BSI-standard Ledningssystem för informationssäkerhet (LIS) Version 1.0

Storlek: px
Starta visningen från sidan:

Download "BSI-standard 100-1 Ledningssystem för informationssäkerhet (LIS) Version 1.0"

Transkript

1 BSI-standard Ledningssystem för informationssäkerhet (LIS) Version 1.0

2 Innehållsförteckning 1 Inledning Versionshistorik Målsättning Målgrupp Tillämpning Litteraturförteckning Introduktion i informationssäkerhet Översikt över standarder för IT-säkerhet ISO-standarder för IT-säkerhet Utvalda BSI-publikationer och standarder avseende ledningssystem för informationssäkerhet LIS - Definition och processbeskrivning Komponenter i ett ledningssystem för informationssäkerhet Processbeskrivning och livscykelmodell Livscykeln i IT-säkerheten Beskrivning av IT-säkerhetsprocessen Ledningsprinciper Ledningens uppgifter och ansvar Upprätthålla IT-säkerheten och kontinuerliga förbättringar Kommunikation och kunskap Resurser för IT-drift och IT-säkerhet Involvering av medarbetarna i IT-säkerhetsprocessen IT-säkerhetsprocessen Planering av IT-säkerhetsprocessen Genomförande av IT-säkerhetspolicyn Resultatkontroll i IT-säkerhetsprocessen IT-säkerhetskoncept Upprättande av IT-säkerhetskonceptet Genomförande av IT-säkerhetskonceptet Resultatkontroll och förbättring av IT-säkerhetskonceptet BSI:s LIS: IT-grundskydd Inledning IT-säkerhetprocessen enligt IT-grundskydd Riskbedömning Upprättande av IT-säkerhetskonceptet BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 2

3 1 Inledning 1.1 Versionshistorik Utgåva Version Författare December BSI 1.2 Målsättning Inom näringsliv och offentlig förvaltning är det i dag ingen som förnekar att det är nödvändigt att på ett lämpligt sätt skydda den egna IT-miljön. IT-säkerhetsincidenter kan medföra långtgående skador på verksamheten eller förhindra att uppgifter kan genomföras, vilket i båda fallen leder till höga kostnader. Praktisk erfarenhet visar att en optimering av ledningssystemet för informationssäkerhet ofta förbättrar informationssäkerheten effektivare och mer långsiktigt än vad investeringar i säkerhetsteknik gör. Åtgärder som ursprungligen genomfördes för att förbättra informationssäkerheten kan emellertid även vara till nytta i andra avseenden än säkerhet och visa sig påverka det ekonomiska utfallet positivt. Investeringar i informationssäkerhet kan i många fall till och med på relativt kort tid bidra till kostnadsbesparingar. Genom en bättre integrering av informationssäkerheten i befintliga organisatoriska strukturer kan man förvänta sig följande positiva sidoeffekter: högre arbetskvalitet, ökat kundförtroende, optimering av IT-miljön och arbetsprocesser samt tillvaratagande av synergieffekter. En lämplig nivå på informationssäkerheten beror i första hand av ledningssystemet för informationssäkerhet och i andra hand på enskilda tekniska åtgärder. Följande överväganden förtydligar denna tes: Ledningsnivån har ansvar för att lagar och förordningar samt avtal med tredje part efterlevs. Vidare ansvarar ledningsnivån för att viktiga affärsprocesser löper störningsfritt. Informationssäkerhet har beröringspunkter med många delar av en organisation och berör viktiga affärsprocesser och uppgifter. Därför kan endast ledningsnivån genomföra en friktionsfri integrering av ledningssystemet för informationssäkerhet i befintliga organisationsstrukturer och processer. Ledningsnivån ansvarar dessutom för tilldelning av ekonomiska resurser. Det innebär att ledningsnivån har ett stort ansvar för informationssäkerheten. Avsaknad av styrning, en olämplig IT-säkerhetsstrategi eller felaktiga beslut kan få långtgående negativa konsekvenser på grund av säkerhetsincidenter, missade möjligheter och felinvesteringar. Denna standard beskriver därför steg för steg vad som utgör ett framgångsrikt ledningssystem för informationssäkerhet och vilka uppgifter som ledningsnivån inom myndigheter och företag har. 1.3 Målgrupp Detta dokument riktar sig till alla som ansvarar för IT-drift och IT-säkerhet, IT-säkerhetschefer, ITexperter, IT-rådgivare och alla intresserade som har ledningsansvar avseende informationssäkerhet. Styrning av IT-säkerhet är inte bara en viktig fråga för stora organisationer utan även för små och BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 3

4 medelstora myndigheter och företag samt egenföretagare. Hur ett lämpligt ledningssystem för informationssäkerhet ser ut beror naturligtvis på institutionens storlek. Denna standard och framförallt de mycket konkreta rekommendationerna i IT-Grundschutz (IT-grundskydd) hjälper alla ansvariga personer som vill förbättra IT-säkerheten inom det område de kan påverka. Nedan lämnas information hur rekommendationerna i denna standard kan behovsanpassas efter en myndighets eller ett företags storlek. 1.4 Tillämpning Denna standard beskriver hur ett ledningssystem för informationssäkerhet (LIS) kan vara uppbyggt. Ett ledningssystem omfattar alla regler som är ett hjälpmedel för att styra och leda en organisation och för att uppsatta mål kan uppnås. Ett ledningssystem för informationssäkerhet beskriver med vilka instrument och metoder som en institutions ledningsnivå på ett spårbart sätt styr de uppgifter och aktiviteter som behövs för informationssäkerheten. Denna BSI-standard ger bland annat svar på följande frågor: Vilka är framgångsfaktorerna vid ledning av informationssäkerhet? Hur kan IT-säkerhetsprocessen styras och övervakas av den ansvariga ledningen? Hur tas IT-säkerhetsmål och en lämplig IT-säkerhetsstrategi fram? Hur väljs IT-säkerhetsåtgärder ut och hur upprättas ett IT-säkerhetskoncept? Hur kan en uppnådd säkerhetsnivå permanent bibehållas och förbättras? Denna standard för ledningssystem beskriver kort och översiktligt de viktigaste uppgifterna för ledningssystemet för säkerhet. Vid tillämpning av dessa rekommendationer är BSI med metodiken i ITgrundskydd ett hjälpmedel. IT-grundskydd är en anvisning steg för steg för utveckling av ett ledningssystem för informationssäkerhet i praktiken och den innehåller mycket konkreta åtgärder för alla aspekter av IT-säkerhet. Tillvägagångssättet enligt IT-grundskydd beskrivs i BSI-Standard ([se [BSI2]) och är så utformat att en lämplig IT-säkerhetsnivå kan uppnås så billigt som möjligt. Som komplement här till rekommenderas i IT-grundskydd-katalogerna standardsäkerhetsåtgärder för det praktiska genomförandet av den lämpliga IT-säkerhetsnivån. 1.5 Litteraturförteckning [BSI1] Managementsysteme für Informationssicherheit (ISMS), BSI-Standard 100-1, Version 1.0, Dezember 2005, [BSI2] IT-Grundschutz-Vorgehensweise, BSI-Standard 100-2, Version 1.0, Dezember 2005, [BSI3] Risikoanalyse auf der Basis von IT-Grundschutz, BSI-Standard 100-3, Version 1.0, Februar 2004, [GSHB] IT-Grundschutzhandbuch - Standard-Sicherheitsmaßnahmen, BSI, jährlich neu, [SHB] IT-Sicherheitshandbuch - Handbuch für die sichere Anwendung der Informationstechnik, BSI, Version März 1992, Bundesdruckerei [OECD] Organisation for Economic Co-operation and Development (OECD), Guidelines for the Security of Information Systems and Networks, 2002, [ZERT] Allgemeine Informationen zum IT-Grundschutz-Zertifikat, zum Lizenzierungsschema für Auditoren und zum Zertifizierungsschema für IT-Grundschutz unter BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 4

5 [13335] ISO/IEC "Management of information and communications technology security", ISO/IEC JTC1/SC27 [17799] ISO/IEC "Management of information and communications technology security", ISO/IEC JTC1/SC27 [27001] ISO/IEC "Management of information and communications technology security", ISO/IEC JTC1/SC27 BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 5

6 2 Introduktion i informationssäkerhet Vad är informationssäkerhet? Målet med informationssäkerhet är att skydda information. Det kan vara fråga om information på papper, i datorer eller i personers huvuden. IT-säkerhet avser i första hand skyddet av elektroniskt lagrad information och bearbetningen av denna. De klassiska grundidealen ínom IT-säkerhet, konfidentialitet, riktighet och tillgänglighet, är basen för skydd av information. Informationens säkerhet hotas inte enbart genom uppsåtliga handlingar (t.ex. datorvirus, avlyssning, stöld av datorer). Följande exempel förklarar detta faktum: Genom force majeure (t.ex. brand, vatten, storm, jordbävning) påverkas IT-system eller det går inte att komma in i datorcentralen. IT-system eller tjänster är därmed inte längre åtkomliga på önskat sätt. Efter en misslyckad programuppdatering fungerar system inte längre eller data har obemärkt ändrats. En viktig affärsprocess blir fördröjd eftersom de enda medarbetare som är i insatta i programmet är sjuka. En medarbetare lämnar av misstag konfidentiell information till en obehörig person därför att dokumenten eller filerna inte var märkta konfidentiellt. Ordval: IT-säkerhet kontra informationssäkerhet På tyska används följande begrepp ofta synonymt: informationsteknik, informations- och kommunikationsteknik eller informations- och telekommunikationsteknik. På grund av ordens längd har respektive förkortningar blivit vanliga så att man oftast talar om IT-säkerhet. Eftersom elektronisk bearbetning av information förekommer nästan i alla sammanhang är det inte längre aktuellt att skilja på om information bearbetas med informationsteknik, med kommunikationsteknik eller på papper. Begreppet informationssäkerhet i stället för IT-säkerhet är därför mer omfattande och lämpligare. Eftersom begreppet IT-säkerhet fortfarande är vanligast i litteraturen (bland annat för att det är kortare) används det fortsatt i denna skrift samt i IT-grundskydd-katalogerna. 2.1 Översikt över standarder för IT-säkerhet ISO-standarder för IT-säkerhet ISO Standarden ISO "Management of information and communications technology security" (tidigare "Guidelines on the Management of IT Security") (Riktlinjer för styrning av IT-säkerhet) är en allmän riktlinje för att initiera och implementera ledningssystem för informationssäkerhet. Standarden innehåller anvisningar men däremot inte lösningar för ledning och styrning av IT-säkerhet. Standarden är ett grundläggande verk på detta område och är utgångs- eller referenspunkt för en rad dokument avseende ledningssystem för informationssäkerhet. Standarden består för närvarande av följande delar: Part 1: Concepts and models for information and communications technology security management Part 2: Techniques for information security risk management Part 5: Management guidance on network security De tidigare delarna 3 och 4 ingår nu i delarna 1 och 2. Standarden ISO innehåller olika metoder för riskanalys. En certifiering är inte planerad. BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 6

