Säkerhet i Microsofts infrastruktur i molnet

Storlek: px
Starta visningen från sidan:

Download "Säkerhet i Microsofts infrastruktur i molnet"

Transkript

1 Säkerhet i Microsofts infrastruktur i molnet Den här rapporten innehåller en introduktion till Online Services Security and Compliance-teamet, som ingår i avdelningen Global Foundation Services som sköter säkerheten för Microsofts molninfrastruktur. Syftet med rapporten är att ge läsaren en inblick i hur Microsoft ser på molntjänster idag och hur företaget levererar en pålitlig molninfrastruktur. Publicerat: maj

2 Innehållsförteckning Sammanfattning... 3 Säkerhetsutmaningar med molntjänster... 4 Hur Microsoft möter dessa utmaningar... 5 Vad är Microsofts molntjänstmiljö?... 6 Online Services Security and Compliance-teamet... 6 Säker datoranvändning hos Microsoft... 7 Sekretess... 8 Säkerhet... 9 Informationssäkerhetsprogram... 9 Riskhanteringsprocesser Hanteringsprocess för affärskontinuitet Säkerhetshantering Efterlevnad av globala straffrättsliga lagar Regelefterlevnad i verksamheten Ett djupgående försvar: Defense-in-Depth Fysisk säkerhet Nätverkssäkerhet Datasäkerhet Identitets- och åtkomsthantering Programsäkerhet Granskning och rapportering av värdtjänstens säkerhet Slutsatser Ytterligare resurser

3 Sammanfattning Inom aktuell forskning om de senaste definitionerna av begrepp som molnet, molntjänster och molnmiljö har försök gjorts att identifiera vad kunder förväntar sig av molnleverantörer, och hitta sätt att kategorisera vad sådana leverantörer säger sig erbjuda. En lockande tanke i det nuvarande ekonomiska klimatet är att beslutsfattare i teknikbranschen kan spara pengar genom att köpa tjänster från en molnmiljö och därmed även hjälpa sina företag att fokusera på sin kärnverksamhet. Många analytiker anser att de nya möjligheterna för prissättning och för leverans av tjänster på internet är omvälvande för förhållandena på marknaden. De här marknadsstudierna och den efterföljande dialogen mellan potentiella kunder och tjänstleverantörer visar att många ser vissa återkommande möjliga hinder för snabb migrering till molntjänster. Framför allt var det oro över säkerhet, sekretess, tillförlitlighet och kontroll över driften som toppade listan över möjliga hinder. Microsoft inser att beslutsfattarna har många frågor kring dessa problem och ett behov av att få veta hur de hanteras i Microsofts molnmiljö, samt vad det innebär för deras egen risk och driftsbeslut. Den här rapporten visar hur en koordinerad och strategisk användning av människor, processer, teknik och erfarenhet ger kontinuerliga förbättringar av säkerheten i Microsofts molnmiljö. Online Services Security and Compliance-teamet (OSSC) som ingår i Global Foundation Services-avdelningen (GFS) arbetar vidare med de säkerhetsprinciper och processer som Microsoft tagit fram under många års erfarenhet med att hantera säkerhetsrisker i traditionella utvecklings- och driftsmiljöer. 3

4 Säkerhetsutmaningar med molntjänster IT-branschen står inför många utmaningar som medföljer möjligheterna med molntjänster. I mer än 15 år har Microsoft hanterat följande utmaningar med att leverera tjänster på internet: De molnbaserade affärsmodeller som nu utvecklas skapar ett allt större ömsesidigt beroende mellan offentlig och privat sektor och de människor de betjänar Dessa organisationer och deras kunder kommer att bli mer beroende av varandra genom användingen av molnet. Med dessa nya beroendeförhållanden följer ömsesidiga förväntningar på att plattformstjänster och värdbaserade program ska vara säkra och tillgängliga. Microsoft tillhandahåller en säker infrastruktur som offentlig och privat sektor kan använda till grund för att skapa en säker upplevelse för sina användare. Microsoft arbetar aktivt med dessa grupper och med utvecklare i allmänhet för att uppmuntra till användning av säkerhetsfokuserade riskhanteringsprocesser. Ökad användning av molntjänster, däribland allt fler tekniker och affärsmodeller, ger upphov till en dynamisk hostingmiljö, vilket i sig är en säkerhetsutmaning Att hålla jämna steg med denna växande marknad och förutse framtida behov är nödvändigt för att driva ett effektivt säkerhetsprogram. Den senaste förändringsvågen har redan börjat med den snabba övergången till virtualisering och en växande användning av Microsofts strategi Softare-plus-services. Där kombineras kraften och kapaciteten från datorer, mobila enheter, internettjänster och företagsprogram. Med nya molnplattformer kan tredje part utveckla egna program som lagras och körs i Microsofts moln. Genom onlinetjänsten Information Security Program, som beskrivs mer ingående längre fram i rapporten, upprätthåller Microsoft starka interna affärsförbindelser med team som tillhandahåller säkerhet, produkter och tjänster för att kunna erbjuda en säker molnmiljö medan dessa förändringar sker. Försök att infiltrera eller störa onlinetjänster blir alltmer avancerade, i takt med att allt fler affärer bedrivs på internet Samtidigt som uppmärksamhetssökande skojare fortsätter med olika tekniker som t.ex. domänockupationer och man-i-mitten-attacker, har mer sofistikerade angrepp för att komma åt identiteter eller blockera tillgång till känslig affärsinformation dykt upp tillsammans med en mer organiserad svart marknad för stulen information. Microsoft har ett nära samarbete med brottsbekämpande myndigheter, partner och företag inom branschen och forskningsgrupper för att förstå och svara på denna nya hotbild. Microsoft Security Development Lifecycle, som beskrivs längre fram i rapporten, införs dessutom säkerhet och sekretess tidigt och i hela utvecklingsprocessen. Komplexa krav på efterlevnad av regler måste även tas med i beräkningen när nya och befintliga tjänster levereras globalt Att följa föreskrifter, lagar och branschkrav (dessa kallas enbart regler i resten av dokumentet) är mycket komplext eftersom varje land i världen kan stifta egna lagar (och också gör det) som styr etablering och användning av webbmiljöer. Microsoft måste efterleva en mängd regelkrav eftersom företaget har datacenter i många länder och erbjuder tjänster på webben till en global kundbas. Dessutom styrs många branscher av egna villkor. Microsoft har infört ett efterlevnadsramverk (som beskrivs längre fram i detta dokument) som hjälp för att effektivt hantera olika krav på regelefterlevnad, utan att skapa onödiga bördor för företaget. 4

5 Hur Microsoft möter dessa utmaningar Sedan MSN lanserades 1994 har Microsoft skapat och drivit onlinetjänster. GFS-avdelningen hanterar molninfrastrukturen och plattformen för Microsofts onlinetjänster och garanterar tillgång till dem för flera hundra miljoner kunder i hela världen, dygnet runt, alla dagar. Fler än 200 av företagets onlinetjänster och webbportaler tillhandahålls i denna molninfrastruktur, däribland välkända konsumentorienterade tjänster som Windows Live Hotmail och Live Search, och företagsorienterade tjänster som Microsoft Dynamics CRM Online och Microsoft Business Productivity Online Standard Suite från Microsoft Online Services. Oavsett om kundernas personliga information lagras på deras egna datorer eller i en onlinemiljö, och oavsett om ett företags uppdragskritiska data lagras på plats eller på en hostad server och skickas över internet, är Microsoft medvetet om att alla dessa miljöer måste kunna ge en säker datorupplevelse. Som företag har Microsoft en unik position för att tillhandahålla både råd och tekniska lösningar som kan erbjuda en säkrare upplevelse på webben. För att hjälpa kunder att undvika ekonomisk förlust och andra konsekvenser av opportunistiska och riktade internetattacker, och som en del av ett starkt engagemang för en säker datoranvändning, ser Microsoft till att de människor, processer och tekniker som företaget använder ger säkrare och sekretesshöjande upplevelser, produkter och tjänster. Microsoft tillhandahåller ett pålitligt moln genom att fokusera på tre områden: Användning av ett riskbaserat informationssäkerhetsprogram som bedömer och prioriterar säkerhet och hot mot företagets verksamhet Underhåll och uppdatering av detaljerade säkerhetskontroller som minskar riskerna Drift av ett efterlevnadsramverk som garanterar att kontroller har utformats på lämpligt sätt och används effektivt. I den här rapporten beskrivs hur Microsoft skyddar kunddata och affärsverksamheter genom ett omfattande informationssäkerhetsprogram och en väl beprövad metod för policy- och efterlevnadshantering, många interna och externa utvärderingar av metoder och funktioner samt robusta säkerhetskontroller inom alla serviceområden. Genom dessa processer och mekanismer uppfyller Microsoft branschens standarder och efterlever reglerna i alla tillämpliga lagar, direktiv, förordningar och föreskrifter, samtidigt som företaget levererar tjänster på internet till en global kundbas. Även om sekretessprinciper tas upp i rapporten, är avsikten dock inte att ge någon djupare beskrivning av sekretessprinciper eller tillhandahålla någon guide till sekretessarbete. Information om hur Microsoft hanterar sekretessbehov finns i sekretessavsnittet på Microsofts sida om säker datoranvändning. 5

