Informationsteknik Säkerhetstekniker Vägledning för införande av ledningssystem för informationssäkerhet (ISO/IEC 27003:2010, IDT)

Transkript

1 SVENSK STANDARD SS-ISO/IEC 27003:2010 Fastställd/Approved: Publicerad/Published: Utgåva/Edition: 1 Språk/Language: svenska/swedish engelska/english ICS: ; ; ; ; Informationsteknik Säkerhetstekniker Vägledning för införande av ledningssystem för informationssäkerhet (ISO/IEC 27003:2010, IDT) Information technology Security techniques Information security management system implementation guidance (ISO/IEC 27003:2010, IDT) SWEDISH STANDARDS INSTITUTE

2 Hitta rätt produkt och ett leveranssätt som passar dig Standarder Genom att följa gällande standard både effektiviserar och säkrar du ditt arbete. Många standarder ingår dessutom ofta i paket. Tjänster Abonnemang är tjänsten där vi uppdaterar dig med aktuella standarder när förändringar sker på dem du valt att abonnera på. På så sätt är du säker på att du alltid arbetar efter rätt utgåva. e-nav är vår online-tjänst som ger dig och dina kollegor tillgång till standarder ni valt att abonnera på dygnet runt. Med e-nav kan samma standard användas av flera personer samtidigt. Leveranssätt Du väljer hur du vill ha dina standarder levererade. Vi kan erbjuda dig dem på papper och som pdf. Andra produkter Vi har böcker som underlättar arbetet att följa en standard. Med våra böcker får du ökad förståelse för hur standarder ska följas och vilka fördelar den ger dig i ditt arbete. Vi tar fram många egna publikationer och fungerar även som återförsäljare. Det gör att du hos oss kan hitta över 500 unika titlar. Vi har även tekniska rapporter, specifikationer och workshop agreement. Matriser är en översikt på standarder och handböcker som bör läsas tillsammans. De finns på sis.se och ger dig en bra bild över hur olika produkter hör ihop. Standardiseringsprojekt Du kan påverka innehållet i framtida standarder genom att delta i någon av SIS ca 400 Tekniska Kommittéer. Find the right product and the type of delivery that suits you Standards By complying with current standards, you can make your work more efficient and ensure reliability. Also, several of the standards are often supplied in packages. Services Subscription is the service that keeps you up to date with current standards when changes occur in the ones you have chosen to subscribe to. This ensures that you are always working with the right edition. e-nav is our online service that gives you and your colleagues access to the standards you subscribe to 24 hours a day. With e-nav, the same standards can be used by several people at once. Type of delivery You choose how you want your standards delivered. We can supply them both on paper and as PDF files. Other products We have books that facilitate standards compliance. They make it easier to understand how compliance works and how this benefits you in your operation. We produce many publications of our own, and also act as retailers. This means that we have more than 500 unique titles for you to choose from. We also have technical reports, specifications and workshop agreements. Matrices, listed at sis.se, provide an overview of which publications belong together. Standardisation project You can influence the content of future standards by taking part in one or other of SIS s 400 or so Technical Committees.

3 Den internationella standarden ISO/IEC 27003:2010 gäller som svensk standard. Detta dokument innehåller Copyright/Upphovsrätten till denna produkt tillhör SIS, Swedish Standards Institute, Stockholm, Sverige. Användningen av denna produkt regleras av slutanvändarlicensen som återfinns i denna produkt, se standardens sista sidor. Copyright SIS, Swedish Standards Institute, Stockholm, Sweden. All rights reserved. The use of this product is governed by!the end-user licence for this product. You will find the licence in the end of this document. Upplysningar om sakinnehållet i standarden lämnas av SIS, Swedish Standards Institute, telefon Standarder kan beställas hos SIS Förlag AB som även lämnar allmänna upplysningar om svensk och utländsk standard. Information about the content of the standard is available from the Swedish Standards Institute (SIS), tel Standards may be ordered from SIS Förlag AB, who can also provide general information about Swedish and foreign standards. SIS Förlag AB, SE Stockholm, Sweden. Tel: Fax: sis.sales@sis.se Internet:

