ks 2016-08-17 172 2016-08-18 2016/537 KOMMUNÖVERGRIPANDE RIKTLINJER FÖR SÄKERHETSARBETET
Läs merRiskanalys och riskhantering
Riskanalys och riskhantering Margaretha Eriksson, civ.ing. och doktorand i informationssäkerhet KTH Föreläsning 2 Mål känna till stegen i en risk- och sårbarhetsanalys kunna använda risk- och sårbarhetsanalys
Läs merInformationssäkerhetspolicy för Ånge kommun
INFORMATIONSSÄKERHETSPOLICY 1 (10) Informationssäkerhetspolicy för Ånge kommun Denna informationssäkerhetspolicy anger hur Ånge kommun arbetar med informationssäkerhet och uttrycker kommunens stöd för
Läs merIncidenthantering ur ledningskontra teknisktperspektiv. Stefan Öhlund & André Rickardsson 2010-12-14
Incidenthantering ur ledningskontra teknisktperspektiv Stefan Öhlund & André Rickardsson 2010-12-14 Stefan Öhlund Senior Advisor Ansvarig för affärsområdet Risk Management Bakgrund från Säkerhetspolisen
Läs merInformationssäkerhetspolicy. Linköpings kommun
Informationssäkerhetspolicy Linköpings kommun Antaget av: Kommunfullmäktige Status: Antaget 2016-08-30 291 Giltighetstid: Tillsvidare Linköpings kommun linkoping.se Sekretess: Öppen Diarienummer: Ks 2016-481
Läs merRiskanalys för signaltekniska anläggningsprojekt
Gäller för Version Standard BV utan resultatenheter 1.0 BVS 1544.94006 Giltigt från Giltigt till Antal bilagor 2009-01-19 Diarienummer Ansvarig enhet Fastställd av F08-3369/SI10 Leverans Anläggning Björn
Läs merPolicy för informationssäkerhet
30 Policy för informationssäkerhet Publicerad: Beslutsfattare: Lotten Glans Handläggare: Malin Styrman Beslutsdatum: Giltighetstid: Tillsvidare Sammanfattning: Informationssäkerhetspolicyn sammanfattar
Läs merFörsäkringspolicy med riktlinjer
KOMMUNLEDNINGSKONTORET Handläggare Datum Diarienummer Malmberg Jan 2015-01-26 KSN-2014-1490 Kommunstyrelsen Försäkringspolicy med riktlinjer Förslag till beslut Kommunstyrelsen föreslår kommunfullmäktige
Läs merSäkerhet i fokus. Säkerhet i fokus
Säkerhet i fokus Säkerhet i fokus Säkerhet är en av våra viktigaste frågor. Våra hyresgäster bedriver en daglig verksamhet i allt från kriminalvårds anstalter och domstolsbyggnader till speciella vårdhem
Läs merInternt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)
Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning
Läs merRiktlinje för riskhantering
KOMMUNLEDNINGSKONTORET Riktlinje för riskhantering Ett normerande dokument som kommunstyrelsen fattade beslut om 14 september 2016 Dokument-ID Dokumentnamn Fastställd av Gäller från Sida Riktlinje för
Läs merPolicy för säkerhetsarbetet i. Södertälje kommun
Policy för säkerhetsarbetet i Södertälje kommun Antagen av kommunfullmäktige den 28 september 1998 2 Södertälje kommun reglerar genom detta policydokument sin inställning till säkerhet och trygghet. Säkerhetspolicyn
Läs merIT-säkerhet Externt och internt intrångstest
Revisionsrapport IT-säkerhet Externt och internt intrångstest Tierps kommun Älvkarleby kommun Kerem Kocaer Juni 2014 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt...
