Administrativ säkerhet - Efterlevs administrativa regler och rutiner?

Storlek: px
Starta visningen från sidan:

Download "Administrativ säkerhet - Efterlevs administrativa regler och rutiner?"

Transkript

1 Administrativ säkerhet - Efterlevs administrativa regler och rutiner? Administrative safety - Are administrative rules and procedures obeyed? PETER HENNINGSEN JOAKIM LINDSTRÖM

2

3 Förord Denna uppsats är resultatet av vårt examensarbete på 10 poäng i Data- och Systemvetenskap vid Institutionen IES avdelningen DSV, vid Luleå Tekniska Universitet. Vi vill tacka vår handledare Marieléne Sjödin för synpunkter och god vägledning under arbetet med uppsatsen. Vi vill även tacka de organisationer som ställde upp med tid och engagemang och därigenom gjorde denna uppsats möjlig. Luleå den 21 maj 2001 Peter Henningsen Joakim Lindström

4

5 Sammanfattning Informationssäkerhet uppnås med hjälp av skyddsåtgärder. Det finns tre typer, administrativa, logiska och byggnadstekniska skyddsåtgärder. Administrativa skyddsåtgärder är skyddsåtgärder av administrativ typ, det vill säga regler och rutiner för vilka arbetsmoment som måste utföras och hur. Dessa regler och rutiner återfinns främst i en organisations informationssäkerhetspolicys och riktlinjer. Administrativa skyddsåtgärder kan fungera som ett komplement till logiska skyddsåtgärder men även som fristående skyddsåtgärder. Det är viktigt att en organisation som hanterar information som om den kommer i orätta händer kan skada organisationen, har tydliga administrativa regler och rutiner för sina IT-resurser. I denna uppsats har vi undersökt om en informationssäkerhetsutbildning med helhetsperspektiv rörande dessa regler och rutiner påverkar efterlevnadsgraden av dessa på ett positivt sätt. Vi redogör också för de logiska skyddsåtgärder som de administrativa reglerna och rutinerna kan fungerar som ett komplement till. Vi har undersökt tre organisationer. Undersökningen visade att ingen av de tre organisationerna hade ett helhetsperspektiv på informationssäkerhetsutbildning. Men man kunde se att desto närmare en organisation var ett helhetsperspektiv desto högre efterlevnadsgrad av de administrativa reglerna och rutinerna uppvisade användarna.

6

7 Abstract Information security is achieved by taking security measurements. There are three types of security measurements; they are: administrative, logical and constructional security measurements. Administrative security measurements are measurements of the administrative kind; that is rules and procedures about which work operations are to be carried out and how these work operations are to be carried out. These rules and procedures are first and foremost found in the information security policies and guidelines of the organization. Administrative security measurements act as a complement to logical security measurements but also as a standalone security measurement. It s important that an organization that handles sensitive information has distinct rules and procedures that applies to their IT resources. In this thesis we ve examined if an information security training with a comprehensive view regarding these rules and procedures affects the degree of adherence in a positive way. We re also describing those logical security measurements that the administrative rules and procedures act as a complement to. There are three organizations included in our case study. Our case study shows that none of these organizations has a comprehensive view on information security training. What you could see from our study is that the closer an organization is to having a comprehensive view regarding information security training the higher degree of adherence to administrative rules and procedures the users exhibit.

8

9 Innehållsförteckning 1. Inledning Problemområde Syfte Hypotes Variabler Begreppsdefinitioner Efterlevnadsgrad Utbildning Helhetsperspektiv på utbildningen Administrativa regler och rutiner Organisation Fullgoda logiska skyddsåtgärder Avgränsningar Teori Skyddsåtgärder Hot och risker Logiska skyddsåtgärder Kryptering Behörighetskontrollsystem Brandvägg Säkerhetskopiering Virusskydd Administrativa skyddsåtgärder Informationssäkerhetspolicy Riktlinjer Informationssäkerhetsutbildning Informationsklassificering Klassningsmodell Risk- och sårbarhetsanalys IT-säkerhetsrevision Byggnadstekniska skyddsåtgärder Utbildning Planering av utbildning Kunskap, erfarenhet och kompetens Lärcykeln Den individuella lärandeprocessen Metod Datainsamlingsmetod Empiri Fallstudie av statligt verk Intervju med ledningen Enkätsvar...29