7 ISO Målet med ISO Information technology Code of practice for information security management " är att definiera ett ramverk för ledningssystem för informationssäkerhet. ISO behandlar därför huvudsakligen de steg som krävs för att bygga upp ett fungerande ledningssystem för informationssäkerhet och hur detta förankras i organisationen. De erforderliga åtgärderna för ITsäkerhet behandlas kortfattat på de ca 100 sidorna i ISO-standarden ISO/IEC Rekommendationerna ligger på ledningsnivå och innehåller knappast konkret teknisk information. En implementering av dem är en av många möjligheter för att uppfylla kraven i ISO-standarden ISO På grund av informationsteknikens komplexitet och efterfrågan på certifiering har det under de senaste åren utarbetats flera anvisningar, standarder och nationella normer som rör IT-säkerhet. ISOstandarden "Information technology - Security techniques - Information security management systems requirements specification" är den första internationella standarden för ledningssystem för informationssäkerhet som också möjliggör en certifiering. ISO ger på ca tio sidor allmänna rekommendationer. I en normerande bilaga hänvisas till kontrollerna i ISO/IEC Läsaren får dock ingen hjälp för det praktiska genomförandet Utvalda BSI-publikationer och standarder avseende ledningssystem för informationssäkerhet IT-grundskydd-kataloger Den mest kända publikationen från BSI avseende informationssäkerhet är IT-Grundschutzhandbuch (Handbok för IT-grundskydd) som sedan 1994 mycket utförligt beskriver inte bara ledningssystem för informationssäkerhet utan även detaljerade IT-säkerhetsåtgärder inom områdena teknik, organisation, personal och infrastruktur. Handbok för IT-grundskydd har under år 2005 omstrukturerats inom olika delar. I samband med detta har beskrivningarna av tillvägagångssättet enligt IT-grundskydd och ITgrundskyddkatalogerna skiljts åt. BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 7

8 Figur 1: Översikt över BSI-publikationer avseende ledningssystem för informationssäkerhet IT-grundskyddkatalogerna är uppbyggda i moduler och innehåller komponenter för typiska processer, tillämpningar och IT-komponenter. Till varje ämne rekommenderas inte endast IT-säkerhetsåtgärder utan det finns även en beskrivning av de viktigaste hoten som en organisation bör skydda sig mot. En användare kan på så sätt koncentrera sig på de komponenter som rent faktiskt är relevanta för honom. ITgrundskydd-katalogerna uppdateras och kompletteras ofta för att omfatta ny teknik. Därför publiceras de som lösblad, på cd respektive dvd och på Internet. IT-grundskyddtillvägagångssättet beskriver hur ITsäkerhetslösningar kan väljas ut, byggas upp och kontrolleras utifrån standardsäkerhetsåtgärder. Denna metod har publicerats som BSI-Standard bland standarderna avseende informationssäkerhet. BSI-standarder för informationssäkerhet: ledningssystem för informationssäkerhet Ledningssystem för informationssäkerhet (LIS) I denna standard definieras allmänna krav på ett LIS. Den är helt kompatibel med ISO-standarden och här beaktas dessutom rekommendationerna i ISO-standarderna och Den ger läsaren en lättförstålig och systematisk anvisning oberoende av med vilken metod som denne önskar implementera kraven. BSI presenterar denna ISO-standards innehåll i en egen BSI-standard för att kunna beskriva några ämnen mer utförligt och på så sätt möjliggöra en mer pedagogisk presentation av innehållet. Dessutom har dispositionen gjorts så att den är kompatibel med IT-grundskyddtillvägagångssättet. Genom de enhetliga rubrikerna i båda dokumenten är det enkelt för läsaren att orientera sig IT-grundskydd-tillvägagångssätt IT-grundskyddtillvägagångssättet beskriver steg för steg hur ett ledningssystem för informationssäkerhet byggs upp och drivs i praktiken. Uppgifterna för ledningssystemet för informationssäkerhet och uppbyggnaden av en IT-säkerhetsorganisation är här viktiga teman. IT-grundskyddtillvägagångssätt går mycket utförligt in på hur ett IT-säkerhetskoncept kan utarbetas i praktiken, hur lämpliga IT-säkerhetsåtgärder kan väljas ut och vad som ska beaktas vid genomförandet av IT-säkerhetskonceptet. Även frågan om hur IT-säkerheten upprätthålls och förbättras under normal drift besvaras. IT-grundskydd tolkar därmed de mycket allmänt hållna kraven i de ovannämnda ISO-standarderna 13335, och och hjälper användaren i praktiken vid genomförandet genom mycket information, bakgrunder, know-how och exempel. IT-grundskydd-katalogerna förklarar inte bara vad som ska göras utan ger mycket konkret information hur ett genomförande (även på teknisk nivå) kan se ut. Att arbeta enligt IT-grundskydd är på så sätt en beprövad och effektiv möjlighet att beakta alla krav i de ovan nämnda ISO-standarderna Riskanalys på grundval av IT-grundskydd BSI har tagit fram en metodik för riskanalys som bygger på IT-grundskydd. Detta tillvägagångssätt kan användas när företag eller myndigheter redan med gott resultat arbetar med IT-grundskydd och önskar ansluta en kompletterande säkerhetsanalys till IT-grundskydd-analysen så smidigt som möjligt. ISO Certifiering på grundval av IT-grundskydd BSI certifierar IT-miljöer alltså samspelet mellan infrastrukturella, organisatoriska, personella och tekniska komponenter som är avsedda för implementering av affärsprocesser och fackuppgifter. BSIcertifieringen omfattar såväl en kontroll av ledningssystemet för informationssäkerhet som en kontroll av de konkreta IT-säkerhetsåtgärderna utifrån IT-grundskydd. BSI-certifieringen innehåller alltid en officiell ISO-certifiering enligt ISO men den säger mycket mer än en ren ISO-certifiering eftersom fler tekniska aspekter kontrolleras. De viktigaste kraven för kontrollen av ledningssystemet för informationssäkerhet inom ramen för en revision framgår av åtgärderna i grundskyddskomponenten B 1.0 IT- Sicherheitsmanagement (IT-säkerhetsledning). Åtgärderna i denna komponent är skrivna så att de viktiga BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 8

9 kraven i BSI-standarden för ledningssystem för informationssäkerhet direkt kan identifieras. Den enhetliga dispositionen av BSI-dokumenten framgår av figur 1. Denna standard beskriver kontrollkriterier för revisorer och certifierare. För anpassningen till ISO har anpassningar gjorts i certifieringsschemat för IT-miljöer och i licensieringsschemat (se [ZERT]). BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 9

10 3 LIS - Definition och processbeskrivning 3.1 Komponenter i ett ledningssystem för informationssäkerhet Varje företag och varje myndighet har en ledning, nedan kallad ledningsnivå när ansvariga personer i ledningen avses och det inte är någon risk för förväxling med ledning som ledningsprocess (leda, styra och planera). Strategi Ledningsprinciper Resurser Medarbetare Figur 2: Komponenter i ett ledningssystem för informationssäkerhet (LIS) Ett ledningssystem omfattar alla regler som är ett hjälpmedel för styrning och ledning av en organisation så att uppsatta mål kan uppnås. Den del av ledningssystemet som behandlar informationssäkerhet betecknas ledningssystem för informationssäkerhet (LIS). LIS fastlägger med vilka instrument och metoder som ledningen spårbart styr (planerar, sätter in, genomför, övervakar och förbättrar) de uppgifter och aktiviteter som berör informationssäkerhet. Till en LIS hör följande grundläggande komponenter (se figur 2): Ledningsprinciper Resurser Medarbetare IT-säkerhetsprocess IT-säkerhetspolicy i vilken IT-säkerhetsmålen och strategin för att uppnå dessa är dokumenterade IT-säkerhetskoncept IT-säkerhetsorganisation BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 10

11 Figur 3: IT-säkerhetsstrategi som central komponent i LIS IT-säkerhetsorganisation och IT-säkerhetskoncept är därvid ledningens verktyg för omsättning av dess ITsäkerhetsstrategi. Figurerna 3 och 4 förtydligar detta sammanhang. IT-strategins kärnpunkter dokumenteras i IT-säkerhetspolicyn. IT-säkerhetspolicyn är av central betydelse eftersom den innehåller ledningsnivåns synliga tilltro till dess strategi. Figur 4: Genomförande av IT-säkerhetsstrategin med hjälp av IT-säkerhetskonceptet och en IT-säkerhetsorganisation 3.2 Processbeskrivning och livscykelmodell Livscykeln i IT-säkerheten Säkerhet är inget oföränderligt tillstånd som en gång uppnås och som aldrig förändras därefter. Varje företag och myndighet genomgår ständiga förändringar. Många av dessa förändringar berör via ändringar i affärsprocesserna, uppgifter, infrastruktur, organisationsstrukturer och informationsteknik även ITsäkerheten. Förutom de tydliga ändringarna inom en verksamhet kan dessutom ramvillkoren förändras t.ex. lagar och förordningar eller träffade avtal men även den tillgängliga informations- och kommunikationstekniken kan ändras på ett genomgripande sätt. Det är därför nödvändigt att aktivt arbeta med säkerhet för att en gång uppnådd säkerhetsnivå ska bibehållas. Det räcker till exempel inte att endast en gång införa affärsprocesser eller införa ett nytt IT-system och genomföra de beslutade IT-säkerhetsåtgärderna. När IT-säkerhetsåtgärderna har införts måste de BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 11