4

5 Innehåll Förord... iv Orientering... v 1 Omfattning Normativa hänvisningar Termer och definitioner Standardens struktur Allmän struktur i avsnitten Allmän struktur i ett avsnitt Diagram Erhålla ledningens godkännande för initiering av ett LIS-projekt Översikt över att erhålla ledningens godkännande för initiering av ett LIS-projekt Klargöra organisationens prioriteringar för att utveckla ett LIS Definiera preliminär omfattning för LIS Skapa nyttoanalys och projektplan för ledningens godkännande Definiera omfattning och gränser för LIS samt policy för LIS Översikt över definiering av omfattning och gränser för LIS samt policy för LIS Definiera organisatorisk omfattning och gränser Definiera omfattning och gränser för informations- och kommunikationsteknik (ICT) Definiera fysisk omfattning och gränser Integrera varje omfattning och gräns för att erhålla omfattningen och gränserna för LIS Utforma LIS-policyn och inhämta ledningens godkännande Genomföra analys av informationssäkerhetskrav Översikt över genomförandet av analys av informationssäkerhetskrav Definiera informationssäkerhetskrav för LIS-processen Identifiera tillgångar inom omfattningen för LIS Genomföra en informationssäkerhetsbedömning Genomföra riskbedömning och planera riskbehandling Översikt över genomförande av riskbedömning och planering av riskbehandling Genomföra riskbedömning Välja åtgärdsmål och säkerhetsåtgärder Inhämta ledningens godkännande för att införa och driva LIS Utforma LIS Översikt över utformandet av LIS Utforma organisatorisk informationssäkerhet Utforma ICT och fysisk informationssäkerhet Utforma LIS-specifik informationssäkerhet Skapa slutgiltig projektplan för LIS Bilaga A (informativ) Beskrivning av checklista Bilaga B (informativ) Roller och ansvarsområden för informationssäkerhet Bilaga C (informativ) Information om intern revision Bilaga D (informativ) Struktur av policyer Bilaga E (informativ) Övervakning och mätning Litteraturförteckning Sida iii

6 Förord ISO (International Organization for Standardization) och IEC (International Electrotechnical Commission) utgör det specialiserade systemet för internationell standardisering. Nationella organ som är medlemmar i ISO eller IEC deltar i utvecklingen av internationella standarder genom medverkan i tekniska kommittéer inom respektive organisation med uppgift att behandla avgränsade tekniska områden. De tekniska kommittéerna inom ISO och IEC samarbetar inom områden av gemensamt intresse. Andra internationella organisationer, statliga eller privata, som samarbetar med ISO och IEC, deltar också i arbetet. Inom området informationsteknik har ISO och IEC bildat en gemensam teknisk kommitté, ISO/IEC JTC 1. Internationella standarder utformas i enlighet med de regler som anges i ISO/IEC Directives, Part 2. Den gemensamma tekniska kommitténs främsta uppgift är att utarbeta internationella standarder. Förslag till internationell standard som antagits av den gemensamma tekniska kommittén sänds till medlemmarna för omröstning. Publicering som internationell standard kräver godkännande av minst 75 % av de röstande medlemmarna. Det bör framhållas att vissa delar av detta dokument kan omfattas av patenträtter. ISO och IEC frånsäger sig ansvaret för att identifiera sådana patenträttigheter. ISO/IEC utformades av Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, IT Security techniques. iv

