BSI-standard Ledningssystem för informationssäkerhet (LIS) Version 1.0

Storlek: px
Starta visningen från sidan:

Download "BSI-standard 100-1 Ledningssystem för informationssäkerhet (LIS) Version 1.0"

Transkript

1 BSI-standard Ledningssystem för informationssäkerhet (LIS) Version 1.0

2 Innehållsförteckning 1 Inledning Versionshistorik Målsättning Målgrupp Tillämpning Litteraturförteckning Introduktion i informationssäkerhet Översikt över standarder för IT-säkerhet ISO-standarder för IT-säkerhet Utvalda BSI-publikationer och standarder avseende ledningssystem för informationssäkerhet LIS - Definition och processbeskrivning Komponenter i ett ledningssystem för informationssäkerhet Processbeskrivning och livscykelmodell Livscykeln i IT-säkerheten Beskrivning av IT-säkerhetsprocessen Ledningsprinciper Ledningens uppgifter och ansvar Upprätthålla IT-säkerheten och kontinuerliga förbättringar Kommunikation och kunskap Resurser för IT-drift och IT-säkerhet Involvering av medarbetarna i IT-säkerhetsprocessen IT-säkerhetsprocessen Planering av IT-säkerhetsprocessen Genomförande av IT-säkerhetspolicyn Resultatkontroll i IT-säkerhetsprocessen IT-säkerhetskoncept Upprättande av IT-säkerhetskonceptet Genomförande av IT-säkerhetskonceptet Resultatkontroll och förbättring av IT-säkerhetskonceptet BSI:s LIS: IT-grundskydd Inledning IT-säkerhetprocessen enligt IT-grundskydd Riskbedömning Upprättande av IT-säkerhetskonceptet BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 2

3 1 Inledning 1.1 Versionshistorik Utgåva Version Författare December BSI 1.2 Målsättning Inom näringsliv och offentlig förvaltning är det i dag ingen som förnekar att det är nödvändigt att på ett lämpligt sätt skydda den egna IT-miljön. IT-säkerhetsincidenter kan medföra långtgående skador på verksamheten eller förhindra att uppgifter kan genomföras, vilket i båda fallen leder till höga kostnader. Praktisk erfarenhet visar att en optimering av ledningssystemet för informationssäkerhet ofta förbättrar informationssäkerheten effektivare och mer långsiktigt än vad investeringar i säkerhetsteknik gör. Åtgärder som ursprungligen genomfördes för att förbättra informationssäkerheten kan emellertid även vara till nytta i andra avseenden än säkerhet och visa sig påverka det ekonomiska utfallet positivt. Investeringar i informationssäkerhet kan i många fall till och med på relativt kort tid bidra till kostnadsbesparingar. Genom en bättre integrering av informationssäkerheten i befintliga organisatoriska strukturer kan man förvänta sig följande positiva sidoeffekter: högre arbetskvalitet, ökat kundförtroende, optimering av IT-miljön och arbetsprocesser samt tillvaratagande av synergieffekter. En lämplig nivå på informationssäkerheten beror i första hand av ledningssystemet för informationssäkerhet och i andra hand på enskilda tekniska åtgärder. Följande överväganden förtydligar denna tes: Ledningsnivån har ansvar för att lagar och förordningar samt avtal med tredje part efterlevs. Vidare ansvarar ledningsnivån för att viktiga affärsprocesser löper störningsfritt. Informationssäkerhet har beröringspunkter med många delar av en organisation och berör viktiga affärsprocesser och uppgifter. Därför kan endast ledningsnivån genomföra en friktionsfri integrering av ledningssystemet för informationssäkerhet i befintliga organisationsstrukturer och processer. Ledningsnivån ansvarar dessutom för tilldelning av ekonomiska resurser. Det innebär att ledningsnivån har ett stort ansvar för informationssäkerheten. Avsaknad av styrning, en olämplig IT-säkerhetsstrategi eller felaktiga beslut kan få långtgående negativa konsekvenser på grund av säkerhetsincidenter, missade möjligheter och felinvesteringar. Denna standard beskriver därför steg för steg vad som utgör ett framgångsrikt ledningssystem för informationssäkerhet och vilka uppgifter som ledningsnivån inom myndigheter och företag har. 1.3 Målgrupp Detta dokument riktar sig till alla som ansvarar för IT-drift och IT-säkerhet, IT-säkerhetschefer, ITexperter, IT-rådgivare och alla intresserade som har ledningsansvar avseende informationssäkerhet. Styrning av IT-säkerhet är inte bara en viktig fråga för stora organisationer utan även för små och BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 3

4 medelstora myndigheter och företag samt egenföretagare. Hur ett lämpligt ledningssystem för informationssäkerhet ser ut beror naturligtvis på institutionens storlek. Denna standard och framförallt de mycket konkreta rekommendationerna i IT-Grundschutz (IT-grundskydd) hjälper alla ansvariga personer som vill förbättra IT-säkerheten inom det område de kan påverka. Nedan lämnas information hur rekommendationerna i denna standard kan behovsanpassas efter en myndighets eller ett företags storlek. 1.4 Tillämpning Denna standard beskriver hur ett ledningssystem för informationssäkerhet (LIS) kan vara uppbyggt. Ett ledningssystem omfattar alla regler som är ett hjälpmedel för att styra och leda en organisation och för att uppsatta mål kan uppnås. Ett ledningssystem för informationssäkerhet beskriver med vilka instrument och metoder som en institutions ledningsnivå på ett spårbart sätt styr de uppgifter och aktiviteter som behövs för informationssäkerheten. Denna BSI-standard ger bland annat svar på följande frågor: Vilka är framgångsfaktorerna vid ledning av informationssäkerhet? Hur kan IT-säkerhetsprocessen styras och övervakas av den ansvariga ledningen? Hur tas IT-säkerhetsmål och en lämplig IT-säkerhetsstrategi fram? Hur väljs IT-säkerhetsåtgärder ut och hur upprättas ett IT-säkerhetskoncept? Hur kan en uppnådd säkerhetsnivå permanent bibehållas och förbättras? Denna standard för ledningssystem beskriver kort och översiktligt de viktigaste uppgifterna för ledningssystemet för säkerhet. Vid tillämpning av dessa rekommendationer är BSI med metodiken i ITgrundskydd ett hjälpmedel. IT-grundskydd är en anvisning steg för steg för utveckling av ett ledningssystem för informationssäkerhet i praktiken och den innehåller mycket konkreta åtgärder för alla aspekter av IT-säkerhet. Tillvägagångssättet enligt IT-grundskydd beskrivs i BSI-Standard ([se [BSI2]) och är så utformat att en lämplig IT-säkerhetsnivå kan uppnås så billigt som möjligt. Som komplement här till rekommenderas i IT-grundskydd-katalogerna standardsäkerhetsåtgärder för det praktiska genomförandet av den lämpliga IT-säkerhetsnivån. 1.5 Litteraturförteckning [BSI1] Managementsysteme für Informationssicherheit (ISMS), BSI-Standard 100-1, Version 1.0, Dezember 2005, [BSI2] IT-Grundschutz-Vorgehensweise, BSI-Standard 100-2, Version 1.0, Dezember 2005, [BSI3] Risikoanalyse auf der Basis von IT-Grundschutz, BSI-Standard 100-3, Version 1.0, Februar 2004, [GSHB] IT-Grundschutzhandbuch - Standard-Sicherheitsmaßnahmen, BSI, jährlich neu, [SHB] IT-Sicherheitshandbuch - Handbuch für die sichere Anwendung der Informationstechnik, BSI, Version März 1992, Bundesdruckerei [OECD] Organisation for Economic Co-operation and Development (OECD), Guidelines for the Security of Information Systems and Networks, 2002, [ZERT] Allgemeine Informationen zum IT-Grundschutz-Zertifikat, zum Lizenzierungsschema für Auditoren und zum Zertifizierungsschema für IT-Grundschutz unter BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 4

5 [13335] ISO/IEC "Management of information and communications technology security", ISO/IEC JTC1/SC27 [17799] ISO/IEC "Management of information and communications technology security", ISO/IEC JTC1/SC27 [27001] ISO/IEC "Management of information and communications technology security", ISO/IEC JTC1/SC27 BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 5

6 2 Introduktion i informationssäkerhet Vad är informationssäkerhet? Målet med informationssäkerhet är att skydda information. Det kan vara fråga om information på papper, i datorer eller i personers huvuden. IT-säkerhet avser i första hand skyddet av elektroniskt lagrad information och bearbetningen av denna. De klassiska grundidealen ínom IT-säkerhet, konfidentialitet, riktighet och tillgänglighet, är basen för skydd av information. Informationens säkerhet hotas inte enbart genom uppsåtliga handlingar (t.ex. datorvirus, avlyssning, stöld av datorer). Följande exempel förklarar detta faktum: Genom force majeure (t.ex. brand, vatten, storm, jordbävning) påverkas IT-system eller det går inte att komma in i datorcentralen. IT-system eller tjänster är därmed inte längre åtkomliga på önskat sätt. Efter en misslyckad programuppdatering fungerar system inte längre eller data har obemärkt ändrats. En viktig affärsprocess blir fördröjd eftersom de enda medarbetare som är i insatta i programmet är sjuka. En medarbetare lämnar av misstag konfidentiell information till en obehörig person därför att dokumenten eller filerna inte var märkta konfidentiellt. Ordval: IT-säkerhet kontra informationssäkerhet På tyska används följande begrepp ofta synonymt: informationsteknik, informations- och kommunikationsteknik eller informations- och telekommunikationsteknik. På grund av ordens längd har respektive förkortningar blivit vanliga så att man oftast talar om IT-säkerhet. Eftersom elektronisk bearbetning av information förekommer nästan i alla sammanhang är det inte längre aktuellt att skilja på om information bearbetas med informationsteknik, med kommunikationsteknik eller på papper. Begreppet informationssäkerhet i stället för IT-säkerhet är därför mer omfattande och lämpligare. Eftersom begreppet IT-säkerhet fortfarande är vanligast i litteraturen (bland annat för att det är kortare) används det fortsatt i denna skrift samt i IT-grundskydd-katalogerna. 2.1 Översikt över standarder för IT-säkerhet ISO-standarder för IT-säkerhet ISO Standarden ISO "Management of information and communications technology security" (tidigare "Guidelines on the Management of IT Security") (Riktlinjer för styrning av IT-säkerhet) är en allmän riktlinje för att initiera och implementera ledningssystem för informationssäkerhet. Standarden innehåller anvisningar men däremot inte lösningar för ledning och styrning av IT-säkerhet. Standarden är ett grundläggande verk på detta område och är utgångs- eller referenspunkt för en rad dokument avseende ledningssystem för informationssäkerhet. Standarden består för närvarande av följande delar: Part 1: Concepts and models for information and communications technology security management Part 2: Techniques for information security risk management Part 5: Management guidance on network security De tidigare delarna 3 och 4 ingår nu i delarna 1 och 2. Standarden ISO innehåller olika metoder för riskanalys. En certifiering är inte planerad. BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 6