6 Vad är Microsofts molntjänstmiljö? Microsofts molntjänstmiljö är den fysiska och logiska infrastrukturen och de program och plattformstjänster som tillhandahålls där. GFS-avdelningen tillhandahåller den fysiska och logiska molninfrastrukturen hos Microsoft, inklusive många plattformstjänster. Den fysiska infrastrukturen omfattar både själva datacentren och den maskinvara och de komponenter som används för tjänsterna och nätverken. Hos Microsoft består den logiska infrastrukturen av operativsystemsinstanser, dirigerade nätverk och ostrukturerad datalagring på virtuella eller fysiska objekt. Bland plattformstjänsterna finns körningsrutiner (t.ex. Internet Information Services,.NET Framework, Microsoft SQL Server ), identitets- och katalogarkiv (t.ex. Active Directory och Windows Live ID), namntjänster (DNS) och andra avancerade funktioner som används för internettjänster. Microsofts molnplattformstjänster, som t.ex. infrastrukturtjänster, kan vara virtualiserade eller faktiska. Internetprogram som körs i Microsofts moln innehåller enkla och komplexa produkter som utformats för ett stort antal kunder. De internettjänsterna och deras tillhörande säkerhets- och sekretesskrav kan grovt sett indelas i följande grupper: Tjänster för konsumenter och småföretag Exempel på dessa är Windows Live Messenger, Windows Live Hotmail, Live Search, Xbox LIVE och Microsoft Office Live. Tjänster för större företag Till exempel Microsoft Dynamics CRM Online och Microsoft Business Productivity Online Standard Suite, inklusive Exchange Online, SharePoint Online och Office Live Meeting. Tredje parts-hostade tjänster Innehåller webbaserade program och lösningar som har utvecklats och drivs av tredje part med hjälp av plattformstjänster som tillhandahålls genom Microsofts molnmiljö. Online Services Security and Compliance-teamet Online Services Security and Compliance-teamet (OSSC) inom GFS-avdelningen ansvarar för informationssäkerhetsprogrammet för Microsofts molninfrastruktur, där det bland annat ingår principer och program för hantering av säkerhetsrisker på internet. OSSC-teamets uppgift är att gynna säkra internettjänster som ger konkurrensfördelar för Microsoft och dess kunder. Att placera den funktionen i molninfrastrukturlagret innebär att Microsofts alla molntjänster får stordriftsfördelar och minskad komplexitet genom att använda delade säkerhetslösningar. Denna standardlösning gör det också möjligt för alla Microsofts serviceteam att fokusera på varje kunds unika säkerhetsbehov. OSSC-teamet leder arbetet med att tillhandahålla en säker upplevelse i Microsofts moln genom Microsofts informationssäkerhetsprogram och med hjälp av en riskbaserad arbetsmodell och kontroller som karakteriseras av ett djupgående försvar. Detta inbegriper en regelbunden översyn av riskhantering, utveckling och underhåll av ett ramverk för säkerhetskontroll samt ett ständigt arbete för att garantera att alla aktiviteter lever upp till kraven, från 6

7 datacenterutveckling till efterlevnad av krav från brottsbekämpande organisationer i hela världen. Teamet använder väl utvecklade metoder och en rad interna och externa granskningar under livscykeln för internettjänsterna och varje del i infrastrukturen. Nära kontakter med andra Microsoft-team ger ett helhetsbaserat arbete för att garantera säkerheten hos program i Microsofts moln. Att driva en global molninfrastruktur för många olika företag innebär ett behov av att leva upp till krav på efterlevnad av regler och att kunna klara en ingående granskning av utomstående granskare. Granskningskrav kommer genom uppmaningar från myndigheter och branschen, interna principer och god praxis inom branschen. OSSC-teamets program ser till att den förväntade efterlevnaden utvärderas och införlivas kontinuerligt. Som ett resultat av informationssäkerhetsprogrammet kan Microsoft få nyckelcertifieringar som t.ex. International Organization for Standardization / International Society of Electrochemistry 27001:2005 (ISO/IEC 27001:2005) och Statement of Auditing Standard (SAS) 70 typ I och typ II-intyg och på ett mer effektivt sätt klara vanliga granskningar från oberoende tredje parter. Säker datoranvändning hos Microsoft Nyckeln till att skapa ett effektivt säkerhetsprogram är att ha en kultur där säkerhet är något man är medveten om och värderar högt. Microsoft inser att en sådan kultur måste krävas och stödjas av företagsledare. Microsofts ledningsteam har länge engagerat sig i att få fram ett säkert beteende genom rätt investeringar och uppmuntran. År 2002 drog företaget igång ett projekt för säker datoranvändning (Trustworthy Computing) tillsammans med Bill Gates, där Microsoft åtog sig att i grunden ändra sin verksamhet och strategi inom nyckelområden. Idag är säker datoranvändning ett grundläggande värde hos Microsoft och det styr nästan allt som företaget gör. Grunden för detta projekt utgörs av fyra pelare: Sekretess, säkerhet, tillförlitlighet och affärspraxis. Mer information om säker datoranvändning finns på Microsofts sida om säker datoranvändning. Microsoft inser att framgång inom den snabbt växlande affärssektorn av internettjänster är beroende av säkerheten och sekretessen för kundernas data och tillgängligheten och återhämtningsförmågan hos de tjänster Microsoft erbjuder. Microsoft ägnar mycket tid åt att utforma och testa program och infrastruktur enligt internt erkända standarder för att demonstrera denna förmåga och efterleva lagar och interna säkerhets- och sekretessprinciper. Ett resultat av detta är att Microsofts kunder kan dra nytta av mer fokuserad testning och övervakning, automatiserade programfixar, kostnadsbesparande stordrift och fortlöpande säkerhetsförbättringar. 7

8 Sekretess Microsoft strävar efter att skydda kundernas integritet och säkerhet och följa alla tillämpliga sekretesslagar som anges i Microsofts sekretesspolicy. För att skapa en tillförlitlig miljö för kunderna utvecklar Microsoft programvara, tjänster och processer med sekretess i åtanke. Microsoft-team strävar uppmärksamt efter att efterleva globala sekretesslagar och företagets sekretesspolicy kommer delvis från sekretesslagar runtom i världen. Microsoft låter sig ledas av de här sekretesslagarna och tillämpar deras standarder globalt. Microsoft arbetar för att skydda säkerheten för personlig information. De team som arbetar med internettjänster använder en mängd olika säkerhetstekniker och -metoder för att skydda personuppgifter så att obehöriga inte kan komma åt, använda eller avslöja dem. Microsofts programutvecklingsteam använder nedanstående principer, som definieras i Security Development Lifecycle (SDL), i företagets alla utvecklings- och driftsmetoder: Sekretess genom design Microsoft använder den är principen på många sätt under utveckling, lansering och underhåll av program för att garantera att den data som samlas in från kunderna är för ett specifikt syfte och att kunden ges lämplig information för att kunna fatta ett informerat beslut. När data som ska samlas in klassas som mycket känslig kan ytterligare säkerhetsåtgärder vidtas som t.ex. kryptering i transit eller vid lagring, eller båda delar. Sekretess som standard Med Microsofts produkter frågas kunderna om lov innan känslig data samlas in eller överförs. Efter kundens godkännande skyddas sådan data genom t.ex. åtkomstkontrollistor (ACL) tillsammans med mekanismer för bekräftelse av kundens identitet. Sekretess vid driftsättning Microsoft lämnar ut sekretessmekanismer till företagsmedlemmar, när så är nödvändigt, för att låta dem upprätta lämpliga sekretess- och säkerhetsprinciper för sina användare. Kommunikation Microsoft arbetar aktivt för att involvera allmänheten genom att publicera sekretessprinciper, teknisk dokumentation och annan dokumentation som rör sekretess. Mer information om Microsofts engagemang för sekretess finns i sekretessavsnittet på Microsofts sida om säker datoranvändning. 8

9 Säkerhet Microsoft har fortsatt att anpassa företagets molninfrastruktur för att dra nytta av nya tekniker, som t.ex. virtualisering. Dessa framsteg resulterar i att informationstillgångar skiljs från en gemensam fysisk infrastruktur för många typer av kundobjekt. Kombinera detta med det faktum att programutvecklingsprocessen för program som tillhandahålls på internet ofta är smidigare och nya versioner släpps oftare, och resultatet blir att informationssäkerhetshanteringen måste anpassas för att kunna ge en säker datorupplevelse. Följande avsnitt av detta dokument ger en djupare inblick i hur Microsofts OSSC-team tillämpar grundläggande säkerhet och de ansträngningar som görs inom hela företaget för att hantera risker i Microsofts molninfrastruktur. Här ges också en introduktion till vad det innebär att använda ett djupgående försvar för internettjänsters säkerhet och hur molnmiljöer resulterar i nya sätt att använda säkerhetsåtgärder. Informationssäkerhetsprogram I Microsofts informationssäkerhetsprogram för internettjänster definieras hur OSSC-teamet arbetar. Programmet har oberoende certifierats av British Standards Institute (BSI) Management Systems America som överensstämmande med ISO/IEC 27001:2005. För att se ISO/IEC 27001:2005-certifikaten, gå till Certificate/Client Directory Search Results -sidan. Informationssäkerhetsprogrammet delar upp säkerhetskraven i tre viktiga områden: administrativa, tekniska och fysiska. Kriterierna i dessa områden representerar grunden för riskhanteringen. Med utgångspunkt i de säkerhetsåtgärder och kontroller som identifierats i domänerna och deras underkategorier följer informationssäkerhetsprogrammet ISO/IEC27001:2005-ramverket som består av Planera, Utföra, Kontrollera, Agera. 9