Läs merRiktlinjer för informationssäkerhet
UFV 2012/715 Riktlinjer för informationssäkerhet Anvisningar för genomförande av risk- och hotbildsanalyser Fastställd av: Säkerhetschef 2012-04-02 Innehållsförteckning 1 Riskanalyser av systemförvaltningsobjekt
Läs merPresentation och bakgrund Kjell Ekbladh. Per Nordenstam
Presentation och bakgrund Kjell Ekbladh Thomas Svensson Ur ett managementperspektiv / kommunledningsperspektiv Människor / teknik Medborgarnas förväntningar och krav idag och i framtiden Hur den kommunala
Läs merÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning
ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation
Läs merEBITS Arbetsgruppen för Energibranschens Reviderad informationssäkerhet
Rapportering av Informations- och IT-incidenter Inledning Ett viktigt led i företagens förebyggande säkerhetsarbete är en väl fungerande policy och rutiner för incident- och händelserapportering. Genom
Läs merIT-säkerhet Internt intrångstest
Revisionsrapport IT-säkerhet Internt intrångstest Botkyrka kommun Janne Swenson Maj 2015 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Väsentlighets- och riskanalys... 3 Angreppssätt...
Läs merPolicy och riktlinjer för skyddsoch säkerhetsarbete
1(9) KOMMUNLEDNINGSKONTORET och riktlinjer för skyddsoch säkerhetsarbete Denna policy innehåller riktlinjer och instruktioner för Täby kommuns skydds- och säkerhetsarbete. 1. Inledning Täby kommun har
Läs merSÅ HÄR GÖR VI I NACKA
SÅ HÄR GÖR VI I NACKA Så här arbetar vi med informationssäkerhet i Nacka kommun Dokumentets syfte Beskriver vad och hur vi gör i Nacka rörande informationssäkerhetsarbetet. Dokumentet gäller för Alla chefer
Läs merSäkerhetspolicy för Kristianstad kommun
2007 POLICY OCH RIKTLINJER FÖR SÄKERHETSARBETE Fastställt av kommunstyrelsen 2007-11-21 267. Säkerhetspolicy för Kristianstad kommun Syfte Kristianstads kommun har ett ansvar att upprätthålla sina verksamheter
Läs merSkydd mot stöld av datorutrustning
November 2003 Teknisk information Skydd mot stöld av datorutrustning En infoskrift från Sveriges Försäkringsförbund Syftet med denna information är att ge en bild av risker med speciell inriktning på inbrott
Läs merAvbrott i bredbandstelefonitjänst
BESLUT 1(7) Datum Vår referens Aktbilaga 2013-10-17 Dnr: 12-9626 37 Nätsäkerhetsavdelningen Karin Lodin 073-644 56 04 karin.lodin@pts.se Avbrott i bredbandstelefonitjänst Saken Tillsyn enligt 7 kap. 1
Läs mer1 Risk- och sårbarhetsanalys
Bilaga 10 1 Risk- och sårbarhetsanalys I detta kapitel utgår vi från identifierade riskscenarier i följande bilagor: Bilaga X Informationsklassning, digitalt stöd i hemmet.xls Vi värderar hur stor sannolikheten
Läs merFÖRHINDRA DATORINTRÅNG!
FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser
Läs merSäkerhetsmekanismer. Säkerhetsmekanismer och risk. Skadlig kod. Tidsperspektiv Säkerhetsprodukter, -system och -lösningar
Säkerhetsmekanismer Säkerhetsmekanismer och risk = Skydd Avser att öka informationssäkerheten Är en typ av informationstillgång IT i vården (28 sidor) 1 2 Skadlig kod Virus (kopierar sig själva inuti andra
Läs merSÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE 2013-01-28, 8
VÄSTERVIKS KOMMUN FÖRFATTNINGSSAMLING SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE 2013-01-28, 8 RIKTLINJER FÖR SÄKERHETSARBETET ANTAGNA AV KOMMUN- STYRELSEN 2013-01-14, 10
Läs merAnalyser. Verktyg för att avgöra vilka skydd som behövs
Analyser Verktyg för att avgöra vilka skydd som behövs Analystyper Sårbarhetsanalys Svarar på frågan Hur viktigt är det att jag bryr mig Hotanalys Svarar på frågan Hur utsatt är just jag för kända, tänkbara
Läs merRiktlinjer för säkerhetsarbetet vid Uppsala universitet
Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3
Läs merHandledning i informationssäkerhet Version 2.0
Handledning i informationssäkerhet Version 2.0 2013-10-01 Dnr 1-516/2013 (ersätter Dnr 6255/12-060) Informationssäkerhet 6 saker att tänka på! 1. Skydda dina inloggningsuppgifter och lämna aldrig ut dem
Läs merInformationssäkerhetspolicy
2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan
Läs merSäkerhetsinstruktion 1 BAKGRUND INLOGGNING HANTERING AV INFORMATION INTERNET E-POST INCIDENTER...
2000-08-11 Sida 1 1 BAKGRUND... 2 2 INLOGGNING... 2 3 HANTERING AV INFORMATION... 3 4 INTERNET... 4 5 E-POST... 5 6 INCIDENTER... 5 7 BÄRBAR PC... 5 8 ARBETSPLATSEN... 6 2000-08-11 Sida 2 1 BAKGRUND Information
Läs merSystem för intern kontroll Hässelby-Vällingby stadsdelsförvaltning
System för intern kontroll Hässelby-Vällingby stadsdelsförvaltning stockholm.se Augusti 2017 Dnr: 1.2.1-264-2017 Kontaktperson: Per Lindberg 3 (11) Innehåll Inledning... 4 Kontrollsystemet... 5 Ansvarsfördelning...
Läs merSäkerhetspolicy för Ulricehamns kommun Antagen av Kommunstyrelsen 2012-06-04, 164
120417 Säkerhetspolicy för Ulricehamns kommun Antagen av Kommunstyrelsen 2012-06-04, 164 1. Bakgrund Kommunstyrelsen har det övergripande ansvaret för det kommunala säkerhetsarbetet. En säkerhets- och
Läs merLedningssystem för Informationssäkerhet (LIS) vid Linköpings universitet
2010-11-22 Beslut 1(9) Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet Inledning Universitetsstyrelsen fastställde 2002-02-27 IT-strategi för Linköpings universitet. Där fastslås
Läs merNuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket
15-12-07 1/6 Tillämpningsområde 1 Denna författning innehåller bestämmelser om myndigheternas arbete med informationssäkerhet och deras tillämpning av standarder i sådant arbete. 2 Författningen gäller
Läs merDnr Rev 12-2008. Riskhantering, styrning och intern kontroll, sammanställning. GöteborgsOperan AB
Dnr Rev 12-2008 Riskhantering, styrning och intern kontroll, sammanställning GöteborgsOperan AB Vårt uppdrag/syfte Lekmannarevisorerna, Revisionsenheten VGR, gav oss i uppdrag att medverka till en sammanställning
Läs merInformationssäkerhetspolicy KS/2018:260
Informationssäkerhetspolicy KS/2018:260 Innehållsförteckning Antagen av kommunfullmäktige den [månad_år] Informationssäkerhetspolicy...22 Ändringar införda till och med KF, [nr/år] Inledning och bakgrund...22
Läs merRiktlinjer för informationssäkerhet
Dnr UFV 2015/322 Riktlinjer för informationssäkerhet Riskhantering av informationssystem Fastställda av Säkerhetschefen 2015-03-06 Senast rev. 2017-02-01 Innehållsförteckning 1 Inledning... 3 2 Definitioner...