7 ISO Målet med ISO Information technology Code of practice for information security management " är att definiera ett ramverk för ledningssystem för informationssäkerhet. ISO behandlar därför huvudsakligen de steg som krävs för att bygga upp ett fungerande ledningssystem för informationssäkerhet och hur detta förankras i organisationen. De erforderliga åtgärderna för ITsäkerhet behandlas kortfattat på de ca 100 sidorna i ISO-standarden ISO/IEC Rekommendationerna ligger på ledningsnivå och innehåller knappast konkret teknisk information. En implementering av dem är en av många möjligheter för att uppfylla kraven i ISO-standarden ISO På grund av informationsteknikens komplexitet och efterfrågan på certifiering har det under de senaste åren utarbetats flera anvisningar, standarder och nationella normer som rör IT-säkerhet. ISOstandarden "Information technology - Security techniques - Information security management systems requirements specification" är den första internationella standarden för ledningssystem för informationssäkerhet som också möjliggör en certifiering. ISO ger på ca tio sidor allmänna rekommendationer. I en normerande bilaga hänvisas till kontrollerna i ISO/IEC Läsaren får dock ingen hjälp för det praktiska genomförandet Utvalda BSI-publikationer och standarder avseende ledningssystem för informationssäkerhet IT-grundskydd-kataloger Den mest kända publikationen från BSI avseende informationssäkerhet är IT-Grundschutzhandbuch (Handbok för IT-grundskydd) som sedan 1994 mycket utförligt beskriver inte bara ledningssystem för informationssäkerhet utan även detaljerade IT-säkerhetsåtgärder inom områdena teknik, organisation, personal och infrastruktur. Handbok för IT-grundskydd har under år 2005 omstrukturerats inom olika delar. I samband med detta har beskrivningarna av tillvägagångssättet enligt IT-grundskydd och ITgrundskyddkatalogerna skiljts åt. BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 7

8 Figur 1: Översikt över BSI-publikationer avseende ledningssystem för informationssäkerhet IT-grundskyddkatalogerna är uppbyggda i moduler och innehåller komponenter för typiska processer, tillämpningar och IT-komponenter. Till varje ämne rekommenderas inte endast IT-säkerhetsåtgärder utan det finns även en beskrivning av de viktigaste hoten som en organisation bör skydda sig mot. En användare kan på så sätt koncentrera sig på de komponenter som rent faktiskt är relevanta för honom. ITgrundskydd-katalogerna uppdateras och kompletteras ofta för att omfatta ny teknik. Därför publiceras de som lösblad, på cd respektive dvd och på Internet. IT-grundskyddtillvägagångssättet beskriver hur ITsäkerhetslösningar kan väljas ut, byggas upp och kontrolleras utifrån standardsäkerhetsåtgärder. Denna metod har publicerats som BSI-Standard bland standarderna avseende informationssäkerhet. BSI-standarder för informationssäkerhet: ledningssystem för informationssäkerhet Ledningssystem för informationssäkerhet (LIS) I denna standard definieras allmänna krav på ett LIS. Den är helt kompatibel med ISO-standarden och här beaktas dessutom rekommendationerna i ISO-standarderna och Den ger läsaren en lättförstålig och systematisk anvisning oberoende av med vilken metod som denne önskar implementera kraven. BSI presenterar denna ISO-standards innehåll i en egen BSI-standard för att kunna beskriva några ämnen mer utförligt och på så sätt möjliggöra en mer pedagogisk presentation av innehållet. Dessutom har dispositionen gjorts så att den är kompatibel med IT-grundskyddtillvägagångssättet. Genom de enhetliga rubrikerna i båda dokumenten är det enkelt för läsaren att orientera sig IT-grundskydd-tillvägagångssätt IT-grundskyddtillvägagångssättet beskriver steg för steg hur ett ledningssystem för informationssäkerhet byggs upp och drivs i praktiken. Uppgifterna för ledningssystemet för informationssäkerhet och uppbyggnaden av en IT-säkerhetsorganisation är här viktiga teman. IT-grundskyddtillvägagångssätt går mycket utförligt in på hur ett IT-säkerhetskoncept kan utarbetas i praktiken, hur lämpliga IT-säkerhetsåtgärder kan väljas ut och vad som ska beaktas vid genomförandet av IT-säkerhetskonceptet. Även frågan om hur IT-säkerheten upprätthålls och förbättras under normal drift besvaras. IT-grundskydd tolkar därmed de mycket allmänt hållna kraven i de ovannämnda ISO-standarderna 13335, och och hjälper användaren i praktiken vid genomförandet genom mycket information, bakgrunder, know-how och exempel. IT-grundskydd-katalogerna förklarar inte bara vad som ska göras utan ger mycket konkret information hur ett genomförande (även på teknisk nivå) kan se ut. Att arbeta enligt IT-grundskydd är på så sätt en beprövad och effektiv möjlighet att beakta alla krav i de ovan nämnda ISO-standarderna Riskanalys på grundval av IT-grundskydd BSI har tagit fram en metodik för riskanalys som bygger på IT-grundskydd. Detta tillvägagångssätt kan användas när företag eller myndigheter redan med gott resultat arbetar med IT-grundskydd och önskar ansluta en kompletterande säkerhetsanalys till IT-grundskydd-analysen så smidigt som möjligt. ISO Certifiering på grundval av IT-grundskydd BSI certifierar IT-miljöer alltså samspelet mellan infrastrukturella, organisatoriska, personella och tekniska komponenter som är avsedda för implementering av affärsprocesser och fackuppgifter. BSIcertifieringen omfattar såväl en kontroll av ledningssystemet för informationssäkerhet som en kontroll av de konkreta IT-säkerhetsåtgärderna utifrån IT-grundskydd. BSI-certifieringen innehåller alltid en officiell ISO-certifiering enligt ISO men den säger mycket mer än en ren ISO-certifiering eftersom fler tekniska aspekter kontrolleras. De viktigaste kraven för kontrollen av ledningssystemet för informationssäkerhet inom ramen för en revision framgår av åtgärderna i grundskyddskomponenten B 1.0 IT- Sicherheitsmanagement (IT-säkerhetsledning). Åtgärderna i denna komponent är skrivna så att de viktiga BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 8

9 kraven i BSI-standarden för ledningssystem för informationssäkerhet direkt kan identifieras. Den enhetliga dispositionen av BSI-dokumenten framgår av figur 1. Denna standard beskriver kontrollkriterier för revisorer och certifierare. För anpassningen till ISO har anpassningar gjorts i certifieringsschemat för IT-miljöer och i licensieringsschemat (se [ZERT]). BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 9

10 3 LIS - Definition och processbeskrivning 3.1 Komponenter i ett ledningssystem för informationssäkerhet Varje företag och varje myndighet har en ledning, nedan kallad ledningsnivå när ansvariga personer i ledningen avses och det inte är någon risk för förväxling med ledning som ledningsprocess (leda, styra och planera). Strategi Ledningsprinciper Resurser Medarbetare Figur 2: Komponenter i ett ledningssystem för informationssäkerhet (LIS) Ett ledningssystem omfattar alla regler som är ett hjälpmedel för styrning och ledning av en organisation så att uppsatta mål kan uppnås. Den del av ledningssystemet som behandlar informationssäkerhet betecknas ledningssystem för informationssäkerhet (LIS). LIS fastlägger med vilka instrument och metoder som ledningen spårbart styr (planerar, sätter in, genomför, övervakar och förbättrar) de uppgifter och aktiviteter som berör informationssäkerhet. Till en LIS hör följande grundläggande komponenter (se figur 2): Ledningsprinciper Resurser Medarbetare IT-säkerhetsprocess IT-säkerhetspolicy i vilken IT-säkerhetsmålen och strategin för att uppnå dessa är dokumenterade IT-säkerhetskoncept IT-säkerhetsorganisation BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 10

11 Figur 3: IT-säkerhetsstrategi som central komponent i LIS IT-säkerhetsorganisation och IT-säkerhetskoncept är därvid ledningens verktyg för omsättning av dess ITsäkerhetsstrategi. Figurerna 3 och 4 förtydligar detta sammanhang. IT-strategins kärnpunkter dokumenteras i IT-säkerhetspolicyn. IT-säkerhetspolicyn är av central betydelse eftersom den innehåller ledningsnivåns synliga tilltro till dess strategi. Figur 4: Genomförande av IT-säkerhetsstrategin med hjälp av IT-säkerhetskonceptet och en IT-säkerhetsorganisation 3.2 Processbeskrivning och livscykelmodell Livscykeln i IT-säkerheten Säkerhet är inget oföränderligt tillstånd som en gång uppnås och som aldrig förändras därefter. Varje företag och myndighet genomgår ständiga förändringar. Många av dessa förändringar berör via ändringar i affärsprocesserna, uppgifter, infrastruktur, organisationsstrukturer och informationsteknik även ITsäkerheten. Förutom de tydliga ändringarna inom en verksamhet kan dessutom ramvillkoren förändras t.ex. lagar och förordningar eller träffade avtal men även den tillgängliga informations- och kommunikationstekniken kan ändras på ett genomgripande sätt. Det är därför nödvändigt att aktivt arbeta med säkerhet för att en gång uppnådd säkerhetsnivå ska bibehållas. Det räcker till exempel inte att endast en gång införa affärsprocesser eller införa ett nytt IT-system och genomföra de beslutade IT-säkerhetsåtgärderna. När IT-säkerhetsåtgärderna har införts måste de BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 11

