Processbeskrivning - Informationssäkerhet

Transkript

1 ProcIT-P-019 Processbeskrivning - Informationssäkerhet Lednings- och kvalitetssystem Fastställt av Sven Arvidson

2 Innehållsförteckning 1 Inledning 3 2 Informationssäkerhetsprocessen 5 3 Omvärldsbevakning - delprocess Syfte Ansvar Delprocesser 8 4 Hantera IT-säkerhet - delprocess Syfte Ansvar Delprocesser 11 5 Administrativ säkerhet delprocess Syfte Ansvar Delprocesser 16 6 Intressenter 19 7 Roller 20 8 Mallar/Checklistor/Verktyg 20 9 Ordlistor och definitioner Ordlista för processbegrepp Ordlista för Informationssäkerhetsprocessen Förvaltning av processen Referenser 22 Informationssäkerhetsprocessen[3.0].doc 2(22)

3 1 Inledning Detta processdokument beskriver på en övergripande nivå hur arbetet med informationssäkerhet ska bedrivas vid. Syfte med processdokumentet Dokumentets huvudsakliga syfte är att beskriva ett gemensamt arbetssätt för de som ansvarar för det operativa arbete som bedrivs inom informationssäkerhetsområdet. Därtill utgör processdokumentet ett utmärkt underlag vid diskussioner med säkerhetsfunktionens uppdragsgivare. Målgrupper för processdokumentet Primär målgrupp för processdokumentet är de personer som ansvarar för det operativa arbetets genomförande. Andra aktuella målgrupper utgörs av befintliga uppdragsgivare, presumtiva uppdragsgivare samt interna samverkansgrupper inom informationssäkerhetsområdet vid Uppsala universitet. Omfattning för processdokumentet Dokumentet gäller för det operativa arbetet som utförs vid. Informationssäkerhetsprocessen[3.0].doc 3(22)

4 Symboler i processbeskrivningarna Nedanstående symboler används i processbeskrivningarna. Start Slut Markerar start resp slut i flöde delprocess s Logiskt avgränsad del av processen, omfattar en eller flera aktiviteter inflöde/ utflöde Inflöde, information, dokument, material som startar eller används i aktivitet/process Utflöde, dvs resultatet av aktivitet/process Aktivitet Beskriver vad som utförs Flödets riktning Parallella vägar i flöde Vägval Här tar flödet olika väg beroende på situationen Funktion/roll Informationssäkerhetsprocessen[3.0].doc 4(22)

5 2 Informationssäkerhetsprocessen Informationssäkerhetsprocessen beskriver de delprocesser som ingår i det dagliga informationssäkerhetsarbetet vid. För varje delprocess beskrivs vilka aktiviteter som ingår. Syfte Processens syfte är att stödja det övergripande syftet med informationssäkerhetsarbetet vid universitetet; att identifiera och hantera risker, störningar och hot mot universitetets informationsresurser på ett sådant sätt att negativa konsekvenser avseende tillgänglighet, riktighet och konfidentialitet kan minimeras. Mål Processens mål är att bidra till att säkerhetsarbetet vid universitetet bedrivs på ett enhetligt, effektivt och mätbart sätt med hänsyn till universitetet, verksamma vid universitetet och allmänhetens behov. Omfattning Processen omfattar de huvudsakliga arbetsuppgifter som ingår i informationssäkerhetsarbetet: Förebygga och hantera informationssäkerhetsrelaterade incidenter Implementera förbättringsåtgärder för brister inom IT-infrastruktur och IT-system Ansvara för att datoransvariga och övriga intressenter får regelbuden information inom området Genomföra riskanalyser av verksamhetskritiska system Identifiera och följa upp att förbättringsåtgärder av säkerheten i verksamhetskritiska system implementeras Tillhandahålla uppdaterade riktlinjer, anvisningar och instruktioner inom området på vår hemsida på ett lättillgängligt och sökbart sätt Omvärldsbevakning av säkerhetsområdet, såväl internt inom universitetet som externt på marknaden Informationssäkerhetsprocessen[3.0].doc 5(22)

