Företagsledningen och informationssäkerheten

Storlek: px
Starta visningen från sidan:

Download "Företagsledningen och informationssäkerheten"

Transkript

1 Företagsledningen och informationssäkerheten Ledningssystem för informationssäkerhet

2 Innehåll: sidan Introduktion 3 Vad är informationssäkerhet? 4 Varför är informationssäkerhet viktigt för mig? 5 Hur ska jag bäst angripa säkerhetsfrågorna? 6 Vilken funktions- och ansvarsfördelning bör gälla? 8 Hur mycket säkerhet behöver jag? 9 Hur tar jag fram en policy för säkerheten? 11 Vilka säkerhetslösningar finns? 12 Vad är en certifiering? 14 Informationssäkerhetspolicy, exempel 15 Var kan jag få mer information? 16 Deltagare i projekt Ledningsystem för informationssäkerhet, LIS I projektet deltar ett 30-tal intressenter i form av företag, myndigheter och organisationer. Projektdeltagare i november 1999 är: ABB, Acando AB, Arthur Andersen, AU-System, Bizit International Group, Bull AB, BVQI, Cap Gemini Sverige AB, Computer Security Nordic AB, DNV Certification AB, Enator Telub, Ernst & Young, Folksam, Försvarets materielverk, Guide Communicator AB, Infosec, KPMG, LAN International AB, Lindbergs Grant Thornton AB, Ludvika kommun, Perstorp AB, Price Waterhouse Coopers, Protect Data AB, Reisswolf, SAF/NSD, SEMKO-DEKRA Certification AB, Sigma CC AB, SIS Forum, SIS-SAQ, Site Security, Statskontoret, Svenska Stöldskyddsföreningen, Sveriges Provnings- och forskningsinstitut, SWEDAC, Telia, WM-Data Ledningssystem för informationssäkerhet Originalets titel: The Business Manager s Guide to Information Security Översättning med tillstånd av: DTI, Department of Trade and Industry, Storbritannien Översättning: Thomas Osvald Produktion och grafisk form: STG, Anette Karlsson Tryckning: Stellan Ståls Grafiska Innehållet i denna skrift får återges med uppgivande av källa 2

3 Den här skriften är en introduktion till informationssäkerhet för företagsledningen Introduktion Avsikten är att ge dig i ledande ställning underlag för att initiera informationssäkerhetsfrågorna. Först beskrivs vad informationssäkerhet är och varför det är viktigt för företagsledningen. Därefter tar vi upp hur du förverkligar säkerheten, hur du tar fram en informationssäkerhetspolicy och vilka säkerhetsfunktioner och ansvarsfrågor som bör övervägas. Skriften behandlar också hur du ska fastställa säkerhetskraven och hur du kommer fram till lämpliga säkerhetslösningar. Slutligen ges råd om var du kan få mer information. Även om du inte tidigare har funderat särskilt över säkerhetsfrågorna så kommer du att känna igen dig i vår framställning. På många sätt liknar företagets informationsskydd nämligen det sätt på vilket du skyddar värdefulla dokument och föremål i ditt hem och den jämförelsen har vi tillämpat genomgående. När du läst den här skriften kommer du att se vilka åtgärder du måste vidta för att vara säker på att företagets information har ett bra skydd. 3

4 Vad är informationssäkerhet? I affärsvärlden kan rätt information vid rätt tidpunkt innebära skillnaden mellan vinst och förlust, framgång och misslyckande. Informationssäkerhet bidrar till att säkra och skydda informationen mot oavsiktlig eller uppsåtlig ändring, utplånande och mot obehörigt avslöjande. I standarden definieras informationssäkerhet i termerna: Tillgänglighet Att behöriga användare har tillgång till de resurser de är behöriga till i rätt tid och omfattning. Riktighet Att information inte obehörigt ändras eller modifieras. Sekretess Att endast behöriga användare kommer åt den information som finns i informationssystemen. Även spårbarhet i systemet är en viktig komponent när det gäller informationssäkerhet. Vilken information ska skyddas? Information förekommer i bl. a. följande former: talad (även i telefon) tryckt och skriven på papper faxmeddelanden lagrad i datorer, inklusive webb och intranät sänd och mottagen via nät lagrad på band eller skivor telex e-post lagrad i databaser lagrad på microfilm eller -fiche presenterad på overhead andra metoder att kommunicera humankapital Alla tillämpar vi någon form av informationssäkerhet. Hemma säkerställer vi t.ex. att kontrakt och försäkringsbrev förvaras skyddat så att de finns tillgängliga när vi behöver dem. Ditt företags information förtjänar samma omsorg. 4

5 Information är idag en central tillgång i all affärsverksamhet, den kan vara nyckeln till företagets tillväxt och framgång. Att sprida och utnyttja information är något som ökar i all affärsverksamhet och som blir allt viktigare. Företagets information är en nyckeltillgång av stort värde. Varför är informationssäkerhet viktigt för mig? Informationens tillgänglighet, riktighet och sekretess kan vara kritisk för företagets fortsatta framgång. Informationssäkerheten kan hotas på flera sätt, både genom externa och interna hot. Resultatet när något händer kan bli mycket allvarligare än man först kanske tror. Förlusten av kritisk affärsinformation kan direkt påverka konkurrensförmåga och kassaflöde, den kan också fördärva företagets rykte och kan få långvariga, skadliga effekter. Självklart behöver även sådan information som företaget utnyttjar gemensamt med andra organisationer skyddas väl. Traditionellt utbyte av skrivna dokument via post har delvis ersatts av fax och i dag övergår allt flera företag till att utbyta information via sina datorer, t.ex. med e-post. Elektronisk handel mellan organisationer ökar också. Användningen av Internet som ett centralt verktyg i affärsprocessen medför helt nya säkerhetsrisker. Det händer inte mig Tyvärr gör det ändå det, vilket ett stort och ökande antal företag kan konstatera av egen bitter erfarenhet. I en undersökning gjord av RRV (RRV 1997:33) för perioden , beräknades kostnaderna för datorrelaterade brott och missbruk inkl. stöld av hårdvara uppgå till ca 350 miljoner kr. I samma undersökning uppgår genomsnittskostnaden till 549 tkr för varje databrott (exkl. virusskador och stöld av hårdvara). Vi skyddar självklart vårt hus och våra värdesaker från intrång, stöld och förstörelse. Ditt företags information förtjänar samma skydd. 5