10 OSSC-teamet definierar vidare de fyra stegen i den traditionella Planera, Utföra, Kontrollera, Agera"-strukturen i ett ISOcertifierat informationssäkerhetsprogram enligt följande: Planera Utföra a. Riskbaserat beslutsfattande Genom att driva prioriteringen av nyckelaktiviteter och fördelning av resurser skapar OSSC-teamet en handlingsplan för säkerheten baserat på riskbedömningar. De organisatoriska och individuella mål som ingår i planen innebär uppdateringar av principer, driftstandarder och säkerhetskontroller i GFS-avdelningen och många produktgrupper. b. Dokumentkrav OSSC-teamet fastställer tydliga förväntningar som bestämmer förutsättningarna för åtkomst till tredje parts intyg och certifikat genom ett dokumenterat ramverk för kontroll. Detta ramverk fastställer krav på ett tydligt, konsekvent och koncist sätt. a. Implementera lämpliga kontroller Kontroller som baseras på handlingsplanen för säkerhet införs av drifts-, produkt- och tjänstleveransteam. b. Utföra kontroller OSSC-teamet genomför och utför många kontroller direkt, t.ex. de som används för att säkerställa efterlevnad av globala straffrättsliga lagar, hantera hot mot infrastrukturen och fysiskt säkra datacenter. Många åtgärder utförs och upprätthålls genom drifts-, produktions- och tjänsteteam. Kontrollera Agera a. Utvärdera och förbättra OSSC-teamet utvärderar kontinuerligt kontrollaktiviteterna. Ytterligare kontroller kan läggas till eller befintliga kontroller kan modifieras för att garantera att målen som anges i informationssäkerhetspolicyn och ramverket för kontroll uppfylls. a. Verifiera programeffektivitet Både interna team och externa granskare ser regelbundet över informationssäkerhetsprogrammet som en del i det ständiga arbetet med att verifiera programeffektiviteten. b. Justera för att säkerställa relevans OSSC-teamet utvärderar informationssäkerhetsprogrammet och dess ramverk för kontroll gentemot tillämpliga krav och standarder i lagar och regler och från företag och branschen för att identifiera områden som behöver förbättras och verifiera att målen uppnås. Som ett resultat av detta uppdateras Microsofts teknik och företagsplaner för att möta konsekvenserna av driftsförändringar. Inget säkerhetsprogram är fullständigt om personalen inte utbildas. Microsoft skapar och levererar säkerhetsutbildning för att garantera att alla grupper som är inblandade i att skapa, starta, driva och stödja internettjänster i molninfrastrukturen förstår sitt ansvar i förhållande till Microsofts informationssäkerhetspolicy för internettjänster. Detta utbildningsprogram lär ut grundläggande principer som ska användas för varje del av Microsofts djupgående försvar för säkerställande av internettjänster. Microsoft uppmuntrar också företagskunder och utomstående programvaruutvecklare att använda samma principer när de utvecklar program och tillhandahåller tjänster med hjälp av Microsofts molninfrastruktur. 10

11 Riskhanteringsprocesser Analys och lösning av säkerhetsproblem i internetsystem som är beroende av varandra är mer komplext och kan bli mer tidsintensivt än med traditionella IT-system. Riskhantering och översyn måste anpassas till denna dynamiska miljö. För att hantera dessa risker använder Microsoft väl beprövade processer som utvecklats genom lång erfarenhet av att tillhandahålla tjänster på nätet. OSSC-personalen arbetar tillsammans med driftteam och företagsägare i många produkt- och tjänstegrupper inom Microsoft för att hantera dessa risker. Informationssäkerhetsprogrammet fastställer standardkraven för processer och dokumentation som används vid genomförande av fortlöpande riskbaserat beslutsfattande. Genom programmet för hantering av säkerhetsrisker görs riskbedömningar på flera olika nivåer och det genomsyrar prioriteringarna inom områden som produktlanseringsplaner, policyhantering och resursfördelning. Varje år görs en omfattande utvärdering av hoten mot Microsofts molninfrastruktur som leder till ytterligare översyn under året. Detta fortlöpande arbete fokuserar på de hot som skulle kunna medföra omfattande störningar. Genom den här processen prioriterar och leder Microsoft utvecklingen av säkerhetskontroller och liknande aktiviteter. Med metoden i programmet för hantering av säkerhetsrisker utvärderas kontrollernas effektivitet gentemot hot genom att: Identifiera hot mot och sårbarheter i molnmiljön Beräkna risken Rapportera risker i hela Microsofts molnmiljö Hantera risker på grundval av konsekvensbedömningar och tillhörande affärsfall Testa åtgärders effektivitet och kvarvarande risk Hantera risker kontinuerligt Hanteringsprocess för affärskontinuitet Många företag som funderar på att använda molnprogram ställer ofta frågor om tjänstens tillgänglighet och återhämtningsförmåga. Att köra program och lagra data i en molnmiljö innebär nya alternativ såväl för tjänstetillgänglighet och återhämtningsförmåga som för säkerhetskopiering och återställning. Microsofts program för affärskontinuitet använder beprövade branschmetoder för att skapa och anpassa möjligheter i det här området för att svara mot nya program när de blir tillgängliga i Microsofts molnmiljö. Microsoft använder en fortlöpande hanterings- och styrningsprocess för att garantera att nödvändiga åtgärder vidtas för att identifiera konsekvenserna av eventuella förluster, upprätthålla praktiska återställningsstrategier och -planer, och garantera kontinuitet i produkter och tjänster. Att känna till alla resurserna människor, utrustning och system som behövs för att genomföra en uppgift eller en process är absolut nödvändigt för att upprätta en relevant katastrofplan. Om planen därefter inte ses över, underhålls och testas medför det en av de största riskerna för att verkligen utsättas för en stor förlust. Därför gör programmet mer än att bara registrera återställningsåtgärder. Microsoft använder en utvecklingslivscykel för den plan som ingår i hanteringsprocessen för affärskontinuitet. Livscykeln ska skapa och upprätthålla återställningsplaner genom att använda sex faser, som visas i bilden nedan: 11

12 Microsoft hanterar tjänste- och dataåterställning efter att ha genomfört en beroendeanalys genom att identifiera två faktorer vid återställning av tillgångarna: Återställningstiden Den maximala tiden som förlust av en kritisk process, funktion eller resurs kan tolereras utan allvarliga negativa affärskonsekvenser. Återställningspunkten Den maximala dataförlust som kan tolereras vid en händelse, oftast sett i form av tiden mellan den senaste säkerhetskopieringen och tiden för avbrottet. Eftersom processen för att identifiera och klassificera tillgångar ständigt används som en del av riskhanteringen för Microsofts molninfrastruktur innebär planen för nödåterställning att dessa faktorer kan tillämpas mer direkt för att utvärdera om man ska genomföra återställningsstrategier i en nödsituation eller inte. Microsoft verifierar även dessa strategier genom övningar som inbegriper repetition, testning, träning och underhåll. 12

13 Säkerhetshantering Säkerhetskontrollerna och riskhanteringsprocesserna som Microsoft använder för att säkra molninfrastrukturen minskar riskerna för säkerhetsincidenter, men det skulle ändå vara naivt att tro att skadliga attacker inte kommer att ske i framtiden. Säkerhetshanteringsteamet (SIM) inom OSSC hanterar dessa frågor när de uppstår och arbetar 24 timmar om dygnet, varje dag. SIM:s uppgift är att snabbt och korrekt bedöma och minska IT-incidenter i anslutning till Microsofts internettjänster och samtidigt förmedla relevant information till högre företagsledning och andra berörda parter inom Microsoft. SIM:s process för incidentrapportering består av sex faser: Förberedelse SIM-personalen utbildas för att vara beredda på att agera när en säkerhetsincident sker. Identifiering Arbetet med att söka efter orsaken till en incident, oavsett om den var avsiktlig eller inte, innebär ofta att spåra problemet genom många lager i Microsofts molnmiljö. SIM-teamet identifierar källan till varje säkerhetsincident i samarbete med medlemmar från andra interna team på Microsoft. Begränsning När orsaken till incidenten har fastställs samarbetar SIM-teamet med alla nödvändiga team för att begränsa incidentens omfattning. Hur begränsningen genomförs beror på incidentens inverkan på verksamheten. Riskminskning SIM-teamet minskar risken för att incidenten inträffar igen genom att samordna arbetet med relevanta produkt- och tjänstteam. Återställning SIM-teamet hjälper till att återställa tjänsten genom fortsatt samarbete med andra grupper. Lärdomar När säkerhetsincidenten har åtgärdats sammankallar SIM-teamet till ett gemensamt möte för all inblandad personal. Under mötet utvärderar man händelsen och drar lärdomar av incidenthanteringen. SIM-teamet kan identifiera problem tidigt och minska störningar i tjänsterna genom att samverka med andra team. SIMteamet har till exempel ett nära samarbete med olika driftteam, bland annat Microsoft Security Response Center (mer information finns på sidan om Microsoft Security Response Center). Tack vare samarbetet kan SIM-teamet snabbt få en helhetsbild av en incident medan den äger rum. SIM-teamet kontaktar även resursens ägare för att fastställa hur allvarlig incidenten är. Bedömningen sker utifrån flera faktorer, bland annat risken för fler störningar i tjänsten och för försämrat anseende. Efterlevnad av globala straffrättsliga lagar OSSC-teamet bedriver programmet GCC (Global Criminal Compliance, d.v.s. efterlevnad av globala straffrättsliga lagar), och är ett team som arbetar med att fastställa regler och tillhandahålla utbildning i Microsofts åtgärdsprocesser. GCC svarar även på juridiska förfrågningar om information. GCC har juridiska representanter i många länder som kan godkänna och vid behov översätta förfrågan. Ett skäl till att många internationella myndigheter betraktar GCC som ett av världens bästa åtgärdsprogram är att GCC har en portal för polismyndigheter. Här kan autentiserad personal få information på flera språk om hur man skickar en juridisk förfrågan till Microsoft. I GCC:s utbildningsuppdrag ingår att erbjuda utbildning till polismyndigheters personal. GCC tillhandahåller även utbildning till personal på alla nivåer inom Microsoft om deras ansvar för datalagring och sekretess. Intern utbildning och polisarbete utvecklas fortlöpande allteftersom Microsoft lägger till fler datacenter runtom i världen, och därmed 13