6 Starthändelse De starthändelser som sätter igång processen är: Beslut om säkerhetsuppdrag Säkerhetsincidenter Ändringar i lagar och förordningar inom säkerhetsområdet Resultat av omvärldsbevakning inom säkerhetsområdet Krav på förändringar i LIS inkl. underliggande instruktioner, anvisningar, stöddokument etc. Resultat Resultatet från processen är utförda säkerhetsuppdrag. Inflöde Säkerhetsincidenter (rapporterade via e-post, telefon eller personligt besök), tidsstyrda kontroller, säkerhetsuppdrag, organisationsförändringar (personal/roller/datorer) eller förändrade myndighetskrav. Utflöde Hanterade säkerhetsincidenter, dokumenterade riskanalyser och publicerade riktlinjer. Riktlinjer för informationssäkerhet Säkerhetsuppdrag Informationssäkerhet delprocess Utfört säkerhetsuppdrag Informationssäkerhetsprocessen[3.0].doc 6(22)

7 Delprocesser i informationssäkerhetsprocessen Informationssäkerhetsprocessen består av följande delprocesser: Omvärldsbevakning Hantera IT-säkerhet Hantera administrativ säkerhet Omvärldsbevakning Hantera IT-säkerhet Omfattar exempelvis informationsutbyte med andra universitet och högskolor, kurser och konferenser, bevakning av artiklar, tidskrifter och informationsforum på internet. Delprocesser i hantera IT-säkerhet är huvudsakligen bevakning och hantering av säkerhetsincidenter, kontroll av och säkerhetsförbättringar i IT-infrastrukturen och att utfärda säkerhetscertifikat inom universitet och andra Sunet-anslutna verksamheter. Hantera administrativ säkerhet Enligt denna delprocess utförs förvaltning och vidareutveckling av universitetets ledningssystem för informationssäkerhet (LIS) samt uppdrag/beställningar från institutioner/avdelningar eller motsvarande. I de följande avsnitten kommer varje delprocess att beskrivas mer i detalj. Informationssäkerhetsprocessen[3.0].doc 7(22)

8 3 Omvärldsbevakning - delprocess Användning av ny teknik medför också nya hot och risker att förhålla sig till. Att kontinuerligt bevaka teknikområdet på bred front utgör en grundförutsättning för att vi ska kunna upprätthålla säkra miljöer för IT-drift. Ett ständigt flöde av omvärldsinformation samt IT-organisationens verksamhetsplan är de huvudsakliga inflödena till delprocessen. Utflödet (resultatet) av delprocessen kan sammanfattas som en uppdaterad bild av hot mot universitetets IT-system samt åtgärdsplaner för ständiga förbättringar av informationssäkerheten. IT VP Bild av läget Omvärldsinformation Omvärldsbevakning delprocess Hotbild Åtgärdsplan 3.1 Syfte Delprocessens syfte är att vara ett stöd för att universitetet tillgodogör sig information om säkerhetsförändringar i omvärlden, analyserar aktuell information och vidtar adekvata åtgärder. 3.2 Ansvar Informationssäkerhetssamordnare, IT-säkerhet ansvarar för denna delprocess. 3.3 Delprocesser Omvärldsbevakning består av följande delprocesser: Analys av omvärldsinformation Analys av teknisk utveckling Analys av lagar och förordningar Hotbildsbevakning I de följande avsnitten kommer varje delprocess att beskrivas mer i detalj Analys av omvärldsinformation Information om nya hot och risker kommer oss ständigt till del på olika sätt. Mailinglistor, webbsidor, utbyte med organisationer verksamma inom säkerhetsområdet, information som sprids via media utgör exempel på inflöden i denna delprocess. Utflödet kan i vissa fall handla om konkreta Informationssäkerhetsprocessen[3.0].doc 8(22)