12 regelbundet undersökas ned avseende på verkan och lämplighet. Åtgärdernas användbarhet och hur de faktiskt används ska också undersökas. Om svaga punkter eller förbättringsmöjligheter upptäcks måste åtgärderna anpassas och förbättras. Dessa ändringar måste planeras och genomföras. Om affärsprocesser avslutas eller komponenter respektive IT-system byts ut eller tas ur drift ska IT-säkerhetsaspekter beaktas (t.ex. behörigheter ska upphöra att gälla eller att hårddiskar raderas på ett säkert sätt). I IT-grundskydd-- katalogerna delas därför IT-säkerhetsåtgärderna in i följande faser för att läsaren ska få en bättre överblick: planering och koncept anskaffning (vid behov) genomförande drift (åtgärder för att upprätthålla IT-säkerheten, vari ingår övervakning och resultatkontroll), gallring (vid behov) och förebyggande av nödsituationer Beskrivning av IT-säkerhetsprocessen Inte enbart IT-system har en livscykel. Även ett IT-säkerhetskoncept, en IT-säkerhetsorganisation och slutligen hela IT-säkerhetsprocessen har en livscykel. För att så enkelt som möjligt kunna beskriva ITsäkerhetsprocessens dynamik delas IT-säkerhetsprocessen ofta in i följande faser: 1. Planering 2. Genomförande av planeringen respektive implementering av processen 3. Kontroll av uppnått resultat respektive övervakning av hur målen uppfylls 4. Eliminering av registrerade brister och svagheter respektive optimering och förbättring. Fas 4 beskriver den direkta elimineringen av smärre brister. Vid fundamentala eller omfattande förändringar ska man naturligtvis åter starta med planeringsfasen. Denna modell kallas även PDCA-modell efter den engelska benämningen av de enskilda faserna (Plan- Do-Check-Act). BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 12

13 Figur 5: Livscykel i PDCA-modellen PDCA-modellen återfinns i ISO-standarden Modellen kan i princip användas för alla uppgifter inom IT-säkerhetsprocessen. Även IT-säkerhetskonceptets och IT-säkerhetsorganisationens livscykel kan beskrivas enkelt på detta sätt. Motsvarande kapitel i detta dokument anknyter därför till denna livscykels fyra faser. I IT-säkerhetsproccesens planeringsfas analyseras ramvillkoren, bestäms IT-säkerhetsmålen och en ITsäkerhetsstrategi utarbetas. Den senare innehåller grundläggande information om hur uppsatta mål ska nås. IT-säkerhetsstrategin genomförs med hjälp av IT-säkerhetskonceptet och en lämplig ITsäkerhetsorganisation. IT-säkerhetskoncept och IT-säkerhetsorganisation måste därför återigen planeras och genomförs samt kontrolleras beträffande resultat. Vid resultatkontrollen av den överordnade ITsäkerhetsprocessen kontrolleras därefter regelbundet om ramvillkoren (t.ex. lagar och förordningar eller företagsmålen) har ändrats och huruvida IT-säkerhetskoncept och IT-säkerhetsorganisation har visat sig vara verksamma och effektiva. Eftersom olika institutioner däremot har olika förutsättningar, krav på säkerhet och ekonomiska tillgångar erbjuder detta tillvägagångssätt förvisso en god orientering men måste av varje myndighet och företag fyllas med ett innehåll. Varje institution måste individuellt fastställa och konkretisera vilken typ av livscykelmodell som är lämplig. Små myndigheter och företag ska inte avskräckas eftersom arbetsomfattningen för IT-säkerhetsprocessen i regel beror av verksamhetens storlek. I ett mycket stort företag med många inblandade avdelningar och personer är en mer formell process troligen nödvändig. Denna fastlägger exakt vilka interna och externa revisioner som är nödvändiga, vem som rapporterar till vem, vem som tar fram beslutsunderlag och när ledningen sammanträder om IT-säkerhetsprocessen. I ett litet företag däremot kan en årlig överläggning mellan vd och den som svarar för IT-verksamheten vara helt tillräcklig för att kritiskt granska huruvida IT-säkerhetsprocessen är framgångsrik. Vid samtalet behandlas frågor som problem under det senaste året, uppkomna kostnader, ny teknisk utveckling etc. BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 13

14 4 Ledningsprinciper Med ledningssystem för informationssäkerhet betecknas planeringen och styrningen som krävs för en ändamålsenlig uppbyggnad, för praktiskt utnyttjande av och för att säkerställa effektiviteten hos en genomtänkt och metodiskt IT-säkerhetsprocess samt alla därför erforderliga IT-säkerhetsåtgärder. Det finns många koncept för hur ett effektivt ledningssystem för informationssäkerhet kan se ut och vilka organisationsstrukturer som är ändamålsenliga. Oberoende av hur ett ledningssystem för informationssäkerhet specificeras ska några fundamentala principer beaktas. Några av de ledningsprinciper som anges här kan synas vara banala och att de tillämpas betraktar de flesta chefer som självklart. Paradoxalt nog är det gång på gång de enkla sakerna som utförs fel eller inte utförs alls. Disciplin, tålamod, ansvarstagande samt en noggrann och realistisk förberedelse av projekt är värden som gäller teoretiskt i många organisationer men som i praktiken inte alltid gäller. Säkerhetsnivån förbättras i praktiken ofta klart av mindre spektakulära åtgärder som processoptimering, utbildning och motivation av medarbetare eller framtagning av förstålig dokumentation. Komplexa och därmed dyra åtgärder, stora projekt och investeringar i teknik presenteras ofta helt felaktigt som verksamma och är anledningen till säkerhetsåtgärders dåliga rykte som orsak till höga kostnader. Nedan presenteras därför ledningsprinciper som om de beaktas utgör en grund för ett framgångsrikt ledningssystem för informationssäkerhet. 4.1 Ledningens uppgifter och ansvar Ledningens uppgifter och ansvar avseende informationssäkerhet kan sammanfattas i följande punkter: 1. Totalansvar för IT-säkerheten Varje myndighets eller företags högsta ledning ansvarar för att verksamheten fungerar målstyrt och organiserat och därigenom garanterar man IT-säkerheten internt och utåt. Det kan vara reglerat i olika lagar allt efter land och organisationsform. Ledningsnivån, men även varje enskild chef, måste klart visa att den tar sitt ansvar och för alla medarbetare klargöra vikten av IT-säkerheten. 2. Integrera IT-säkerhet IT-säkerhet måste integreras i verksamhetens alla processer och projekt i vilka information bearbetas och IT används. Det betyder till exempel att säkerhetskraven inte endast ska beaktas vid anskaffning av IT utan även vid när affärsprocesserna utformas och likaså vid personalutbildning. 3. Styra och upprätthålla IT-säkerhet Ledningsnivån måste aktivt initiera, styra och övervaka IT-säkerhetsprocessen. I den uppgiften ingår till exempel följande uppgifter: - En IT-säkerhetsstrategi och IT-säkerhetsmål måste beslutas. - Konsekvenserna av IT-säkerhetsrisker på affärsverksamheten respektive av hur arbetsuppgifter utföres måste undersökas. - Organisatoriska ramvillkor för IT-säkerhet ska skapas. - För IT-drift och IT-säkerhet måste tillräckliga resurser ställas till förfogande. - IT-säkerhetsstrategin måste kontrolleras regelbundet och övervakning av att uppställda mål uppnås ska ske. Registrerade svaga punkter och fel måste korrigeras. För att klara det måste ett innovationspositivt arbetsklimat skapas och viljan till ständiga förbättringar inom verksamheten klart uttryckas. BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 14

15 - Medarbetare måste motiveras beträffande behovet av säkerhet och de ska se IT-säkerhet som en viktig aspekt i arbetet. För att uppnå detta ska medarbetarna erbjudas tillräcklig utbildning och åtgärder för att öka medvetenheten. 4. Sätta realistiska mål Projekt misslyckas ofta till följd av orealistiska eller för ambitiösa mål. Det är inte annorlunda inom området IT-säkerhet. Därför måste IT-strategin anpassas till de befintliga resurserna. För att uppnå det lämpliga säkerhetsmålet kan det vara effektivare att arbeta i många små steg i en långfristig, kontinuerlig förbättringsprocess utan höga investeringskostnader i starten än att påbörja ett stort projekt. Det kan därvid vara lämpligt att först införa den erforderliga säkerhetsnivån endast inom utvalda områden. Därifrån måste säkerheten inom verksamheten emellertid snabbt komma upp på den eftersträvade nivån. 5. Avväga kostnaden för IT-säkerhet gentemot nyttan En av de svåraste uppgifterna är att avväga kostnaderna för informationssäkerhet gentemot nyttan respektive riskerna. Det är mycket viktigt att först investera i åtgärder som är särskilt effektiva eller som skyddar mot särskilt stora risker. De effektivaste åtgärderna är av erfarenhet inte alltid de dyraste. Det är därför absolut nödvändigt att känna till hur affärsprocesserna och uppgifterna beror av informationsbearbetningen för att kunna välja ut lämpliga IT-säkerhetsåtgärder. Det är viktigt att tänka på att IT-säkerheten alltid uppnås genom ett samspel mellan tekniska och organisatoriska åtgärder. Investeringarna i teknik kan avläsas direkt i budgeten. För att dessa kostnader ska kunna accepteras måste IT-säkerhetsprodukterna användas så att de ger optimal nytta. För att uppnå det måste de även väljas ut utifrån ändamålet och användas på lämpligt sätt. Det betyder exempelvis att de måste integreras i det övergripande säkerhetskonceptet och medarbetarna ska vara utbildade för att använda dem. Tekniska lösningar kan ofta ersättas med organisatoriska säkerhetsåtgärder. Av erfarenhet är det emellertid svårare att säkerställa att organisatoriska åtgärder konsekvent genomförs. Dessutom ökar de personella insatserna därigenom och belastar därmed även resurserna. 6. Funktion som förebild Ledningsnivån måste även utgöra en förebild inom området IT-säkerhet. Det innebär bland annat att ledningsnivån beaktar alla föreskrivna säkerhetsregler och själv deltar i utbildningar. 4.2 Upprätthålla IT-säkerheten och kontinuerliga förbättringar Att skapa IT-säkerhet är inte ett tidsbegränsat projekt utan en kontinuerlig process. Alla delar i ett ledningssystem för informationssäkerhet måste ständigt kontrolleras med avseende på lämplighet och verkan. Det betyder att inte endast enskilda IT-säkerhetsåtgärder måste kontrolleras utan att ITsäkerhetsstrategin även måste tänkas igenom regelbundet. Genomförandet av IT-säkerhetsåtgärderna bör utvärderas regelbundet genom interna revisioner. Dessa har även till syfte att samla ihop erfarenheter från den dagliga verksamheten och utvärdera dessa. Förutom revisioner är det nödvändigt att genomföra övningar och åtgärder för att öka medvetenheten eftersom det endast är därigenom som det går att fastställa huruvida alla förutsedda förlopp och beteendet i nödsituationer faktiskt fungerar. Insikt om svaga punkter och förbättringsmöjligheter måste medföra konsekvenser i säkerhetsorganisationen. Det är även viktigt att tidigt se framtida utveckling av både den använda tekniken och inom affärsprocesser och organisationsstrukturer för att i tid kunna identifiera risker, vidta förebyggande åtgärder och införa säkerhetsåtgärder. När det finns tecken på betydande ändringar av affärsprocesser och organisationsstrukturer måste ledningen för informationssäkerhet involveras. Även om detta är förutsett i organisationsbestämmelserna bör man inte vänta på att bli BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 15