7 Orientering Syftet med denna internationella standard är att ge praktisk vägledning vid utformandet av en plan för införande av ett ledningssystem för informationssäkerhet (LIS) inom en organisation i enlighet med SS-ISO/IEC 27001:2005. Införandet av LIS genomförs vanligtvis som ett projekt. Den process som beskrivs i denna internationella standard har utarbetats för att ge stöd vid införandet av SS-ISO/IEC 27001:2005 (inklusive tillämpliga delar av avsnitt 4, 5 och 7) och redovisar: a) förberedelsen för att initiera en införandeplan för LIS i en organisation, definition av organisationsstrukturen för projektet och inhämtandet av ledningens godkännande b) de kritiska aktiviteterna i LIS-projektet c) exempel för att kunna uppfylla kraven i SS-ISO/IEC 27001:2005. Genom att använda denna internationella standard kan organisationen utarbeta en process för hantering av informationssäkerhet, vilket ger utomstående parter en försäkran om att informationstillgångar fortlöpande underhålls inom acceptabla informationssäkerhetsgränser som definierats av organisationen. Denna internationella standard omfattar vare sig de operativa aktiviteterna eller andra LIS-aktiviteter, utan omfattar koncept för utforma de aktiviteter som blir resultatet av att driften av LIS inleds. Konceptet resulterar i en slutgiltig projektplan för införande av LIS. Utförandet av den organisationsspecifika delen av ett LISprojekt ligger utanför denna internationella standards omfattning. Införandet av LIS-projektet bör ske enligt standardiserade projektledningsmetoder (för ytterligare information se SS-ISO och SS-ISO/IEC-standarder som behandlar projektledning). v

8

9 Informationsteknik Säkerhetstekniker Vägledning för införande av ledningssystem för informationssäkerhet 1 Omfattning Denna internationella standard fokuserar på de kritiska aspekter som är nödvändiga för framgångsrik utformning och införande av ett ledningssystem för informationssäkerhet (LIS) i enlighet med SS-ISO/IEC 27001:2005. Den beskriver processen för specificering och utformning av LIS från inledningen till produktion av införandeplaner. Den beskriver processen för att erhålla ledningens godkännande att införa LIS, definierar ett projekt för att införa LIS (vilket i denna internationella standard avser LIS-projektet) och ger riktlinjer för hur LIS-projektet bör planeras, vilket resulterar i en slutgiltig projektplan för införande av LIS. Denna internationella standard är avsedd att användas av organisationer som inför LIS. Den är tillämpbar för alla typer av organisationer (t.ex. kommersiella företag, statliga myndigheter, ideella organisationer) av alla storlekar. Varje organisations komplexitet och risker är unika och dess specifika krav driver LIS-införandet. Mindre organisationer kommer att upptäcka att de aktiviteter som tas upp i denna internationella standard kan användas av dem och förenklas. Stora eller komplexa organisationer kan finna att en organisation eller ledningssystem på flera nivåer behövs för att effektivt styra aktiviteterna i denna internationella standard. Likväl kan relevanta aktiviteter i bägge fallen planeras genom tillämpning av denna internationella standard. Denna internationella standard ger rekommendationer samt förklaringar och den specificerar inte några krav. Denna internationella standard är avsedd att användas tillsammans med SS-ISO/IEC 27001:2005 och SS- ISO/IEC 27002:2005, men är inte avsedd att ändra och/eller reducera kraven specificerade i SS-ISO/IEC 27001:2005 eller de rekommendationer som tillhandahålls i SS-ISO/IEC 27002:2005. Det är inte lämpligt att hävda överensstämmelse med denna internationella standard. 2 Normativa hänvisningar Följande referensdokument är nödvändiga vid tillämpning av detta dokument. För daterade referenser gäller endast den åberopade utgåvan. För odaterade referenser gäller den senaste utgåvan av referensdokumentet (inklusive eventuella tillägg). SS-ISO/IEC 27000:2009 SS-ISO/IEC 27001:2005 Informationsteknik Säkerhetstekniker Ledningssystem för informationssäkerhet Översikt och terminologi Informationsteknik Säkerhetstekniker Ledningssystem för informationssäkerhet Krav 3 Termer och definitioner För detta dokument gäller termer och definitioner i SS-ISO/IEC 27000:2009, SS-ISO/IEC 27001:2005 samt följande. 3.1 LIS-projekt strukturerade aktiviteter som utförs av en organisation vid införandet av ett ledningssystem för informationssäkerhet (LIS) 1