10 4.2 Fallstudie av banken Intervju med ledningen Enkät Fallstudie av Landstinget Intervju med ledningen Enkät Analys Helhetsperspektiv på utbildning Slutsats Avslutande diskussion Metoddiskussion Egna kommentarer Referenser...63 Bilagor: Bilaga A Enkät

11 Inledning 1. Inledning 1.1 Problemområde Informationssäkerhet idag är ett känsligt och svårbemästrat ämne. Å ena sidan finns den tekniska delen där man gör allt för att hålla jämna steg med potentiella brottslingar och otursförföljda användare. Å andra sidan finns en administrativ del, vars uppgift är att få användarna att utnyttja skydden och att få hela organisationen att bete sig säkerhetsmässigt. Informationssäkerhetsansvariga och de enskilda användarna tycks inte alltid ha samma uppfattning om de krav som informationssäkerheten ställer och hur den skall uppnås. En vanlig uppfattning på säkerhets- och dataavdelningar är att det ofta är svårt att nå ut med sitt budskap till användarna; användarna, å sin sida, har ofta en känsla av att säkerhetsfolket bara krånglar till arbetet. Därför tyckte vi att det skulle vara intressant att se hur väl de anställda efterlever de regler och rutiner som finns inom organisationen. Och om utbildning av användarna rörande dessa regler och rutiner påverkar efterlevandegraden av dessa. Informationssäkerhet kan delas upp i administrativ säkerhet och IT-säkerhet. IT-säkerhet är säkerhet som uppnås med tekniska lösningar, ett exempel på en teknisk säkerhetslösning är ett behörighetskontrollsystem. Administrativ säkerhet är säkerhet som huvudsakligen uppnås med administrativa regler och rutiner, exempel på administrativa säkerhetsskydd är policys och riktlinjer som de anställda måste följa. [SIG97] Företagen satsar ofta på dyra och avancerade tekniska lösningar för att skydda sin information, men ofta glöms de administrativa skyddsåtgärderna bort när säkerheten skall planeras. Man förstår inte att de administrativa skydden är en förutsättning för att andra typer av skydd ska få önskad effekt. [STA98a] För att säkra information, så att till exempel obehöriga inte manipulerar den, krävs en helhetssyn på informationssäkerheten. Det räcker ofta inte med enskilda tekniska säkerhetslösningar utan det behövs även olika administrativa regler och rutiner samt utbildning av användarna. [STA98a] Erfarenheten visar att det svåraste hotet mot informationssäkerheten kommer inifrån den egna organisationen. Allra vanligast är fel, misstag och oavsiktliga försummelser som förorsakas av bristande organisation, till exempel ansvarsfördelning eller kompetens- och kunskapsbrist. [SIG97] I denna uppsats har vi tänkt titta på organisationer som hanterar information som är av sådan natur att om den hamnar i orätta händer kan orsaka stor skada för organisationen eller enskild person. Vi kommer att se om dessa organisationer tar informationssäkerhet på allvar genom att ha ett helhetsperspektiv på utbildning i informationssäkerhet. Vi kommer också att ta reda på hur detta helhetsperspektiv påverkar efterlevnaden av de administrativa reglerna och rutinerna hos de anställda. C-uppsats vt-01 vid Luleå Tekniska Universitet 1

12 Inledning 1.2 Syfte Syftet är att undersöka om utbildning av personalen rörande de administrativa reglerna och rutinerna påverkar efterlevandegraden av dessa, samt att visa om organisationerna har ett helhetsperspektiv när det gäller denna utbildning. 1.3 Hypotes Efterlevnadsgraden av de administrativa reglerna och rutinerna inom organisationen är beroende av om organisationen har ett helhetsperspektiv på utbildningen rörande de administrativa reglerna och rutinerna Variabler Omgivningsvariabler Attityd och motivation Stress Tidigare erfarenhet och kunskap Invariabel Organisationens helhetsperspektiv på utbildning Utvariabel Efterlevnads grad av regler/rutiner Figur 1 In-, ut- och omgivningsvariabler 1.4 Begreppsdefinitioner Efterlevnadsgrad Administrativa regler och rutiner är tvingande inom en organisation, det vill säga de anställda måste följa dessa. [STA98b] Med efterlevnadsgrad menar vi då till vilken grad de anställda följer de administrativa reglerna och rutinerna rörande informationssäkerhet som gäller inom organisationen. 2 C-uppsats vt-01 vid Luleå Tekniska Universitet