9 åtgärder som bör vidtas för att upprätthålla god säkerhet i aktuella IT-miljöer, medan det i andra fall handlar mer om att formulera och sprida korrekt information till berörda inom verksamheten. Syfte Att genom utvärdering av aktuell omvärldsinformation få en korrekt bild av läget för att vidare kunna vidta relevanta åtgärder och sprida korrekt information angående hot och risker. Omfattning Följande aktiviteter ingår i analys av omvärldsinformation: 1. Bedöma aktuell information med avseende på riktighet och allvarlighetsgrad. 2. Om bedömningen visar på ett behov av konkreta operativa åtgärder eller publicering av korrekt information skapas underlag för att kunna genomföra detta Analys av teknisk utveckling Införande av nya programvaror och andra tekniska lösningar kan även medföra nya hot och risker att förhålla sig till. Syfte Att säkerställa en fortsatt trygg IT-miljö vid införande av ny teknik. Omfattning Följande aktiviteter ingår i analys av teknisk utveckling: 3. Bedöma aktuella information. 4. Utfärda rekommendationer om hur ny programvara eller ny teknik används på ett säkert sätt, alternativt inte bör användas alls Analys av lagar och förordningar Som statlig myndighet har vi att förhålla oss till gällande lagar och förordningar med avseende på informationssäkerhet. För att garantera detta krävs att vi ständigt håller oss uppdaterade vad gäller förändringar i dessa. Syfte Att säkerställa gällande lagar och förordningar efterlevs. Omfattning Följande aktiviteter ingår i analys av lagar och förordningar: 1. Förändringar i lagtexter och förordningar stäms av mot intern information och interna instruktioner och stöddokument. 2. Initiera och/eller genomför uppdateringar i intern information och instruktioner och stöddokument för överrensstämmelse med aktuella lagar och förordningar. Informationssäkerhetsprocessen[3.0].doc 9(22)

10 3.3.4 Hotbildsbevakning Universitets IT-miljö utsätts ständigt för nya hot som exempel virusangrepp och intrångsförsök. Syfte Att säkerställa att universitets informationstillgångar hanteras i en fortsatt trygg IT-miljö. Omfattning Följande aktiviteter ingår i hotbildsbevakning: 1. Bevakning och bedömning av aktuell omvärldsinformation (rapporter, säkerhetspatchar etc.). 2. Utforma åtgärdsförslag, exempelvis rekommendationer om hur programvara ska konfigureras för att minimera risken för intrång i känsliga servermiljöer. Informationssäkerhetsprocessen[3.0].doc 10(22)

11 4 Hantera IT-säkerhet - delprocess 4.1 Syfte Delprocessens syfte är att förebygga och avhjälpa störningar i verksamheten avseende IT-säkerhet. 4.2 Ansvar Det arbete som beskrivs inom denna delprocess bedrivs inom ett s.k. CSIRT (se Ordlista punkt 9.2). Ett CSIRT är en grupp av människor med särskilt ansvar att utreda datorrelaterade incidenter och löpande informera om hot och risker. Teamet fungerar som en central kontakt till vilken man kan anmäla incidenter, få löpande återkoppling samt få sitt ärende utrett och avrapporterat. Säkerhetsincidenter Omvärldsbevakning Hantera IT-säkerhet delprocess Lösta säkerhetsincidenter Säkrare ITinfrastruktur Åtgärdade säkerhetsärenden Säkerhetsärenden Certifikatsansökan Utfärdade certifikat Utbildnings behov Genomförd utbildning 4.3 Delprocesser Hantera IT-säkerhet består av följande delprocesser: Hantera säkerhetsärenden Lösa säkerhetsincidenter Granska och kontrollera IT-infrastrukturen Utfärda certifikat Informera och utbilda i IT-säkerhetsfrågor Informationssäkerhetsprocessen[3.0].doc 11(22)

12 Översikt av typer av in- och utflöden till/från de olika delprocesserna i hantera IT-säkerhet framgår av tabellen nedan: Delprocess Inflöden Utflöden (resultat) Hantera säkerhetsärenden Säkerhetsärende Åtgärdat och stängt säkerhetsärende Lösa säkerhetsincidenter Granska och kontrollera ITinfrastrukturen Utfärda certifikat Säkerhetsincident Lösningar på tidigare incidenter Resultat från omvärldsbevakning Fråga från användare Säkerhetsincident /-händelse Certifikatsansökan från inom universitetet eller från outsourcade verksamheter Certifikatsansökan Sunetanslutna Underlag för problemhantering Löst incident Stängt ärende Granskningsrapport Svar till användare Genomförande av åtgärd Signerade tidsatta certifikat Informera och utbilda i ITsäkerhetsfrågor Beställningar från universitetets verksamheter och Sunet Egna initiativ till informationsoch utbildningsinsatser I de följande avsnitten kommer varje delprocess att beskrivas mer i detalj. Genomförd utbildning eller informationsinsatser Hantera säkerhetsärenden Inleds alltid med en bedömning av om det är ett IT-säkerhetsärende som faller inom ramen för CSIRT-gruppens ansvarsområde eller om det ska skickas vidare till annan instans. Därefter görs en klassning enligt CSIRT-gruppens instruktioner och ärendet loggas. Vissa ärenden eskaleras till juridiska avdelningen eller till Polisen. Syfte Att förebygga och avhjälpa informationssäkerhetsrelaterade störningar i verksamheten. Informationssäkerhetsprocessen[3.0].doc 12(22)