6 Hur ska jag bäst angripa säkerhetsfrågorna? Det bästa sättet att uppnå bra informationssäkerhet är att använda ett strukturerat angreppssätt som tar hänsyn till företagets särskilda säkerhetskrav. På så sätt kan du koncentrera dig på det som är viktigast. En svensk standard, SS Ledningssystem för informationssäkerhet, har nyligen antagits av Standardiseringen i Sverige, SIS. Den är en översättning av en brittisk standard, BS 7799, Code of practice for Information Security Management. Standarden tillämpas redan i många länder och användningen ökar snabbt. Standarden omfattar ett antal åtgärdsområden som tillsammans representerar det bästa av modern informationssäkerhetspraxis. Syftet är att standarden ska utgöra en gemensam grund för företagens informationssäkerhet och därmed ge företag och organisationer möjlighet att tydliggöra hur väl de skyddar sitt informationskapital. Ett sådant tydliggörande utgör en förutsättning för att skapa ett förtroende hos dem som kommunicerar, tar del av och utnyttjar gemensam information. SS omfattar ett stort antal åtgärder grupperade under tio rubriker: Säkerhetspolicy Säkerhetsorganisation Klassificering och kontroll av tillgångar Personal och säkerhet Fysisk och miljörelaterad säkerhet Styrning av kommunikation och drift Styrning av åtkomst Systemutveckling och -underhåll Avbrottsplanering Efterlevnad av lagar och avtal Inom vissa särskilt viktiga eller känsliga affärsområden kan finnas skäl att därutöver införa ytterligare styrmedel och säkerhetsåtgärder. Vi skyddar våra hem och bilar på ett systematiskt sätt, med dörr- och fönsterlås, kanske också larmsystem. Vi tänker igenom riskerna och vidtar relevanta skyddsåtgärder. Skyddet av företagets information kräver ett motsvarande tillvägagångssätt. 6

7 Skriv säkerhetspolicy Ge en tydlig inriktning och visa ditt stöd för informationssäkerhetsarbetet genom att skriva ett policydokument och tillse att all personal får ta del av det. Sätt upp en säkerhetsorganisation Bilda ett ledningsorgan för att införa säkerheten. Beroende på företagets storlek kan du behöva inrätta ledningsgrupper för att godkänna riktlinjer, fördela arbetsuppgifter och ansvar och koordinera införandet av säkerhetsåtgärder. Du kan också behöva etablera en specialfunktion i företaget. Gör en riskanalys Det måste råda balans mellan kostnaderna för säkerheten å ena sidan och värdet av de tillgångar som skall skyddas och konsekvenserna av att misslyckas å den andra. Gör en riskbedömning för att bestämma vilka kontroller som behövs och prioriteringen i införandet av dem. Inför säkerheten Inför säkerhetsåtgärder enligt SS Tänk igenom vilken vägledning som de anställda behöver. Olika kategorier kan ha olika krav, problem och prioriteter beroende på roller och IT-miljö. Befattningsbeskrivningar med individuella riktlinjer kan behöva upprättas. Klassificering och kontrollering av tillgångar Personal och säkerhet Fysisk och miljörelaterad säkerhet Styrning av kommunikation och drift Styrning av åtkomst Systemutveckling och -underhåll Avbrottsplanering Efterlevnad av lagar och avtal Utbilda personalen Gör ett lämpligt utbildningsprogram om informationssäkerhet för de anställda och säkerställ att alla användaare är övade i korrekt och säker användning av IT-resurserna. Kontrollera efterlevnaden Se till att din informationshantering regelbundet granskas mot säkerhetspolicyn, gällande normer och andra regler. Nu har du fått ordning i ditt eget hus hur står det till hos din affärspartner? 7

8 Vilken funktionsoch ansvarsfördelning bör gälla? För en effektiv informationssäkerhet är det viktigt att alla säkerhetsrelaterade roller definieras. Alla medarbetare ska veta vilka som har dessa roller och vad ansvaret omfattar. Ett effektivt säkerhetsarbete uppnås genom att ansvarsområden definieras och fördelas på namngivna medarbetare. Ansvarsområden kan definieras olika beroende på företagets eller organisationens storlek och inriktning. I vissa verksamheter kan ansvaret för informationssäkerhet fördelas på flera personer i ledande befattning. I andra fall kan stora företag behöva flera anställda för att kunna klara informationssäkerhetschefens uppgifter. Företagsledning bekräftar med sina underskrifter formellt företagets informationssäkerhetspolicy. Chefer ansvarar för att deras information får tillräckligt skydd. Medarbetare följer de regler som anges i företagets informationssäkerhetspolicy. Informationssäkerhetschef utvecklar, inför och granskar periodiskt företagets informationssäkerhetspolicy och rutiner. Säkerhetsorganisationen ska betraktas som en stödfunktion till företagets affärsverksamhet. Ett effektivt skydd av våra hem kräver att någon påtar sig ansvaret för säkerheten, t.ex. att tillräckliga hus- och hemförsäkringar finns. På motsvarande sätt måste någon i företaget ansvara för att företagets information får tillräckligt skydd. 8