16 involverad enligt plan utan man bör i god tid förutsättningslöst ta tag i de aktuella processerna. Vid alla revisioner bör man tänka på att dessa inte utföres av personer som har varit med om att planera eller ta fram säkerhetsföreskrifter eftersom det är svårt att finna egna fel. Allt efter institutionens storlek han det vara bra att ta hjälp av externa revisorer för att undvika hemmablindhet. Att upprätthålla IT-säkerheten är även viktigt för små och medelstora myndigheter och företag. Revisionerna har mindre omfattning än inom stora institutioner men de ska genomföras. Vid ledningens årliga genomgång måste ledningsnivån även kontrollera om det finns nya lagar och föreskrifter eller om andra ramvillkor har ändrats. Kontrollen av IT-säkerhetsprocessen är slutligen till för förbättring av denna. Resultaten bör därför användas till att bedöma verkan och effektivitet hos den valda IT-säkerhetsstrategin och för att göra eventuella anpassningar. Även vid förändring av IT-säkerhetsmålen eller ramvillkoren måste ITsäkerhetsstrategin revideras med hänsyn därtill. Detta ämne behandlas utförligt i kapitel Kommunikation och kunskap I alla faser av säkerhetsprocessen är kommunikation en viktig hörnpelare för att uppnå de IT-säkerhetsmål som har satts upp. Missuppfattningar och bristande kunskap är bland de vanligaste orsakerna när säkerhetsproblem uppträder. Därför måste man inom en institution på alla nivåer och inom alla områden se till att det finns ett friktionsfritt informationsflöde rörande säkerhetsincidenter och -åtgärder. För att uppnå det ska följande finnas: Rapporter till ledningsnivån Den högsta ledningen måste för att kunna utföra sin ledningsfunktion regelbundet få information om problem, resultat av kontroller och revisioner men även om ny utveckling, ändrade ramvillkor eller förbättringsmöjligheter. Informationsflöde Bristande kommunikation och avsaknad av information kan leda till IT-säkerhetsproblem och även till att felaktiga beslut tas eller överflödiga arbetsmoment. Det måste undvikas genom lämpliga åtgärder och organisatoriska regler. Medarbetare måste informeras om syftet med säkerhetsåtgärder framförallt om det medför extra arbete eller besvär. IT-användare bör dessutom involveras när genomförandet av åtgärder planeras för att idéer ska beaktas och för en bedömning av vad som är praktiskt genomförbart. Dokumentation För att säkerställa hela IT-säkerhetsprocessens kontinuitet och konsistens är det mycket viktigt att dokumentera den. Endast på så sätt förblir processteg och beslut spårbara. Dessutom säkerställer en bra dokumentation att likartade arbeten utförs på ett jämförbart sätt dvs. processer är mätbara och kan upprepas. Dessutom är dokumentation till hjälp för att visa på principiella svagheter i processen och för att undvika att fel upprepas. Den erforderliga dokumentationen för de olika säkerhetsaktiviteterna uppfyller olika funktioner och är riktad till olika målgrupper. Följande typer av dokumentation finns: 1. Teknisk dokumentation och dokumentation av arbetsförlopp (målgrupp: experter) Vid störningar eller IT-säkerhetsincidenter måste det vara möjligt att kunna återställa det önskade börtillståndet i affärsprocesser samt tillhörande IT. Tekniska detaljer och arbetsförlopp ska därför dokumenteras så att detta är möjligt inom lämplig tid. Exempel på detta är anvisningar för installation av IT-tillämpningar, genomförande av säkerhetskopiering, inläsning av säkerhetskopierat material, för konfigurering av telekommunikationssystem, för återstart av server efter ett strömavbrott liksom dokumentationen av test- och godkännandemetoder och anvisningar för vad som ska göras vid störningar och IT- BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 16

17 säkerhetsincidenter. 2. Anvisningar för IT-användare (målgrupp: IT-användare) Arbetsförlopp, organisatoriska föreskrifter och tekniska IT-säkerhetsåtgärder måste dokumenteras så att IT-säkerhetsincidenter till följd av okunskap eller felaktiga åtgärder kan undvikas. Exempel på detta är säkerhetsriktlinjer för användning av e-post och Internet, information för att förhindra virusincidenter eller för att upptäcka social manipulation samt vad användare ska göra vid misstanke om en IT-säkerhetsincident. 3. Rapporter för ledningsuppgifter (målgrupp: ledningsnivå, ledningen för informationssäkerhet) All information som ledningen behöver för att utföra sina lednings- och styrningsuppgifter ska finnas nedtecknad med erforderlig detaljeringsgrad (t.ex. resultat av revisioner, effektivitetsmätningar, rapporter över IT-säkerhetsincidenter). 4. Registrering av ledningsbeslut (målgrupp: ledningsnivå) Ledningsnivån måste registrera och motivera den valda IT-säkerhetsstrategin. Dessutom måste på alla andra nivåer de beslut som berör säkerhetsrelevanta aspekter likaså registreras så att dessa när som helst kan spåras och upprepas. I de följande kapitlen är därför varje handling som måste dokumenteras på lämpligt sätt respektive registreras märkt med DOK. Formella krav på dokumentationen: Det är inte absolut nödvändigt att dokumentationen finns i pappersform. Dokumentationsmedium bör väljas utifrån behovet. Exempelvis kan användning av en programvara vara till hjälp för ledning i nödsituationer om alla nödåtgärder och kontaktpersoner sedan tidigare finns registrerade i programmet och programmet kan användas mobilt. Då måste i ett nödläge detta verktyg och all erforderlig information samt de IT-system som behövs vara tillgängliga, t.ex. på en bärbar dator. Allt efter krissituation kan det emellertid vara mer ändamålsenligt att ha all information på papper i en praktisk handbok. Det kan finnas lagstadgade eller avtalsmässiga krav på dokumentation vilka ska beaktas. Det kan röra sig om t.ex. hur länge dokumentation ska sparas och detaljeringsgrad. Dokumentationen uppfyller endast sitt ändamål om den upprättas regelbundet och uppdateras. Dessutom måste den märkas och förvaras så att den kan användas när den behövs. Det måste tydligt framgå av vem och när dokumentationen har gjorts. När hänvisning görs till andra dokument måste källorna beskrivas. Mer detaljerad dokumentation måste dessutom finnas tillgänglig vid behov. Säkerhetsrelevant dokumentation kan innehålla information som kräver skydd och måste därför skyddas på lämpligt sätt. Förutom skyddsbehovet måste följande fastställas: förvaringssätt och tid samt hur dokumentationen ska förstöras. I processbeskrivningarna ska det finnas en beskrivning om och hur dokumentationen ska utvärderas. Användning av tillgängliga informationskällor och erfarenheter IT-säkerhet är ett komplext tema så att de som ansvarar för den måste sätta sig in i ämnet noggrant. För detta ändamål finns det ett stort antal informationskällor som kan användas. Det finns bland annat gällande normer och standarder, information på Internet och andra publikationer. Dessutom kan man samarbeta med föreningar, partners, kommittéer, andra företag eller myndigheter samt CERTorganisationer för erfarenhetsutbyte beträffande framgångsrika IT-säkerhetsprojekt. Eftersom ämnet IT-säkerhet är mycket omfattande är det viktigt att identifiera och dokumentera de till respektive institution och ramvillkor passande informationskällorna och samarbetspartners. BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 17