10 4 Standardens struktur 4.1 Allmän struktur i avsnitten Införandet av LIS är en viktig aktivitet och sker vanligen i projektform inom en organisation. Detta dokument beskriver införandet av LIS med fokus på initiering, planering och definiering av projektet. Planeringsprocessen för införande av LIS omfattar fem faser, där varje fas representeras av ett separat avsnitt. Alla avsnitt har en liknande struktur, såsom beskrivs nedan. De fem faserna är: a) Erhålla ledningens godkännande för initiering av ett LIS-projekt (Avsnitt 5) b) Definiera omfattningen för LIS och policyn för LIS (Avsnitt 6) c) Genomföra en anlays av organisationen (Avsnitt 7) Svensk ANM. Nulägesanalys d) Genomföra riskbedömning och planera riskbehandling (Avsnitt 8) e) Utforma LIS (Avsnitt 9) Figur 1 illustrerar de fem planeringsfaserna i LIS-projektet med hänvisning till SS-ISO/IEC-standarder och de huvudsakliga dokumenten som är resultaten. Erhålla ledningens godkännande för initiering av ett LISprojekt Definiera omfattning, och gränser samt policy för LIS Genomföra analys av informationssäkerhetskrav G fö Genomföra riskbedömning och planera riskbehandling Utforma LIS Ledningens godkännande för initiering av LISprojekt Omfattning och gränser för LIS Informationssäkerhetskrav Skriftligt intyg på ledningens godkännande av införandet av LIS Slutgiltig projektplan för införande av LIS LIS Policy Informationstillgångar Riskbehandlingsplan Resultat av informationssäkerhetsbedömning Uttalande om tillämplighet, i nklusive åtgärdsmål och valda säkerhetsåtgärder Tidslinje Figur 1 Projektfaser för LIS Ytterligare information finns i bilagorna. Bilagorna är: Bilaga A. Aktivitetssammanfattning med hänvisningar enligt SS-ISO/IEC 27001:2005 Bilaga B. Roller och ansvar för Informationssäkerhet Bilaga C. Information om planering av intern revision Bilaga D. Struktur hos policyer Bilaga E. Information om planering av övervakning och mätning 2

11 4.2 Allmän struktur i ett avsnitt Varje avsnitt innehåller: a) en textruta, i början av varje avsnitt, som anger det eller de mål som bör uppnås och b) en eller flera aktiviteter som är nödvändiga för att uppnå fasens mål eller målsättningar. Varje aktivitet beskrivs i ett underavsnitt. Aktivitetsbeskrivningarna i varje underavsnitt är strukturerade enligt följande: Aktivitet Aktiviteten definierar vad som är krävs för att uppnå alla eller delar av fasens målsättningar. Underlag Underlag beskriver startpunkten, såsom förekomst av dokumenterade beslut eller utfall från andra aktiviteter som beskrivs i denna internationella standard. Underlag kan antingen refereras till som en aktivitets fullständiga utfall genom att enbart ange relevant avsnitt eller genom att specifik information från en aktivitet läggs till efter avsnittets referens. Vägledning Vägledningen ger detaljerad information om hur aktiviteten bör genomföras. I vissa fall kan delar av vägledningen vara olämplig och andra sätt att uppnå resultat kan vara lämpligare. Utfall Utfallet beskriver vad resultatet(n) eller leverabeln(lerna) av aktiviteten är, t.ex. ett dokument. Utfallen är desamma oberoende av organisationens storlek eller LIS-omfattning. Övrig information Övrig information tillhandahåller all ytterligare information som kan vara till hjälp vid genomförandet av aktiviteten, exempelvis hänvisning till andra standarder. ANM. De faser och aktiviteter som beskrivs i detta dokument inkluderar förslag på ordningsföljd för genomförandet av aktiviteter, baserat på de beroenden som identifieras genom varje aktivitets Underlag - och Utfalls -beskrivningar. Beroende på många olika faktorer (t.ex. verkninggraden hos aktuellt ledningssystem, förståelse för vikten av informationssäkerhet, skäl till införande av LIS) kan en organisation välja vilken aktivitet som helst i den ordning som krävs för att kunna upprätta och införa LIS. 4.3 Diagram Ett projekt illustreras vanligtvis grafiskt eller i diagramform för att ge en översikt över aktiviteter och utfall. Figur 2 illustrerar ett flödesdiagram som ger översiktsavsnitt för varje fas. Diagrammen ger en övergripande översikt över de aktiviteter som ingår i varje fas. 3