13 Inledning Utbildning Med utbildning menar vi alla de planerade och organiserade utbildningsaktiviteter som: Avser anställda och som innehållsmässigt anknyter till informationssäkerhet. Anordnas och finansieras av arbetsgivaren. Sker på arbetstid Helhetsperspektiv på utbildningen Ordet helhetsperspektiv kan ha många olika innebörder så därför har vi valt att definiera detta ord i den bemärkelse vi använder det i vår uppsats. Med detta ord menar vi att företag som har ett helhetsperspektiv på informationssäkerhetsutbildning först och främst har en utbildning i informationssäkerhet. Sedan ska utbildningen ha följande egenskaper när den genomförs: Kompetensanalys Att kartlägga och analysera behovet av utbildning ökar sannolikheten att träffa rätt med en utbildningsinsats. Med andra ord så måste man ta reda på vad de anställda kan innan man kan utforma utbildningen. Detta kan ske i form av ett utvecklingssamtal med sin chef. [ALU98] Tydligt mål Målet ska ange vad den anställde kunskapsmässigt ska ha uppnått när utbildningen är avslutad, anledningen till detta är för att det ska gå att göra en utvärdering/uppföljning på utbildningen. Målet är även styrande för vad som skall behandlas vid själva utbildningstillfället. [ALU98] Utbildning På vilket sätt utbildningen utförs, till exempel genom kurs eller seminarium är av mindre betydelse för hur mycket man lär sig. Man kan inte generellt säga att en form av utbildning är sämre än en annan bara genom att se på i vilken form det utförs (kurs, seminarium, grupparbete osv.). Andra faktorer som deltagarens förkunskaper motivation osv. är av större betydelse, även kvaliteten på läraren är av stor betydelse. [ALU98] Utvärdering/uppföljning Utvärdering/uppföljning av en utbildning omfattar dels insamling och analys av data, dels värdering och bedömning av utbildningen i fråga. Detta görs för att se om den anställde lärt sig det som var tänkt under utbildningen, det vill säga hur väl den anställde lever upp till målet med utbildningen. Ytterligare en aspekt är av intresse: Och det är att utvärderingen/uppföljningen även skall ge ett underlag för att för att man ska kunna planera ny och/eller kommande utbildning bättre. [ALU98] Kontinuitet Utbildning i informationssäkerhet får aldrig ses som ett engångsarbete. Det grundläggande syftet med fortlöpande utbildning är att hålla säkerhetsmedvetandet vid liv. Erfarenheten visar att säkerhetsmedvetandet är som störst strax efter en utbildning, för C-uppsats vt-01 vid Luleå Tekniska Universitet 3

14 Inledning att därefter gradvis avta. Det är därför viktigt att kontinuerligt utbilda i informationssäkerhet. [STA98b] Mellan utbildningarna ska organisationen även ha följande: Regelbundna informationspass Det kan vara svårt att mellan informationssäkerhetsutbildningar upprätthålla säkerhetsmedvetandet inom en organisation enbart genom löpande skriftlig eller webbaserad information. Därför är det nödvändigt att med jämna mellanrum samla personalen till kortare genomgångar, informationspass. Dessa informationspass bör vara korta och konkreta. [STA98b] Om en organisation har en informationssäkerhetsutbildning och den har dessa egenskaper så har de enligt vår definition ett helhetsperspektiv på informationssäkerhetsutbildning Administrativa regler och rutiner De administrativa reglerna och rutinerna är en förutsättning för att andra typer av skydd skall få önskad effekt. [STA98c] Administrativ säkerhet uppnås med administrativa skyddsåtgärder. Administrativa skyddsåtgärder är främst administrativa regler och rutiner. De administrativa reglerna och rutinerna är precis vad det låter som, det vill säga regler och rutiner för hur och när saker och ting skall utföras inom organisationen. I detta ingår både hantering av information lagrad på datorer samt information som finns i annan form, exempelvis papper. Dessa regler och rutiner är den mjuka delen av informationssäkerhet den andra delen är IT-säkerhet som är den hårda delen. Begreppet IT-säkerhet används för skyddsåtgärder som är av teknisk karaktär, dessa skyddsåtgärder kallas logiska skyddsåtgärder, ett exempel på dessa är olika former av behörighetskontrollsystem. De administrativa reglerna och rutinerna är tänkt att komplettera IT-säkerheten, med de regler och rutiner som behövs för styrning och kontroll av IT-resurserna. Administrativa skyddsåtgärder fungerar alltså som ett komplement till en teknisk skyddsåtgärd. [STA98c] Organisation Organisation innebär i uppsatsen organisation/företag/verksamhet/myndighet. 4 C-uppsats vt-01 vid Luleå Tekniska Universitet