13 Omfattning Följande aktiviteter ingår i delprocessen: Säkerhetsärende Tar emot och registrerar Registrerat ärende Analyserar Löser ärendet OK Ja Dokumenterar åtgärd Återrapporterar till uppgiftslämnaren Stänger ärendet Stängt löst säkerhetsärende Nej Eskalerar ärendet Lösa säkerhetsincidenter Säkerhetsincidenter som exempelvis intrångsförsök i universitetets IT-miljöer, s.k. fishing av påloggningsuppgifter, hotbrev till anställda eller studenter eller distribution av upphovsrättsskyddat material inrapporteras till CSIRT-gruppen via en särskild e-postadress eller via telefonkontakt. Syfte Att minska skadan av en uppkommen incident genom avhjälpande åtgärder, samt att förhindra att liknande situationer uppkommer genom förebyggande åtgärder. Omfattning Följande aktiviteter ingår i delprocessen: Säkerhetsincident Analyserar säkerhetsincident Utformar förslag till åtgärd Genomför åtgärd Kontrollerar om problem kvarstår Återkopplar till berörd person Stängt löst ärende Stängt olöst ärende Vissa typer av säkerhetsincidenter, t.ex. hantering av en anmälan av upphovsrättskyddat material, hanteras i särskild ordning: Anmälan Analysera säkerhetsincident Skicka brev till användaren Analys om handlingen gjorts tidigare Gjort samma sak tidigare? Ja Stänger nätförbindelsen Informera anmälaren Stängt ärende Nej Informera om olämpligheten Granska och kontrollera IT-infrastrukturen Att ur ett säkerhetsperspektiv granska, kontrollera och ständigt förbättra IT-infrastrukturen är ett löpande arbete som utgår från omvärldsbevakning, riskanalyser, säkerhetsärenden eller -incidenter eller på annat sätt användarrelaterade händelser. Syfte Att säkerställa att universitetets IT-infrastruktur är tillförlitlig m.a.p säkerhetsaspekterna konfidentialitet, integritet och tillgänglighet. Informationssäkerhetsprocessen[3.0].doc 13(22)

14 Omfattning Följande aktiviteter ingår i delprocessen: Säkerhetsincident/ säkerhetshändelse Fråga från användare Granskningsrapport Resultat från omvärldsbevakning Analys om säkerhetsrisk Är risk? Ja Upprättar ärende Öppnar och analysera Inhämtar uppgifter Gör en konsekvensbedömning Dokumenterar gjord analys Stämmer av med berörda Svar till kund Nej Slut Påbud om åtgärd Utfärda certifikat Uppsala universitet är ett s.k. Certificate Authority (CA) med rätt att utfärda certifikat för egna verksamheter och för verksamheter som anslutna till Sunet. Ett certifikat är en elektronisk signatur som används för att identifiera en person, en dator, ett företag, en myndighet, en organisation eller liknande. Syfte Att utfärda signerade tidssatta certifikat utifrån inkomna ansökningar. Omfattning Certifikatshanteringen, från ansökan till signerat certifikat, följer en automatiserat process som finns beskriven i CSIRT-gruppens arbetsinstruktioner Informera och utbilda i IT-säkerhetsfrågor Utbildningar och informationsinsatser inom IT-säkerhetsområdet utförs vanligtvis på uppdrag från verksamheter inom Uppsala universitet eller Sunet, men även på CSIRT-gruppens eget initiativ t.ex. som ett resultat av delprocesserna omvärldsbevakning och hantera säkerhetsärenden ovan. Syfte Att öka berörda målgruppers medvetande i aktuella IT-säkerhetsfrågor. Omfattning Följande aktiviteter ingår i ett utbildningsuppdrag: Beställningar Idé om behov Bjuder in målgrupp Tillräckligt intresse? Nej Ja Tar fram utbildningsmaterial Bokar föredragshållare, lokal, mat etc Sammanställer utbildningsmaterial Påminner anmälda Genomför säkerhetsutbildning Utvärderar utbildningen Genomförd utvärderad säkerhetsutbildning Sparar utbildningsidén Informationssäkerhetsprocessen[3.0].doc 14(22)