9 Otillräckliga säkerhetsåtgärder och rutiner kan leda till incidenter medan överdriven säkerhet blir onödigt dyr och tidskrävande. Affärsrisker är en del av företagsledarens dagliga liv. Att ta affärsrisker syftar ytterst till att skydda företaget och dess tillgångar. Informationssäkerhetsrisker kan bedömas på motsvarande sätt med syfte att skydda mot oönskade händelser. En riskanalys möjliggör kloka investeringsbeslut och garanterar att affärsverksamhetens krav tillgodoses. Hur mycket säkerhet behöver jag? Rimligtvis är det viktigaste ledet i riskanalysen realistisk uppskattning av värdet av de tillgångar som ska skyddas. Vet du, t.ex., som företagsledare hur mycket den information som en säljare bär med sig i sin portabla dator verkligen är värd för företaget? När du bedömer risker måste du räkna in inte bara kostnaden för att ersätta till exempel en stulen PC utan också för att återskapa information som kan gå förlorad. Du kanske också måste bedöma skador som kan orsakas av utomståendes och anställdas missbruk av den information som gått förlorad. Efter att informationen värderats måste man bedöma vad som i värsta fall kan inträffa. Vad skulle det t.ex. betyda för säljaren om informationen på hans portabla dator inte längre är tillgänglig. 9

10 En av de rysare som du måste tänka på är om konfidentiell företagsinformation hamnar hos konkurrenter eller media. Det är alltså nödvändigt att sätta ett värde på detta, helst i kronor och ören. Det blir både ett mått på hur värdefull informationstillgången är för företaget och en vägledning för vilken skyddsnivå som krävs. I nästa steg krävs en bedömning av sannolika hot, t.ex. elavbrott, stöld eller brand. Med utgångspunkt från dessa uppgifter kan du bedöma lämplig säkerhetsnivå för att skydda informationstillgångarna. Elektronisk handel mellan t.ex. ett företag och underleverantörer medför också ett krav att bedöma riskerna i underleverantörens system. Med kännedom om riskerna är det lättare att ta riktiga och effektiva beslut. Innan du beslutar dig för att installera ett inbrottslarm i din bostad gör du en riskanalys. Du börjar med att gå igenom vilka tillgångar som ska skyddas och deras värde (för dig). Sedan bedömer du hoten från tjuvar och vandaler. Slutligen tar du ett beslut om vad som måste göras för att få lämpligt skydd. Riskanalys behövs också för att ge företagsinformationen lämpligt skydd. 10

11 Informationssäkerhetspolicyn är företagsledningens instrument för att klart ange inriktningen och visa sitt engagemang för informationssäkerheten. Policyn bör ses som ett komplement till företagets affärsplan och ge uttryck för företagets önskan att arbeta på ett välkontrollerat och säkert sätt. Hur tar jag fram en policy för säkerheten? Som ett minimum bör policyn innefatta vägledning inom följande områden: Informationssäkerhetens betydelse för affärsverksamheten Ett uttalande från företagsledningen till stöd för informationssäkerhetens mål och principer Särskilda uttalanden till stöd för minimistandarder och krav på efterlevnad till exempel: Vad som gäller enligt lagar, förordningar och avtal säkerhetsmedvetande och kunskapskrav upptäckt av och skydd mot datavirus avbrottsplanering. Definition av ansvar och befogenheter inom informationssäkerhetsområdet Rutiner för rapportering av misstänkta incidenter 11

12 Vilka säkerhetslösningar finns? Frågor om risk och sårbarhet behandlades i avsnittet Hur mycket säkerhet behöver jag? Här ger vi råd om hur olika säkerhetsåtgärder kan bidra till att minska sårbarheten. En bra utgångspunkt för säkerhetsarbetet är de här särskilt viktiga kontrollerna i SS Börjar du med dessa har du kommit en bra bit på väg att få bra säkerhetslösningar. Informationssäkerhetspolicy Föregående avsnitt Hur tar jag fram en policy för säkerheten? omfattar råd för att ta fram bra riktlinjer. Ansvarsfördelning Detta behandlas i avsnittet Vilken funktions- och ansvarsfördelning bör gälla?. Utbildning Alla användare, inklusive företagsledande personer, ska ha lämpligt avpassad informationssäkerhetsutbildning. Förutom att behandla de olika kontrollerna och rutinerna ska du se till att personalen har förstått att säkerhet är viktigt, vilka riktlinjer som gäller och vars och ens ansvar. Incidentrapportering Vägledning behövs i fråga om hur man ska handla vid incidenter, bl.a. hur de ska rapporteras. Dessa frågor ska behandlas i informationssäkerhetspolicyn och utbildningen. Viruskontroll Viruskontrollen har två aspekter. Den ena är att inte tillåta användning av icke licensierad och godkänd programvara. Den andra är att installera och underhålla anti-virusprogram från en välkänd leverantör. 12

13 Avbrottsplanering Företaget behöver ta fram och underhålla rutiner att användas vid avbrott. Genom riskanalysen som diskuterades under avsnittet Hur mycket säkerhet behöver jag? har de väsentliga företagsfunktionerna identifierats, som måste kunna hållas i gång efter en katastrofartad händelse. Kontroll av programkopiering Du måste säkerställa att lagregler om skydd av upphovsrättsskyddad programvara är kända och följs av personalen. Riktlinjer för personalens efterlevnad av licensregler ska finnas. Lagar och avtal Lagar du behöver ta hänsyn till är till exempel: Lagen om skydd för företagshemligheter Personuppgiftslagen Sekretesslagen Regler för lagarnas efterlevnad ska finnas. Gällande avtal med kunder och leverantörer ska beaktas. Säkerhetspolicyns efterlevnad Det är nödvändigt att regelbundet kontrollera att policyn efterlevs. Riktlinjerna i policyn är av övergripande natur och måste kompletteras med anvisningar för hur de ska tillämpas i det dagliga arbetet. Underlåtenhet att följa företagets informationssäkerhetspolicy bör medföra påföljd. Om riskanalysen i ditt hem har identifierat en hög risknivå när ingen är hemma kan du besluta dig för att installera ett inbrottslarm. Du måste bestämma vilken omfattning och utformning av larm som krävs och finna en tillförlitlig leverantör som kan leverera det avsedda systemet till rätt pris. På motsvarande sätt ska i företaget principerna för riskanalys vara vägledande vid bedömning av lämplig skyddsnivå. 13