12 LIS-projektets planeringsfas Fas Fas Fas Dokument Dokument Tidslinje Fasens aktiviteter Aktivitet Dokument Dokument Aktivitet Aktivitet Dokument Dokument Dokument Dokument Tidslinje Figur 2 Flödesdiagram 4

13 Den övre rutan illustrerar ett LIS-projekts planeringsfaser. Den fas som beskrivs i det aktuella avsnittet visas ihop med huvuddokument som fasen resulterar i. Det nedre diagrammet (fasernas aktiviteter) omfattar de nyckelaktiviteter som ingår i den fas som visas i den övre rutan och huvuddokument respektive aktivitet resulterar i. Den nedre rutans tidslinje baseras på den övre rutans. Aktivitet A och aktivitet B kan utföras samtidigt. Aktivitet C bör påbörjas när aktivitet A och B är avslutade. 5 Erhålla ledningens godkännande för initiering av ett LIS-projekt 5.1 Översikt över att erhålla ledningens godkännande för initiering av ett LIS-projekt Det finns flera faktorer att ta hänsyn till då ett beslut om att införa LIS bör fattas. För att kunna hantera dessa faktorer bör ledningen både förstå verksamhetsnyttan av ett projekt för införande av LIS och godkänna det. Därför är målet med denna fas: Mål: Att erhålla ledningens godkännande för att starta LIS-projektet genom att definiera verksamhetsnyttan och projektplanen. För att kunna erhålla ledningens godkännande bör en organisation skapa en nyttoanalys som inkluderar prioriteringar och målsättningar med att införa ett LIS utöver organisationens struktur för LIS. Den initiala projektplanen för LIS bör också skapas. Det arbete som utförs i denna fas ger organisationen en möjlighet att förstå relevansen av ett LIS samt att klargöra de roller och ansvarsområden för informationssäkerhet inom organisationen som är nödvändiga i ett LIS-projekt. Det förväntade utfallet i denna fas är ett preliminärt ledningsgodkännande av, och åtagande att införa, ett LIS och att utföra de aktiviteter som beskrivs i denna internationella standard. Leverablerna från detta avsnitt inkluderar en nyttoanalys och ett förslag på projektplan med huvudsakliga milstolpar. Figur 3 illustrerar processen för att erhålla ledningens godkännande för initiering av LIS-projektet. ANM. Utfallet från avsnitt 5 (Dokumenterat ledningsengagemang för att planera och införa LIS) och ett av utfallen från avsnitt 7 (Dokumentsammanfattning av informationssäkerhetsstatus) är inga krav i SS-ISO/IEC 27001:2005. Däremot är utfallet från dessa aktiviteter rekommenderade underlag i andra aktiviteter som beskrivs i detta dokument. 5

14 Erhålla ledningens godkännande för initiering av ett LISprojekt Definiera omfattning och gränser samt policy för LIS Genomföra analys av informationssäkerhetskrav Genomföra riskbedömning och planera riskbehandling. Utforma LIS Ledningens godkännande för initiering av LIS-projekt Klargöra organisationens prioriteringar för att utforma ett LIS Sammanfattning av mål för LIS Lista över rättsliga förpliktelser, krav enligt avtal och branschbegränsningar som är relevanta för organisationens informationssäkerhet Sammanfattning av verksamhetens karakteristik Definiera preliminär omfattning för LIS Utveckla preliminär omfattning för LIS Definiera roller och ansvarsområden för den preliminära omfattningen för LIS Skapa nyttoanalys och projektplan för ledningens godkännande Sammanfattning av verksanhets karakteristik Beskrivning av roller och ansvarsområden vid införande av LIS Nyttoanalys Projektförslag för LIS Godkännande av ett LISprojekt Tidsgräns Figur 3 Översikt över att erhålla ledningens godkännande för initiering av LIS-projektet 6