15 Inledning Fullgoda logiska skyddsåtgärder Med fullgoda logiska skyddsåtgärder så menar vi att organisationen ska ha följande logiska skyddsåtgärder: Kryptering Behörighetskontrollsystem (BKS) Brandvägg Säkerhetskopiering Virusskydd 1.5 Avgränsningar Vi har valt att koncentrera oss på: Organisationer där man hanterar information som kan vara till skada för organisationen, eller en enskild individ om den inte hanteras på ett säkert sätt. Organisationer som har klart definierade administrativa regler och rutiner. Organisationer som har fullgoda logiska skyddsåtgärder De användare som är rena användare, det vill säga användare som enbart använder IT som stöd för sina dagliga arbetsuppgifter, inte t ex systemadministratörer och underhållspersonal. De administrativa regler och rutiner som gäller för rena användare. De administrativa regler och rutiner som finns för olika IT-resurser, t ex regler och rutiner för att skicka e-post. De administrativa regler och rutiner som gäller för det dagliga arbetet. Vi förutsätter att de anställda inom organisationen har en god kunskap om det egna arbetet. Vi tar inte hänsyn till: På vilket sätt som utbildningen genomförs, t ex genom en kurs, seminarium eller grupparbeten. Hur bra utbildningen är med avseende på t ex lärarens prestationer eller kursmaterialet. C-uppsats vt-01 vid Luleå Tekniska Universitet 5

16

17 Teori 2. Teori I detta kapitel redogör vi för den teori som vi har som stöd för vår uppsats. 2.1 Skyddsåtgärder För att uppnå informationssäkerhet, det vill säga skydda sin information, så måste man använda olika skyddsåtgärder. Skyddsåtgärder används för att möta speciella hot. Vissa skyddsåtgärder kan möta fler än ett hot. Vissa hot bekämpas mer effektivt genom att flera olika skyddsåtgärder samverkar. [STA98a] Skyddsåtgärder kan delas in i tre kategorier, som kan ses i figur 1: Skyddsåtgärder Byggnadstekniska skyddsåtgärder Figur 2 Fritt efter [STA98a] Administrativa skyddsåtgärder Logiska skyddsåtgärder Logiska skyddsåtgärder, är skyddsåtgärder av teknisk karaktär i form av maskin- och/eller programvara. Administrativa skyddsåtgärder, är regler och rutiner för vilka arbetsmoment som måste genomföras och hur. Byggnadstekniska skyddsåtgärder, är skyddsåtgärder av fysisk karaktär som till exempel lås. Skyddsåtgärder kan användas på olika sätt, till exempel för att förebygga, upptäcka och varna för hot eller för att återställa det som skadan ställde till med. Att förebygga ett hot är det bästa alternativet. Det innebär att hotet inte kan utnyttja en sårbarhet. I vissa lägen är det inte möjligt att förebygga ett hot. Skyddsåtgärden kan då rapportera skadan. Det finns också skyddsåtgärder som kan återställa eller begränsa följderna av hotet efter det har inträffat. [STA98a] För att uppnå högsta möjliga skyddsnivå så måste skyddsåtgärder av de tre typerna kombineras på ett lämpligt sätt, det vill säga anpassas till verksamhetens typ. [STA98c] C-uppsats vt-01 vid Luleå Tekniska Universitet 7