18 5 Resurser för IT-drift och IT-säkerhet Att leva upp till en viss IT-säkerhetsnivå kräver alltid ekonomiska, personella och tidsmässiga resurser som ledningsnivån måste ställa till förfogande i tillräcklig omfattning. Om uppsatta mål inte kan nås till följd av att resurser saknas är det inte de personer som svarar för genomförandet som bär ansvaret utan det är deras chefer. Dessa har satt orealistiska mål respektive inte ställt de resurser som krävs till förfogande. För att inte missa de uppsatta målen är det viktigt att göra en första uppskattning av kostnadsnyttan redan då målen fastställs. Denna aspekt bör fortsatt spela en viktig roll under IT-säkerhetsprocessens förlopp. Å ena sidan för att inte slösa med resurser och å andra sidan för att garantera de investeringar som behövs för att nå den lämpliga säkerhetsnivån. Eftersom IT-säkerhet ofta är sammankopplad med tekniska lösningar är det viktigt att tänka på att investeringar i personella resurser ofta är effektivare än att investeringar i säkerhetsteknik. Enbart teknik löser inga problem. Den måste alltid vävas samman med de organisatoriska ramvillkoren. Även kontrollen av effektivitet och lämplighet hos IT-säkerhetsåtgärder måste säkerställas genom tillräckliga resurser. I praktiken saknar de interna IT-säkerhetsexperterna ofta tid för att analysera alla säkerhetsrelevanta påverkansfaktorer och ramvillkor (t.ex. lagstadgade krav eller tekniska frågor). Delvis saknar de även motsvarande underlag. Det är alltid ändamålsenligt att ta hjälp av externa experter när frågor och problem inte kan redas ut med egna medel. Det måste dokumenteras av de interna IT-säkerhetsexperterna så att ledningsnivån ställer nödvändiga resurser till förfogande. En grundförutsättning för en säker IT-drift är en väl fungerande IT-drift. Därför måste tillräckliga resurser ställas till förfogande för IT-driften. Typiska problem för IT-driften (knappa resurser, överbelastade förvaltare eller en ostrukturerad och dåligt underhållen IT-miljö) måste i regel lösas så att de egentliga ITsäkerhetsåtgärderna kan genomföras verksamt och effektivt. BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 18

19 6 Involvering av medarbetarna i IT-säkerhetsprocessen IT-säkerhet berör alla medarbetare utan undantag. Varje enskild medarbetare kan genom ett ansvars- och kvalitetsmedvetet handlande undvika skador och bidra till framgången. Att öka medvetenheten om ITsäkerhet och motsvarande utbildning av medarbetarna samt alla chefer är därför en grundförutsättning för IT-säkerhet. För att säkerhetsåtgärder ska kunna genomföras som planerat måste medarbetarna förfoga över den bas som behövs. Till denna hör förutom hur säkerhetsmekanismer hanteras även kännedom om ändamålet med säkerhetsåtgärder. IT-säkerheten påverkas i avgörande grad även av arbetsklimat, gemensamma ideal och medarbetarnas engagemang. En grundlig introduktion och utbildning krävs för nyanställd personal och för medarbetare som får nya arbetsuppgifter. I detta sammanhang ska beaktas att säkerhetsrelevanta aspekter rörande respektive arbetsplats förmedlas. När medarbetare lämnar institutionen eller deras ansvarsområde ändras måste denna process kompletteras med lämpliga säkerhetsåtgärder (t.ex. att rättigheter upphör, nycklar och idhandlingar lämnas tillbaka). BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 19

20 7 IT-säkerhetsprocessen Ledningsnivån måste känna till alla relevanta ramvillkor och fastställa IT-säkerhetsmål baserade på företagsmålen respektive myndighetens uppdrag samt skapa förutsättningar för genomförandet. Med en IT-säkerhetsstrategi planeras tillvägagångssättet för att etablera en kontinuerlig IT-säkerhetsprocess. Strategin omsätts med hjälp av ett IT-säkerhetskoncept och en IT-säkerhetsorganisation. Nedan följer därför en beskrivning av de relevanta ledningsverksamheterna för varje livscykelfas. På grund av omfattningen och för att få en bättre översikt beskrivs verksamheterna runt IT-säkerhetskonceptet i ett eget kapitel. 7.1 Planering av IT-säkerhetsprocessen Fastställande av giltighetsområdet i vilket LIS ska gälla [DOK] Ett ledningssystem för informationssäkerhet måste inte nödvändigtvis införas för en hel institution. Därför ska giltighetsområdet för vilket LIS ska gälla först fastställas. Giltighetsområdet omfattar ofta hela institutionen men kan emellertid även avse en eller flera fackuppgifter eller affärsprocesser eller en organisatorisk enhet. Det är här viktigt att de aktuella fackuppgifterna och affärsprocesserna till fullo ingår i det valda giltighetsområdet. I IT-grundskydd används begreppet "IT-miljö" för giltighetsområdet. Den omfattar dessutom alla infrastrukturella, personella och tekniska komponenter som är till hjälp för att lösa uppgifterna i inom detta tillämpningsområde av informationsbearbetningen. Fastställande av ramvillkor Att skapa IT-säkerhet ät inget självändamål. Informations- och kommunikationsteknik bör på ett ändamålsenligt sätt vara ett stöd för en institutions mål och utgör stöd för affärsprocesser. När IT-strategin tas fram bör minst följande punkter beaktas: företagets mål respektive myndighetens uppdrag lagstadgade krav och föreskrifter kundkrav och befintliga avtal interna ramvillkor (t.ex. riskhantering inom hela organisationen eller IT-infrastruktur), (IT-stödda) affärsprocesser och fackuppgifter globala hot mot affärsverksamheten genom IT-säkerhetsrisker (t.ex. imageskador, lagbrott, brott mot avtalade åligganden, stöld av forskningsresultat). Formulering av IT-säkerhetsmål och en IT-säkerhetspolicy [DOK] IT-säkerhetsmål måste fastställas och strategiska riktlinjer upprättas hur målen ska uppnås. Kärnpunkterna dokumenteras i en IT-säkerhetspolicy (engelska: information security policy eller IT security policy). ITsäkerhetspolicyn bör minst innehålla uppgifter om följande: myndighetens eller företagets IT-säkerhetsmål IT-säkerhetsmålens relation till affärsmålen eller institutionens uppgifter eftersträvad IT-säkerhetsnivå riktlinjer hur den eftersträvade IT-säkerhetsnivån ska uppnås riktlinjer huruvida och på vilket sätt IT-säkerhetsnivån ska påvisas. Policyn beslutas av ledningen och tillkännages inom organisationen. BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 20

21 Uppbyggnad av en IT-säkerhetsorganisation [DOK] Till planeringen av en IT-säkerhetsorganisation hör fastställandet av organisationsstrukturer (t.ex. avdelningar, grupper, kompetenscenter) och att definiera roller och uppgifter. På översta ledningsnivå ska en för informationssäkerhet ansvarig chef utnämnas, det kan t.ex. vara en person ur ledningsgruppen. Dessutom måste minst en IT-säkerhetsansvarig utses. Denne måste regelbundet kunna rapportera oberoende av den högsta ledningsnivån. 7.2 Genomförande av IT-säkerhetspolicyn För att de uppsatta IT-målen ska nås måste ett IT-säkerhetskoncept upprättas. För att erhålla en bättre översikt beskrivs i ett eget kapitel hur ett IT-säkerhetskoncept kan planeras och genomföras samt hur ITsäkerhetsnivån kan upprätthållas och förbättras. Resultaten från kontrollen av IT-säkerhetsåtgärderna tas sedan med i IT-säkerhetsprocessens resultatkontroll och bedöms av ledningsnivån. 7.3 Resultatkontroll i IT-säkerhetsprocessen En resultatkontroll och bedömning av IT-säkerhetsprocessen genom ledningsnivån bör äga rum regelbundet (ledningens bedömning). Vid behov (t.ex. vid ökat antal IT-säkerhetsincidenter eller viktiga ändringar av ramvillkoren) måste sammanträden hållas utöver det planerade sammanträdesprogrammet. Alla resultat och beslut måste dokumenteras så att de är spårbara [DOK]. Vid diskussion bör bland annat följande frågor behandlas: Har ramvillkoren ändrats vilket medför att tillvägagångssättet vad gäller IT-säkerhet måste ändras? Är IT-säkerhetsmålen fortfarande lämpliga? Är IT-säkerhetspolicyn fortfarande aktuell? Vid resultatkontroll av IT-säkerhetsprocessen ligger tyngdpunkten inte på kontroll av enskilda ITsäkerhetsåtgärder eller organisatoriska bestämmelser utan på en helhetsbedömning. Till exempel kan det visa sig att den säkra driften av en Internetportal är för dyr för ett litet företag. Ledningsnivån skulle då som alternativ kunna låta ett annat företag sköta driften. Härvid är det till hjälp att kontrollera hur bra IT-säkerhetskonceptet och IT-säkerhetsorganisationen hittills har visat sig vara. I kapitlet om IT-säkerhetskonceptet beskrivs olika aktiviteter för resultatkontroll av enskilda IT-säkerhetsåtgärder. De där samlade resultaten bör beaktas vid resultatkontrollen av ITsäkerhetsstrategin. Om det till exempel visar sig at IT-säkerhetsåtgärderna inte är effektiva eller att de är uttalat dyra kan det vara ett skäl till att tänka över hela IT-säkerhetsstrategin och göra anpassningar. Följande frågor bör ställas: Är IT-säkerhetsstrategin fortfarande lämplig? Är IT-säkerhetskonceptet lämplig för att nå de uppsatta målen? Uppfylls till exempel kraven enligt lagar och förordningar? Är IT-säkerhetsorganisationen lämplig för att nå målen? Måste dess position inom organisationen stärkas eller skall den kopplas närmare till de interna processerna? Står insatsen dvs. kostnader, personal och material som krävs för att uppnå IT-säkerhetsmålen i ett meningsfullt förhållande till nyttan för institutionen? Resultatkontrollens resultat måste utnyttjas konsekvent för lämpliga ändringar. Det kan betyda att ITsäkerhetsmålen, IT-säkerhetsstrategin eller IT-säkerhetskonceptet ändras och att IT-säkerhetsorganisationen anpassas till kraven. I vissa fall är det lämpligt att göra fundamentala ändringar av IT- BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 21

22 miljön eller av affärsprocesser eller att lägga ut driften när det inte går att garantera en säker drift med de resurser som finns till förfogande. Om stora förändringar utförs och omfattande förbättringar införs sluter sig ledningscirkeln åter genom att planeringsfasen startar på nytt. BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 22