14 Vad är en certifiering? Dagens affärssystem, tjänster och produkter blir alltmer komplexa. Detta har skapat ett behov av pålitliga system som garanterar att leverantören upprätthåller rätt kvalitet, det vill säga överenstämmelse mellan löften som ges till kunder och den tjänst som företaget levererar. Industri- och tjänstesektor efterfrågar idag ofta verifiering av en opartisk (tredje part) att dess ledningssystem uppfyller relevanta krav. I många fall är verifieringen frivillig och kan utgöra en viktig del av företagets utveckling och marknadsföring. I andra fall fordras emellertid denna verifiering av nationella eller internationella myndigheter, försäkringsbolag eller av kunden. Med ett certifikat verifieras av en oberoende part att ledningssystemet uppfyller standardens krav. Årliga revisioner ger förutsättningar för att ledningssystemet bibehåller sina relevanta omfattning. Ekonomiskt perspektiv Ur ekonomisk synpunkt är det mycket fördelaktigt att inneha ett ledningssystem för informationssäkerhet som uppfyller de krav som framgår av standarderna. Målet att få en större andel nöjda kunder till en lägre kostnad är ett nog så viktigt argument. Den som infört ett ledningssystem önskar ofta detta certifierat för att på ett förtroendeingivande sätt kunna marknadsföra sig. Företaget får även ett bra instrument för att mäta sin säkerhetsnivå. Ackreditering Ackreditering innebär ett formellt erkännande att ett organ (laboratorium, certifieringsorgan, besiktningsorgan etc) är kompetent att utföra specificerade provningar, kalibreringar, mätningar, certifieringar o.s.v. 14

15 Informationssäkerhetspolicy exempel Mål Målsättningen med informationssäkerheten är att säkerställa företagets verksamhet mot avbrott och minska skador på företaget genom att förebygga och minimera verkan av oönskade händelser. Policy Avsikten med denna policy är att skydda företagets informationstillgångar 1 mot alla hot interna eller externa, avsiktliga eller oavsiktliga. Verkställande direktören har godkänt och ställer sig bakom denna informationssäkerhetspolicy. Det är företagets policy att Informationen skall skyddas mot obehörig åtkomst. Informationens sekretess skall säkerställas. 2 Informationens riktighet skall säkerställas. 3 Informationens tillgänglighet skall säkerställas. Fotnoter: 1. Information förekommer i många former data lagrade i datorer, överförda via nät, tryckta, lagrade på band och disketter eller muntligt framförda direkt mellan personer eller via telefon. 2. Här avses skydd mot otillåtet avslöjande. 3. Avser informationens korrekthet och fullständighet och dess skydd mot obehörig modifiering. 4. Avser bland annat: Personuppgiftslagen, Lagen om skydd för företagshemligheter, skydd mot icke auktoriserad kopiering av programvara m.m. 5. Säkerställer att information och viktiga företagsfunktioner finns på plats och är tillgängliga när användarna behöver dem. 6. Detta kan vara en hel- eller deltidsuppgift för den utsedde personen. Krav i lagar och avtal skall uppfyllas. 4 Avbrottsplan skall upprättas, underhållas och testas. 5 Utbildning i informationssäkerhet skall ges alla anställda. Alla säkerhetsincidenter, konstaterade eller misstänkta, skall rapporteras till och undersökas av informationssäkerhetschefen. 6 Företaget skall ta fram regler till stöd för denna policy. De bör bl.a. omfatta viruskontroll, lösenordshantering och kryptering. Verksamhetens krav på informationen och informationssystemens tillgänglighet skall tillgodoses. Funktionen och ansvaret för att leda informationssäkerhetsarbetet tilldelas informationssäkerhetschefen. 6 Informationssäkerhetschefen har det direkta ansvaret för att vidmakthålla denna policy och att ge råd och vägledning för dess införande. Alla chefer är direkt ansvariga för att denna policy följs inom sina respektive ansvarsområden och för sin personals efterlevnad av den. Det är varje anställds ansvar att efterleva denna policy. Underlåtenhet kan medföra påföljd. Underskrift Titel Datum Policyn skall revideras på informationssäkerhetschefens initiativ normalt ett år efter dess undertecknande. 15

16 Var kan jag få mer information? Om du behöver veta mer om informationssäkerhet kan följande källor rekommenderas: Följande publikationer finns att köpa från SIS Förlag eller SIS Forum, tfn eller e-postadress SS Ledningssystem för informationssäkerhet Denna del av standarden innehåller förklarande text och är avsedd för den som skall bygga upp ett ledningssystem för informationssäkerhet. SS Specifikation för ledningssystem för informationssäkerhet Denna del av standarden innehåller specifikationer för den som vill införa ett ledningssystem enligt standarden. DISC PD 3000 Information Security Management: An introduction Översikt av certifieringsordningen enligt BS DISC PD 3001 Preparing for BS 7799 certification Handbok för den som avser att certifiera sitt informationssäkerhetssystem mot BS DISC PD 3002 Guide to BS 7799 Risk assessment and Risk Management Handbok för den som vill sätta sig in i riskbedömning och riskhantering kopplat till certifiering mot BS DISC PD 3003 Are you ready for a BS 7799 audit? Informationsskrift för den som förbereder certifiering enligt BS DISC PD 3004 Guide to BS 7799 Auditing Handbok för auktoriserade certifieringsorgan. DISC PD 3005 Guide on the selection of BS 7799 controls Handbok för stöd vid införande av BS Ytterligare exemplar av denna skrift kan beställas från SIS Forum AB på telefon eller hämtas som PDF-dokument på Om du vill följa utvecklingen inom området så använd projektets webb och anmäl dig till LIS User Club där. Stellan Ståls Grafiska 1999