18 Teori Hot och risker Många hot kan undvikas om rätt utformade administrativa skyddsåtgärder används tillsammans med väl valda logiska skyddsåtgärder. [STA98c] Ett hot är en handling eller händelse som om den inträffar kan komma att skada en IT-resurs, till exempel information eller en applikation. Sårbarhet är en punkt där ett hot kan skada systemet. Sårbarhet är därmed en svaghet som ett hot kan utnyttja för att åstadkomma skada. Risk är sannolikheten för att hotet ska inträffa. [SIG97] Hot kan delas upp i tre kategorier: Logiska hot vilka är hot mot IT-resurser, funktioner och tjänster. Förhindras av logiska skyddsåtgärder. Administrativa hot vilka är hot mot administrativa rutiner och organisatoriska lösningar. Förhindras av administrativa skyddsåtgärder. Fysiska hot vilka är hot av typen skadegörelse, miljöpåverkan eller stöld. Förhindras av byggnadstekniska skyddsåtgärder. [STA98a] 8 C-uppsats vt-01 vid Luleå Tekniska Universitet

19 Teori 2.2 Logiska skyddsåtgärder I denna del redogör vi för de logiska skyddsåtgärder som finns att tillgå Kryptering Kryptering är en effektiv åtgärd för att i samband med datakommunikation eller lagring skydda informationen mot insyn, avlyssning och förändring. Kryptering innebär att information kodas innan den sänds eller lagras, och att informationen endast kan göras läsbar av mottagaren under förutsättning att denne innehar rätt krypteringsnyckel. För att kunna dekryptera en text måste både algoritmen och nyckeln vara känd. [STA98c] Kryptering med hjälp av ett bra program ger ett mycket gott skydd för de flesta hemliga uppgifter. Svårigheten är att vara disciplinerad och att alltid kryptera filerna efter avslutat arbete. Program som automatiskt krypterar filer som man arbetar med kan underlätta. Kryptonycklarna måste också förvaras mycket väl. Kommer de bort är uppgifterna också borta. Kommer de i orätta händer är uppgifterna inte längre hemliga. Om fler personer ska ha tillgång till uppgifterna är kryptering svår att administrera. [ABE90] Kryptering av data lagrade på datamedier används i allt större omfattning; speciellt då för säkerhetskopior som skall lagras på andra ställen, utan fara för att utomstående ska få tag i informationen. [LED89] Behörighetskontrollsystem En definition av ett behörighetskontrollsystem (BKS) är att det är ett system som kan kontrollera behörighet och som kan skydda information så att den endast är tillgänglig för den som har rätt till den. Ett BKS består av ett antal samverkande funktioner som tillsammans kan tillhandahålla ett grundläggande behörighetsskydd. En förutsättning för att man ska kunna ha kontroll över tillgången till olika resurser i ett IT-system är att det finns ett behörighetskontrollsystem installerat i den dator som används. Ett behörighetssystem kan omfatta identifiering, åtkomstkontroll och loggning. [SIG97] Syftet med behörighetskontrollen är att: Identifiera en användare. Verifiera, bevisa (autenticera) den identitet som användaren anger. Styra hur en användare får använda resurser i systemet utifrån sin behörighet. Registrera hur användaren utnyttjar systemet och dess resurser Första steget i behörighetskontrollen är att identifiera den som är behörig. Identifiering av användaren görs genom att denne anger sin identitet på något sätt, exempelvis genom att ange ett användarnamn eller en identifieringskod. Mer avancerade system finns också där man till exempel använder aktiva kort. C-uppsats vt-01 vid Luleå Tekniska Universitet 9