14 ökar räckvidden för kraven i internationella regelverk. GCC spelar en avgörande roll när det gäller att förstå och införa processer som tar hänsyn till olika internationella lagar och deras tillämplighet för konsumenter eller företagskunder som använder Microsofts onlinetjänster. Regelefterlevnad i verksamheten Microsofts miljö för onlinetjänster måste uppfylla ett antal myndighetsutfärdade och branschspecifika säkerhetskrav utöver Microsofts egna företagsspecifikationer. Microsofts onlineverksamhet fortsätter att växa och förändras, och nya onlinetjänster införs hela tiden i Microsoft-molnet. Därför kan vi räkna med fler krav, till exempel regionala och landsspecifika standarder för datasäkerhet. Teamet för regelefterlevnad i verksamheten samarbetar med drift-, produkt- och tjänstteamen liksom med interna och externa granskare för att se till att Microsoft uppfyller kraven i gällande standarder och föreskrifter. I följande lista visas en översikt över några av de granskningar och utvärderingar som genomförs av Microsofts molnmiljö med regelbundna mellanrum: Payment Card Industry Data Security Standard Kräver årlig granskning och validering av säkerhetskontroller i samband med kreditkortstransaktioner. Media Ratings Council Gäller integriteten för generering och bearbetning av reklamdata. Sarbanes-Oxley Utvalda system granskas varje år i syfte att verifiera att företaget följer viktiga processer gällande integriteten för ekonomisk rapportering. Health Insurance Portability and Accountability Act Här anges riktlinjer för sekretess, säkerhet och nödåterställning för elektronisk lagring av sjukvårdsuppgifter. Interna granskningar och sekretessutvärderingar Utvärderingar genomförs fortlöpande under ett år. Det blev en stor utmaning för Microsoft att uppfylla alla de här granskningskraven. När Microsoft studerade kraven i detalj kunde man se att många av granskningarna och utvärderingarna bedömde samma verksamhetskontroller och processer. OSSC insåg att det fanns betydande möjligheter att eliminera onödigt arbete, effektivisera processerna och hantera efterlevnadskrav på ett mer omfattande och proaktivt sätt. Därför utvecklade teamet ett heltäckande ramverk för regelefterlevnad. Ramverket och dess tillhörande processer bygger på en metod med fem steg enligt följande bild: 14

15 Identifiera och integrera behov Omfattning och tillämpliga kontroller definieras. Handledningar för verksamheten och processdokument samlas och granskas. Utvärdera och åtgärda brister Brister i process- eller teknikkontroller identifieras och åtgärdas. Testa effektivitet och utvärdera risker Kontrollernas effektivitet mäts och rapporteras. Erhålla certifiering och intyg Kontakt med certifieringsmyndigheter och granskare från tredje part sker. Förbättra och optimera Om bristande efterlevnad upptäcks dokumenteras och utreds orsaken. Bristerna följs upp tills de har åtgärdats helt. I den här fasen optimeras även kontrollerna ytterligare i olika säkerhetsdomän för att stärka effektiviteten inför framtida gransknings- och certifieringsbedömningar. En positiv konsekvens av att ha infört det här programmet är att Microsofts molninfrastruktur har erhållit både SAS 70 Type I- och Type II-intyg och ISO/IEC 27001:2005-certifiering. Det är en prestation som tydligt visar hur viktigt det är för Microsoft att leverera en tillförlitlig molninfrastruktur eftersom: ISO/IEC 27001:2005-certifieringen intygar att Microsoft har infört de internationellt erkända kontrollerna för informationssäkerhet enligt definitionerna i standarden, och SAS 70-intygen visar att Microsoft är villigt att öppna upp interna säkerhetsprogram för extern granskning. 15

16 Ett djupgående försvar: Defense-in-Depth Defense-in-Depth är en grundläggande del av Microsofts arbete för att erbjuda en tillförlitlig molninfrastruktur. Kontroller på flera nivåer innebär att man använder skyddsmekanismer, utvecklar strategier för riskminskning och klarar av att försvara sig mot attacker när de inträffar. Med flera säkerhetsåtgärder av varierande styrka beroende på hur känslig den resurs som ska skyddas är förbättras möjligheterna att förebygga intrång eller minska följderna av en säkerhetsincident. Lanseringen av molntjänster förändrar inte principen om att styrkan på kontrollerna avgörs av hur känslig en viss resurs är, eller om hur viktigt det är att hantera säkerhetsrisker. Eftersom de flesta resurser i en molnmiljö kan virtualiseras förändras riskanalysen. Dessutom förändras förutsättningarna för hur säkerhetskontroller används i de traditionella lagren enligt Defense-in-Depth (fysisk, nätverk, data, identitetsåtkomst, åtkomstauktorisering och -autentisering samt värd). För onlinetjänster, exempelvis infrastruktur- och plattformstjänster som tillhandahålls av GFS, används virtualisering. Det innebär att kunder som använder tjänster som lagras i Microsofts moln kan ha resurser som inte längre enkelt kan associeras med en fysisk närvaro. Data kan lagras virtuellt och distribueras mellan många olika platser. Därför måste man förändra hur man identifierar säkerhetskontroller och fastställer hur de ska användas för att implementera en metod med flera säkerhetsnivåer för att skydda resurserna. Åtgärder för fysisk säkerhet och nätverkssäkerhet behövs självklart fortfarande. Fokus på riskhanteringen hamnar däremot allt närmare objektnivån, närmare de element som används i molnmiljön. Det gäller till exempel statiska eller dynamiska databehållare, virtuella maskinobjekt och de körningsmiljöer där beräkningarna sker. De olika kontrollerna använder många traditionella fysiska och nätverksrelaterade säkerhetsmetoder för att säkerställa att enheten är autentisk och auktoriserad för att få åtkomst. Det spelar ingen roll om det gäller en person som vill ha åtkomst till en datacenterbyggnad eller en beräkningsprocess som begär åtkomst till kunddata som lagras dynamiskt i Microsoft-molnet. Åtgärder finns även på plats för att servrar och operativsystemsinstanser som körs i Microsofts molninfrastruktur ska härdas mot attacker. Det här avsnittet innehåller en översikt över några av de processer och kontroller som Microsoft använder för att skydda datacenter, nätverksmaskinvara och -kommunikation samt tjänstvärdar. Fysisk säkerhet Den fysiska säkerheten har förändrats på flera sätt i och med utvecklingen av säkerhetstekniken. Ett exempel är användningen av tekniska system för att automatisera auktorisering för åtkomst och autentisering för vissa skyddsfunktioner. Ett annat är övergången från traditionella affärsprogram, som driftsätts på maskinvara och programvara som förvaras på företaget, till programvara som tjänst och programvara plus tjänster. På grund av de här förändringarna måste organisationer anpassa hur de skyddar sina resurser ytterligare. OSSC hanterar den fysiska säkerheten för alla Microsofts datacenter. Det är avgörande för att hålla anläggningarna igång och skydda kundernas data. Etablerade, exakta procedurer inom säkerhetsdesign och säkerhetsverksamhet används för varje anläggning. Microsoft ser till att yttre och inre parametrar fastställs med allt kraftfullare kontroller för varje säkerhetsnivå. 16

17 I säkerhetssystemet används tekniska lösningar som kameror, biometrisk teknik, kortläsare och alarm i kombination med traditionella skyddsåtgärder som lås och nycklar. Verksamhetskontroller införlivas för att underlätta automatisk övervakning och tidig underrättelse om ett intrång eller ett problem inträffar. Dessutom möjliggörs ansvarsskyldighet via tillhandahållande av granskningsbar dokumentation av datacentrets fysiska säkerhetsprogram. I följande lista visas ytterligare exempel på hur Microsoft använder kontroller för fysisk säkerhet: Åtkomst begränsas till datacentrets personal Microsoft tillhandahåller säkerhetskrav enligt vilka datacentrets anställda och leverantörer granskas. Utöver avtalsbestämmelser om anläggningens personal tillämpas ytterligare en säkerhetsnivå i datacentret på personal som driver anläggningen. Åtkomsten begränsas genom att endast nödvändig personal har tillåtelse att hantera kundernas program och tjänster. Krav på data med väsentlig verksamhetsinverkan Microsoft har utvecklat hårdare minimikrav för resurser som betraktas som mycket känsliga än för sådana som inte är lika känsliga. Dessa krav tillämpas i datacenter som används för onlinetjänster. Vanliga säkerhetsprotokoll för identifiering, åtkomsttoken och loggning och övervakning av platsposter anger tydligt vilken typ av autentisering som krävs. När det gäller åtkomst till mycket känsliga resurser krävs flerfaktorsautentisering. Centraliserad åtkomsthantering för fysiska resurser Microsoft får allt fler datacenter som används för onlinetjänster och har därför utvecklat ett verktyg för att hantera åtkomstkontroll till fysiska resurser. Verktyget skapar även granskningsbara register genom centralisering av arbetsflödet för att begära, godkänna och etablera åtkomst till datacenter. Verktyget drivs enligt principen om att tillhandahålla minsta nödvändiga åtkomst och införlivar arbetsflöden för att få godkännanden från flera auktoriseringsparter. Det kan konfigureras enligt förhållandena på platsen och ger mer effektiv åtkomst till historik för rapportering och efterlevnad med granskningar. Nätverkssäkerhet Microsoft använder så många säkerhetsnivåer som anses nödvändigt för datacenterenheter och nätverksanslutningar. Till exempel används säkerhetskontroller både på kontroll- och hanteringsplanet. Specialiserad maskinvara som belastningsutjämnare, brandväggar och enheter som förebygger intrång finns på plats för att hantera volymbaserade DoSattacker. Nätverkshanteringsteamen tillämpar tredelade åtkomstkontrollistor (ACL) på segmenterade virtuella lokala nätverk (VLAN) och program enligt behov. Genom nätverksmaskinvara använder Microsoft funktioner hos programgateways för DPI (djup paketinspektion) och åtgärder som att skicka varningar om, eller blockera, misstänkt nätverkstrafik. En globalt redundant intern och extern DNS-infrastruktur finns på plats för Microsofts molnmiljö. Redundans skapar feltolerans och uppnås genom klustring av DNS-servrar. Genom ytterligare kontroller motverkas distribuerade DoSattacker och skadliga cache-attacker. Exempelvis begränsar ACL-listor i DNS-servrar och DNS-zoner skrivbehörigheten för DNS-register till auktoriserad personal. Nya säkerhetsfunktioner, till exempel slumpmässiga frågeidentifierare, från den senaste säkra DNS-programvaran används på alla DNS-servrar. DNS-kluster övervakas kontinuerligt för att skydda mot obehörig programvara och konfigurationsändringar av DNS-zonen liksom andra störande händelser. DNS är en del av det globalt sammankopplade internet och många organisationer måste delta för att tillhandahålla den här tjänsten. Microsoft deltar i många av dessa, till exempel DNS Operations Analysis and Research Consortium (DNS-OARC), som består av DNS-experter världen över. 17