23 8 IT-säkerhetskoncept 8.1 Upprättande av IT-säkerhetskonceptet För att IT-säkerhetsmålen ska uppfyllas och den eftersträvade IT-säkerhetsnivån uppnås måste man först klart förstå hur IT-risker kan utgöra ett hot mot affärsprocesser och fullgörandet av uppgifter. Därefter måste man ta beslut om hur dessa risker ska hanteras. I detalj är följande moment nödvändiga. Val av en metod för riskbedömning [DOK] Möjliga skador på affärsverksamheten och en institutions uppgifter till följd av IT-säkerhetsincidenter måste analyseras och bedömas. En metod för riskbedömning ingår därför i varje ledningssystem för informationssäkerhet. För att kunna bestämma en risk måste hoten fastställas och en bedömning ske av deras skadepotential och sannolikheten för att de uppkommer. Olika metoder för riskbedömning används beroende på aktuell situation, organisatoriska randvillkor, aktuell bransch samt eftersträvad ITsäkerhetsnivå. Ledningen för informationssäkerhet måste välja ut en metod som är lämplig med hänsyn till institutionens typ och storlek. Metodvalet påverkar i hög grad arbetsinsatsen för att ta fram ITsäkerhetskonceptet. Olika typer av riskbedömning finns beskrivna i normen ISO/IEC Utifrån denna norm har BSI utvecklat flera metoder och provat dessa i praktiken. I IT-grundskydd-tillvägagångssättet beskrivs en mycket verklighetsanknuten metod för riskbedömning vilken kan genomföras med hjälp av ITgrundskydd-katalogen. Detta tillvägagångssätt kompletteras genom BSI-standarden "Risikoanalyse basierend auf IT-Grundschutz" (Riskanalys baserad på IT-grundskydd). Tillämpningen av IT-grundskydd eller andra kända framgångsrika arbetssätt har fördelen att den egna arbetsinsatsen klart reduceras eftersom författarna redan beskriver en konkret metod och förslår lämpliga IT-säkerhetsåtgärder. Figur 6: Översikt över ett IT-säkerhetskoncepts livscykel BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 23

BSI-standard100-3 Riskanalys på grundval av IT-Grundschutz (IT-grundskydd) Version 2.0

BSI-standard100-3 Riskanalys på grundval av IT-Grundschutz (IT-grundskydd) Version 2.0 BSI-standard100-3 Riskanalys på grundval av IT-Grundschutz (IT-grundskydd) Version 2.0 Innehållsförteckning 1 Inledning... 3 1.1 Versionshistorik... 3 1.2 Målsättning... 3 1.3 Målgrupp... 4 1.4 Tillämpning...

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Inga krav utöver ISO 14001

Inga krav utöver ISO 14001 Förordning (2009:907) om miljöledning i statliga myndigheter Relaterat till motsvarande krav i ISO 14001 och EMAS De krav som ställs på miljöledningssystem enligt EMAS utgår från kraven i ISO 14001. Dessutom

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Övergripande granskning av ITverksamheten

Övergripande granskning av ITverksamheten Övergripande granskning av ITverksamheten Februari 2006 (1) 1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Förklarande text till revisionsrapport Sid 1 (5)

Förklarande text till revisionsrapport Sid 1 (5) Förklarande text till revisionsrapport Sid 1 (5) Kravelementen enligt standarden ISO 14001:2004 Kap 4 Krav på miljöledningssystem 4.1 Generella krav Organisationen skall upprätta, dokumentera, införa,

Läs mer

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda IT governance i praktiken: Styrning och kontroll över ITriskerna med ISO2700X Fredrik Björck Transcendent Group för ADBJ 2006-01-31 Agenda IT governance definierat IT governance i praktiken och infosäk

Läs mer

Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004

Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004 Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004 I checklistan gäller det att instämma med de påståenden som anges i listan för att vara säker på att verksamhetens miljöledningssystem

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

Riktlinjer för internkontroll i Kalix kommun

Riktlinjer för internkontroll i Kalix kommun Riktlinjer för internkontroll i Kalix kommun Antaget av kommunfullmäktige 2012-11-26--27, 182 Innehållsförteckning Riktlinjer för internkontroll i Kalix kommun...1 Inledning...1 Internkontroll...1 Organisation

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

Skapa ett ledningssystem för informationssäkerhet (LIS) enligt nya ISO/IEC 27003. eller konsten att införa LIS

Skapa ett ledningssystem för informationssäkerhet (LIS) enligt nya ISO/IEC 27003. eller konsten att införa LIS Skapa ett ledningssystem för informationssäkerhet (LIS) enligt nya ISO/IEC 27003 eller konsten att införa LIS Jan Branzell Veriscan Security AB Lärare inom SIS informationssäkerhetsakademi Co-Editor för

Läs mer

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799 2003-01-24 Energibranschens IT-säkerhet 1 (13) Att införa LIS Förberedelser inför anpassning till ISO/IEC 17799 Vad är informationssäkerhet? Information är en tillgång som, liksom andra viktiga tillgångar

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

Policy för informationssäkerhet

Policy för informationssäkerhet .. - T C Q o,.. e Policy för informationssäkerhet Landstingsdirektörens stab augusti 2015 CJiflt LANDSTINGET BLEKINGE Innehållsförteckning Inledning och bakgrund... 3 Syfte... 3 Mål... 3 Genomförande...

Läs mer

Säkerhet i fokus. Säkerhet i fokus

Säkerhet i fokus. Säkerhet i fokus Säkerhet i fokus Säkerhet i fokus Säkerhet är en av våra viktigaste frågor. Våra hyresgäster bedriver en daglig verksamhet i allt från kriminalvårds anstalter och domstolsbyggnader till speciella vårdhem

Läs mer

Riktlinjer för intern styrning och kontroll

Riktlinjer för intern styrning och kontroll 1(10) Riktlinjer för intern styrning och kontroll 2(10) 1. Syfte Dessa riktlinjer syftar till att övergripande beskriva hur AP7 arbetar med frågor som rör intern styrning och kontroll. Riktlinjerna avser

Läs mer

OHSAS 18001.2007. Av Benny Halldin

OHSAS 18001.2007. Av Benny Halldin OHSAS 18001.2007 Av Benny Halldin Revision av OHSAS 18001 Ny standard klar juni/juli 2007! Mer lika ISO 14 001.2004 Mer tonvikt på Hälsa även psykisk sådan. Anläggningssäkerhet borttaget. Nytt avsnitt

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

Produktstöd - Vägledning till dokumentationskraven i SS-EN ISO 9001:2000

Produktstöd - Vägledning till dokumentationskraven i SS-EN ISO 9001:2000 Document: STG/PS K 525SV1 Produktstöd - Vägledning till dokumentationskraven i SS-EN ISO 9001:2000 SIS, Projekt Kvalitetsledning 1 1) Introduktion Produktstöd Två av de viktigaste målsättningarna i arbetet

Läs mer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf

Läs mer

Riksarkivets författningssamling

Riksarkivets författningssamling Riksarkivets författningssamling ISSN 0283-2941 Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar (upptagningar för automatiserad behandling); RA-FS 2009:1 Utkom från trycket den 1

Läs mer

Att införa kvalitets- och miljöledning i projektform

Att införa kvalitets- och miljöledning i projektform Att införa kvalitets- och miljöledning i projektform En kort sammanfattning En kurs som ger måleriföretaget allt som krävs för att kunna driva ett bra kvalitets- och miljöarbete. Under kursen inför kursdeltagarna

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

IT-Policy. Tritech Technology AB

IT-Policy. Tritech Technology AB IT-Policy Tritech Technology AB 1 av 6 Innehåll 1 Dokumentinformation...3 1.1 Syfte och målgrupp 3 1.2 Ansvar 3 1.3 Nyttjande 3 1.4 Distribution 3 1.5 Versionshistorik 3 1.6 Godkännande 3 2 IT-Policy...4

Läs mer

ISO/IEC 20000, marknaden och framtiden

ISO/IEC 20000, marknaden och framtiden ISO/IEC 20000, marknaden och framtiden Frukostseminarium 2009-10-05 Anita Myrberg BiTA Service Management anita.myrberg@bita.eu Agenda ISO/IEC 20000 Vad, varför, hur börja? Relation till andra standarder

Läs mer

Hantering av IT-risker

Hantering av IT-risker Hantering av IT-risker Landstinget i Östergötland Revisionsrapport Januari 2011 Jon Arwidson Magnus Olson-Sjölander Fredrik Eriksson Eva Andlert Certifierad kommunal revisor 1 av 10 Innehållsförteckning

Läs mer

RIKTLINJER FÖR STYRDOKUMENT

RIKTLINJER FÖR STYRDOKUMENT RIKTLINJER FÖR STYRDOKUMENT Fastställt av: Kommunfullmäktige Datum: 2012-06-19, 81 För revidering ansvarar: Kommunstyrelsen För eventuell uppföljning och tidplan ansvarar: - Dokumentet gäller för: Alla

Läs mer

Sitic. Informationssäkerhetspolicy. Om detta dokument. Förebyggande Råd från Sveriges IT-incidentcentrum. Om Förebyggande Råd från Sitic

Sitic. Informationssäkerhetspolicy. Om detta dokument. Förebyggande Råd från Sveriges IT-incidentcentrum. Om Förebyggande Råd från Sitic Sitic Sveriges IT-incidentcentrum FR04-01 Informationssäkerhetspolicy Förebyggande Råd från Sveriges IT-incidentcentrum Om Förebyggande Råd från Sitic Bakgrund I uppdraget för Sveriges IT-incidentcentrum

Läs mer

Utforma säkerhetsprocesser

Utforma säkerhetsprocesser Utforma säkerhetsprocesser www.informationssäkerhet.se 2 Upphovsrätt Tillåtelse ges att kopiera, distribuera, överföra samt skapa egna bearbetningar av detta dokument, även för kommersiellt bruk. Upphovsmannen

Läs mer

Stöd och lärande. Ledningssystem för systematiskt kvalitetsarbete inom Stöd och Lärande Tomelilla Kommun.

Stöd och lärande. Ledningssystem för systematiskt kvalitetsarbete inom Stöd och Lärande Tomelilla Kommun. Stöd och lärande Ledningssystem för systematiskt kvalitetsarbete inom Stöd och Lärande Tomelilla Kommun. Innehåll Inledning... 3 Syfte... 3 Kvalitetsindikatorer... 3 Lagrum... 3 Berörda... 3 Utveckling...