15 Följande aktiviteter ingår i en informationsinsats: Säkerhetspolicys Resultat från omvärldsbevakning Beslut Information från maillistor Sammanställer inkommen information Bedömer relevans Information allvarlig akut? Nej Lämnar förebyggande säkerhetsinformation Ja För respektive säkerhetsområde bedöma målgrupp & viktighetsgrad Formulerar information efter målgrupp o viktighetsgrad Informerar målgruppen Informationsmaterial Målgruppsanpassad säkerhetsinformation Information till maillistor 5 Administrativ säkerhet delprocess För att förvalta och vidareutveckla universitetets LIS i takt med förändringar i externa och interna regelverk inom informationssäkerhetsområdet finns enligt illustrationen ovan många olika inflöden medan utflödet (resultatet) är alltid ett uppdaterat LIS. Inflödet till övriga delprocesser i administrativ säkerhet är alltid ett uppdrag/beställning från en verksamhetsdel inom institution/avdelning eller motsvarande med målsättningen att leverera ett utfört uppdrag som resultat av uppdraget. 5.1 Syfte Det övergripande syftet för informationssäkerhetsarbetet är att upprätthålla en väl avvägd informationssäkerhet med hänsyn till universitetet, verksamma vid universitetet och allmänhetens behov. Informationssäkerhetsarbetet ska sträva efter Rätt säkerhet, dvs. att balansera risker mot kostnader för skyddsåtgärder, och Styrd säkerhet, dvs. styras och utföras enligt universitetets Ledningssystem för informationssäkerhet, LIS. Denna delprocess stödjer arbetet med att förvalta universitets LIS samt säkerhetsuppdrag från institutioner el. motsv. som utförs av. Informationssäkerhetsprocessen[3.0].doc 15(22)

16 5.2 Ansvar Informationssäkerhetssamordnare, Administrativ säkerhet ansvarar för denna delprocess. Lagar o föreskrifter Tillämpbara ISOstandarder UU:s säkerhetspolicy UU:s LIS Hantera administrativ delprocess säkerhet Uppdaterat LIS Utfört riskanalysuppdrag Utfört säkerhetsanalysuppdrag Utförd förstudie, utredning etc. Uppdrag från institutioner eller motsvarande 5.3 Delprocesser Hantera administrativ säkerhet består av följande delprocesser: Förvalta och vidareutveckla LIS Utföra riskanalyser Utföra säkerhetsanalyser Göra förstudier, utredningar etc. I de följande avsnitten kommer varje delprocess att beskrivas mer i detalj Förvalta och vidareutveckla LIS LIS, Ledningssystem för informationssäkerhet, baseras på universitetets Riktlinjer för informationssäkerhet. Denna delprocess är grunden till övriga delprocesser och beskrivs därför inte vidare i detta dokument med hänvisning till följande länkar: Universitetets övergripande mål- och regeldokument Avdelningen för IT- och inköps hemsida för informationssäkerhet Informationssäkerhetsprocessen[3.0].doc 16(22)