Läs merMyndigheten för samhällsskydd och beredskaps författningssamling
Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 11 mars 2016 Myndigheten
Läs merMetodstöd www.informationssäkerhet.se 2
Övervaka www.informationssäkerhet.se 2 Upphovsrätt Tillåtelse ges att kopiera, distribuera, överföra samt skapa egna bearbetningar av detta dokument, även för kommersiellt bruk. Upphovsmannen måste alltid
Läs merTalarmanus Bättre arbetsmiljö / Fall 4
Sid 1 av 9 De föreskrifter från Arbetsmiljöverket som gäller för verksamheten är viktiga underlag vid undersökning av arbetsmiljön. Föreskrifterna AFS 2012:2 Belastningsergonomi handlar om hur arbete ska
Läs merEnheten för Administration och kommunikation TJÄNSTEUTLÅTANDE Diarienummer: KN 2017/424
Enheten för Administration kommunikation TJÄNSTEUTLÅTANDE Diarienummer: 2017-03-15 KN 2017/424 Handläggare: David Malmberg Tjänsteutlåtande Ärendebeskrivning Alla nämnder bolag ska upprätta interna kontrollplaner
Läs merKRISPLAN VID STOCKHOLMS UNIVERSITET
1 SU FU-2.11.1-3666-14 KRISPLAN VID STOCKHOLMS UNIVERSITET Fastställd av rektor 2014-12-18 2 INNEHÅLL 1 Syfte och mål 3 2 Händelser som omfattas av krisplan 3 3 Krisledningsstruktur 4 3.1 Krisledningsgruppen
Läs merRiktlinjer för Hässleholms kommuns säkerhet och beredskap mandatperiod
www.hassleholm.se S Riktlinjer för Hässleholms kommuns säkerhet och beredskap mandatperiod 2015-2018 Riktlinjer Diarienummer: 2015/379 180 Fastställt den: 2015-09-02 204 Fastställt av: Kommunstyrelsen
Läs merREGLEMENTE FÖR. Intern kontroll. Antaget Tillsvidare, dock längst fyra år från antagande
REGLEMENTE FÖR Intern kontroll Antaget av Kommunfullmäktige Antaget 2018-12-10 176 Giltighetstid Dokumentansvarig Tillsvidare, dock längst fyra år från antagande Kansli- och kvalitetschef Håbo kommuns
Läs merKommunrevisionen KS 2016/00531
V W Halmstad Kommunrevisionen Datum 2017-02-07 kommunrevisionen@halmstad.se Dnr KS 2016/00531 Yttrande - Granskning övergripande säkerhetsgranskning av kommunens säkerhet angående externt och internt dataintrång
Läs merFörklarande text till revisionsrapport Sid 1 (5)
Förklarande text till revisionsrapport Sid 1 (5) Kravelementen enligt standarden ISO 14001:2004 Kap 4 Krav på miljöledningssystem 4.1 Generella krav Organisationen skall upprätta, dokumentera, införa,
Läs merPatientsäkerhetsberättelse för Hälsan & Arbetslivet
Patientsäkerhetsberättelse för Hälsan & Arbetslivet Avseende år 2012 2013-02-11 Per Olevik Medicinskt ledningsansvarig läkare Sammanfattning I Hälsan & Arbetslivets ledningssystem ingår riskbedömningar,
Läs merÖkat säkerhetsmedvetande 2002-10-23
Ökat säkerhetsmedvetande 2002-10-23 Mittkretsen, Örnsköldsvik SBA är Dataföreningens verksamhet för programprodukter inom säkerhetsområdet. SBA bildades 1983 och är ursprungligen en förkortning för SårBarhetsAnalys.
Läs merL U N D S U N I V E R S I T E T. Riskanalys och riskhantering
Riskanalys och riskhantering 1 Riskhantering i projekt Riskhantering är konsten att identifiera och reagera på risker genom hela projektets livscykel i relation till projektmålen. 2 Vad är risk? Ordboksdefinition:
Läs merCyber security Intrångsgranskning. Danderyds kommun
Revisionsrapport Niklas Ljung Ronald Binnerstedt Augusti 2017 Cyber security Intrångsgranskning Danderyds kommun Sammafattande slutsatser med revisionella bedömningar Revisorerna har i sin riskanalys för
Läs merRiktlinjer för IT-säkerhet i Halmstads kommun
Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4
Läs merHåbo kommuns förtroendevalda revisorer
www.pwc.se Revisionsrapport Granskning av intrångsskydd Niklas Ljung Mattias Gröndahl Håbo kommuns förtroendevalda revisorer April/2018 Innehåll Sammanfattning... 2 1. Inledning... 4 1.1. Granskningsbakgrund...