20 Teori I system med höga krav på säkerhet så måste användaren verifieras, d v s bevisa att han är den han säger sig vara. Detta kan exempelvis ske med ett lösenord, men även mer sofistikerade metoder finns att tillgå. Se figur 2. Metod Exempel Svagheter 1. Något man känner till Lösenord Någon kan lära sig eller gissa sig till lösenordet 2. Något föremål man har Magnetkodade plastkort Någon kan stjäla, låna eller kopiera föremålet 3. Någon egenskap man har Fingeravtryck, namnteckning röst, ögonbottenbild Figur 3 Identifiering och verifiering. [SIG97] Det är svårt att entydigt hänföra en egenskap till en enda människa utan att använda en så enorm databehandlingskapacitet att det hela blir orimligt Andra steget i behörighetskontrollen är åtkomstkontroll. Detta innebär att ett system endast är tillgängligt för behöriga användare och att deras rätigheter och befogenheter regleras. Behörighetskontrollsystemets tredje del är loggning. Detta innebär att information om de operationer som gjorts i ett system samlas in och registreras för att senare bearbetas med olika syften. En logg kan göras så omfattande att bearbetningen i systemet kan rekonstrueras i detalj. [SIG97] [STA98c] Brandvägg En brandvägg består av en eller flera komponenter som placeras mellan två datornät för att enligt förutbestämda regler kontrollera och begränsa trafiken mellan dessa. De komponenter som ingår i en brandvägg är vanligen routerutrustningar och specialanpassade datorer. All trafik mellan de två datornäten passerar genom brandväggen och endast trafik som är godkänd enligt de förutbestämda reglerna tillåts passera. För att kunna erbjuda en effektiv funktion måste brandväggen även kunna skydda sig själv från angrepp. En brandvägg ska av övervakningsskäl även innehålla funktionalitet för loggning av såväl normal som otillåten trafik och bör erbjuda verktyg för analys av loggad trafik. Det bör också finnas möjlighet att koppla larm till trafik som indikerar säkerhetsöverträdelser. I en brandväggslösning ingår även organisationen runt brandväggen. [STA98c] Säkerhetskopiering En säker driftmiljö kräver strikta rutiner för hur reservkopior på lagrade data och program ska tas samt riktigt utformade förvaringsutrymmen för lagringsmedier. En generation av lagrade data och program ska alltid förvaras på en plats som är väl avskild från den övriga driftmiljön. Sådana säkerhetskopior ska kunna användas i en nödsituation, till exempel då såväl utrustning som övriga kopior av data och program har förstörts. [STA98c] 10 C-uppsats vt-01 vid Luleå Tekniska Universitet

21 Teori Varje nät brukar förses med en utrustning för snabb säkerhetskopiering av serverns hårddisk. Utrustningen kan kopplas direkt till varje server eller till någon annan persondator i nätet. Till utrustningen hör också program för automatisk säkerhetskopiering av alla filer eller bara de filer som ändrats sedan senaste säkerhetskopiering. Med hjälp av den utrustningen kan alla de filer som användarna lagrat på servern säkerhetskopieras gemensamt. På så sätt avlastas användarnas säkerhetskopiering och det blir färre säkerhetskopior att hålla reda på. [ABE90] Viktigt i sammanhanget är att ansvaret för att ta säkerhetskopior är definierat, att rutinen för säkerhetskopiering på något sätt verifierar att säkerhetskopian är användbar samt att berörda parter vet hur man återlagrar information från kopian. Det senare är speciellt viktigt om man har utrustat persondatorn med ett BKS som krypterar säkerhetskopian. [SIG97] Virusskydd Datavirus är en självständig del av ett program som har dolts i ett annat program och virusprogrammets instruktioner utförs inte förrän det program där det ligger dolt aktiveras. De är alltså beroende av redan existerande program eller filer att dölja sig bakom. Det finns också virus som fungerar som självständiga program. [STA98c] Det finns många sätt att framgångsrikt skydda sig mot datavirus och illvilliga program. Åtgärderna består i första hand av administrativa skyddsåtgärder. Det skall finnas riktlinjer eller regler över vilka restriktioner som gäller för att undvika att datorer och program blir smittade. [RAR95] Vilka skador ett datavirus kan orsaka beror dels på vilka avsikter skaparen haft dels på hur snabbt man upptäcker angreppet. Skydden man tar till ska stå i relation till de skador ett virusangrepp kan förorsaka och en bedömning av hur stor man anser risken för ett angrepp vara. När det gäller skydd mot datavirus är det fråga om: Att förebygga att man överhuvud taget blir smittad Att upptäcka ett smittat program och då förhindra smittspridning Att återställa ett smittat system Virusprogramvara bör installeras på flera ställen i IT-miljön för att få ett mer heltäckande skydd. Virusprogrammen kan vara av två typer, aktiva virusskydd och passiva. Den aktiva programvaran kan startas automatiskt till exempel när datorn startas. Sedan ligger den minnesresident i bakgrunden och letar kontinuerligt efter virus och virusliknande händelser. Den kan även kontrollera program och datafiler innan de används. Det aktiva, residenta, virusskyddet kan även i många fall leta efter misstänkta handlingar vid öppnandet och stängandet av fil eller skrivning av fil till lagringsenhet. Den passiva programvaran kan köras vid speciella tidpunkter till exempel vid låg belastning för att göra en schemalagd körning. [STA98c] C-uppsats vt-01 vid Luleå Tekniska Universitet 11