17 5.3.2 Utföra riskanalyser Risk- och hotbildsanalyser utförs vanligtvis för ett förvaltningsobjekt eller ett enskilt informationssystem på en institution/avdelning eller motsvarande. Process- och metodbeskrivningar för hur en riskanalys bör utföras är en integrerad del av universitetets LIS och beskrivs därför inte vidare i detta dokument med hänvisning till följande länkar på ITavdelningens hemsida: LIS, processteg Planering LIS, processteg Genomförande/Efterlevnad rande/efterlevnad Utföra säkerhetsanalyser Informationssäkerhetsanalyser är ett sätt att säkerställa efterlevnad av LIS i förvaltningsobjekt, informationssystem eller utvecklingsprojekt samt att undvika överträdelser av tillämpliga lagar, föreskrifter och avtalsförpliktelser. Även informationssäkerhetsanalyser är en integrerad del av universitetets LIS och beskrivs därför inte vidare i detta dokument med hänvisning till följande länk på s hemsida: LIS, processteg Genomförande/Efterlevnad rande/efterlevnad Göra förstudier, utredningar etc. På samma sätt som andra typer av IT-relaterade projekt (systemutveckling, ny teknik, infrastruktur etc.) bör ett projekt inom informationssäkerhetsområdet inledas med en förstudie. Även andra typer av utredningar görs, såväl på uppdrag internt inom som från institutioner/avdelningar eller motsvarande. Exempel på uppdrag kan vara att ta fram ett projektdirektiv för precisering av syfte, mål, omfattning, uppskattad resursåtgång etc. för att utveckla och/eller införa en ny säkerhetsteknik eller funktionalitet, eller en fördjupad utredning av föreslagna säkerhetsförbättringar från en risk- och sårbarhetsanalys av ett informationssystem. Syfte Att på beställning av institution/avdelning eller motsvarande planera och genomföra ett förstudieeller utredningsuppdrag inom informationssäkerhetsområdet. Informationssäkerhetsprocessen[3.0].doc 17(22)

18 Omfattning Följande aktiviteter ingår i denna delprocess: 1. Klarlägg vem som är uppdragsgivare/beställare av uppdraget 2. Diskutera uppdraget med beställaren 3. Upprätta en övergripande uppdragsbeskrivning 4. Fastställ villkoren för beställning (kostnad, prioritet, beräknad tidsåtgång etc.) 5. Om OK från uppdragsgivare: starta planeringen 6. Gör faktainsamling (intervjuer, omvärldsinformation, möten etc.) 7. Analysera och bedöm den information som samlats in 8. Dokumentera problembeskrivning, förslag på lösningsalternativ, uppskattad resursåtgång etc. i ett projektdirektiv, utredningsrapport eller motsvarande 9. Skicka ut rapporten på remiss till berörda parter för kommentarer och synpunkter 10. Avrapportera till uppdragsgivaren 11. Stäng uppdraget Informationssäkerhetsprocessen[3.0].doc 18(22)

19 6 Intressenter För definition av begreppet Intressent, se ordlista för processbegrepp under avsnitt 7 Ordlistor och definitioner. Exempel på intressenter till denna process är: Anställda Studenter Objekt- eller systemägare Beställare Säkerhetschef Dataansvarig/IT-intendent Intendenter Internetleverantörer Övriga universitet/högskolor Berörda hela världen Informationssäkerhetsprocessen[3.0].doc 19(22)

20 7 Roller För definition av begreppet Roll, se ordlista för processbegrepp under kapitel 7 Ordlistor och definitioner. Exempel på roller inom som berörs av denna process är: Informationssäkerhetssamordnare Certifikatshandläggare Behörighetsadministratör Systemdrift: rollerna driftsledare, drifttekniker Problemhantering: rollerna problemansvarig, problemlösare Incidenthantering: rollerna incidentansvarig, 1:a, 2:a och 3:e linjens support För rollbeskrivningar, se 1. 8 Mallar/Checklistor/Verktyg För att tillhandahålla lättillgängliga och uppdaterade instruktioner, stöddokument, checklistor etc. för informationssäkerhetsarbetet internt inom och på institutioner/ avdelningar eller motsvarande, görs detta via avdelningens hemsida som integrerade i de processteg i LIS som metodeller verktygsstödet avser eller via sin hemsida och beskrivs därför inte vidare i detta dokument med hänvisning till följande länk på s hemsida: LIS IT-säkerhet Certifikatsutfärdande 9 Ordlistor och definitioner 9.1 Ordlista för processbegrepp Begrepp Aktivitet Delprocess Definition Lägsta nivån i processhierarkin. En serie logiskt sammanhängande handlingar som en person eller roll utför, utförs på ett sätt. 2 En delprocess är en logiskt avgränsad del av en huvudprocess, kan finnas på flera nivåer. 2 1 Processbeskrivning Roller inom 2 PVU (processorienterad verksamhetsutveckling) Informationssäkerhetsprocessen[3.0].doc 20(22)