18 Datasäkerhet Microsoft klassificerar resurser för att kunna fastställa hur kraftfulla säkerhetskontrollerna som ska användas för dem. Kategorierna tar hänsyn till den relativa risken för skador på ekonomi och anseende om en resurs skulle drabbas av en säkerhetsincident. Efter klassificeringen används en Defense-in-Depth-metod för att avgöra vilka skydd som krävs. För dataresurser i den medelkänsliga kategorin gäller till exempel krypteringskrav när de finns i flyttbara medier eller när de ska överföras till externa nätverk. För data i den mycket känsliga kategorin gäller utöver de här kraven krypteringskrav för lagring och även för interna system och nätverksöverföringar. Alla Microsoft-produkter måste uppfylla kraven i de kryptografiska SDL-standarderna, där acceptabla och ickeacceptabla kryptografiska algoritmer fastställs. Nycklar som är längre än 128 bitar krävs till exempel för symmetrisk kryptering. När asymmetriska algoritmer används krävs nycklar på bitar eller längre. Identitets- och åtkomsthantering Microsoft använder en modell där endast de som behöver åtkomst till olika resurser får åtkomst till dem. Där så är möjligt används rollbaserade åtkomstkontroller för att tilldela logisk åtkomst till specifika arbetsuppgifter eller ansvarsområden, snarare än till en individ. Enlig de här reglerna nekas som standard åtkomst som inte uttryckligen har godkänts av resursens ägare baserat på ett identifierat verksamhetskrav. Personer som har åtkomstbehörighet till en resurs måste använda lämpliga åtgärder för att få tillgång. För mycket känsliga resurser krävs flerfaktorsautentisering, däribland åtgärder som lösenord, maskinvarutoken, smartkort eller biometriska metoder. Användarkonton kontrolleras fortlöpande mot auktoriseringar för användning för att se till att all användning av en resurs är lämplig och nödvändig för en viss aktivitet. Konton som inte längre behöver åtkomst till en viss resurs avaktiveras. Programsäkerhet Programsäkerhet är ett nyckelelement i Microsofts metoder för att skydda sin molnmiljö. De strikta säkerhetsrutiner som används av Microsofts utvecklingsteam formaliserades till en process med namnet Security Development Lifecycle (SDL) år SDL-processen är oberoende av utvecklingsmetodik och fullständigt integrerad med livscykeln för programutveckling, från design till respons. Den är inte avsedd som en ersättning av programutvecklingsmetoder som waterfall eller Agile. Olika faser i SDL-processen betonar utbildning och fastslår även att specifika aktiviteter och processer ska tillämpas på varje fas i programutvecklingen. Microsofts ledning stöder även fortsättningsvis användningen av SDL under utvecklingen av Microsofts produkter, däribland driften för onlinetjänsterna. OSSC spelar en viktig roll för att garantera att SDL idag och i framtiden tillämpas när man skapar program som ska lagras i Microsofts molninfrastruktur. 18

19 SDL-processen visas i följande bild: SDL-processen inleds med systemkravsfasen och omfattar ett antal specifika aktiviteter med hänsyn till utveckling av program som ska lagras i Microsoft-molnet: Systemkrav Det primära målet i den här fasen är att identifiera viktiga säkerhetsmål och på andra sätt maximera programsäkerheten samtidigt som störningar av kundens användning, planer och scheman minimeras. Aktiviteten kan till exempel omfatta en verksamhetsdiskussion under hanteringen av tjänstprogram med fokus på hur tjänsten ska använda nätverksanslutningar och meddelandetransporter. Utforma Viktiga säkerhetsåtgärder i den här fasen omfattar dokumentering av den potentiella attackytan och riskmodellering. Precis som i systemkravsfasen kan miljökriterier identifieras när processen genomgås för en programtjänst. Implementering Kodning och testning sker i den här fasen. Under implementeringen går de viktigaste stegen ut på att förebygga koder med säkerhetsproblem och att vidta åtgärder för att ta bort dem om det behövs. Verifiering Under betafasen betraktas nya program som funktionellt fullständiga. Under den här fasen fastställer man vilka säkerhetsrisker som finns närvarande när programmet driftsätts i verkliga scenarier och vilka åtgärder som kan vidtas för att eliminera eller minska säkerhetsriskerna. Lansering Under den här fasen genomförs den sista säkerhetsgranskningen. Om det behövs sker även en driftssäkerhetsgranskning innan det nya programmet kan lanseras i Microsofts molnmiljö. Svar För Microsofts molnmiljö ansvarar SIM-teamet för att svara på säkerhetsincidenter. Teamet samarbetar med produkt- och tjänstteamen samt medlemmar av Microsoft Security Response Center för att prioritera, utreda och åtgärda rapporterade incidenter. Mer information om SDL finns på sidan Microsoft Security Development Lifecycle (SDL). OSSC hanterar den sista säkerhetsgranskningen, som är obligatorisk enligt SDL, för Microsofts onlinetjänster för att se till att relevanta säkerhetskrav har uppfyllts innan nya program driftsätts i Microsofts molninfrastruktur. Den sista säkerhetsgranskningen gäller ett teams efterlevnad av SDL under hela utvecklingsprocessen. Under granskningen hanterar OSSC följande uppgifter: 19

20 Samordning med produktteamet Frågeformulär och övrig dokumentation måste fyllas i av produktutvecklingsteamet. Informationen används av OSSC för att säkerställa att SDL har tillämpats korrekt under utvecklingen. Granskning av hotmodeller Microsoft betraktar hotmodeller som kritiska för att utveckla säker programvara. OSSC analyserar hotmodeller som tas fram av produktteamen och kontrollerar att de är kompletta och aktuella. Som en del av granskningen verifieras även att åtgärdskontroller har införts för att hantera alla identifierade risker. Granskning av säkerhetsbuggar Alla säkerhetsbuggar som upptäcks under design, utveckling och testning granskas. Buggar som påverkar säkerheten eller sekretessen för kundernas data måste åtgärdas. Verifiering av verktygsanvändning Microsofts utvecklings- och testteam använder säkerhetsverktyg och dokumenterade kodmönster och rutiner som en del av utvecklingsprocessen. Detta kan förbättra programsäkerheten genom att vanliga problem elimineras. OSSC kontrollerar att produktteamen har använt tillgängliga verktyg, dokumenterad kod och mönster och rutiner på ett korrekt och lämpligt sätt. Utöver hanteringen av den sista säkerhetsgranskningen hanterar OSSC även en process för driftsäkerhetsgranskning. Granskningen består i att granska relaterad nätverkskommunikation, plattform och systemkonfiguration och att övervaka funktioner jämfört med väletablerade säkerhetsstandarder och riktlinjer. Genom granskningsprocessen säkerställs att lämpliga säkerhetskontroller ingår i driftsplanerna innan driftsättning i molninfrastrukturen tillåts. Granskning och rapportering av värdtjänstens säkerhet Det är viktigt att hantera växande miljöer och ökande komplexitet för att leverera tillförlitliga, väladministrerade, säkra och uppdaterade tjänster. Genom att söka igenom infrastrukturresurserna varje dag får man en aktuell översikt över värdsystemets sårbarheter. Dessutom får OSSC möjlighet att samarbeta med produkt- och tjänstteamen för att hantera relaterade risker utan att störa driften av Microsofts onlinetjänster. Penetreringstester som genomförs av interna och externa parter visar hur effektiva säkerhetskontrollerna är för Microsofts molninfrastruktur. Resultatet av granskningarna och pågående utvärderingar av följkontrollerna används i påföljande arbete för genomsökning, övervakning och riskminskning. Tack vare automatisk driftsättning av vanliga härdade operativsystemavbildningar tillsammans med aktiv användning av värdprinciper, till exempel grupprinciper, kan Microsoft kontrollera servertillägg i molninfrastrukturen. Efter driftsättningen åtgärdas säkerhetsrisker i värdsystemen genom Microsofts driftsgranskningar och korrigeringsprogram. 20

STYRKAN I ENKELHETEN. Business Suite

STYRKAN I ENKELHETEN. Business Suite STYRKAN I ENKELHETEN Business Suite HOTET ÄR VERKLIGT Onlinehot mot ditt företag är verkliga, oavsett vad du gör. Om du har data eller pengar är du ett mål. Säkerhetstillbuden ökar drastiskt varje dag

Läs mer

EAs krav vid ackreditering av flexibel omfattning

EAs krav vid ackreditering av flexibel omfattning SWEDAC DOC 12:1 2012-05-10 Utgåva 1 Inofficiell översättning av EA 2/15 M:2008 EAs krav vid ackreditering av flexibel omfattning Swedac, Styrelsen för ackreditering och teknisk kontroll, Box 878, 501 15

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

Vilket moln passar dig bäst?