22 Teori 2.3 Administrativa skyddsåtgärder I denna del tar vi upp och förklarar de administrativa skyddsåtgärder som är av intresse i vår uppsats Informationssäkerhetspolicy Ett beslut som berör hela verksamheten måste dokumenteras. Det mest naturliga är att fastställa en policy inom ämnesområdet som slår fast inriktningen på det arbetet som skall ske inom informationssäkerhetsarbetet. [SKO90] En informationssäkerhetspolicy skall ange riktningen och målsättningen för verksamhetens informationssäkerhetsarbete. Men precis som för alla andra målsättningar får inte heller informationssäkerhetspolicyn vara för detaljerad eller omfattande samtidigt som den skall utformas på ett sådant sätt att den inte behöver förändras alltför ofta. [SKO90] Policydokumentet ska ge en klar uppfattning om vilken inriktning IT-säkerhetsarbetet ska ha. Det ska också vara väl förankrat i den verklighet som organisationen verkar i. En viktig del i policyn är också att fastställa hur ansvaret för IT-säkerhet är fördelat mellan olika funktioner inom organisationen. Både policy och riktlinjer är tvingande för hela organisationen. Avvikelse kräver dispens av den som utfärdat policyn eller riktlinjen. [STA98b] En informationssäkerhetspolicy kan delas in i olika delar: Allmän policy Omfattar bland annat verksamhetens strävan efter att skydda identifierade resurser. Organisatorisk policy Definierar de lagar, regler och anvisningar som finns inom verksamheten för att hjälpa chefer att skydda och fördela resurser för att uppnå säkerhetspolicyns mål. Systemsäkerhetspolicy Inriktar sig på att specifika informationssystem skyddas och underhålls så att den organisatoriska säkerhetspolicyn kan uppnås. [SIG97] I policyn bör följande delar klargöras: Policyuttalande En av ledningen formellt skriven förklaring över vad som är prioriterat och måste göras, men också vad som inte får göras. Mål Varför behövs policyn? Vilka problem löser man med den? Behöver omfattningen definieras? Omfattning Gränsdragningar. Hur långt stäcker sig policyn? Vilka områden är inbegripna? Överensstämmelse med policyn Vad behövs för att kunna följa policyn? Finns det något tillfälle när avsteg kan göras från policyn. Sanktioner Vilken sanktion eller konsekvens följer om man inte arbetar i överensstämmelse med policyn. [SIG97] 12 C-uppsats vt-01 vid Luleå Tekniska Universitet

23 Teori Informationssäkerhetspolicyn bör kompletteras med underpolicys. Exempel på underliggande policys: Internet policy. E-post policy. Personlig integritet Kan organisationen se vad den enskilde gör för inlägg i till exempel nyhetsgrupper? Användningssätt Hur får verksamhetens utrustning användas? Får spel eller stötande material lagras eller användas i verksamhetens utrustning? Konfidentiell information Hur hanteras den i samband med exempelvis Internet? Programvarulicenser Hur hanteras till exempel programvara som hämtas hem från Internet, får den lagras i verksamhetens utrustning? [SIG97] Riktlinjer Riktlinjerna anger hur målen i policyn ska nås. Syftet är att uppnå och upprätthålla den säkerhetsnivå ledningen/lagarna har bestämt. Innehållet i riktlinjerna ska ge vägledning i de frågor som rör IT-säkerhet. Riktlinjerna är förankrade i teknik, metoder och rutiner. De måste sammanställas av personer med goda kunskaper om IT-säkerhet. Ett sätt att gå tillväga vid framtagning av riktlinjer är att till lämpliga punkter i policyn skapa avsnitt som ger svar på frågorna: Vad? Varför? När? Vem? Hur? [SIG97] Riktlinjerna kan beröra alla områden inom IT-säkerhet. De bör vara kortfattade, konkreta, begripliga och innehålla kärnan av budskapet. Vid förändringar inom IT-området, eller i verksamheten kan riktlinjerna behöva uppdateras. Behov av att uppdatera riktlinjerna kan även vara resultat av regelbundna uppföljningar av IT-säkerheten. [STA98b] Riktlinjer behövs på alla områden där företaget vill att verksamheten ska följa enhetliga anvisningar. Det kan gälla: Hur något ska göras. Vilken nivå som ska användas och gränsvärden för denna. Vem som ska göra något. När det ska göras. C-uppsats vt-01 vid Luleå Tekniska Universitet 13