12 regelbundet undersökas ned avseende på verkan och lämplighet. Åtgärdernas användbarhet och hur de faktiskt används ska också undersökas. Om svaga punkter eller förbättringsmöjligheter upptäcks måste åtgärderna anpassas och förbättras. Dessa ändringar måste planeras och genomföras. Om affärsprocesser avslutas eller komponenter respektive IT-system byts ut eller tas ur drift ska IT-säkerhetsaspekter beaktas (t.ex. behörigheter ska upphöra att gälla eller att hårddiskar raderas på ett säkert sätt). I IT-grundskydd-- katalogerna delas därför IT-säkerhetsåtgärderna in i följande faser för att läsaren ska få en bättre överblick: planering och koncept anskaffning (vid behov) genomförande drift (åtgärder för att upprätthålla IT-säkerheten, vari ingår övervakning och resultatkontroll), gallring (vid behov) och förebyggande av nödsituationer Beskrivning av IT-säkerhetsprocessen Inte enbart IT-system har en livscykel. Även ett IT-säkerhetskoncept, en IT-säkerhetsorganisation och slutligen hela IT-säkerhetsprocessen har en livscykel. För att så enkelt som möjligt kunna beskriva ITsäkerhetsprocessens dynamik delas IT-säkerhetsprocessen ofta in i följande faser: 1. Planering 2. Genomförande av planeringen respektive implementering av processen 3. Kontroll av uppnått resultat respektive övervakning av hur målen uppfylls 4. Eliminering av registrerade brister och svagheter respektive optimering och förbättring. Fas 4 beskriver den direkta elimineringen av smärre brister. Vid fundamentala eller omfattande förändringar ska man naturligtvis åter starta med planeringsfasen. Denna modell kallas även PDCA-modell efter den engelska benämningen av de enskilda faserna (Plan- Do-Check-Act). BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 12

13 Figur 5: Livscykel i PDCA-modellen PDCA-modellen återfinns i ISO-standarden Modellen kan i princip användas för alla uppgifter inom IT-säkerhetsprocessen. Även IT-säkerhetskonceptets och IT-säkerhetsorganisationens livscykel kan beskrivas enkelt på detta sätt. Motsvarande kapitel i detta dokument anknyter därför till denna livscykels fyra faser. I IT-säkerhetsproccesens planeringsfas analyseras ramvillkoren, bestäms IT-säkerhetsmålen och en ITsäkerhetsstrategi utarbetas. Den senare innehåller grundläggande information om hur uppsatta mål ska nås. IT-säkerhetsstrategin genomförs med hjälp av IT-säkerhetskonceptet och en lämplig ITsäkerhetsorganisation. IT-säkerhetskoncept och IT-säkerhetsorganisation måste därför återigen planeras och genomförs samt kontrolleras beträffande resultat. Vid resultatkontrollen av den överordnade ITsäkerhetsprocessen kontrolleras därefter regelbundet om ramvillkoren (t.ex. lagar och förordningar eller företagsmålen) har ändrats och huruvida IT-säkerhetskoncept och IT-säkerhetsorganisation har visat sig vara verksamma och effektiva. Eftersom olika institutioner däremot har olika förutsättningar, krav på säkerhet och ekonomiska tillgångar erbjuder detta tillvägagångssätt förvisso en god orientering men måste av varje myndighet och företag fyllas med ett innehåll. Varje institution måste individuellt fastställa och konkretisera vilken typ av livscykelmodell som är lämplig. Små myndigheter och företag ska inte avskräckas eftersom arbetsomfattningen för IT-säkerhetsprocessen i regel beror av verksamhetens storlek. I ett mycket stort företag med många inblandade avdelningar och personer är en mer formell process troligen nödvändig. Denna fastlägger exakt vilka interna och externa revisioner som är nödvändiga, vem som rapporterar till vem, vem som tar fram beslutsunderlag och när ledningen sammanträder om IT-säkerhetsprocessen. I ett litet företag däremot kan en årlig överläggning mellan vd och den som svarar för IT-verksamheten vara helt tillräcklig för att kritiskt granska huruvida IT-säkerhetsprocessen är framgångsrik. Vid samtalet behandlas frågor som problem under det senaste året, uppkomna kostnader, ny teknisk utveckling etc. BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 13

14 4 Ledningsprinciper Med ledningssystem för informationssäkerhet betecknas planeringen och styrningen som krävs för en ändamålsenlig uppbyggnad, för praktiskt utnyttjande av och för att säkerställa effektiviteten hos en genomtänkt och metodiskt IT-säkerhetsprocess samt alla därför erforderliga IT-säkerhetsåtgärder. Det finns många koncept för hur ett effektivt ledningssystem för informationssäkerhet kan se ut och vilka organisationsstrukturer som är ändamålsenliga. Oberoende av hur ett ledningssystem för informationssäkerhet specificeras ska några fundamentala principer beaktas. Några av de ledningsprinciper som anges här kan synas vara banala och att de tillämpas betraktar de flesta chefer som självklart. Paradoxalt nog är det gång på gång de enkla sakerna som utförs fel eller inte utförs alls. Disciplin, tålamod, ansvarstagande samt en noggrann och realistisk förberedelse av projekt är värden som gäller teoretiskt i många organisationer men som i praktiken inte alltid gäller. Säkerhetsnivån förbättras i praktiken ofta klart av mindre spektakulära åtgärder som processoptimering, utbildning och motivation av medarbetare eller framtagning av förstålig dokumentation. Komplexa och därmed dyra åtgärder, stora projekt och investeringar i teknik presenteras ofta helt felaktigt som verksamma och är anledningen till säkerhetsåtgärders dåliga rykte som orsak till höga kostnader. Nedan presenteras därför ledningsprinciper som om de beaktas utgör en grund för ett framgångsrikt ledningssystem för informationssäkerhet. 4.1 Ledningens uppgifter och ansvar Ledningens uppgifter och ansvar avseende informationssäkerhet kan sammanfattas i följande punkter: 1. Totalansvar för IT-säkerheten Varje myndighets eller företags högsta ledning ansvarar för att verksamheten fungerar målstyrt och organiserat och därigenom garanterar man IT-säkerheten internt och utåt. Det kan vara reglerat i olika lagar allt efter land och organisationsform. Ledningsnivån, men även varje enskild chef, måste klart visa att den tar sitt ansvar och för alla medarbetare klargöra vikten av IT-säkerheten. 2. Integrera IT-säkerhet IT-säkerhet måste integreras i verksamhetens alla processer och projekt i vilka information bearbetas och IT används. Det betyder till exempel att säkerhetskraven inte endast ska beaktas vid anskaffning av IT utan även vid när affärsprocesserna utformas och likaså vid personalutbildning. 3. Styra och upprätthålla IT-säkerhet Ledningsnivån måste aktivt initiera, styra och övervaka IT-säkerhetsprocessen. I den uppgiften ingår till exempel följande uppgifter: - En IT-säkerhetsstrategi och IT-säkerhetsmål måste beslutas. - Konsekvenserna av IT-säkerhetsrisker på affärsverksamheten respektive av hur arbetsuppgifter utföres måste undersökas. - Organisatoriska ramvillkor för IT-säkerhet ska skapas. - För IT-drift och IT-säkerhet måste tillräckliga resurser ställas till förfogande. - IT-säkerhetsstrategin måste kontrolleras regelbundet och övervakning av att uppställda mål uppnås ska ske. Registrerade svaga punkter och fel måste korrigeras. För att klara det måste ett innovationspositivt arbetsklimat skapas och viljan till ständiga förbättringar inom verksamheten klart uttryckas. BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 14

15 - Medarbetare måste motiveras beträffande behovet av säkerhet och de ska se IT-säkerhet som en viktig aspekt i arbetet. För att uppnå detta ska medarbetarna erbjudas tillräcklig utbildning och åtgärder för att öka medvetenheten. 4. Sätta realistiska mål Projekt misslyckas ofta till följd av orealistiska eller för ambitiösa mål. Det är inte annorlunda inom området IT-säkerhet. Därför måste IT-strategin anpassas till de befintliga resurserna. För att uppnå det lämpliga säkerhetsmålet kan det vara effektivare att arbeta i många små steg i en långfristig, kontinuerlig förbättringsprocess utan höga investeringskostnader i starten än att påbörja ett stort projekt. Det kan därvid vara lämpligt att först införa den erforderliga säkerhetsnivån endast inom utvalda områden. Därifrån måste säkerheten inom verksamheten emellertid snabbt komma upp på den eftersträvade nivån. 5. Avväga kostnaden för IT-säkerhet gentemot nyttan En av de svåraste uppgifterna är att avväga kostnaderna för informationssäkerhet gentemot nyttan respektive riskerna. Det är mycket viktigt att först investera i åtgärder som är särskilt effektiva eller som skyddar mot särskilt stora risker. De effektivaste åtgärderna är av erfarenhet inte alltid de dyraste. Det är därför absolut nödvändigt att känna till hur affärsprocesserna och uppgifterna beror av informationsbearbetningen för att kunna välja ut lämpliga IT-säkerhetsåtgärder. Det är viktigt att tänka på att IT-säkerheten alltid uppnås genom ett samspel mellan tekniska och organisatoriska åtgärder. Investeringarna i teknik kan avläsas direkt i budgeten. För att dessa kostnader ska kunna accepteras måste IT-säkerhetsprodukterna användas så att de ger optimal nytta. För att uppnå det måste de även väljas ut utifrån ändamålet och användas på lämpligt sätt. Det betyder exempelvis att de måste integreras i det övergripande säkerhetskonceptet och medarbetarna ska vara utbildade för att använda dem. Tekniska lösningar kan ofta ersättas med organisatoriska säkerhetsåtgärder. Av erfarenhet är det emellertid svårare att säkerställa att organisatoriska åtgärder konsekvent genomförs. Dessutom ökar de personella insatserna därigenom och belastar därmed även resurserna. 6. Funktion som förebild Ledningsnivån måste även utgöra en förebild inom området IT-säkerhet. Det innebär bland annat att ledningsnivån beaktar alla föreskrivna säkerhetsregler och själv deltar i utbildningar. 4.2 Upprätthålla IT-säkerheten och kontinuerliga förbättringar Att skapa IT-säkerhet är inte ett tidsbegränsat projekt utan en kontinuerlig process. Alla delar i ett ledningssystem för informationssäkerhet måste ständigt kontrolleras med avseende på lämplighet och verkan. Det betyder att inte endast enskilda IT-säkerhetsåtgärder måste kontrolleras utan att ITsäkerhetsstrategin även måste tänkas igenom regelbundet. Genomförandet av IT-säkerhetsåtgärderna bör utvärderas regelbundet genom interna revisioner. Dessa har även till syfte att samla ihop erfarenheter från den dagliga verksamheten och utvärdera dessa. Förutom revisioner är det nödvändigt att genomföra övningar och åtgärder för att öka medvetenheten eftersom det endast är därigenom som det går att fastställa huruvida alla förutsedda förlopp och beteendet i nödsituationer faktiskt fungerar. Insikt om svaga punkter och förbättringsmöjligheter måste medföra konsekvenser i säkerhetsorganisationen. Det är även viktigt att tidigt se framtida utveckling av både den använda tekniken och inom affärsprocesser och organisationsstrukturer för att i tid kunna identifiera risker, vidta förebyggande åtgärder och införa säkerhetsåtgärder. När det finns tecken på betydande ändringar av affärsprocesser och organisationsstrukturer måste ledningen för informationssäkerhet involveras. Även om detta är förutsett i organisationsbestämmelserna bör man inte vänta på att bli BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 15