15 5.2 Klargöra organisationens prioriteringar för att utveckla ett LIS Aktivitet Målsättningen med att införa ett LIS bör inkluderas med hänsyn tagen till organisationens prioriteringar och krav gällande informationssäkerhet. Underlag a) organisationens strategiska mål b) översikt över befintliga ledningssystem c) en förteckning över informationssäkerhetskrav enligt lagstiftning, bestämmelser och avtal som är tillämpliga på organisationen Vägledning För att kunna starta LIS-projektet krävs vanligtvis ledningens godkännande. Därför bör den första aktivitet som utförs vara att samla relevant information som kan illustrera värdet av att ett LIS införs i organisationen. Organisationen bör klargöra varför ett LIS behövs och fastställa målsättningen med införande av ett LIS samt initiera LIS-projektet. Målsättningen med att införa ett LIS kan fastställas genom att följande frågor besvaras: a) riskhantering Hur kan ett LIS förbättra styrningen av informationssäkerhetsrisker? b) effektivitet Hur kan ett LIS förbättra styrningen av informationssäkerhet? c) affärsfördelar Hur kan ett LIS skapa konkurrensmässiga fördelar för organisationen? För att besvara ovanstående frågor kan organisationens säkerhetsprioriteringar och krav hanteras med utgångspunkt från följande möjliga faktorer: a) kritiska affärs- och organisationsområden: 1. Vilka är verksamhetens och organisationens kritiska områden? 2. Vilka organisatoriska områden utgör verksamheten och på vilket sätt? 3. Vilka tredjeparts-relationer och överenskommelser föreligger? 4. Förekommer utlagda tjänster? b) känslig eller värdefull information: 1. Vilken information är kritisk för organisationen? 2. Vilka är de sannolika konsekvenserna om viss information skulle bli tillgänglig för obehöriga parter (t.ex. förlust av konkurrensfördelar, skada på varumärke eller rykte, juridisk åtgärd etc.)? c) lagar som förordnar informationssäkerhetsåtgärder: 1. Vilka lagar relaterade till riskbehandling eller informationssäkerhet berör organisationen? 2. Är organisationen en del av en börsnoterad global organisation som berörs av krav på offentlig årsredovisning? d) avtal eller organisatoriska överenskommelser relaterade till informationssäkerhet: 1. Vilka lagringskrav (inklusive arkiveringsperioder) gäller för lagring av data? 2. Föreligger några avtalskrav relaterade till sekretess eller kvalitet (t.ex. tjänstenivåavtal (SLA))? 7

16 e) branchkrav, som specificerar särskilda informationssäkerhetsåtgärder eller kontroller: 1. Vilka sektorspecifika krav ställs på organisationen? f) Hotmiljö: 1. Vilken typ av skydd behövs och mot vilken typ av hot? 2. Vilka distinkta informationskategorier kräver skydd? 3. Vilka distinkta typer av informationsaktiviteter behöver skyddas? g) Konkurrerande verksamheter: 1. Vilka är marknadens lägsta krav på informationssäkerhet? 2. Vilka ytterligare informationssäkerhetsåtgärder skulle kunna ge organisationen konkurrensfördelar? h) Verksamhetens kontinuitetskrav 1. Vilka är de kritiska verksamhetsprocesserna? 2. Hur länge kan organisationen tolerera avbrott i kritiska verksamhetsprocesser? Preliminär omfattning för LIS kan fastställas med hjälp av ovanstående information. Detta är också nödvändigt för att kunna skapa en nyttoanalys och en övergripande projektplan för LIS för ledningens godkännande. En detaljerad omfattning för LIS kan definieras under LIS-projektets gång. De krav som anges i SS-ISO/IEC 27001:2005 under a) anger omfattningen utifrån verksamhetens art, organisationen, dess lokalisering, tillgångar och teknik. Resultatet från ovanstående information stödjer fastställandet. Vissa aspekter som bör övervägas i samband med initiala beslutet om omfattning inkluderar: a) Vilka befogenheter och krav på informationssäkerhetsstyrning har ställts av ledningen för organisationen och vilka externa förpliktelser har ställts på organisationen? b) Ligger ansvaret för de system, som föreslås omfattas, på fler än en ledningsgrupp (t.ex. personal på olika filialer eller avdelningar)? c) Hur ska LIS-relaterade dokument kommuniceras genom hela organisationen (t.ex. i pappersform eller via organisationens intranät)? d) Stödjer befintliga ledningssystem organisationens behov? Är de fullt operationella, väl underhållna och fungerar såsom avsett? Exempel på ledningsmål som kan användas som grund för att definiera den preliminära omfattningen för LIS kan bestå av att: a) underlätta verksamhetens kontinuitet och återhämtning efter katastrofer b) förbättra återhämtningsförmågan vid incidenter c) hantera efterlevnad/ skyldigheter av lagar/avtal d) skapa förutsättningar för certifiering enligt andra SS-ISO/IEC-standarder e) möjliggöra organisationens position och tillväxt f) reducera kostnader för säkerhetsåtgärder g) skydda strategiskt värdefulla tillgångar h) upprätta en sund och effektiv miljö för interna säkerhetsåtgärder i) förse intressenter med en försäkran om att informationstillgångar är tillräckligt skyddade 8