Informationssäkerhet nyckeln till nya affärer

Informationssäkerhet nyckeln till nya affärer Informationssäkerhet nyckeln till nya affärer Introduktion Denna skrift ger dig ett underlag för att diskutera frågor kring informationssäkerhet och även för att komma igång med konkreta åtgärder. Först

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016 Informationssäkerhetspolicy Informationssäkerhetspolicy för Vingåkers kommun 013-016 Innehållsförteckning 1 Mål... Syfte... 3 Ansvarsfördelning... 4 Definition... 5 Genomförande och processägare... 3 Dokumentnamn

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799 2003-01-24 Energibranschens IT-säkerhet 1 (13) Att införa LIS Förberedelser inför anpassning till ISO/IEC 17799 Vad är informationssäkerhet? Information är en tillgång som, liksom andra viktiga tillgångar

Läs mer

Policy för informationssäkerhet

Policy för informationssäkerhet .. - T C Q o,.. e Policy för informationssäkerhet Landstingsdirektörens stab augusti 2015 CJiflt LANDSTINGET BLEKINGE Innehållsförteckning Inledning och bakgrund... 3 Syfte... 3 Mål... 3 Genomförande...

Läs mer

Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2

Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2 Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2 Ledningssystem för informationssäkerhet () Informationssäkerhet Informationssäkerhet Administrativ säkerhet IT-säkerhet ADB-säkerhet Kommunikationssäkerhet

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Plan för informationssäkerhet vid Högskolan Dalarna 2015 Plan för informationssäkerhet vid Högskolan Dalarna 2015 Beslut: 2015-05-04 Reviderad: Dnr: DUC 2015/769/10 Ersätter: Relaterade dokument: Policy för informationssäkerhet Ansvarig: Förvaltningschef Innehållsförteckning

Läs mer

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Vervas allmänna råd till föreskrift om statliga myndigheters arbete med säkert

Läs mer

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda IT governance i praktiken: Styrning och kontroll över ITriskerna med ISO2700X Fredrik Björck Transcendent Group för ADBJ 2006-01-31 Agenda IT governance definierat IT governance i praktiken och infosäk

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

Riktlinjer informationssäkerhet

Riktlinjer informationssäkerhet informationssäkerhet Norrbottens läns landstings riktlinjer för informationssäkerhet beskriver hur hanteringen av information ska ske. All information omfattas oberoende av mediatyp. Styrande dokument

Läs mer

IT-säkerhetspolicy för Landstinget Sörmland

IT-säkerhetspolicy för Landstinget Sörmland Bilaga 1, LS 115 /02 1.0 1(5) IT-säkerhetspolicy för Landstinget Sörmland Inledning Bakgrund och motiv Mål Medel Omfattning Organisation och ansvar Regelverk 1.0 2(5) Inledning Policyn är landstingsstyrelsens

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Informationssäkerhet vid Karolinska Universitetssjukhuset Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Förlorar vi informationen, om den är felaktig eller manipulerad

Läs mer

Skydd mot stöld av datorutrustning

Skydd mot stöld av datorutrustning November 2003 Teknisk information Skydd mot stöld av datorutrustning En infoskrift från Sveriges Försäkringsförbund Syftet med denna information är att ge en bild av risker med speciell inriktning på inbrott

Läs mer

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Gäller från och med 2009-01-01 Dnr 5581/2008-030 Beslut 2008-12-10 Dnr:5581/2008-030 Universitetsdirektören Regler och riktlinjer för IT-säkerhet

Läs mer

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 8 januari 2010 Myndigheten

Läs mer

Sitic. Informationssäkerhetspolicy. Om detta dokument. Förebyggande Råd från Sveriges IT-incidentcentrum. Om Förebyggande Råd från Sitic

Sitic. Informationssäkerhetspolicy. Om detta dokument. Förebyggande Råd från Sveriges IT-incidentcentrum. Om Förebyggande Råd från Sitic Sitic Sveriges IT-incidentcentrum FR04-01 Informationssäkerhetspolicy Förebyggande Råd från Sveriges IT-incidentcentrum Om Förebyggande Råd från Sitic Bakgrund I uppdraget för Sveriges IT-incidentcentrum

Läs mer

SIS tre produktområden

SIS tre produktområden SIS tre produktområden Standardisering SIS, Swedish Standards Institue En kund till SIS kan: påverka standarders inriktning och innehåll få tillgång till och kunskap om standarder och deras tillämpning

Läs mer

Välkommen till enkäten!

Välkommen till enkäten! Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av

Läs mer

Informations- säkerhet

Informations- säkerhet ISec Code of Conduct Internal information Informations- säkerhet Ditt ansvar! ISec Code of Conduct Informationssäkerhet Scanias verksamhet är beroende av att information är tillgänglig och hanteras på

Läs mer

Kravställning på e-arkiv från informationssäkerhetsperspektiv

Kravställning på e-arkiv från informationssäkerhetsperspektiv Kravställning på e-arkiv från informationssäkerhetsperspektiv Författare: Delprojektgruppen informationssäkerhet Årtal: 2014 Författare: Delprojektgruppen informationssäkerhet Sammanfattning Inom ramen

Läs mer

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhetspolicy för Nässjö kommun Författningssamling Antagen av kommunfullmäktige: 2014-11-27 173 Informationssäkerhetspolicy för Nässjö kommun Innehåll 1 Inledning... 3 1.1 Begreppsförklaring... 3 2 Syfte... 4 3 Mål för Informationssäkerhetsarbetet...