Läs merJuridik och informationssäkerhet
2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga
Läs merMiljöriskhantering enligt egenkontrollförordningen.
Miljöriskhantering enligt egenkontrollförordningen. 2 Förord Denna vägledning är upprättad inför det seminarium om riskhantering som äger rum den 18 april 2007 i Länsstyrelsen lokaler. Seminariet vänder
Läs merInformationssäkerhetspolicy
Informationssäkerhetspolicy KS/2018:260 Ansvarig: Kanslichef Gäller från och med: 2018-07-19 Uppföljning / revidering ska senast ske: 2019-07-19 Beslutad av kommunfullmäktige 2018-06-20, 60 Innehållsförteckning
Läs merDnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade
Dnr UFV 2018/211 Riskhantering Rutiner för informationssäkerhet Fastställda av Säkerhetschefen 2018-01-29 Senast reviderade 2018-06-15 Innehållsförteckning 1 Inledning... 3 2 Definitioner... 3 3 Syfte...
Läs merBILAGA 3 Tillitsramverk Version: 1.2
BILAGA 3 Tillitsramverk Version: 1.2 Innehåll Revisionshistorik... 1 Allmänt... 2 A. Organisation och styrning... 2 Övergripande krav på verksamheten... 2 Villkor för användning av Leverantörer... 3 Handlingars
Läs merVälja säkerhetsåtgärder
Välja säkerhetsåtgärder www.informationssäkerhet.se 2 Upphovsrätt Tillåtelse ges att kopiera, distribuera, överföra samt skapa egna bearbetningar av detta dokument, även för kommersiellt bruk. Upphovsmannen
Läs merRiktlinjer för informationssäkerhet
Dnr UFV 2015/322 Riktlinjer för informationssäkerhet Riskanalyser av informationssystem Fastställda av Säkerhetschefen 2015-03-06 Innehållsförteckning 1 Inledning... 3 2 Definitioner... 3 3 Syfte... 3
Läs merSäkerhetspolicy för Västerviks kommunkoncern
Säkerhetspolicy för Västerviks kommunkoncern Antagen av kommunfullmäktige 2016-10-31, 190 Mål Målen för säkerhetsarbete är att: Västerviks kommun ska vara en säker och trygg kommun för alla som bor, verkar
Läs merSitic. Informationssäkerhetspolicy. Om detta dokument. Förebyggande Råd från Sveriges IT-incidentcentrum. Om Förebyggande Råd från Sitic
Sitic Sveriges IT-incidentcentrum FR04-01 Informationssäkerhetspolicy Förebyggande Råd från Sveriges IT-incidentcentrum Om Förebyggande Råd från Sitic Bakgrund I uppdraget för Sveriges IT-incidentcentrum
Läs merAnvisningar för intern styrning och kontroll vid Karolinska Institutet
Anvisningar för intern styrning och kontroll vid Karolinska Institutet Universitetsförvaltningen Fastställda av rektor 2012-05-29 Dnr: 2740/2012-010 INNEHÅLL 1 Institutionernas och styrelsernas arbete
Läs merBILAGA 3 Tillitsramverk Version: 2.1
BILAGA 3 Tillitsramverk Version: 2.1 Innehåll Inledning... 2 Läs tillitsramverket så här... 2 A. Generella krav... 3 Övergripande krav på verksamheten... 3 Säkerhetsarbete... 3 Kryptografisk säkerhet...
Läs mer