Vilket moln passar dig bäst? Vilket moln passar dig bäst? Idag diskuteras ofta huruvida man ska kliva in i molnets underbara värld eller inte, men sällan om skillnaderna mellan olika moln och vilka tillämpningar som är lämpliga att

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

presenterar KASPERSKY ENDPOINT SECURITY FOR BUSINESS

presenterar KASPERSKY ENDPOINT SECURITY FOR BUSINESS presenterar KASPERSKY ENDPOINT SECURITY FOR BUSINESS 1 Verksamhetsutveckling och hur det påverkar IT-arbetet ANPASSNINGS- FÖRMÅGA Arbeta snabbt, vara följsam och flexibel 66 % av företagarna prioriterar

Läs mer

Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem.

Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem. 1 Jobbet har slutat vara något vi går till och det är numera något vi gör. Våra kollegor är vana att använda ny teknik hemma, de vill nu göra det på jobbet. Helst vill de dessutom jobba från sina enheter

Läs mer

Bilaga 3c Informationssäkerhet

Bilaga 3c Informationssäkerhet SID 1 (9) Bilaga 3c Informationssäkerhet Förfrågningsunderlag Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm Box 22049, 104 22 Stockholm. Besöksadress

Läs mer

Innehåll Molntjänster... 4 Vad är detta?... 5 Cirkeln sluts... 6 The Cloud... 7 The Cloud (forts.)... 8 Definition av molntjänster...

Innehåll Molntjänster... 4 Vad är detta?... 5 Cirkeln sluts... 6 The Cloud... 7 The Cloud (forts.)... 8 Definition av molntjänster... 1 2 Innehåll Molntjänster... 4 Vad är detta?... 5 Cirkeln sluts... 6 The Cloud... 7 The Cloud (forts.)... 8 Definition av molntjänster... 9 Definition av molntjänster (forts.)... 11 Tjänster... 12 Skikt

Läs mer

Räkna med risk! Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@lowinder.se @amelsec https://www.iis.se

Räkna med risk! Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@lowinder.se @amelsec https://www.iis.se Räkna med risk! Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@lowinder.se @amelsec https://www.iis.se Det här är.se Stiftelsen för Internetinfrastruktur grundades 1997. Verka för positiv utveckling

Läs mer

Dokument ID: AJP131126 001. Er referens: SecureMailbox Mats Enocson. Säkerhetsgranskning. SecureMailbox

Dokument ID: AJP131126 001. Er referens: SecureMailbox Mats Enocson. Säkerhetsgranskning. SecureMailbox 2014 06 27 Dokument ID: AJP131126 001 Er referens: SecureMailbox Mats Enocson Säkerhetsgranskning SecureMailbox 1. Exekutiv summering Bitsec har som oberoende part, på uppdrag av SecureMailbox, granskat

Läs mer

Molnet som skapats för ditt företag.

Molnet som skapats för ditt företag. Molnet som skapats för ditt företag. Det här är Microsoft Cloud. Alla företag är speciella på sitt sätt. Hälso-/sjukvård, detaljhandel, tillverkning och ekonomi ingen verksamhet fungerar exakt likadant.

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Riktlinje för säkerhetskrav vid upphandling av IT-stöd

Riktlinje för säkerhetskrav vid upphandling av IT-stöd 1 (5) Ver. 1.1-2008-11-06 Riktlinje för säkerhetskrav vid upphandling av IT-stöd 1. Inledning Detta dokument redogör för vissa grundläggande säkerhetskrav som bör ställas i samband med anskaffning eller

Läs mer

Vår flexibla lösning för för Intelligent Workload Management

Vår flexibla lösning för för Intelligent Workload Management Vår flexibla lösning för för Intelligent Workload Management marknaden 1 It-landskapet håller på att förändras Riskerna och utmaningarna med datahantering i och mellan olika miljöer måste kontrolleras.

Läs mer

Informationssäkerhet

Informationssäkerhet Informationssäkerhet trender och utmaningar Rätt Säkerhet 2013 Tobias Hermansson och Sara Löfving Vår globala informationssäkerhetsundersökning För 15:e året i följd har Ernst & Youngs genomfört sin globala

Läs mer

Administratör IT-system Kursplan

Administratör IT-system Kursplan Administratör IT-system Kursplan Administratör IT-system Kursöversikt Obligatoriska kurser Kurs Poäng Advanced Enterprise System Administration 25 CCNA 45 CCNA Security 20 Drift i virtuella miljöer 20

Läs mer

Leverantör av programvarutjänster skapar kostnadseffektiv lösning för e-förvaltning

Leverantör av programvarutjänster skapar kostnadseffektiv lösning för e-förvaltning Windows Azure Fallstudie av kundlösning Leverantör av programvarutjänster skapar kostnadseffektiv lösning för e-förvaltning Översikt Land eller region: Indien Bransch: it Kundprofil tillhandahåller tjänster

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

Säkra trådlösa nät - praktiska råd och erfarenheter

Säkra trådlösa nät - praktiska råd och erfarenheter Säkra trådlösa nät - praktiska råd och erfarenheter Emilie Lundin Barse Informationssäkerhetsdagen 2007, Karlstad 1 Om mig och Combitech Informationssäkerhetskonsult på Combitech Stationerad på Karlstadskontoret

Läs mer

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda IT governance i praktiken: Styrning och kontroll över ITriskerna med ISO2700X Fredrik Björck Transcendent Group för ADBJ 2006-01-31 Agenda IT governance definierat IT governance i praktiken och infosäk

Läs mer

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015 Input till IT-risker i internrevisorns riskanalys Daniel Gräntz 20 maj, GRC 2015 Agenda Tillvägagångssätt för att identifiera IT-relaterade risker. Exempel på olika typer av ITrelaterade granskningar.

Läs mer

Johnson Controls bindande bolagsregler kring sekretess

Johnson Controls bindande bolagsregler kring sekretess Johnson Controls bindande bolagsregler kring sekretess Innehåll 1. Introduktion 2. Omfattning och ansökan 3. Transparens och information 4. Rättvisa och syftesbegränsning 5. Datakvalitet och proportionalitet

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

Att tämja odjuret mobil fildelning

Att tämja odjuret mobil fildelning White paper Fil- och nätverkstjänster Att tämja odjuret mobil fildelning Vem låter du hantera företagets resurser? Mobil filåtkomst och delning är rykande hett, och håller på att bli en absolut nödvändighet

Läs mer

Informations- säkerhet

Informations- säkerhet ISec Code of Conduct Internal information Informations- säkerhet Ditt ansvar! ISec Code of Conduct Informationssäkerhet Scanias verksamhet är beroende av att information är tillgänglig och hanteras på

Läs mer

Examinering i ITIL Foundation

Examinering i ITIL Foundation Examinering i ITIL Foundation Exempelhäfte A, version 5.1 Flervalsfrågor Instruktioner 1. Alla 40 frågorna ska besvaras. 2. Alla svar ska markeras i svarstabellen som följer med. 3. Du har 60 minuter på

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Brian Woltz, ägare och fysioterapeut, Parkway Physiotherapy

Brian Woltz, ägare och fysioterapeut, Parkway Physiotherapy Agenda Vårt företag är mycket bättre skyddat än tidigare. Windows Small Business Server 2011 Essentials har gjort oss trygga att utnyttja effektiva lösningar som fjärråtkomst utan att ge avkall på säkerheten.

Läs mer

Säkerhet i fokus. Säkerhet i fokus

Säkerhet i fokus. Säkerhet i fokus Säkerhet i fokus Säkerhet i fokus Säkerhet är en av våra viktigaste frågor. Våra hyresgäster bedriver en daglig verksamhet i allt från kriminalvårds anstalter och domstolsbyggnader till speciella vårdhem

Läs mer

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Metoder för datasäkerhet. Vad handlar en sådan kurs om??? Metoder för datasäkerhet Vad handlar en sådan kurs om??? Vad avses då media rapporterar om datasäkerhet? Oftast resultat av brister i säkerheten Allt möjligt av helt olika karaktär, som Försvunna viktiga

Läs mer

Allmänna villkor för infrastrukturen Mina meddelanden

Allmänna villkor för infrastrukturen Mina meddelanden Allmänna villkor för infrastrukturen Mina meddelanden Bilaga 1 Krav på säkerhet för brevlådeoperatörer version 1.2 (Gäller fr.o.m. 2015-11-11) 2 Bakgrund och syfte Skatteverket tillhandahåller en myndighetsgemensam

Läs mer

Kontroll över IT för efterlevnad och framgång. Johanna Wallmo Peter Tornberg

Kontroll över IT för efterlevnad och framgång. Johanna Wallmo Peter Tornberg Kontroll över IT för efterlevnad och framgång Johanna Wallmo Peter Tornberg Agenda Direktiv från EU - tidsplan EU:s 8:e direktiv: syfte och innehåll Hur kommer svenska bolag att påverkas? Utmaningar vid