16 involverad enligt plan utan man bör i god tid förutsättningslöst ta tag i de aktuella processerna. Vid alla revisioner bör man tänka på att dessa inte utföres av personer som har varit med om att planera eller ta fram säkerhetsföreskrifter eftersom det är svårt att finna egna fel. Allt efter institutionens storlek han det vara bra att ta hjälp av externa revisorer för att undvika hemmablindhet. Att upprätthålla IT-säkerheten är även viktigt för små och medelstora myndigheter och företag. Revisionerna har mindre omfattning än inom stora institutioner men de ska genomföras. Vid ledningens årliga genomgång måste ledningsnivån även kontrollera om det finns nya lagar och föreskrifter eller om andra ramvillkor har ändrats. Kontrollen av IT-säkerhetsprocessen är slutligen till för förbättring av denna. Resultaten bör därför användas till att bedöma verkan och effektivitet hos den valda IT-säkerhetsstrategin och för att göra eventuella anpassningar. Även vid förändring av IT-säkerhetsmålen eller ramvillkoren måste ITsäkerhetsstrategin revideras med hänsyn därtill. Detta ämne behandlas utförligt i kapitel Kommunikation och kunskap I alla faser av säkerhetsprocessen är kommunikation en viktig hörnpelare för att uppnå de IT-säkerhetsmål som har satts upp. Missuppfattningar och bristande kunskap är bland de vanligaste orsakerna när säkerhetsproblem uppträder. Därför måste man inom en institution på alla nivåer och inom alla områden se till att det finns ett friktionsfritt informationsflöde rörande säkerhetsincidenter och -åtgärder. För att uppnå det ska följande finnas: Rapporter till ledningsnivån Den högsta ledningen måste för att kunna utföra sin ledningsfunktion regelbundet få information om problem, resultat av kontroller och revisioner men även om ny utveckling, ändrade ramvillkor eller förbättringsmöjligheter. Informationsflöde Bristande kommunikation och avsaknad av information kan leda till IT-säkerhetsproblem och även till att felaktiga beslut tas eller överflödiga arbetsmoment. Det måste undvikas genom lämpliga åtgärder och organisatoriska regler. Medarbetare måste informeras om syftet med säkerhetsåtgärder framförallt om det medför extra arbete eller besvär. IT-användare bör dessutom involveras när genomförandet av åtgärder planeras för att idéer ska beaktas och för en bedömning av vad som är praktiskt genomförbart. Dokumentation För att säkerställa hela IT-säkerhetsprocessens kontinuitet och konsistens är det mycket viktigt att dokumentera den. Endast på så sätt förblir processteg och beslut spårbara. Dessutom säkerställer en bra dokumentation att likartade arbeten utförs på ett jämförbart sätt dvs. processer är mätbara och kan upprepas. Dessutom är dokumentation till hjälp för att visa på principiella svagheter i processen och för att undvika att fel upprepas. Den erforderliga dokumentationen för de olika säkerhetsaktiviteterna uppfyller olika funktioner och är riktad till olika målgrupper. Följande typer av dokumentation finns: 1. Teknisk dokumentation och dokumentation av arbetsförlopp (målgrupp: experter) Vid störningar eller IT-säkerhetsincidenter måste det vara möjligt att kunna återställa det önskade börtillståndet i affärsprocesser samt tillhörande IT. Tekniska detaljer och arbetsförlopp ska därför dokumenteras så att detta är möjligt inom lämplig tid. Exempel på detta är anvisningar för installation av IT-tillämpningar, genomförande av säkerhetskopiering, inläsning av säkerhetskopierat material, för konfigurering av telekommunikationssystem, för återstart av server efter ett strömavbrott liksom dokumentationen av test- och godkännandemetoder och anvisningar för vad som ska göras vid störningar och IT- BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 16

17 säkerhetsincidenter. 2. Anvisningar för IT-användare (målgrupp: IT-användare) Arbetsförlopp, organisatoriska föreskrifter och tekniska IT-säkerhetsåtgärder måste dokumenteras så att IT-säkerhetsincidenter till följd av okunskap eller felaktiga åtgärder kan undvikas. Exempel på detta är säkerhetsriktlinjer för användning av e-post och Internet, information för att förhindra virusincidenter eller för att upptäcka social manipulation samt vad användare ska göra vid misstanke om en IT-säkerhetsincident. 3. Rapporter för ledningsuppgifter (målgrupp: ledningsnivå, ledningen för informationssäkerhet) All information som ledningen behöver för att utföra sina lednings- och styrningsuppgifter ska finnas nedtecknad med erforderlig detaljeringsgrad (t.ex. resultat av revisioner, effektivitetsmätningar, rapporter över IT-säkerhetsincidenter). 4. Registrering av ledningsbeslut (målgrupp: ledningsnivå) Ledningsnivån måste registrera och motivera den valda IT-säkerhetsstrategin. Dessutom måste på alla andra nivåer de beslut som berör säkerhetsrelevanta aspekter likaså registreras så att dessa när som helst kan spåras och upprepas. I de följande kapitlen är därför varje handling som måste dokumenteras på lämpligt sätt respektive registreras märkt med DOK. Formella krav på dokumentationen: Det är inte absolut nödvändigt att dokumentationen finns i pappersform. Dokumentationsmedium bör väljas utifrån behovet. Exempelvis kan användning av en programvara vara till hjälp för ledning i nödsituationer om alla nödåtgärder och kontaktpersoner sedan tidigare finns registrerade i programmet och programmet kan användas mobilt. Då måste i ett nödläge detta verktyg och all erforderlig information samt de IT-system som behövs vara tillgängliga, t.ex. på en bärbar dator. Allt efter krissituation kan det emellertid vara mer ändamålsenligt att ha all information på papper i en praktisk handbok. Det kan finnas lagstadgade eller avtalsmässiga krav på dokumentation vilka ska beaktas. Det kan röra sig om t.ex. hur länge dokumentation ska sparas och detaljeringsgrad. Dokumentationen uppfyller endast sitt ändamål om den upprättas regelbundet och uppdateras. Dessutom måste den märkas och förvaras så att den kan användas när den behövs. Det måste tydligt framgå av vem och när dokumentationen har gjorts. När hänvisning görs till andra dokument måste källorna beskrivas. Mer detaljerad dokumentation måste dessutom finnas tillgänglig vid behov. Säkerhetsrelevant dokumentation kan innehålla information som kräver skydd och måste därför skyddas på lämpligt sätt. Förutom skyddsbehovet måste följande fastställas: förvaringssätt och tid samt hur dokumentationen ska förstöras. I processbeskrivningarna ska det finnas en beskrivning om och hur dokumentationen ska utvärderas. Användning av tillgängliga informationskällor och erfarenheter IT-säkerhet är ett komplext tema så att de som ansvarar för den måste sätta sig in i ämnet noggrant. För detta ändamål finns det ett stort antal informationskällor som kan användas. Det finns bland annat gällande normer och standarder, information på Internet och andra publikationer. Dessutom kan man samarbeta med föreningar, partners, kommittéer, andra företag eller myndigheter samt CERTorganisationer för erfarenhetsutbyte beträffande framgångsrika IT-säkerhetsprojekt. Eftersom ämnet IT-säkerhet är mycket omfattande är det viktigt att identifiera och dokumentera de till respektive institution och ramvillkor passande informationskällorna och samarbetspartners. BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 17