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Informationssäkerhet vid Karolinska Universitetssjukhuset Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Förlorar vi informationen, om den är felaktig eller manipulerad

Läs mer

Allmänna villkor för infrastrukturen Mina meddelanden

Allmänna villkor för infrastrukturen Mina meddelanden Allmänna villkor för infrastrukturen Mina meddelanden Bilaga 1 Krav på säkerhet för brevlådeoperatörer version 1.2 (Gäller fr.o.m. 2015-11-11) 2 Bakgrund och syfte Skatteverket tillhandahåller en myndighetsgemensam

Läs mer

Miljöledningsnytt - nya ISO 14001 & andra nyheter

Miljöledningsnytt - nya ISO 14001 & andra nyheter Miljöledningsnytt - nya ISO 14001 & andra nyheter EU - Näringslivet - Miljön 2005-01-26 (uppdaterad 2005-04-14) ENVIVE AB Pia M Berglund-Lundström www.envive.se Övergång till ISO 14001:2004 Förberedelsetid

Läs mer

BiTA Service Management AB

BiTA Service Management AB Erfarenhet Visdom Sveriges ledande leverantör av kunskap och kompetens inom ITIL och IT Service Management. Kunskap Information Data Utbildning Stockholm Göteborg Malmö Sundsvall Umeå Linköping Karlstad

Läs mer

SOLLENTUNA FÖRFATTNINGSSAMLING 1

SOLLENTUNA FÖRFATTNINGSSAMLING 1 FÖRFATTNINGSSAMLING 1 IT-STRATEGI FÖR SOLLENTUNA KOMMUN Antagen av fullmäktige 2003-09-15, 109 Inledning Informationstekniken har utvecklats till en världsomspännande teknik som omfattar datorer, telefoni,

Läs mer

UTBILDNING: System för arbetsmiljö

UTBILDNING: System för arbetsmiljö UTBILDNING: System för arbetsmiljö Introduktion Arbetsgivaren har huvudansvaret för arbetsmiljön i verksamheten enligt arbetsmiljölagen. I föreskrifterna om systematiskt arbetsmiljöarbete utvecklar och

Läs mer

Bilaga 3c Informationssäkerhet

Bilaga 3c Informationssäkerhet SID 1 (9) Bilaga 3c Informationssäkerhet Förfrågningsunderlag Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm Box 22049, 104 22 Stockholm. Besöksadress

Läs mer

Kravställning på e-arkiv från informationssäkerhetsperspektiv

Kravställning på e-arkiv från informationssäkerhetsperspektiv Kravställning på e-arkiv från informationssäkerhetsperspektiv Författare: Delprojektgruppen informationssäkerhet Årtal: 2014 Författare: Delprojektgruppen informationssäkerhet Sammanfattning Inom ramen

Läs mer

IT-säkerhetspolicy. Fastställd av KF 2005-02-16

IT-säkerhetspolicy. Fastställd av KF 2005-02-16 IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten

Läs mer

The Rational IT Model EN ENKLARE VÄG TILL IT SERVICE MANAGEMENT

The Rational IT Model EN ENKLARE VÄG TILL IT SERVICE MANAGEMENT The Rational IT Model EN ENKLARE VÄG TILL IT SERVICE MANAGEMENT ITIL is a registered trade mark of AXELOS Limited. Bakgrund till modellen... 3 Beskrivning av modellen... 4 Modellens uppbyggnad... 5 Faser...

Läs mer

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 8 januari 2010 Myndigheten

Läs mer

LARM OCH SÄKERHETSTEKNIK

LARM OCH SÄKERHETSTEKNIK LARM OCH SÄKERHETSTEKNIK Larm- och säkerhetstekniska systems huvuduppgift är att varna för eller skydda mot olika typer av faror för människa eller egendom. Allt arbete med denna typ av system kräver ett

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

LARM OCH SÄKERHETSTEKNIK

LARM OCH SÄKERHETSTEKNIK LARM OCH SÄKERHETSTEKNIK Larm- och säkerhetstekniska systems huvuduppgift är att varna för eller skydda mot olika typer av faror för människa eller egendom. Allt arbete med denna typ av system kräver ett

Läs mer

FÖRFATTNINGSSAMLING 1 (6)

FÖRFATTNINGSSAMLING 1 (6) FÖRFATTNINGSSAMLING 1 (6) YZ 2 ANVISNINGAR FÖR IT-VERKSAMHETEN I LOMMA KOMMUN 1. SYFTE OCH STYRDOKUMENT 1.1 Syfte Syftet med Anvisningar för Lomma kommuns IT-verksamhet är att säkerställa att IT stödjer

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet 2 (8) Innehållsförteckning Bilaga 3 Säkerhet 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll

Läs mer

Styr och utveckla ditt IT-stöd utifrån internationella standarder

Styr och utveckla ditt IT-stöd utifrån internationella standarder Styr och utveckla ditt IT-stöd utifrån internationella standarder Frukostseminarium 2008-09-19 Anita Myrberg BiTA Service Management Agenda ISO/IEC 20000 Relation till andra standarder Varför styra en

Läs mer

Landstingets ärende- och beslutsprocess

Landstingets ärende- och beslutsprocess LANDSTINGET I VÄRMLAND REVISIONSRAPPORT Revisorerna AM/JM 2012-12-18 Rev/12017 Landstingets ärende- och beslutsprocess Sammanfattning Denna granskning har omfattat hantering enligt riktlinjen för landstingets

Läs mer

Ledningssystem för verksamhetsinformation en introduktion

Ledningssystem för verksamhetsinformation en introduktion 1 (8) 2014-05-05 Ledningssystem för verksamhetsinformation en introduktion För de flesta organisationer idag är information en förutsättning för att skapa affärsvärde eller verksamhetsnytta. Information

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet Revision 1 (3) State Released Plan för IT Säkerhet DOCUMENT REVISION HISTORY Revision Reason for revision Date 1 New Document 2013-02-26 List of Authors List of Reviewers List of Approvers Skölde, Daniel/Ulrika

Läs mer

Härjedalens Kommuns IT-strategi

Härjedalens Kommuns IT-strategi FÖRFATTNINGSSAMLING BESLUT GÄLLER FR FLIK SID Kf 105/04 2004-09-20 1 Härjedalens Kommuns IT-strategi En vägvisare för kommunal IT 2 INNEHÅLL Sid 1. BESKRIVNING 3 1.1 Syfte och omfattning 3 1.2 Kommunens

Läs mer

GUIDE för uppföljning/revision. Uppföljning av integrerade ledningssystem

GUIDE för uppföljning/revision. Uppföljning av integrerade ledningssystem GUIDE för uppföljning/revision Uppföljning av integrerade ledningssystem BAKGRUND / SYFTE Många företag arbetar idag med integrerade ledningssystem för miljö, hälsa och säkerhet. Syftet med denna guide

Läs mer

Juridik och informationssäkerhet

Juridik och informationssäkerhet 2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga

Läs mer

Policy för internkontroll för Stockholms läns landsting och bolag

Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag 2 (6) Innehållsförteckning Policy för internkontroll... 1 för Stockholms

Läs mer

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21 IT-säkerhetspolicy Antagen av kommunfullmäktige 2004-06-21 1 Det moderna samhället är starkt beroende av att elförsörjning, telekommunikationer och IT-system fungerar. Om dessa påverkas kan svåra störningar

Läs mer

Skärpta krav för informationssäkerhet, IT-verksamhet och insättningssystem. Jonas Edberg och Johan Elmerhag 20 maj, GRC 2015

Skärpta krav för informationssäkerhet, IT-verksamhet och insättningssystem. Jonas Edberg och Johan Elmerhag 20 maj, GRC 2015 Skärpta krav för informationssäkerhet, IT-verksamhet och insättningssystem Jonas Edberg och Johan Elmerhag 20 maj, GRC 2015 Om företaget Hos Transcendent Group möter du erfarna konsulter inom governance,

Läs mer

Policy och strategi för informationssäkerhet

Policy och strategi för informationssäkerhet Styrdokument Dokumenttyp: Policy och strategi Beslutat av: Kommunfullmäktige Fastställelsedatum: 2014-10-23, 20 Ansvarig: Kanslichefen Revideras: Vart 4:e år eller vid behov Följas upp: Vartannat år Policy

Läs mer

Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll

Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll KIRUNA KOMMUN Bilaga 1 Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll Innehåll sida 1. Intern styrning och kontroll 2 2. Riskanalys 3 - Övergripande

Läs mer

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Riktlinjer avseende Informationssäkerheten Sida 1 Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Informationssäkerhet är en del i kommunernas lednings- och kvalitetsprocess

Läs mer

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Plan för informationssäkerhet vid Högskolan Dalarna 2015 Plan för informationssäkerhet vid Högskolan Dalarna 2015 Beslut: 2015-05-04 Reviderad: Dnr: DUC 2015/769/10 Ersätter: Relaterade dokument: Policy för informationssäkerhet Ansvarig: Förvaltningschef Innehållsförteckning

Läs mer

Riktlinjer för intern styrning och kontroll

Riktlinjer för intern styrning och kontroll 1(12) Riktlinjer för intern styrning och kontroll Dokumenthistorik: Version Beslutad Datum Koppling till övrig styrdokumentation 2015:1 Förslag till styrelsen Juni 2015 Samtliga styrelsebeslutade riktlinjer

Läs mer

VÄLKOMMEN TILL TRIFFIQS VERKSAMHETSSYSTEM - TVS!