Läs mer

Lumia med Windows Phone

Lumia med Windows Phone Lumia med Windows Phone microsoft.com/sv-se/mobile/business/lumia-for-business/lumia/ 103328+103329_Lumia-Brochure+10reasons_swe.indd 1 26.11.2014 10.34 Office 365 i telefonen Ge dina anställda tillgång

Läs mer

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet Revision 1 (3) State Released Plan för IT Säkerhet DOCUMENT REVISION HISTORY Revision Reason for revision Date 1 New Document 2013-02-26 List of Authors List of Reviewers List of Approvers Skölde, Daniel/Ulrika

Läs mer

Ämnesintroduktion. Varför incidenthantering? Vårt mål? Incidenthantering - Datautvinning

Ämnesintroduktion. Varför incidenthantering? Vårt mål? Incidenthantering - Datautvinning Ämnesintroduktion Incidenthantering - Datautvinning Varför incidenthantering? Anledningen till att ett system ska analyseras är att en incident inträffat. Vad är en incident? Informationsstöld Systemintrång/

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Exponerade fakturor på internet

Exponerade fakturor på internet BESLUT 1(6) Datum Vår referens Aktbilaga 2013-12-18 Dnr: 13-9151 12 Nätsäkerhetsavdelningen Jeanette Kronwall 08-6785898 jeanette.kronwall@pts.se TeliaSonera AB Att: Ann Ekstrand Stab Juridik, Regulatoriska

Läs mer

2012 2011 Undersökning av katastrofberedskap RESULTAT FÖR EMEA (EUROPA, MELLANÖSTERN OCH AFRIKA)

2012 2011 Undersökning av katastrofberedskap RESULTAT FÖR EMEA (EUROPA, MELLANÖSTERN OCH AFRIKA) 2012 2011 Undersökning av katastrofberedskap RESULTAT FÖR EMEA (EUROPA, MELLANÖSTERN OCH AFRIKA) INNEHÅLL Inledning........................................................................ 3 Metodik.........................................................................

Läs mer

Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2

Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2 Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2 Ledningssystem för informationssäkerhet () Informationssäkerhet Informationssäkerhet Administrativ säkerhet IT-säkerhet ADB-säkerhet Kommunikationssäkerhet

Läs mer

Har vi nått målet? En säker virtuell miljö

Har vi nått målet? En säker virtuell miljö White paper Har vi nått målet? En säker virtuell miljö Be Ready for What s Next. White paper Varför Kaspersky? Skydd eftersom du inte tål ett enda sabotageprogram till Prestationer med antivirusprogram

Läs mer

Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004

Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004 Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004 I checklistan gäller det att instämma med de påståenden som anges i listan för att vara säker på att verksamhetens miljöledningssystem

Läs mer

Molntjänster och utkontraktering av kritisk verksamhet lagar och regler. Alireza Hafezi

Molntjänster och utkontraktering av kritisk verksamhet lagar och regler. Alireza Hafezi Molntjänster och utkontraktering av kritisk verksamhet lagar och regler Alireza Hafezi Säkerhetsskydd?! 2 Säkerhetsskyddslagen, 6 : Med säkerhetsskydd avses: > skydd mot spioneri, sabotage och andra brott

Läs mer

Skydda företagets information. Symantecs lösningar för mindre företag

Skydda företagets information. Symantecs lösningar för mindre företag Skydda företagets information Symantecs lösningar för mindre företag HELTÄCKANDE FÖRETAGSSKYDD Skadliga koder på Internet kan stänga av datorer, stjäla information och utsätta medarbetare och kunder för

Läs mer

Teknik 5:2 Hur bör stadsnäten förbereda sig för att kunna distribuera kvalitativa molntjänster?

Teknik 5:2 Hur bör stadsnäten förbereda sig för att kunna distribuera kvalitativa molntjänster? Teknik 5:2 Hur bör stadsnäten förbereda sig för att kunna distribuera kvalitativa molntjänster? Hur bör stadsnäten förbereda sig för att kunna distribuera kvalitativa molntjänster? Hur säkerställer stadsnätsägaren

Läs mer

Tekniskt driftdokumentation & krishantering v.1.0

Tekniskt driftdokumentation & krishantering v.1.0 Tekniskt driftdokumentation & krishantering v.1.0 Denna driftdokumentation avser driftmiljön hos Camero AB:s webbhotell, både delade och dedikerade lösningar. Teknisk dokumentation Cameros webbhotell har

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet 2 (8) Innehållsförteckning Bilaga 3 Säkerhet 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll

Läs mer

Policy för informationssäkerhet

Policy för informationssäkerhet .. - T C Q o,.. e Policy för informationssäkerhet Landstingsdirektörens stab augusti 2015 CJiflt LANDSTINGET BLEKINGE Innehållsförteckning Inledning och bakgrund... 3 Syfte... 3 Mål... 3 Genomförande...

Läs mer

När du deltar i en panelundersökning som vårt företag utför kan du känna dig säker på att eventuell personlig information stannar hos oss.

När du deltar i en panelundersökning som vårt företag utför kan du känna dig säker på att eventuell personlig information stannar hos oss. VISION CRITICAL COMMUNICATIONS INC. FÖRETAGETS INTEGRITETSPOLICY ÖVERSIKT Här hos Vision Critical Communications Inc. ("VCCI") är respekt för integriteten en viktig del av vårt åtagande gentemot klienter,

Läs mer

RSA Authentication. Översikt av produkten

RSA Authentication. Översikt av produkten RSA Authentication Manager ExpreSS Översikt av produkten Riskerna som förknippas med autentisering med enbart lösenord är inte nya. Trots det förlitar sig 44 % av alla företag och organisationer på lösenord

Läs mer

Icke funktionella krav

Icke funktionella krav 1 (9) Underskriftstjänst Svensk e-legitimation 2 (9) INNEHÅLL 1 Inledning... 3 2 Tillgänglighet och kapacitet... 3 2.1 Svarstider... 3 3 Administrativ säkerhet... 4 3.1 Policy och regelverk... 4 3.1.1

Läs mer

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system Stockholms läns landsting Landstingsstyrelsens förvaltning SLL Informationssäkerhet SLL IT Handläggare: Vesna Lucassi Landstingsstyrelsens innovationsberedning Ankom Stockholms läns landsting 2015-08-

Läs mer

Hantering av IT-risker

Hantering av IT-risker Hantering av IT-risker Landstinget i Östergötland Revisionsrapport Januari 2011 Jon Arwidson Magnus Olson-Sjölander Fredrik Eriksson Eva Andlert Certifierad kommunal revisor 1 av 10 Innehållsförteckning

Läs mer

F6 Exchange 2007. 2013-01-16 EC Utbildning AB 2013-01-16

F6 Exchange 2007. 2013-01-16 EC Utbildning AB 2013-01-16 F6 Exchange 2007 2013-01-16 EC Utbildning AB 2013-01-16 1 Kapitel 6, Sid 303-310 Antivirus and Security EC Utbildning AB 2013-01-16 2 Dagens meny Idag: Allmän uppsäkring av system Defense in-depth Verktyg

Läs mer

TMP Consulting - tjänster för företag

TMP Consulting - tjänster för företag TMP Consulting - tjänster för företag Adress: http://tmpc.se Kontakta: info@tmpc.se TMP Consulting är ett bolag som utvecklar tekniska lösningar och arbetar med effektivisering och problemslösning i organisationer.

Läs mer

Hur påvisar man värdet med säkerhetsarbetet i turbulenta tider och när budgeten är tight?

Hur påvisar man värdet med säkerhetsarbetet i turbulenta tider och när budgeten är tight? Hur påvisar man värdet med säkerhetsarbetet i turbulenta tider och när budgeten är tight? Fredrik Rehnström, CISSP, CISM, CGEIT Seniorkonsult, vvd, partner Ca 50% av de beslut som fattas görs på underlag

Läs mer

Säkerhet 2.0. Ta en titt in i framtiden. Per Hellqvist. Senior Security Specialist

Säkerhet 2.0. Ta en titt in i framtiden. Per Hellqvist. Senior Security Specialist Säkerhet 2.0 Ta en titt in i framtiden Per Hellqvist Senior Security Specialist Symantecs vision Confidence in the Connected World Säkra och hantera din informationsdrivna värld över fysiska, virtuella

Läs mer

EBITS 2010-02-15 Arbetsgruppen för Energibranschens Reviderad 2010-02-17 Informationssäkerhet

EBITS 2010-02-15 Arbetsgruppen för Energibranschens Reviderad 2010-02-17 Informationssäkerhet 2010-02-15 Arbetsgruppen för Energibranschens Reviderad 2010-02-17 Informationssäkerhet IT SOM TJÄNST - MOLNTJÄNSTER Användning av internetbaserade IT-tjänster tillhandahållna av extern leverantör Syfte

Läs mer

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) 1. Allmänt Dessa Allmänna villkor reglerar Socialnämndens anslutning till Sammansatt Bastjänst

Läs mer

Upplev Symantec Backup Exec.cloudcloud

Upplev Symantec Backup Exec.cloudcloud Automatiskt, kontinuerligt och säkert skydd som gör backup av data till molnet eller via en hybridmetod som kombinerar lokal och molnbaserad backup. Datablad: Symantec.cloud Endast 21 procent av tillfrågade

Läs mer

Riskanalys och riskhantering

Riskanalys och riskhantering Riskanalys och riskhantering Margaretha Eriksson, civ.ing. och doktorand i informationssäkerhet KTH Föreläsning 2 Mål känna till stegen i en risk- och sårbarhetsanalys kunna använda risk- och sårbarhetsanalys

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

Spetskompetens inom systemintegration, SOA och systemutveckling

Spetskompetens inom systemintegration, SOA och systemutveckling Spetskompetens inom systemintegration, SOA och systemutveckling Mjukvarukraft är ett företag som inriktar sig på konsultation och systemutveckling baserad på och omkring Microsofts plattformar och produkter.