18 5 Resurser för IT-drift och IT-säkerhet Att leva upp till en viss IT-säkerhetsnivå kräver alltid ekonomiska, personella och tidsmässiga resurser som ledningsnivån måste ställa till förfogande i tillräcklig omfattning. Om uppsatta mål inte kan nås till följd av att resurser saknas är det inte de personer som svarar för genomförandet som bär ansvaret utan det är deras chefer. Dessa har satt orealistiska mål respektive inte ställt de resurser som krävs till förfogande. För att inte missa de uppsatta målen är det viktigt att göra en första uppskattning av kostnadsnyttan redan då målen fastställs. Denna aspekt bör fortsatt spela en viktig roll under IT-säkerhetsprocessens förlopp. Å ena sidan för att inte slösa med resurser och å andra sidan för att garantera de investeringar som behövs för att nå den lämpliga säkerhetsnivån. Eftersom IT-säkerhet ofta är sammankopplad med tekniska lösningar är det viktigt att tänka på att investeringar i personella resurser ofta är effektivare än att investeringar i säkerhetsteknik. Enbart teknik löser inga problem. Den måste alltid vävas samman med de organisatoriska ramvillkoren. Även kontrollen av effektivitet och lämplighet hos IT-säkerhetsåtgärder måste säkerställas genom tillräckliga resurser. I praktiken saknar de interna IT-säkerhetsexperterna ofta tid för att analysera alla säkerhetsrelevanta påverkansfaktorer och ramvillkor (t.ex. lagstadgade krav eller tekniska frågor). Delvis saknar de även motsvarande underlag. Det är alltid ändamålsenligt att ta hjälp av externa experter när frågor och problem inte kan redas ut med egna medel. Det måste dokumenteras av de interna IT-säkerhetsexperterna så att ledningsnivån ställer nödvändiga resurser till förfogande. En grundförutsättning för en säker IT-drift är en väl fungerande IT-drift. Därför måste tillräckliga resurser ställas till förfogande för IT-driften. Typiska problem för IT-driften (knappa resurser, överbelastade förvaltare eller en ostrukturerad och dåligt underhållen IT-miljö) måste i regel lösas så att de egentliga ITsäkerhetsåtgärderna kan genomföras verksamt och effektivt. BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 18

19 6 Involvering av medarbetarna i IT-säkerhetsprocessen IT-säkerhet berör alla medarbetare utan undantag. Varje enskild medarbetare kan genom ett ansvars- och kvalitetsmedvetet handlande undvika skador och bidra till framgången. Att öka medvetenheten om ITsäkerhet och motsvarande utbildning av medarbetarna samt alla chefer är därför en grundförutsättning för IT-säkerhet. För att säkerhetsåtgärder ska kunna genomföras som planerat måste medarbetarna förfoga över den bas som behövs. Till denna hör förutom hur säkerhetsmekanismer hanteras även kännedom om ändamålet med säkerhetsåtgärder. IT-säkerheten påverkas i avgörande grad även av arbetsklimat, gemensamma ideal och medarbetarnas engagemang. En grundlig introduktion och utbildning krävs för nyanställd personal och för medarbetare som får nya arbetsuppgifter. I detta sammanhang ska beaktas att säkerhetsrelevanta aspekter rörande respektive arbetsplats förmedlas. När medarbetare lämnar institutionen eller deras ansvarsområde ändras måste denna process kompletteras med lämpliga säkerhetsåtgärder (t.ex. att rättigheter upphör, nycklar och idhandlingar lämnas tillbaka). BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 19

20 7 IT-säkerhetsprocessen Ledningsnivån måste känna till alla relevanta ramvillkor och fastställa IT-säkerhetsmål baserade på företagsmålen respektive myndighetens uppdrag samt skapa förutsättningar för genomförandet. Med en IT-säkerhetsstrategi planeras tillvägagångssättet för att etablera en kontinuerlig IT-säkerhetsprocess. Strategin omsätts med hjälp av ett IT-säkerhetskoncept och en IT-säkerhetsorganisation. Nedan följer därför en beskrivning av de relevanta ledningsverksamheterna för varje livscykelfas. På grund av omfattningen och för att få en bättre översikt beskrivs verksamheterna runt IT-säkerhetskonceptet i ett eget kapitel. 7.1 Planering av IT-säkerhetsprocessen Fastställande av giltighetsområdet i vilket LIS ska gälla [DOK] Ett ledningssystem för informationssäkerhet måste inte nödvändigtvis införas för en hel institution. Därför ska giltighetsområdet för vilket LIS ska gälla först fastställas. Giltighetsområdet omfattar ofta hela institutionen men kan emellertid även avse en eller flera fackuppgifter eller affärsprocesser eller en organisatorisk enhet. Det är här viktigt att de aktuella fackuppgifterna och affärsprocesserna till fullo ingår i det valda giltighetsområdet. I IT-grundskydd används begreppet "IT-miljö" för giltighetsområdet. Den omfattar dessutom alla infrastrukturella, personella och tekniska komponenter som är till hjälp för att lösa uppgifterna i inom detta tillämpningsområde av informationsbearbetningen. Fastställande av ramvillkor Att skapa IT-säkerhet ät inget självändamål. Informations- och kommunikationsteknik bör på ett ändamålsenligt sätt vara ett stöd för en institutions mål och utgör stöd för affärsprocesser. När IT-strategin tas fram bör minst följande punkter beaktas: företagets mål respektive myndighetens uppdrag lagstadgade krav och föreskrifter kundkrav och befintliga avtal interna ramvillkor (t.ex. riskhantering inom hela organisationen eller IT-infrastruktur), (IT-stödda) affärsprocesser och fackuppgifter globala hot mot affärsverksamheten genom IT-säkerhetsrisker (t.ex. imageskador, lagbrott, brott mot avtalade åligganden, stöld av forskningsresultat). Formulering av IT-säkerhetsmål och en IT-säkerhetspolicy [DOK] IT-säkerhetsmål måste fastställas och strategiska riktlinjer upprättas hur målen ska uppnås. Kärnpunkterna dokumenteras i en IT-säkerhetspolicy (engelska: information security policy eller IT security policy). ITsäkerhetspolicyn bör minst innehålla uppgifter om följande: myndighetens eller företagets IT-säkerhetsmål IT-säkerhetsmålens relation till affärsmålen eller institutionens uppgifter eftersträvad IT-säkerhetsnivå riktlinjer hur den eftersträvade IT-säkerhetsnivån ska uppnås riktlinjer huruvida och på vilket sätt IT-säkerhetsnivån ska påvisas. Policyn beslutas av ledningen och tillkännages inom organisationen. BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 20

21 Uppbyggnad av en IT-säkerhetsorganisation [DOK] Till planeringen av en IT-säkerhetsorganisation hör fastställandet av organisationsstrukturer (t.ex. avdelningar, grupper, kompetenscenter) och att definiera roller och uppgifter. På översta ledningsnivå ska en för informationssäkerhet ansvarig chef utnämnas, det kan t.ex. vara en person ur ledningsgruppen. Dessutom måste minst en IT-säkerhetsansvarig utses. Denne måste regelbundet kunna rapportera oberoende av den högsta ledningsnivån. 7.2 Genomförande av IT-säkerhetspolicyn För att de uppsatta IT-målen ska nås måste ett IT-säkerhetskoncept upprättas. För att erhålla en bättre översikt beskrivs i ett eget kapitel hur ett IT-säkerhetskoncept kan planeras och genomföras samt hur ITsäkerhetsnivån kan upprätthållas och förbättras. Resultaten från kontrollen av IT-säkerhetsåtgärderna tas sedan med i IT-säkerhetsprocessens resultatkontroll och bedöms av ledningsnivån. 7.3 Resultatkontroll i IT-säkerhetsprocessen En resultatkontroll och bedömning av IT-säkerhetsprocessen genom ledningsnivån bör äga rum regelbundet (ledningens bedömning). Vid behov (t.ex. vid ökat antal IT-säkerhetsincidenter eller viktiga ändringar av ramvillkoren) måste sammanträden hållas utöver det planerade sammanträdesprogrammet. Alla resultat och beslut måste dokumenteras så att de är spårbara [DOK]. Vid diskussion bör bland annat följande frågor behandlas: Har ramvillkoren ändrats vilket medför att tillvägagångssättet vad gäller IT-säkerhet måste ändras? Är IT-säkerhetsmålen fortfarande lämpliga? Är IT-säkerhetspolicyn fortfarande aktuell? Vid resultatkontroll av IT-säkerhetsprocessen ligger tyngdpunkten inte på kontroll av enskilda ITsäkerhetsåtgärder eller organisatoriska bestämmelser utan på en helhetsbedömning. Till exempel kan det visa sig att den säkra driften av en Internetportal är för dyr för ett litet företag. Ledningsnivån skulle då som alternativ kunna låta ett annat företag sköta driften. Härvid är det till hjälp att kontrollera hur bra IT-säkerhetskonceptet och IT-säkerhetsorganisationen hittills har visat sig vara. I kapitlet om IT-säkerhetskonceptet beskrivs olika aktiviteter för resultatkontroll av enskilda IT-säkerhetsåtgärder. De där samlade resultaten bör beaktas vid resultatkontrollen av ITsäkerhetsstrategin. Om det till exempel visar sig at IT-säkerhetsåtgärderna inte är effektiva eller att de är uttalat dyra kan det vara ett skäl till att tänka över hela IT-säkerhetsstrategin och göra anpassningar. Följande frågor bör ställas: Är IT-säkerhetsstrategin fortfarande lämplig? Är IT-säkerhetskonceptet lämplig för att nå de uppsatta målen? Uppfylls till exempel kraven enligt lagar och förordningar? Är IT-säkerhetsorganisationen lämplig för att nå målen? Måste dess position inom organisationen stärkas eller skall den kopplas närmare till de interna processerna? Står insatsen dvs. kostnader, personal och material som krävs för att uppnå IT-säkerhetsmålen i ett meningsfullt förhållande till nyttan för institutionen? Resultatkontrollens resultat måste utnyttjas konsekvent för lämpliga ändringar. Det kan betyda att ITsäkerhetsmålen, IT-säkerhetsstrategin eller IT-säkerhetskonceptet ändras och att IT-säkerhetsorganisationen anpassas till kraven. I vissa fall är det lämpligt att göra fundamentala ändringar av IT- BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 21

22 miljön eller av affärsprocesser eller att lägga ut driften när det inte går att garantera en säker drift med de resurser som finns till förfogande. Om stora förändringar utförs och omfattande förbättringar införs sluter sig ledningscirkeln åter genom att planeringsfasen startar på nytt. BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 22