VÄLKOMMEN TILL TRIFFIQS VERKSAMHETSSYSTEM - TVS! VÄLKOMMEN TILL TRIFFIQS VERKSAMHETSSYSTEM - TVS! Denna presentationsslinga fungerar som en introduktion till miljö & kvalitetsledningssystemet och beskriver dess uppbyggnad. INTRODUKTION TVS står för TriffiQs

Läs mer

UTBILDNING: Miljö och arbetsmiljö för kvalitetsrevisorer

UTBILDNING: Miljö och arbetsmiljö för kvalitetsrevisorer UTBILDNING: Miljö och arbetsmiljö för Introduktion Integrering av verksamhetssystem innefattande kvalitet, miljö och arbetsmiljö blir allt vanligare. Därmed ökar kraven på att internrevisorerna har kunskap

Läs mer

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Vervas allmänna råd till föreskrift om statliga myndigheters arbete med säkert

Läs mer

Förtroendevald revisor i regionens stiftelser

Förtroendevald revisor i regionens stiftelser Förtroendevald revisor i regionens stiftelser Förtroendevald revisors uppgifter i regionens stiftelser Några särskilda arbetsuppgifter för den förtroendevalde revisorn vid granskningen av stiftelser är

Läs mer

SIS tre produktområden

SIS tre produktområden SIS tre produktområden Standardisering SIS, Swedish Standards Institue En kund till SIS kan: påverka standarders inriktning och innehåll få tillgång till och kunskap om standarder och deras tillämpning

Läs mer

Förstudie: Övergripande granskning av ITdriften

Förstudie: Övergripande granskning av ITdriften Revisionsrapport Förstudie: Övergripande granskning av ITdriften Jönköpings Landsting Juni 2013 Innehållsförteckning Sammanfattning... 1 1. Inledning... 2 1.1. Bakgrund... 2 1.2. Uppdrag och revisionsfrågor...

Läs mer

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna Beslut: Rektor 2012-01-16 Revidering: - Dnr: DUC 2012/63/10 Gäller fr o m: 2012-01-16 Ersätter: - Relaterade dokument: - Ansvarig

Läs mer

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

Korsreferens mellan ISO 9001 ISO 14001 BF9K 1 (6) ISO 9001:2000/2008 ISO 14001:2004 BF9K Ledningssystem för Kvalitet (Endast rubrik)

Korsreferens mellan ISO 9001 ISO 14001 BF9K 1 (6) ISO 9001:2000/2008 ISO 14001:2004 BF9K Ledningssystem för Kvalitet (Endast rubrik) Korsreferens mellan ISO 9001 ISO 14001 BF9K 1 (6) Ledningssystem för Kvalitet 4 Krav på Miljöledningssystem 4 Inledning 1 Allmänna Krav 4.1 Generella krav 4.1 Dokumentation av KMA-systemet 3.3.4 Dokumentationskrav

Läs mer

IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige. Senast reviderad 2012-08-27. Beskriver IT-säkerhetarbetet.

IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige. Senast reviderad 2012-08-27. Beskriver IT-säkerhetarbetet. 2012-08-27 Sidan 1 av 6 IT-säkerhetspolicy Dokumentnamn Dokumenttyp Fastställd/upprättad Diarie nummer Fastställd av IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige Dokumentansvarig/ processägare

Läs mer

Kontinuitetshantering IT-avbrott - hur beroende är ditt företag?

Kontinuitetshantering IT-avbrott - hur beroende är ditt företag? Kontinuitetshantering IT-avbrott - hur beroende är ditt företag? IT-avbrott - hur beroende är ditt företag? Automatisk kontroll av mängd och vikt, kontinuerlig övervakning av kyl- och frystemperaturer,

Läs mer

Skydd mot stöld av datorutrustning

Skydd mot stöld av datorutrustning November 2003 Teknisk information Skydd mot stöld av datorutrustning En infoskrift från Sveriges Försäkringsförbund Syftet med denna information är att ge en bild av risker med speciell inriktning på inbrott

Läs mer

Förutsättningar för gallring efter skanning 1 (5) Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26

Förutsättningar för gallring efter skanning 1 (5) Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26 Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26 1 (5) Förutsättningar för gallring efter skanning För att myndighet ska få gallra pappershandlingar efter skanning fordras det myndighetsspecifika

Läs mer

Informations- säkerhet

Informations- säkerhet ISec Code of Conduct Internal information Informations- säkerhet Ditt ansvar! ISec Code of Conduct Informationssäkerhet Scanias verksamhet är beroende av att information är tillgänglig och hanteras på

Läs mer

UTBILDNING: Systematisk marknadsutveckling

UTBILDNING: Systematisk marknadsutveckling UTBILDNING: Systematisk marknadsutveckling Det finns inget skäl att någon skulle vilja Ken Olsen, Digital, 1977 Introduktion det är inte fel, men det krävs mer än att sätta upp en ny säljbudget för att

Läs mer

Slutrapport Mobilitet Mobila tjänster

Slutrapport Mobilitet Mobila tjänster 1.00 Utgåva (1)9 Dokumenttyp: Projektdokument Dokumentbeskrivning: Projekt: Projektnummer (enligt esamordnare) Slutrapport Mobilitet Mobila tjänster i Göteborgs stad Utfärdat av: Utf datum: Godkänt av

Läs mer

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2 IT-SÄKERHETSPOLICY 1 Inledning... 1 1.1 Definition... 2 1.2 Omfattning... 2 2 Mål för IT-säkerhetsarbetet... 2 3 Ledning och ansvar för IT-säkerheten... 3 4 Lagar och andra regelverk... 4 5 IT-säkerhetsarbetet...

Läs mer

Ledningssystem för IT-tjänster

Ledningssystem för IT-tjänster Styrning och ledning av IT med stöd av internationella standarder Ledningssystem för IT-tjänster sixten.bjorklund@sipit.se 2013-11-05 Sip It AB, Sixten Björklund 1 Kort om Sixten Konsult i eget bolag Ledning

Läs mer

GRUNDERNA FÖR INTERN KONTROLL OCH RISKHANTERING

GRUNDERNA FÖR INTERN KONTROLL OCH RISKHANTERING KARLEBY STAD September 2014 Centralförvaltningen GRUNDERNA FÖR INTERN KONTROLL OCH RISKHANTERING INNEHÅLL 1. ALLMÄNT 2. MÅL, SYFTEN OCH BEGREPP INOM INTERN KONTROLL OCH RISKHANTERING 3. UPPGIFTER OCH ANSVAR

Läs mer

IT-strategi-Danderyds kommun 2010-2014

IT-strategi-Danderyds kommun 2010-2014 IT-strategi-Danderyds kommun 2010-2014 Beslutsinstans: Kommunfullmäktige Beslutsdatum: 2010-09-27 Giltighetstid: 2010-09-27 t o m 2014-12-31 Ansvarig nämnd: Kommunstyrelsen Diarienummer: KS 2010/0095 IT-strategi

Läs mer

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen Informationshantering och journalföring Maria Jacobsson, Hälso- och sjukvårdsavdelningen 1. Målet för hälso- och sjukvården 2 HSL Målet för hälso- och sjukvården är en god hälsa och en vård på lika villkor

Läs mer

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar

Läs mer

Ledningens genomgång

Ledningens genomgång Ledningens genomgång www.informationssäkerhet.se 2 Upphovsrätt Tillåtelse ges att kopiera, distribuera, överföra samt skapa egna bearbetningar av detta dokument, även för kommersiellt bruk. Upphovsmannen

Läs mer

Modell för ledning av kundorienterad och systematisk verksamhetsutveckling (fd Utmärkelsen) Göteborgs stad

Modell för ledning av kundorienterad och systematisk verksamhetsutveckling (fd Utmärkelsen) Göteborgs stad Modell för ledning av kundorienterad och systematisk verksamhetsutveckling (fd Utmärkelsen) Göteborgs stad Innehållsförteckning 1 Frågor... 5 1.1 KUNDEN I FOKUS... 5 1.1.1 Hur tar ni reda på kundernas

Läs mer

EAs krav vid ackreditering av flexibel omfattning

EAs krav vid ackreditering av flexibel omfattning SWEDAC DOC 12:1 2012-05-10 Utgåva 1 Inofficiell översättning av EA 2/15 M:2008 EAs krav vid ackreditering av flexibel omfattning Swedac, Styrelsen för ackreditering och teknisk kontroll, Box 878, 501 15

Läs mer

Kalix kommuns ledarplan

Kalix kommuns ledarplan Kalix kommuns ledarplan Inledning Dagens ledarskap handlar till stor del om att styra genom mål och visioner, att vara tydlig och att kunna föra en dialog med medarbetare och kunna delegera. Arbetsmiljön,

Läs mer

Inspirationsguide 1. Växtkraft Mål 3. Förberedelsearbetet steg för steg. En vägledning för att utföra en kompetensanalys med ett hälsoperspektiv

Inspirationsguide 1. Växtkraft Mål 3. Förberedelsearbetet steg för steg. En vägledning för att utföra en kompetensanalys med ett hälsoperspektiv Inspirationsguide 1 Förberedelsearbetet steg för steg Växtkraft Mål 3 En vägledning för att utföra en kompetensanalys med ett hälsoperspektiv 1. FÖRBEREDELSEARBETET STEG FÖR STEG... 3 HUR VI ARBETAR MED

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

Jämtlands Gymnasieförbund

Jämtlands Gymnasieförbund Jämtlands Gymnasieförbund Svar på revisionsrapport - Granskning av ITsäkerhetspolicy Dnr 212-2013 Linda Lignell Innehållsförteckning 1. Allmänt... 3 2. Efterlevnad av policyn... 3 2.1. IT-säkerhetspolicy...

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

Ledningssystem för informationssäkerhet - Kompetensprofil

Ledningssystem för informationssäkerhet - Kompetensprofil Handläggare, tfn Bengt Rydstedt, 08-555 520 28 E-post bengt.rydstedt@sis.se Ledningssystem för informationssäkerhet - Kompetensprofil Detta dokument har utarbetats av AG 8 inom projekt LIS, Ledningssystem

Läs mer

Löpande granskning av rutin för upphandling

Löpande granskning av rutin för upphandling Revisionsrapport Länsstyrelsen i Uppsala län Hamnesplanaden 3 751 86 Uppsala Datum Dnr 2008-03-19 32-2007-0588 Löpande granskning av rutin för upphandling Som ett led i den årliga revisionen av Länsstyrelsen

Läs mer