21 Huvudprocess Intressent Kärnprocess Process Processparameter Processansvarig Roll Rollbeskrivning Starthändelse Styr- och stödprocess Huvudprocesser är den högsta nivån av processer i en verksamhet. Kan vara både internt och externt värdeskapande. 2 Någon som tar emot något från processen eller levererar något till processen. 2 Externt värdeskapande process. Kärnprocesser uppfyller verksamhetens övergripande syfte att tillfredsställa kundernas verkliga behov - varför verksamheten existerar. 2 En process är ett flöde av sammanhängande aktiviteter som skapar ett förutbestämt resultat. Processen har alltid kunder - interna eller externa. 2 Processparameter är det mått som används för att mäta och styra processen. 2 En person utsedd av ledningen för att ansvara för att processen som helhet både är effektiv och ändamålsenlig. 2 En roll är knuten till en process. Varje roll har ansvar att leverera ett resultat i processen. En person kan inneha flera roller och samma roll kan innehas av flera personer. 2 En beskrivning av de roller som är knutna till processen. I rollbeskrivningen ingår att beskriva rollens ansvar och befogenhet. 2 Med starthändelser avses händelser som får processen att reagera på ett förutbestämt sätt. Det finns tre typer av starthändelser: tidsstyrd starthändelse, händelsestyrd starthändelse och värdestyrd starthändelse. Internt värdeskapande processer. Har till syfte att styra och stödja kärnprocesserna 2. Värdeskapande, värdeadderande Aktiviteten tillför värde till slutkunden Ordlista för Informationssäkerhetsprocessen Begrepp Eskalering ISO Incident Informationssäkerhetshändelse Definition Om supportnivån som äger ärendet inte kan lösa det inom överenskommen tid överförs ärendet till nästa nivå Definierar kraven på ett ledningssystem för informationssäkerhet SS- ISO/IEC En händelse som gör att en tjänst inte är tillgänglig eller har bristande funktionalitet SS-ISO/IEC En fastställd förekomst av ett tillstånd i ett system, nätverk eller för en tjänst som indikerar ett tänkbart brott mot informationssäkerhetspolicyn eller fallerande säkerhetsåtgärder, eller en ny tidigare okänd situation som kan påverka säkerheten [SS-ISO/IEC 27001:2006] Informationssäkerhetsprocessen[3.0].doc 21(22)

22 Informationssäkerhetsincident Kontinuitetsplanering Konfidentialitet Krisplan Ledningssystem för informationssäkerhet, LIS En enskild eller en serie oönskade eller oväntade informationssäkerhetshändelser som har en signifikant sannolikhet att äventyra verksamheten och hota informationssäkerheten [SS-ISO/IEC 27001:2006] Att motverka avbrott i organisationens verksamhet och att skydda kritiska verksamhetsprocesser från verkningarna av allvarliga fel i informationssystem eller katastrofer och att säkra återstart inom rimlig tid [SS-ISO/IEC 27001:2006] Säkerställa att informationen är åtkomlig bara för dem som har befogenhet att ha tillgång till informationen. En plan med all information som kan behövas för att återställa och återskapa IT-tjänster Den del av det övergripande ledningssystemet, baserad på en metodik för verksamhetsrisk, som syftar till att upprätta, införa, driva övervaka, granska, underhålla och förbättra informationssäkerhet [SS-ISO/IEC 27001:2006]. CSIRT Computer Security Incident Response Team 10 Förvaltning av processen För förvaltning och förbättring av processen och dess dokument se vidare Referenser s lednings- och kvalitetssystem, Processbeskrivning - Roller inom ITavdelningen PVU (processorienterad verksamhetsutveckling) s lednings- och kvalitetssystem, Processbeskrivning Kvalitetsstyrning Enhetens för Informationssäkerhets webbsida 3 Processbeskrivning - Kvalitetsstyrning Informationssäkerhetsprocessen[3.0].doc 22(22)