Läs mer

Riskhantering & Informationssäkerhet. Agneta Syrén Säkerhetschef/Informationssäkerhetschef Länsförsäkringar AB 2012-02-16

Riskhantering & Informationssäkerhet. Agneta Syrén Säkerhetschef/Informationssäkerhetschef Länsförsäkringar AB 2012-02-16 Riskhantering & Informationssäkerhet Agneta Syrén Säkerhetschef/Informationssäkerhetschef Länsförsäkringar AB 2012-02-16 Agneta Syrén CISM,CISM, CAMS Tfn. +46 739641558, E-post: agneta.syren@lansforsakringar.se

Läs mer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf

Läs mer

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet

Läs mer

Ledningssystem för informationssäkerhet - Kompetensprofil

Ledningssystem för informationssäkerhet - Kompetensprofil Handläggare, tfn Bengt Rydstedt, 08-555 520 28 E-post bengt.rydstedt@sis.se Ledningssystem för informationssäkerhet - Kompetensprofil Detta dokument har utarbetats av AG 8 inom projekt LIS, Ledningssystem

Läs mer

Advokatfirma Rosén och Lagerbielke

Advokatfirma Rosén och Lagerbielke Anders Berndt Arena College Vårterminen 03 Analys av IT-säkerheten i Advokatfirma Rosén och Lagerbielke med förslag till riskreducerande åtgärder och införande av informationssäkerhetspolicy. Konsultfirma

Läs mer

Informationssäkerhetsanvisning

Informationssäkerhetsanvisning HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Informationssäkerhetsanvisningar Användare Beslutad av enhetschef för Gemensamma förvaltningen i enlighet med rektors beslut fattat den 16 februari

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar

Läs mer

Säkerhet i fokus. Säkerhet i fokus

Säkerhet i fokus. Säkerhet i fokus Säkerhet i fokus Säkerhet i fokus Säkerhet är en av våra viktigaste frågor. Våra hyresgäster bedriver en daglig verksamhet i allt från kriminalvårds anstalter och domstolsbyggnader till speciella vårdhem

Läs mer

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde Högskoledirektör Beslut 2015-03-01 Dnr Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde Härmed fastställs reviderad version av informationssäkerhetspolicyn vid Högskolan i Skövde.

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet 2 (8) Innehållsförteckning Bilaga 3 Säkerhet 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll

Läs mer

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A 2 (8) Innehållsförteckning 1 Allmänt 3 2 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 7 3 (8) 1 Allmänt 4 (8) 2 Tele2 bedriver en verksamhet vars produktion till största delen

Läs mer

FÖRHINDRA DATORINTRÅNG!

FÖRHINDRA DATORINTRÅNG! FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser

Läs mer

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun. V A R B E R G S K O M M U N föregångare inom IT-säkerhet av lena lidberg Vilka är kommunens viktigaste IT-system? Och hur länge kan systemen ligga nere innan det uppstår kaos i verksamheterna? Frågor som

Läs mer

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet UFV 2012/715 Riktlinjer för informationssäkerhet Anvisningar för genomförande av risk- och hotbildsanalyser Fastställd av: Säkerhetschef 2012-04-02 Innehållsförteckning 1 Riskanalyser av systemförvaltningsobjekt

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

IT-riktlinjer Nationell information

IT-riktlinjer Nationell information IT-riktlinjer Nationell information Syftet med denna It-riktlinje: den ska vägleda i användningen av Studiefrämjandets gemensamma datornätverk och dess it-resurser, vilket även innefattar den egna datorarbetsplatsen.

Läs mer

I Central förvaltning Administrativ enhet

I Central förvaltning Administrativ enhet ., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens

Läs mer

Säkerhetspolicy för Kristianstad kommun

Säkerhetspolicy för Kristianstad kommun 2007 POLICY OCH RIKTLINJER FÖR SÄKERHETSARBETE Fastställt av kommunstyrelsen 2007-11-21 267. Säkerhetspolicy för Kristianstad kommun Syfte Kristianstads kommun har ett ansvar att upprätthålla sina verksamheter

Läs mer

Allmänna villkor för infrastrukturen Mina meddelanden

Allmänna villkor för infrastrukturen Mina meddelanden Allmänna villkor för infrastrukturen Mina meddelanden Bilaga 1 Krav på säkerhet för brevlådeoperatörer version 1.2 (Gäller fr.o.m. 2015-11-11) 2 Bakgrund och syfte Skatteverket tillhandahåller en myndighetsgemensam

Läs mer

Handbok Informationsklassificering

Handbok Informationsklassificering Stockholms stad Handbok Informationsklassificering Stockholm 2008-03-18 1. Informationssäkerhet Kraven på säkerhet i en organisation med IT-stöd skall ställas i relation till de krav som ställs på organisationens

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

Jämtlands Gymnasieförbund

Jämtlands Gymnasieförbund Jämtlands Gymnasieförbund Svar på revisionsrapport - Granskning av ITsäkerhetspolicy Dnr 212-2013 Linda Lignell Innehållsförteckning 1. Allmänt... 3 2. Efterlevnad av policyn... 3 2.1. IT-säkerhetspolicy...

Läs mer

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet Revision 1 (3) State Released Plan för IT Säkerhet DOCUMENT REVISION HISTORY Revision Reason for revision Date 1 New Document 2013-02-26 List of Authors List of Reviewers List of Approvers Skölde, Daniel/Ulrika

Läs mer

Anvisning om riskhantering och internrevision i värdepapperscentraler

Anvisning om riskhantering och internrevision i värdepapperscentraler tills vidare 1 (11) Till värdepapperscentralerna Anvisning om riskhantering och internrevision i värdepapperscentraler Finansinspektionen meddelar med stöd av 4 2 punkten lagen om finansinspektionen följande

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

IT-säkerhetspolicy. Fastställd av KF 2005-02-16

IT-säkerhetspolicy. Fastställd av KF 2005-02-16 IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten

Läs mer

Säkerhetspolicy för Göteborgs Stad

Säkerhetspolicy för Göteborgs Stad (Styrelsemöte i Förvaltnings AB Framtiden 2014-12-09) Säkerhet & lokaler Gemensamt för staden Säkerhetspolicy för Göteborgs Stad - Policy/riktlinjer/regler Handläggare: Peter Lönn Fastställare: Kommunfullmäktige