17 Utfall Leverablerna från denna aktivitet är: a) ett dokument innehållande en sammanfattning av mål, informationssäkerhetsprioriteringar samt organisatoriska krav på ett LIS b) en förteckning över restriktioner gällande lagstiftning, avtal och verksamhet som är relevanta för organisationens informationssäkerhet c) en översikt över verksamhetens art, organisationen, dess lokalisering, tillgångar och teknik. Övrig information SS-ISO/IEC 9001:2008, SS-ISO/IEC 14001:2004, SS-ISO/IEC : Definiera preliminär omfattning för LIS Utveckla preliminär omfattning för LIS Aktivitet Målsättningen med att införa ett LIS bör innefatta en preliminär definition av omfattningen för LIS, vilken är nödvändig för LIS-projektet. Underlag Utfall från aktivitet 5.2 Klargör organisationens prioriteringar för att utveckla LIS. Vägledning För att kunna verkställa projektet för införande av LIS bör organisationens struktur för dess LIS definieras. Den preliminära omfattningen för LIS bör definieras för att förse ledningen med vägledning om införandebeslut samt för att stödja ytterligare aktiviteter. Den preliminära omfattningen för LIS krävs för att kunna skapa en nyttoanalys och den föreslagna projektplanen för ledningens godkännande. Utfallet från detta steg är ett dokument som definierar den preliminära omfattningen av LIS, vilket innefattar: a) en sammanfattning av vilka krav på informationssäkerhetsledning som har ställts av den organisatoriska ledningen och vilka förpliktelser som åläggs organisationen externt b) en beskrivning av hur berört/berörda område(n) interagerar med andra ledningssystem c) en förteckning över verksamhetens målsättning med styrning av informationssäkerheten (såsom härleds i avsnitt 5.2) d) en förteckning över de kritiska verksamhetsprocesser, system, informationstillgångar, organisatoriska strukturer och geografiska platser som bör omfattas av organisationens LIS e) relationen mellan befintliga ledningssystem, lagstiftning, överensstämmelse och organisationens målsättning f) en översikt över verksamhetens art, organisationen, dess lokalisering, tillgångar och teknik. Gemensamma nämnare och operativa skillnader mellan befintliga ledningssystem och det föreslagna LIS bör identifieras. Utfall Leverabeln är ett dokument som beskriver den preliminära omfattningen av organisationens LIS. 9