Läs mer

Nya regler om styrning och riskhantering

Nya regler om styrning och riskhantering Nya regler om styrning och riskhantering FI-forum 20 maj 2014 1 Agenda och inledning Christer Furustedt Avdelningschef Banktillsyn 2 Agenda Inledning Rättsliga aspekter Styrning, riskhantering och kontroll

Läs mer

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799 2003-01-24 Energibranschens IT-säkerhet 1 (13) Att införa LIS Förberedelser inför anpassning till ISO/IEC 17799 Vad är informationssäkerhet? Information är en tillgång som, liksom andra viktiga tillgångar

Läs mer

Med SAP menas det SAP-bolag som du ingått avtal om Tjänsten med.

Med SAP menas det SAP-bolag som du ingått avtal om Tjänsten med. Servicenivåprogram för Ariba Cloud Services Tjänstens tillgänglighetsgaranti Säkerhet Övrigt 1. Tjänstens tillgänglighetsgaranti a. Tillämpning. Tjänstens tillgänglighetsgaranti avser den tillämpliga Lösningen.

Läs mer

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Vervas allmänna råd till föreskrift om statliga myndigheters arbete med säkert

Läs mer

Nuläget kring säkerhet och internet

Nuläget kring säkerhet och internet Nuläget kring säkerhet och internet Vad är det som händer? Vad ska vi akta oss för? Anne-Marie Eklund Löwinder Säkerhetschef,.SE https://www.iis.se amel@iis.se @amelsec Det här är.se Stiftelsen för Internetinfrastruktur

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 1552-2012 Socialnämnden i Norrköpings kommun Rådhuset 601 81 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

VERVA. Fujitsu Services Kenneth Landérus F

VERVA. Fujitsu Services Kenneth Landérus F VERVA Fujitsu Services Kenneth Landérus F Fujitsu Services 2008 Fujitsus erbjudande produkter Volymlicensiering på 40 programtillverkares produkter 2 Fujitsu Services 2008 2008-01-28 Verva Programvaror

Läs mer

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer

Läs mer

Strategi Program Plan Policy» Riktlinjer Regler

Strategi Program Plan Policy» Riktlinjer Regler Strategi Program Plan Policy» Riktlinjer Regler Borås Stads Riktlinjer för IT Riktlinjer för IT 1 Fastställt av: Kommunstyrelsen Datum: 20 juni 2011 För revidering ansvarar: Kommunstyrelsen För ev uppföljning

Läs mer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 )

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 ) Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 14-11-24 dnr V 2014/853 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum November 2014 Publicerad Beslutsfattare

Läs mer

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A 2 (8) Innehållsförteckning 1 Allmänt 3 2 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 7 3 (8) 1 Allmänt 4 (8) 2 Tele2 bedriver en verksamhet vars produktion till största delen

Läs mer

Policy för internkontroll för Stockholms läns landsting och bolag

Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag 2 (6) Innehållsförteckning Policy för internkontroll... 1 för Stockholms

Läs mer

Servicebeskrivning Tjänst för spårning och återställning av bärbar dator samt Tjänst för fjärradering av data

Servicebeskrivning Tjänst för spårning och återställning av bärbar dator samt Tjänst för fjärradering av data Servicebeskrivning Tjänst för spårning och återställning av bärbar dator samt Tjänst för fjärradering av data Serviceöversikt Dell gläds över att kunna erbjuda tjänsten för spårning och återställning av

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50

Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50 Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50 TK 318 2015-09-02 Jan-Olof Andersson Bearbetat underlag från: Lars Söderlund/Rose-Mharie Åhlfeldt 2015-09-07 1 TR-50 Teknisk rapport

Läs mer

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Informationssäkerhet vid Karolinska Universitetssjukhuset Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Förlorar vi informationen, om den är felaktig eller manipulerad

Läs mer

Ny samverkan till stöd vid upphandling av kryptolösningar

Ny samverkan till stöd vid upphandling av kryptolösningar Försvarets Materielverk/CSEC 2005 Document ID ED-188 Issue 0.1 Ny samverkan till stöd vid upphandling av kryptolösningar Dag Ströman, Verksamhetschef, Sveriges Certifieringsorgan för IT-säkerhet vid FMV

Läs mer

Vad är molnet?... 2. Vad är NAV i molnet?... 3. Vem passar NAV i molnet för?... 4. Fördelar med NAV i molnet... 5. Kom igång snabbt...

Vad är molnet?... 2. Vad är NAV i molnet?... 3. Vem passar NAV i molnet för?... 4. Fördelar med NAV i molnet... 5. Kom igång snabbt... Produktblad för NAV i molnet Innehåll Vad är molnet?... 2 Vad är NAV i molnet?... 3 Vem passar NAV i molnet för?... 4 Fördelar med NAV i molnet... 5 Kom igång snabbt... 5 Bli kostnadseffektiv... 5 Enkelt

Läs mer

Molntjänster -- vad är molnet?

Molntjänster -- vad är molnet? En e-bok från Visma Spcs Molntjänster -- vad är molnet? Vad du bör tänka på för att göra rätt val till ditt företag Molntjänster -- vad är molnet? En guide till att förstå molntjänster Innehåll Hänger

Läs mer

HUR MAN LYCKAS MED BYOD

HUR MAN LYCKAS MED BYOD HUR MAN LYCKAS MED BYOD WHITE PAPER Innehållsförteckning Inledning... 3 BYOD Checklista... 4 1. Val av system... 4 2. Installation och konfiguration... 5 3. Prestanda... 5 4. Valfrihet ökar upplevelsen...

Läs mer

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun. V A R B E R G S K O M M U N föregångare inom IT-säkerhet av lena lidberg Vilka är kommunens viktigaste IT-system? Och hur länge kan systemen ligga nere innan det uppstår kaos i verksamheterna? Frågor som

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

TECH-RAPPORT BORTOM DATASÄKERHET BORTOM DATASÄKERHET

TECH-RAPPORT BORTOM DATASÄKERHET BORTOM DATASÄKERHET TECH-RAPPORT BORTOM DATASÄKERHET BORTOM DATASÄKERHET TECH-2005-09-Datasäkerhet-SV 1 TPM (TRUSTED PLATFORM MODULE) REPRESENTERAR DAGENS MEST AVANCERADE SÄKERHETSTEKNIK. I DEN HÄR ARTIKELN SKA VI PRESENTERA

Läs mer

Dataskyddskrav för leverantörer utvärderingskriterier

Dataskyddskrav för leverantörer utvärderingskriterier Dataskyddskrav för leverantörer utvärderingskriterier Tillämplighet Microsofts dataskyddskrav (Data Protection Requirements (DPR)) för leverantörer gäller alla Microsoft-leverantörer som samlar in, använder,

Läs mer

FÖRHINDRA DATORINTRÅNG!

FÖRHINDRA DATORINTRÅNG! FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser

Läs mer

100% FOKUS PÅ KANALFÖRSÄLJNING MARKNADSLEDANDE MARGINALER WHITE LABELLING PÅ FLERA NIVÅER FOKUS PÅ ATT LEVERERA MOLNTJÄNSTER

100% FOKUS PÅ KANALFÖRSÄLJNING MARKNADSLEDANDE MARGINALER WHITE LABELLING PÅ FLERA NIVÅER FOKUS PÅ ATT LEVERERA MOLNTJÄNSTER 100% FOKUS PÅ KANALFÖRSÄLJNING MARKNADSLEDANDE MARGINALER WHITE LABELLING PÅ FLERA NIVÅER FOKUS PÅ ATT LEVERERA MOLNTJÄNSTER INKOMMANDE SPAMFILTRERING INKOMMANDE SPAMFILTRERING STOPPA HOTEN Hoten stoppas

Läs mer

IMPLEMENTERING AV EN SYSTEMARKITEKTUR FÖR SÄKERHETSANALYS. Solution Brief

IMPLEMENTERING AV EN SYSTEMARKITEKTUR FÖR SÄKERHETSANALYS. Solution Brief IMPLEMENTERING AV EN SYSTEMARKITEKTUR FÖR SÄKERHETSANALYS Solution Brief SAMMANFATTNING Nya säkerhetshot kräver en ny form av säkerhetshantering. De som arbetar med it-säkerhet behöver en systemarkitektur

Läs mer

Solution Profiler. Tips till att publicera en framgångsrik lösning

Solution Profiler. Tips till att publicera en framgångsrik lösning Solution Profiler Tips till att publicera en framgångsrik lösning Innehållsförteckning Så här börjar du... 2 1. Grundinformation... 3 1.1 Lösningens namn... 3 1.2 Lösningens beskrivning... 3 1.3 Lösningens

Läs mer

Juridik och informationssäkerhet

Juridik och informationssäkerhet 2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga

Läs mer

Sekretesspolicy för privatkunder

Sekretesspolicy för privatkunder Sekretesspolicy för privatkunder 1. Personuppgiftsansvarig Tikkurila Sverige AB (häri kallat Tikkurila) Textilgatan 31 120 86 Stockholm Sverige Org.nr: 556001-8300 Tel: +46(0)8 775 6000 2. Kontaktuppgifter

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

Certifiering av informationssäkerhet Vad, varför, hur? Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@lowinder.se @amelsec https://www.iis.

Certifiering av informationssäkerhet Vad, varför, hur? Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@lowinder.se @amelsec https://www.iis. Certifiering av informationssäkerhet Vad, varför, hur? Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@lowinder.se @amelsec https://www.iis.se Vad är.se? Stiftelsen för Internetinfrastruktur grundades

Läs mer