Läs mer

VAD ÄR KVALITET? Röntgenveckan 2014-09-09 Monica Kasevik

VAD ÄR KVALITET? Röntgenveckan 2014-09-09 Monica Kasevik VAD ÄR KVALITET? Verksamhetsförbättring Kvalitetskontroll är allt som görs EFTER Kvalitetsstyrning är allt som görs för att säkra kvaliteten i ett pågående arbete, dvs NU Kvalitetssäkring är allt som görs

Läs mer

Ge din information rätt säkerhet

Ge din information rätt säkerhet Teknisk rapport SIS/TK 318 N46 Version 6.00 2006-08-07 Ge din information rätt säkerhet Handbok i informationssäkerhetsarbete Baserad på standarderna: ISO-ISO/IEC 27001 Ledningssystem för informationssäkerhet

Läs mer

SÄKERHETSPOLICY FÖR KÖPINGS KOMMUN

SÄKERHETSPOLICY FÖR KÖPINGS KOMMUN Köping2000, v3.2, 2011-07-04 1 (8) Drätselkontoret Jan Häggkvist 0221-251 11 jan.haggkvist@koping.se SÄKERHETSPOLICY FÖR KÖPINGS KOMMUN 1. Målsättning Målsättning för säkerhetsarbetet är att ett säkerhetsarbete

Läs mer

Informations- och IT-säkerhet i kommunal verksamhet

Informations- och IT-säkerhet i kommunal verksamhet Informations- och IT-säkerhet i kommunal verksamhet En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta Vad, vem och hur man kan arbeta med informations-

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Antagen av kommunfullmäktige 2014-02-24, KF 29 Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd:

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om hantering av operativa risker; FFFS 2014:4 Utkom

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

Juridik och informationssäkerhet

Juridik och informationssäkerhet 2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga

Läs mer

Ledningssystem för IT-tjänster

Ledningssystem för IT-tjänster Styrning och ledning av IT med stöd av internationella standarder Ledningssystem för IT-tjänster sixten.bjorklund@sipit.se 2013-11-05 Sip It AB, Sixten Björklund 1 Kort om Sixten Konsult i eget bolag Ledning

Läs mer

VI TÄNKER PÅ HELHETEN

VI TÄNKER PÅ HELHETEN UTBILDNINGAR2015 VI TÄNKER PÅ HELHETEN SSF har 40 års erfarenhet av att genomföra säkerhetsutbildningar. Att skapa en trygg och säker arbetsplats handlar mycket om sunt förnuft och genom SSFs utbildningar

Läs mer

Riktlinje för säkerhetskrav vid upphandling av IT-stöd

Riktlinje för säkerhetskrav vid upphandling av IT-stöd 1 (5) Ver. 1.1-2008-11-06 Riktlinje för säkerhetskrav vid upphandling av IT-stöd 1. Inledning Detta dokument redogör för vissa grundläggande säkerhetskrav som bör ställas i samband med anskaffning eller

Läs mer

Upphandlingssystem och IT-säkerhet. Britta Johansson Sentensia

Upphandlingssystem och IT-säkerhet. Britta Johansson Sentensia Upphandlingssystem och IT-säkerhet Britta Johansson Sentensia 1 Säkerhetsfrågor i fokus dagligen 2 IT-säkerhet i upphandlingssystem Deltagare presenterar sig för varandra Myndighet Erfarenhet av elektronisk

Läs mer

EAs krav vid ackreditering av flexibel omfattning

EAs krav vid ackreditering av flexibel omfattning SWEDAC DOC 12:1 2012-05-10 Utgåva 1 Inofficiell översättning av EA 2/15 M:2008 EAs krav vid ackreditering av flexibel omfattning Swedac, Styrelsen för ackreditering och teknisk kontroll, Box 878, 501 15

Läs mer

IT-säkerhet Internt intrångstest

IT-säkerhet Internt intrångstest Revisionsrapport IT-säkerhet Internt intrångstest Botkyrka kommun Janne Swenson Maj 2015 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Väsentlighets- och riskanalys... 3 Angreppssätt...

Läs mer

Policy. 1 Telias policy för utfärdande av ID-kort med e-legitimation

Policy. 1 Telias policy för utfärdande av ID-kort med e-legitimation 2014-06-16 1 (7) 1 Telias policy för utfärdande av ID-kort med e-legitimation 1. INLEDNING För att upprätthålla den säkerhetsnivå som krävs för utfärdandet av Telias e-legitimationer på ID-kort till privatpersoner

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet 2 (10) Innehåll 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll säkerhetsrevision 5 2.1.3

Läs mer

Bilaga 3c Informationssäkerhet

Bilaga 3c Informationssäkerhet SID 1 (9) Bilaga 3c Informationssäkerhet Förfrågningsunderlag Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm Box 22049, 104 22 Stockholm. Besöksadress

Läs mer

VI TÄNKER PÅ HELHETEN

VI TÄNKER PÅ HELHETEN UTBILDNINGAR2015 VI TÄNKER PÅ HELHETEN SSF har 40 års erfarenhet av att genomföra säkerhetsutbildningar. Att skapa en trygg och säker arbetsplats handlar mycket om sunt förnuft och genom SSFs utbildningar

Läs mer

Telias policy för utfärdande av företagskort med e-legitimation

Telias policy för utfärdande av företagskort med e-legitimation 1 (8) Telias policy för utfärdande av företagskort med e-legitimation 1. INLEDNING För att upprätthålla den säkerhetsnivå som utfärdandet av Telias e-legitimationer på företagskort (framgent kallat Företagskort)

Läs mer

Riskanalys och riskhantering

Riskanalys och riskhantering Riskanalys och riskhantering Margaretha Eriksson, civ.ing. och doktorand i informationssäkerhet KTH Föreläsning 2 Mål känna till stegen i en risk- och sårbarhetsanalys kunna använda risk- och sårbarhetsanalys