23 8 IT-säkerhetskoncept 8.1 Upprättande av IT-säkerhetskonceptet För att IT-säkerhetsmålen ska uppfyllas och den eftersträvade IT-säkerhetsnivån uppnås måste man först klart förstå hur IT-risker kan utgöra ett hot mot affärsprocesser och fullgörandet av uppgifter. Därefter måste man ta beslut om hur dessa risker ska hanteras. I detalj är följande moment nödvändiga. Val av en metod för riskbedömning [DOK] Möjliga skador på affärsverksamheten och en institutions uppgifter till följd av IT-säkerhetsincidenter måste analyseras och bedömas. En metod för riskbedömning ingår därför i varje ledningssystem för informationssäkerhet. För att kunna bestämma en risk måste hoten fastställas och en bedömning ske av deras skadepotential och sannolikheten för att de uppkommer. Olika metoder för riskbedömning används beroende på aktuell situation, organisatoriska randvillkor, aktuell bransch samt eftersträvad ITsäkerhetsnivå. Ledningen för informationssäkerhet måste välja ut en metod som är lämplig med hänsyn till institutionens typ och storlek. Metodvalet påverkar i hög grad arbetsinsatsen för att ta fram ITsäkerhetskonceptet. Olika typer av riskbedömning finns beskrivna i normen ISO/IEC Utifrån denna norm har BSI utvecklat flera metoder och provat dessa i praktiken. I IT-grundskydd-tillvägagångssättet beskrivs en mycket verklighetsanknuten metod för riskbedömning vilken kan genomföras med hjälp av ITgrundskydd-katalogen. Detta tillvägagångssätt kompletteras genom BSI-standarden "Risikoanalyse basierend auf IT-Grundschutz" (Riskanalys baserad på IT-grundskydd). Tillämpningen av IT-grundskydd eller andra kända framgångsrika arbetssätt har fördelen att den egna arbetsinsatsen klart reduceras eftersom författarna redan beskriver en konkret metod och förslår lämpliga IT-säkerhetsåtgärder. Figur 6: Översikt över ett IT-säkerhetskoncepts livscykel BSI-standard 100-1: Ledningssystem för informationssäkerhet (LIS) Sidan 23

BSI-standard:100-2 IT-grundskydd-tillvägagångssätt Version 1.0

BSI-standard:100-2 IT-grundskydd-tillvägagångssätt Version 1.0 BSI-standard:100-2 IT-grundskydd-tillvägagångssätt Version 1.0 Innehållsförteckning 1 Inledning...4 1.1 Versionshistorik...4 1.2 Målsättning...4 1.3 Målgrupp...4 1.4 Tillämpning...5 1.5 Litteraturförteckning...6

Läs mer

Processinriktning i ISO 9001:2015

Processinriktning i ISO 9001:2015 Processinriktning i ISO 9001:2015 Syftet med detta dokument Syftet med detta dokument är att förklara processinriktning i ISO 9001:2015. Processinriktning kan tillämpas på alla organisationer och alla

Läs mer

ISO/IEC och Nyheter

ISO/IEC och Nyheter ISO/IEC 27001 och 27002 Nyheter Bakgrund till revisionen ISO/IEC 27001 och 27002 var cirka 10 år gamla och behövde uppdateras Harmonisering av ledningssystem (Annex SL) ISO/IEC 27001:2013(2014) ISO/IEC

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Riktlinjer för internkontroll i Kalix kommun

Riktlinjer för internkontroll i Kalix kommun Riktlinjer för internkontroll i Kalix kommun Antaget av kommunfullmäktige 2012-11-26--27, 182 Innehållsförteckning Riktlinjer för internkontroll i Kalix kommun...1 Inledning...1 Internkontroll...1 Organisation

Läs mer

Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök

Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök Göteborgs universitet 2007-06-26 Intern miljörevision Exempel på frågor vid platsbesök Nedan finns exempel på frågor som kan ställas vid platsbesök inom den interna miljörevisionen. Ytterligare följdfrågor

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Förklarande text till revisionsrapport Sid 1 (5)

Förklarande text till revisionsrapport Sid 1 (5) Förklarande text till revisionsrapport Sid 1 (5) Kravelementen enligt standarden ISO 14001:2004 Kap 4 Krav på miljöledningssystem 4.1 Generella krav Organisationen skall upprätta, dokumentera, införa,

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Observera att denna konsoliderade version är en sammanställning, och att den tryckta författningen är den officiellt giltiga. En konsoliderad version är en fulltextversion där alla ändringar har införts

Läs mer

Samma krav gäller som för ISO 14001

Samma krav gäller som för ISO 14001 Förordning (2009:907) om miljöledning i statliga myndigheter Relaterat till motsvarande krav i ISO 14001 och EMAS De krav som ställs på miljöledningssystem enligt EMAS är samma som ingår i ISO 14001. Dessutom

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket 15-12-07 1/6 Tillämpningsområde 1 Denna författning innehåller bestämmelser om myndigheternas arbete med informationssäkerhet och deras tillämpning av standarder i sådant arbete. 2 Författningen gäller

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting Informationssäkerhetspolicy för Stockholms läns landsting 1 Innehållsförteckning Inledning... 3 Mål... 4 Omfattning... 4 Innebörd... 4 Ansvar... 6 Uppföljning och revidering... 7 LS 1112-1733 Beslutad

Läs mer

Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004

Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004 Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004 I checklistan gäller det att instämma med de påståenden som anges i listan för att vara säker på att verksamhetens miljöledningssystem

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

Planera genomförande

Planera genomförande Planera genomförande www.informationssäkerhet.se 2 Upphovsrätt Tillåtelse ges att kopiera, distribuera, överföra samt skapa egna bearbetningar av detta dokument, även för kommersiellt bruk. Upphovsmannen

Läs mer

BSI-standard100-3 Riskanalys på grundval av IT-Grundschutz (IT-grundskydd) Version 2.0

BSI-standard100-3 Riskanalys på grundval av IT-Grundschutz (IT-grundskydd) Version 2.0 BSI-standard100-3 Riskanalys på grundval av IT-Grundschutz (IT-grundskydd) Version 2.0 Innehållsförteckning 1 Inledning... 3 1.1 Versionshistorik... 3 1.2 Målsättning... 3 1.3 Målgrupp... 4 1.4 Tillämpning...

Läs mer

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda IT governance i praktiken: Styrning och kontroll över ITriskerna med ISO2700X Fredrik Björck Transcendent Group för ADBJ 2006-01-31 Agenda IT governance definierat IT governance i praktiken och infosäk

Läs mer

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Riktlinjer avseende Informationssäkerheten Sida 1 Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Informationssäkerhet är en del i kommunernas lednings- och kvalitetsprocess

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet 2010-11-22 Beslut 1(9) Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet Inledning Universitetsstyrelsen fastställde 2002-02-27 IT-strategi för Linköpings universitet. Där fastslås

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010. Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice

Läs mer

SVENSK STANDARD SS-ISO/IEC 27001:2014

SVENSK STANDARD SS-ISO/IEC 27001:2014 SVENSK STANDARD SS-ISO/IEC 27001:2014 Fastställd/Approved: 2014-02-26 Publicerad/Published: 2014-02-27 Utgåva/Edition: 2 Språk/Language: svenska/swedish; engelska/english ICS: 01.140.30; 04.050; 33.040.40;

Läs mer

Policy och strategi för informationssäkerhet

Policy och strategi för informationssäkerhet Styrdokument Dokumenttyp: Policy och strategi Beslutat av: Kommunfullmäktige Fastställelsedatum: 2014-10-23, 20 Ansvarig: Kanslichefen Revideras: Vart 4:e år eller vid behov Följas upp: Vartannat år Policy

Läs mer

Ledningen i fokus - starkare styrning krävs för att utveckla statlig verksamhet med bra och säkra IT-/e-tjänster

Ledningen i fokus - starkare styrning krävs för att utveckla statlig verksamhet med bra och säkra IT-/e-tjänster Bengt E W Andersson 2008-11-19 Föredrag vid Dokumentinfos Strategiseminarium, IT i offentlig sektor offentliga e-tjänster, den 19 november 2008, World Trade Center, Stockholm. Ledningen i fokus - starkare

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

IT-Policy. Tritech Technology AB

IT-Policy. Tritech Technology AB IT-Policy Tritech Technology AB 1 av 6 Innehåll 1 Dokumentinformation...3 1.1 Syfte och målgrupp 3 1.2 Ansvar 3 1.3 Nyttjande 3 1.4 Distribution 3 1.5 Versionshistorik 3 1.6 Godkännande 3 2 IT-Policy...4

Läs mer

Bilaga 3 Säkerhet Dnr: /

Bilaga 3 Säkerhet Dnr: / stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav på säkerhetsarbete

Läs mer

RIKTLINJER FÖR STYRDOKUMENT

RIKTLINJER FÖR STYRDOKUMENT RIKTLINJER FÖR STYRDOKUMENT Fastställt av: Kommunfullmäktige Datum: 2012-06-19, 81 För revidering ansvarar: Kommunstyrelsen För eventuell uppföljning och tidplan ansvarar: - Dokumentet gäller för: Alla

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Säkerhet i fokus. Säkerhet i fokus

Säkerhet i fokus. Säkerhet i fokus Säkerhet i fokus Säkerhet i fokus Säkerhet är en av våra viktigaste frågor. Våra hyresgäster bedriver en daglig verksamhet i allt från kriminalvårds anstalter och domstolsbyggnader till speciella vårdhem

Läs mer

Inga krav utöver ISO 14001

Inga krav utöver ISO 14001 Förordning (2009:907) om miljöledning i statliga myndigheter Relaterat till motsvarande krav i ISO 14001 och EMAS De krav som ställs på miljöledningssystem enligt EMAS utgår från kraven i ISO 14001. Dessutom

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

Riktlinjer för intern styrning och kontroll

Riktlinjer för intern styrning och kontroll 1(10) Riktlinjer för intern styrning och kontroll 2(10) 1. Syfte Dessa riktlinjer syftar till att övergripande beskriva hur AP7 arbetar med frågor som rör intern styrning och kontroll. Riktlinjerna avser

Läs mer

Policy för internkontroll för Stockholms läns landsting och bolag

Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag 2 (6) Innehållsförteckning Policy för internkontroll... 1 för Stockholms

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr:0036/13 Kommunalförbundet ITSAM, Storgatan 36A, 590 36

Läs mer

Produktstöd - Vägledning till dokumentationskraven i SS-EN ISO 9001:2000

Produktstöd - Vägledning till dokumentationskraven i SS-EN ISO 9001:2000 Document: STG/PS K 525SV1 Produktstöd - Vägledning till dokumentationskraven i SS-EN ISO 9001:2000 SIS, Projekt Kvalitetsledning 1 1) Introduktion Produktstöd Två av de viktigaste målsättningarna i arbetet

Läs mer

Vägledning för krav på dokumenterad information enligt ISO 9001:2015

Vägledning för krav på dokumenterad information enligt ISO 9001:2015 Vägledning för krav på dokumenterad information enligt ISO 9001:2015 1 Orientering Två av de viktigaste målen vid revideringen av standarderna i ISO 9000-serien var att a) utveckla förenklade standarder

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Skapa ett ledningssystem för informationssäkerhet (LIS) enligt nya ISO/IEC 27003. eller konsten att införa LIS

Skapa ett ledningssystem för informationssäkerhet (LIS) enligt nya ISO/IEC 27003. eller konsten att införa LIS Skapa ett ledningssystem för informationssäkerhet (LIS) enligt nya ISO/IEC 27003 eller konsten att införa LIS Jan Branzell Veriscan Security AB Lärare inom SIS informationssäkerhetsakademi Co-Editor för

Läs mer

Övergripande granskning av ITverksamheten

Övergripande granskning av ITverksamheten Övergripande granskning av ITverksamheten Februari 2006 (1) 1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads

Läs mer

IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige. Senast reviderad 2012-08-27. Beskriver IT-säkerhetarbetet.

IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige. Senast reviderad 2012-08-27. Beskriver IT-säkerhetarbetet. 2012-08-27 Sidan 1 av 6 IT-säkerhetspolicy Dokumentnamn Dokumenttyp Fastställd/upprättad Diarie nummer Fastställd av IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige Dokumentansvarig/ processägare

Läs mer

Policy för informationssäkerhet

Policy för informationssäkerhet .. - T C Q o,.. e Policy för informationssäkerhet Landstingsdirektörens stab augusti 2015 CJiflt LANDSTINGET BLEKINGE Innehållsförteckning Inledning och bakgrund... 3 Syfte... 3 Mål... 3 Genomförande...

Läs mer

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet. Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet. Följande allmänna råd ansluter till förordningen (2006:942) om krisberedskap och

Läs mer

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål. Informationssäkerhetspolicy 2011-2014 1. Bakgrund Detta dokument fastställs av kommunfullmäktige och gäller för all verksamhet inom kommunen. Detta betyder att det inte finns utrymme att besluta om lokala

Läs mer

Förstudie: Övergripande granskning av ITdriften

Förstudie: Övergripande granskning av ITdriften Revisionsrapport Förstudie: Övergripande granskning av ITdriften Jönköpings Landsting Juni 2013 Innehållsförteckning Sammanfattning... 1 1. Inledning... 2 1.1. Bakgrund... 2 1.2. Uppdrag och revisionsfrågor...

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet 2 (8) Innehållsförteckning Bilaga 3 Säkerhet 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll

Läs mer

Skärpta krav för informationssäkerhet, IT-verksamhet och insättningssystem. Jonas Edberg och Johan Elmerhag 20 maj, GRC 2015

Skärpta krav för informationssäkerhet, IT-verksamhet och insättningssystem. Jonas Edberg och Johan Elmerhag 20 maj, GRC 2015 Skärpta krav för informationssäkerhet, IT-verksamhet och insättningssystem Jonas Edberg och Johan Elmerhag 20 maj, GRC 2015 Om företaget Hos Transcendent Group möter du erfarna konsulter inom governance,

Läs mer

Riktlinjer för styrdokument

Riktlinjer för styrdokument Riktlinjer för styrdokument Fastställt av: Kommunfullmäktige Datum: 2014-12-15, 135 Diarienummer: 2014-000378 För revidering ansvarar: Kommunchef För eventuell uppföljning och tidplan ansvarar: Kommunchef

Läs mer

GRUNDERNA FÖR INTERN KONTROLL OCH RISKHANTERING

GRUNDERNA FÖR INTERN KONTROLL OCH RISKHANTERING KARLEBY STAD September 2014 Centralförvaltningen GRUNDERNA FÖR INTERN KONTROLL OCH RISKHANTERING INNEHÅLL 1. ALLMÄNT 2. MÅL, SYFTEN OCH BEGREPP INOM INTERN KONTROLL OCH RISKHANTERING 3. UPPGIFTER OCH ANSVAR

Läs mer

2009-05-04. Informationssäkerhetspolicy

2009-05-04. Informationssäkerhetspolicy 2009-05-04 Informationssäkerhetspolicy 2 1 POLICYNS ROLL I INFORMATIONSSÄKERHETSARBETET... 3 2 ALLMÄNT OM INFORMATIONSSÄKERHET... 3 3 MÅL... 4 4 ORGANISATION, ROLLER OCH ANSVAR... 4 4.1 ÖVERGRIPANDE ANSVAR...5

Läs mer

IT-Säkerhetspolicy för Munkfors, Forshaga, Kils och Grums kommun

IT-Säkerhetspolicy för Munkfors, Forshaga, Kils och Grums kommun n av 5 för Munkfors, Forshaga, Kils och Grums kommun April 2005 av IT-samverkansgruppen n 2 av 5. IT-säkerhetspolicyns roll i IT-säkerhetsarbetet. Inledning IT-säkerhet är en del i organisationens lednings-

Läs mer

Att införa kvalitets- och miljöledning i projektform

Att införa kvalitets- och miljöledning i projektform Att införa kvalitets- och miljöledning i projektform En kort sammanfattning En kurs som ger måleriföretaget allt som krävs för att kunna driva ett bra kvalitets- och miljöarbete. Under kursen inför kursdeltagarna

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010. Revisionsrapport Kungl. Konsthögskolan Box 163 65 103 26 Stockholm Datum Dnr 2011-03-09 32-2010-0732 Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

Miljöledningsnytt - nya ISO 14001 & andra nyheter

Miljöledningsnytt - nya ISO 14001 & andra nyheter Miljöledningsnytt - nya ISO 14001 & andra nyheter EU - Näringslivet - Miljön 2005-01-26 (uppdaterad 2005-04-14) ENVIVE AB Pia M Berglund-Lundström www.envive.se Övergång till ISO 14001:2004 Förberedelsetid

Läs mer

Riskbaserat tänkande i ISO 9001:2015

Riskbaserat tänkande i ISO 9001:2015 Riskbaserat tänkande i ISO 9001:2015 Syftet med detta dokument är att förklara riskbaserat tänkande i ISO 9001 bemöta uppfattningar om och oro för att riskbaserat tänkande ersätter processinriktning bemöta

Läs mer

SOLLENTUNA FÖRFATTNINGSSAMLING 1

SOLLENTUNA FÖRFATTNINGSSAMLING 1 FÖRFATTNINGSSAMLING 1 IT-STRATEGI FÖR SOLLENTUNA KOMMUN Antagen av fullmäktige 2003-09-15, 109 Inledning Informationstekniken har utvecklats till en världsomspännande teknik som omfattar datorer, telefoni,

Läs mer

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799 2003-01-24 Energibranschens IT-säkerhet 1 (13) Att införa LIS Förberedelser inför anpassning till ISO/IEC 17799 Vad är informationssäkerhet? Information är en tillgång som, liksom andra viktiga tillgångar

Läs mer

Policy för intern kontroll

Policy för intern kontroll Grästorps kommun Kommunförvaltningen Allmän verksamhet Styrdokument Dnr 160/2016 Policy för intern kontroll Fastställd av Kommunfullmäktige 2016-06-13 50. Uppdateras före 2020-12-31. 1/6 Inledning I kommunallagen

Läs mer

Stöd och lärande. Ledningssystem för systematiskt kvalitetsarbete inom Stöd och Lärande Tomelilla Kommun.

Stöd och lärande. Ledningssystem för systematiskt kvalitetsarbete inom Stöd och Lärande Tomelilla Kommun. Stöd och lärande Ledningssystem för systematiskt kvalitetsarbete inom Stöd och Lärande Tomelilla Kommun. Innehåll Inledning... 3 Syfte... 3 Kvalitetsindikatorer... 3 Lagrum... 3 Berörda... 3 Utveckling...

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010. Revisionsrapport Gymnastik- och idrottshögskolan Box 5626 114 86 Stockholm Datum Dnr 2011-03-08 32-2010-0728 Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan

Läs mer

IT-säkerhetspolicy. Fastställd av KF 2005-02-16

IT-säkerhetspolicy. Fastställd av KF 2005-02-16 IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten

Läs mer

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016 Informationssäkerhetspolicy Informationssäkerhetspolicy för Vingåkers kommun 013-016 Innehållsförteckning 1 Mål... Syfte... 3 Ansvarsfördelning... 4 Definition... 5 Genomförande och processägare... 3 Dokumentnamn

Läs mer

OHSAS 18001.2007. Av Benny Halldin

OHSAS 18001.2007. Av Benny Halldin OHSAS 18001.2007 Av Benny Halldin Revision av OHSAS 18001 Ny standard klar juni/juli 2007! Mer lika ISO 14 001.2004 Mer tonvikt på Hälsa även psykisk sådan. Anläggningssäkerhet borttaget. Nytt avsnitt

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

Handledning i informationssäkerhet Version 2.0

Handledning i informationssäkerhet Version 2.0 Handledning i informationssäkerhet Version 2.0 2013-10-01 Dnr 1-516/2013 (ersätter Dnr 6255/12-060) Informationssäkerhet 6 saker att tänka på! 1. Skydda dina inloggningsuppgifter och lämna aldrig ut dem

Läs mer

UTBILDNING: Nya ISO 14001:2015

UTBILDNING: Nya ISO 14001:2015 UTBILDNING: Nya ISO 14001:2015 Introduktion Tidigare ISO-standarden för miljöledning har funnits länge; sedan 2004. Under dessa år har omvärlden förändrats, miljöfrågor blivit allt viktigare och begreppet

Läs mer

Kontinuitetshantering IT-avbrott - hur beroende är ditt företag?