18 Övrig information Ingen ytterligare information. ANM. Observera att om det gäller certifiering så ska de specifika dokumentationskrav i SS-ISO/IEC 27001:2005 som gäller omfattning för LIS uppfyllas oavsett organisationens befintliga ledningssystem Definiera roller och ansvarsområden för den preliminära omfattningen för LIS Aktiviteter Övergripande roller och ansvarsområden för den preliminära omfattningen för LIS bör definieras. Underlag a) utfall från aktivitet Utveckla preliminär omfattning för LIS b) förteckning över intressenter som gagnas av LIS-projektets resultat. Vägledning För att kunna genomföra LIS-projektet bör projektorganisationens roll fastställas. Rollen varierar vanligtvis från organisation till organisation beroende på hur stor del av personalen som hanterar informationssäkerhet. Den organisatoriska strukturen och resurser för informationssäkerhet varierar med storlek, typ och organisationsstruktur. I en mindre organisation kan exempelvis en person ha flera roller. Ledningen bör dock explicit identifiera rollen (såsom informationssäkerhetschef, informastionssäkerhetsansvarig eller liknande) med övergripande ansvar för ledning av informationssäkerheten, och personalen bör tilldelas roller och ansvarsområden med utgångspunkt från de färdigheter som krävs för uppgiften. Detta är nödvändigt för att säkerställa att arbetet utförs effektivt och verkningsfullt. Det viktigaste vid definiering av roller för styrning av informationssäkerhet är: a) att det övergripande ansvaret för arbetet tas på ledningsnivå, b) att en person (vanligen informationssäkerhetschefen) utses för att upprätthålla och koordinera informationssäkerhetsprocessen, c) att varje anställd ansvarar för både sin arbetsuppgift och för att bevara informationssäkerheten på arbetsplatsen och inom organisationen. Rollerna för styrning av informationssäkerhet bör samordnas, vilket kan underlättas av ett informationssäkerhetsforum eller liknande organ. Ett samarbete med lämpliga verksamhetsspecialister bör genomföras (och dokumenteras) i LIS alla utvecklings-, införande-, drift- och underhållsstadier. Representanter från avdelningar inom det identifierade området (såsom riskhantering) är potentiella gruppmedlemmar vid införande av LIS. Teamet bör hållas så litet som möjligt för snabb och effektiv användning av resurser. Sådana områden är inte bara de som direkt omfattas av LIS, utan även de som är indirekt berörda, såsom juridik, riskhantering och administration. Utfall Leverabeln är ett dokument eller en tabell som beskriver roller och ansvarsområden, med namn och organisation, som behövs för ett lyckat införande av ett LIS. Övrig information Bilaga B ger detaljerad information om vilka roller och ansvarsområden som behövs för att på ett framgångsrikt sätt införa ett LIS i organisationen. 10

19 5.4 Skapa nyttoanalys och projektplan för ledningens godkännande Aktivitet Ledningens godkännande och resursåtagande för LIS införandeprojektet bör erhållas genom att skapa en nyttoanalys och ett projektförslag. Underlag a) utfall från aktivitet 5.2 Klargör organisationens prioriteringar för att utveckla ett LIS b) utfall från aktivitet 5.3 Definiera preliminär omfattning för LIS Preliminär dokumentation av: 1. Omfattning för LIS och 2. associerade roller och ansvarsområden. Vägledning Informationen för nyttoanalysen och den initiala projektplanen för LIS bör innefatta uppskattad tider, resurser och de milstolpar som behövs för huvudaktiviteterna i avsnitt 6 och 9 i denna internationella standard. Nyttoanalysen och den initiala projektplanen för LIS utgör projektets grund, men säkerställer också ledningens åtagande och godkännande av de resurser som krävs vid införande av ett LIS. Det sätt på vilket det införda LIS kommer att stödja verksamhetsmålen bidrar till verkningsfulla organisationsprocesser och ökar verksamhetens effektivitet. Nyttoanalysen för införande av ett LIS bör innefatta korta uttalanden som är kopplade till organisationens mål och täcka följande områden: a) mål och specifika målsättningar b) fördelar för organisationen c) preliminär omfattning för LIS inklusive berörda verksamhetsprocesser d) kritiska processer och faktorer för att uppnå målen för LIS e) övergripande projektöversikt f) initial införandeplan g) definierade roller och ansvarsområden h) nödvändiga resurser (både för teknik och personal) i) faktorer att beakta vid införande inklusive befintlig informationssäkerhet j) tidsplan med viktiga milstolpar k) förväntade kostnader l) kritiska framgångsfaktorer m) kvantifiering av fördelarna för organisationen. Projektplanen bör omfatta relevanta aktiviteter för de olika faserna som beskrivs i avsnitt 6-9 i denna internationella standard. 11