Läs mer

Säkerhetspolicy för Ulricehamns kommun Antagen av Kommunstyrelsen 2012-06-04, 164

Säkerhetspolicy för Ulricehamns kommun Antagen av Kommunstyrelsen 2012-06-04, 164 120417 Säkerhetspolicy för Ulricehamns kommun Antagen av Kommunstyrelsen 2012-06-04, 164 1. Bakgrund Kommunstyrelsen har det övergripande ansvaret för det kommunala säkerhetsarbetet. En säkerhets- och

Läs mer

Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50

Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50 Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50 TK 318 2015-09-02 Jan-Olof Andersson Bearbetat underlag från: Lars Söderlund/Rose-Mharie Åhlfeldt 2015-09-07 1 TR-50 Teknisk rapport

Läs mer

Policy och strategi för informationssäkerhet

Policy och strategi för informationssäkerhet Styrdokument Dokumenttyp: Policy och strategi Beslutat av: Kommunfullmäktige Fastställelsedatum: 2014-10-23, 20 Ansvarig: Kanslichefen Revideras: Vart 4:e år eller vid behov Följas upp: Vartannat år Policy

Läs mer

Icke funktionella krav

Icke funktionella krav 1 (9) Underskriftstjänst Svensk e-legitimation 2 (9) INNEHÅLL 1 Inledning... 3 2 Tillgänglighet och kapacitet... 3 2.1 Svarstider... 3 3 Administrativ säkerhet... 4 3.1 Policy och regelverk... 4 3.1.1

Läs mer

Granskning av informationssäkerhet

Granskning av informationssäkerhet 1(1) DNR: SLU ua 2014.1.1.2-841 Exp. den: 2014-06- Styrelsen BESLUT 2014-06-17 Sändlista Granskning av informationssäkerhet Styrelsen beslutar: att fastställa internrevisionens rapport Informationssäkerhet,

Läs mer

Sammanfattning av riktlinjer

Sammanfattning av riktlinjer Sammanfattning av riktlinjer INFORMATIONSSÄKERHET FÖR ANVÄNDARE inom Luleå kommunkoncern 2015-03-04 Informationssäkerhet för användare beskriver hur Luleå kommun hanterar den information som används i

Läs mer

Informationssäkerhet Policy och riktlinjer för Stockholms läns sjukvårdsområde

Informationssäkerhet Policy och riktlinjer för Stockholms läns sjukvårdsområde 1 (12) Informationssäkerhet Policy och riktlinjer för Stockholms läns sjukvårdsområde Dokumentnamn Regnr Gäller fr.o.m Informationssäkerhet - riktlinjer för 2013-01-22 SLSO Handläggare Godkänd/signatur

Läs mer

När du deltar i en panelundersökning som vårt företag utför kan du känna dig säker på att eventuell personlig information stannar hos oss.

När du deltar i en panelundersökning som vårt företag utför kan du känna dig säker på att eventuell personlig information stannar hos oss. VISION CRITICAL COMMUNICATIONS INC. FÖRETAGETS INTEGRITETSPOLICY ÖVERSIKT Här hos Vision Critical Communications Inc. ("VCCI") är respekt för integriteten en viktig del av vårt åtagande gentemot klienter,

Läs mer

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och

Läs mer

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer

Läs mer

Sjunet Anslutningsavtal Förenklat regelverk för informationssäkerhet

Sjunet Anslutningsavtal Förenklat regelverk för informationssäkerhet Sjunet Anslutningsavtal Förenklat regelverk för informationssäkerhet Innehållsförteckning 1. Generellt... 3 1.1. Syfte... 3 1.2. Berörda dokument... 3 1.3. Sjunet Informationssäkerhet... 3 1.4. Avgränsning...

Läs mer

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Metoder för datasäkerhet. Vad handlar en sådan kurs om??? Metoder för datasäkerhet Vad handlar en sådan kurs om??? Vad avses då media rapporterar om datasäkerhet? Oftast resultat av brister i säkerheten Allt möjligt av helt olika karaktär, som Försvunna viktiga

Läs mer

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och beredskap föreskriver. I dokumentet kommer fortsättningsvis

Läs mer

Informationssäkerhetsinstruktion Användare: Elever (3:0:1)

Informationssäkerhetsinstruktion Användare: Elever (3:0:1) Informationssäkerhetsinstruktion Användare: Elever (3:0:1) Kommunalförbundet ITSAM Revision: 20130307 Dnr: 2013/00036 Kommunalförbundet ITSAM, Storgatan 36A, 590 36 Kisa Tel: 0494 197 00, Fax: 0494 197

Läs mer

Kapitel 15 Efterlevnad

Kapitel 15 Efterlevnad Kapitel 15 Efterlevnad Organisationers verksamhet regleras av lagar och avtal. Många verksamheter måste också följa särskilda författningar eller krav som ställts upp av myndigheterna. Att handla i strid

Läs mer

Organisation för samordning av informationssäkerhet IT (0:1:0)

Organisation för samordning av informationssäkerhet IT (0:1:0) Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,

Läs mer

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete 2014 En bild av myndigheternas informationssäkerhet 2014 tillämpning av MSB:s föreskrifter Enkätundersökning februari 2014 Utskick

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

Molntjänster och utkontraktering av kritisk verksamhet lagar och regler. Alireza Hafezi

Molntjänster och utkontraktering av kritisk verksamhet lagar och regler. Alireza Hafezi Molntjänster och utkontraktering av kritisk verksamhet lagar och regler Alireza Hafezi Säkerhetsskydd?! 2 Säkerhetsskyddslagen, 6 : Med säkerhetsskydd avses: > skydd mot spioneri, sabotage och andra brott

Läs mer

Begrepp och definitioner

Begrepp och definitioner Begrepp och definitioner I riskanalysen förekommer flera begrepp och definitioner som är nödvändiga att känna till för att kunna förstå riskanalysen. Några väsentliga begrepp och definitioner förklaras

Läs mer