Kontinuitetshantering IT-avbrott - hur beroende är ditt företag? Kontinuitetshantering IT-avbrott - hur beroende är ditt företag? IT-avbrott - hur beroende är ditt företag? Automatisk kontroll av mängd och vikt, kontinuerlig övervakning av kyl- och frystemperaturer,

Läs mer

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21 IT-säkerhetspolicy Antagen av kommunfullmäktige 2004-06-21 1 Det moderna samhället är starkt beroende av att elförsörjning, telekommunikationer och IT-system fungerar. Om dessa påverkas kan svåra störningar

Läs mer

Välja säkerhetsåtgärder

Välja säkerhetsåtgärder Välja säkerhetsåtgärder www.informationssäkerhet.se 2 Upphovsrätt Tillåtelse ges att kopiera, distribuera, överföra samt skapa egna bearbetningar av detta dokument, även för kommersiellt bruk. Upphovsmannen

Läs mer

LARM OCH SÄKERHETSTEKNIK

LARM OCH SÄKERHETSTEKNIK LARM OCH SÄKERHETSTEKNIK Larm- och säkerhetstekniska systems huvuduppgift är att varna för eller skydda mot olika typer av faror för människa eller egendom. Allt arbete med denna typ av system kräver ett

Läs mer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf

Läs mer

1 (5) Informationssäkerhetspolicy 2008-10-21. Informationssäkerhetspolicy. Ver 3.0

1 (5) Informationssäkerhetspolicy 2008-10-21. Informationssäkerhetspolicy. Ver 3.0 Informationssäkerhetspolicy 1 (5) 2008-10-21 Informationssäkerhetspolicy Ver 3.0 2 (5) 1 POLICYNS ROLL I INFORMATIONSSÄKERHETSARBETET... 3 2 ALLMÄNT OM INFORMATIONSSÄKERHET... 3 3 MÅL... 4 4 ORGANISATION,

Läs mer

RIKTLINJER FÖR IT-SÄKERHET

RIKTLINJER FÖR IT-SÄKERHET FÖRFATTNINGSSAMLING (8.1.3) RIKTLINJER FÖR IT-SÄKERHET Dokumenttyp Riktlinjer Ämnesområde IT Ägare/ansvarig IT-strateg Antagen av KS 2012-02-08 47 Revisions datum Förvaltning KSF, stab Dnr KS/2010:1056

Läs mer

ISO/IEC 20000, marknaden och framtiden

ISO/IEC 20000, marknaden och framtiden ISO/IEC 20000, marknaden och framtiden Frukostseminarium 2009-10-05 Anita Myrberg BiTA Service Management anita.myrberg@bita.eu Agenda ISO/IEC 20000 Vad, varför, hur börja? Relation till andra standarder

Läs mer

Ledningssystem för kvalitet en introduktion

Ledningssystem för kvalitet en introduktion ISO 9001 Ledningssystem för kvalitet en introduktion Innehåll 3 Vad är ett ledningssystem för kvalitet? 3 ISO 9001 4 Varför ska man ha ett kvalitetsledningssystem? 5 Hur man börjar? 7 Vad betyder certifiering?

Läs mer

Informationssäkerhetspolicy för Vetlanda kommun

Informationssäkerhetspolicy för Vetlanda kommun 1 (10) Informationssäkerhetspolicy för Vetlanda kommun Dokumenttyp: Policy Beslutad av: Kommunfullmäktige (2015-12-16 202) Gäller för: Alla kommunens verksamheter Giltig fr.o.m.: 2015-12-16 Dokumentansvarig:

Läs mer

Anmälan om. schablonmetoden, operativ risk

Anmälan om. schablonmetoden, operativ risk Anmälan om Februari 2007 schablonmetoden, operativ risk N Allmän information om anmälningsförfarandet Detta dokument innehåller Finansinspektionens krav på hur en anmälan om att använda schablonmetoden

Läs mer

Matriser för korrelation mellan ISO 9001:2008 och ISO 9001:2015

Matriser för korrelation mellan ISO 9001:2008 och ISO 9001:2015 Matriser för korrelation mellan ISO 9001:2008 och ISO 9001:2015 Detta dokument innehåller matriser för korrelation mellan ISO 9001:2008 och ISO 9001:2015 samt mellan ISO 9001:20015 och ISO 9001:2008. Dokumentet

Läs mer

1 (7) Arbetsgången enligt BITS-konceptet

1 (7) Arbetsgången enligt BITS-konceptet 1 (7) Arbetsgången enligt BITS-konceptet 2 (7) Innehållsförteckning ALLMÄNT OM BITS-KONCEPTET... 3 CENTRALA BEGREPP... 3 BITS-KONCEPTETS PRODUKTER... 3 KOPPLING TILL ISO 27000... 4 ARBETSGÅNG ENLIGT BITS-KONCEPTET...

Läs mer

Policy för informationssäkerhet

Policy för informationssäkerhet Policy för informationssäkerhet Informationssäkerhet är den del i organisationens lednings- och kvalitetsprocess som avser hantering av verksamhetens information. Informationssäkerhetspolicyn och särskilda

Läs mer

SIS tre produktområden

SIS tre produktområden SIS tre produktområden Standardisering SIS, Swedish Standards Institue En kund till SIS kan: påverka standarders inriktning och innehåll få tillgång till och kunskap om standarder och deras tillämpning

Läs mer

MANUAL ADVANIA LEDNINGSSYSTEM

MANUAL ADVANIA LEDNINGSSYSTEM MANUAL ADVANIA LEDNINGSSYSTEM Innehållsförteckning: sidan Syfte och omfattning... 3 Kort om Advania... 3 Affärsidé... 3 Kvalitetspolicy... 4 Miljöpolicy... 4 Arbetsmiljöpolicy... 5 Jämställdhetspolicy...

Läs mer

UTBILDNING: Nya ISO 14001:2015

UTBILDNING: Nya ISO 14001:2015 UTBILDNING: Nya ISO 14001:2015 Introduktion Den nuvarande ISO-standarden för miljöledning har funnits länge; sedan 2004. Under dessa år har omvärlden förändrats, miljöfrågor blivit allt viktigare och begreppet

Läs mer

Handledare. Yrkesintroduktionsanställning (YA) Serviceentreprenad Specialservice. Utgåva 2 1

Handledare. Yrkesintroduktionsanställning (YA) Serviceentreprenad Specialservice. Utgåva 2 1 Handledare Yrkesintroduktionsanställning (YA) Serviceentreprenad Specialservice Utgåva 2 1 Grattis! Du har tackat ja till uppgiften att vara handledare för en YAanställd på din arbetsplats en uppgift som

Läs mer

Styr och utveckla ditt IT-stöd utifrån internationella standarder

Styr och utveckla ditt IT-stöd utifrån internationella standarder Styr och utveckla ditt IT-stöd utifrån internationella standarder Frukostseminarium 2008-09-19 Anita Myrberg BiTA Service Management Agenda ISO/IEC 20000 Relation till andra standarder Varför styra en

Läs mer

Vad menar vi med ett innovationssystem?

Vad menar vi med ett innovationssystem? Vad menar vi med ett innovationssystem? 1 Teknisk specifikation SIS-CEN/TS 16555-1:2013 Ett ledningssystem för innovation är en vägledning för en organisation för att leda och organisera innovation Kan

Läs mer

Vilket mervärde ger certifiering dig?

Vilket mervärde ger certifiering dig? Vilket mervärde ger certifiering dig? En debatt Håkan Skyllberg, KPMG Inger Nordin, WM-data Validation Information Risk Management 0 Presentation Håkan! Medytekk AB! Tillverkning av läkemedel & medicinskteknisk

Läs mer

IT-säkerhetspolicy för Landstinget Sörmland

IT-säkerhetspolicy för Landstinget Sörmland Bilaga 1, LS 115 /02 1.0 1(5) IT-säkerhetspolicy för Landstinget Sörmland Inledning Bakgrund och motiv Mål Medel Omfattning Organisation och ansvar Regelverk 1.0 2(5) Inledning Policyn är landstingsstyrelsens

Läs mer

Kravställning på e-arkiv från informationssäkerhetsperspektiv

Kravställning på e-arkiv från informationssäkerhetsperspektiv Kravställning på e-arkiv från informationssäkerhetsperspektiv Författare: Delprojektgruppen informationssäkerhet Årtal: 2014 Författare: Delprojektgruppen informationssäkerhet Sammanfattning Inom ramen

Läs mer

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och beredskap föreskriver. I dokumentet kommer fortsättningsvis

Läs mer

IT-Systemförvaltningspolicy

IT-Systemförvaltningspolicy n av 5 för Munkfors, Forshaga, Kils och Grums kommun April 2005 av IT-samverkansgruppen n 2 av 5 Inledning Policyn ger en övergripande, generell bild av hur kommunerna ska arbeta med systemförvaltning

Läs mer

Jämtlands Gymnasieförbund

Jämtlands Gymnasieförbund Jämtlands Gymnasieförbund Svar på revisionsrapport - Granskning av ITsäkerhetspolicy Dnr 212-2013 Linda Lignell Innehållsförteckning 1. Allmänt... 3 2. Efterlevnad av policyn... 3 2.1. IT-säkerhetspolicy...

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete 2014 En bild av myndigheternas informationssäkerhet 2014 tillämpning av MSB:s föreskrifter Enkätundersökning februari 2014 Utskick

Läs mer

Organisation av och uppföljning av intern kontroll

Organisation av och uppföljning av intern kontroll Dnr VON-2015-91 Dpl 00 sid 1 (7) VÅRD- OCH OMSORGSFÖRVALTNINGEN Biståndskontoret Tjänsteyttrande 2015-03-05 Mikael Lind, 0545405452 mikael.lind@karlstad.se Organisation av och uppföljning av intern kontroll

Läs mer

Revisionschecklista för ISO 9001:2008. Översättning och bearbetning av SNV Audit-Checkliste für ISO 9001:2008

Revisionschecklista för ISO 9001:2008. Översättning och bearbetning av SNV Audit-Checkliste für ISO 9001:2008 Revisionschecklista för ISO 9001:2008 Översättning och bearbetning av SNV Audit-Checkliste für ISO 9001:2008 2009 SIS Förlag SIS HB 386 Revisionschecklista för ISO 9001 Originaltitel SNV Audit-Checkliste

Läs mer