24 Teori Exempel på riktlinjer Riktlinjerna är både av administrativ och av teknisk karaktär. Riktlinjerna bör delas in i olika områden, lämpligen utifrån de olika driftmiljöerna man har. För varje IT-miljö beskrivs hot och svagheter som identifierats, liksom lämpliga skyddsåtgärder för olika nivåer av säkerhet. Exempel på områden där riktlinjer måste definieras för de olika IT-miljöerna är: Organisation och ansvar Riktlinjer för Informationsklassificering Riktlinjer för risk- och sårbarhetsanalyser samt IT-säkerhetsrevision. Riktlinjer för utbildning. Riktlinjer för arbetsplatser. Riktlinjer för lokala nätverk. Beroende på vilka logiska skyddsåtgärder som används i verksamheten så kan det exempelvis även behövas: Riktlinjer för användning av BKS. Riktlinjer för användning av aktiva kort och läsare. Riktlinjer för säkerhetskopiering. Riktlinjer för virusskydd. [STA98b] [SIG97] Informationssäkerhetsutbildning Preparing and adopting a computer use policy is only half the battle. The principles, duties and obligations set forth in the policy must be subject of continuing efforts to educate employees. Merely having employees sign the policy and placing a copy in their files is not enough. [MRO99] Med användare menar vi personer som i sitt dagliga arbete direkt eller indirekt kommer i kontakt med IT-systemet men som, utöver det ansvar för IT-säkerheten som följer med den egna arbetsuppgiften, ej har något särskilt ansvar för IT-säkerhetsfrågor. [STA98b] Även goda kunskaper om hur en säkerhetsåtgärd ska genomföras minskar avsevärt i betydelse, om den som ska vidta åtgärden inte förstår varför den är nödvändig, eller tror att det inte har så stor betydelse om man då och då skulle glömma att genomföra den. [STA98b] Användare bör ges utbildning på två nivåer dels en allmän, orienterande utbildning, dels en målinriktad utbildning, som är anpassad till den egna arbetsuppgiften. [STA98b] 14 C-uppsats vt-01 vid Luleå Tekniska Universitet

25 Teori Den orienterade utbildningen skall ge en allmän kunskap om och förståelse för IT-säkerhetsfrågornas roll i organisationens verksamhet. Den bör innehålla korta översikter över till exempel: Betydelsen av IT i verksamheten. Följder av störningar i IT-verksamheten. Vissa begrepp inom IT-säkerhetsområdet. Hot och risker. Innebörden av risk- och sårbarhetsanalys. Möjliga skyddsåtgärder. Den bör även ta upp frågor rörande: Organisationen av IT-säkerhetsarbetet inom myndigheten eller företaget. Vad man skall göra och vem man skall vända sig till om man upptäcker brister i säkerheten eller vill veta hur man skall gå till väga i ett visst fall. Vilka gällande säkerhetsföreskrifter som finns inom organisationen och hur dessa föreskrifter finns dokumenterade. Betydelsen av att befintlig dokumentation används och att reglerna följs. Hur användaren får fortlöpande information i IT-säkerhetsfrågor. Gällande lagstiftning av betydelse, offentlighetsprincipen, sekretesslagen, personuppgiftslagen, bokföringslagen och så vidare. System för behörighetskontroll, inklusive handhavande av lösenord. [STA98c] Den allmänna orienterade utbildningen behöver kompletteras med en mer målinriktad, som direkt ansluter till arbetsuppgiften. I den bör man till exempel behandla: Vilka särskilda hot och risker som finns i den egna arbetsrutinen. Vad man kan göra för att minska riskerna. Vilka särskilda skyddsåtgärder som finns i anslutning till den egna arbetsrutinen. Vilka försiktighetsåtgärder den enskilde skall vidta i sitt arbete. Hur utrustning och datamedier, inklusive pappersutskrifter, skall hanteras från säkerhetssynpunkt. Konsekvenser av felhantering eller liknande. Vad användaren skall göra vid driftstopp. Den målinriktade utbildningen måsta anpassas efter arbetsuppgiftens karaktär, vikten av den information som produceras och riskerna för störning i just det arbetet. [STA98c] Man får inte glömma bort nyanställdas behov av utbildning. Det kan som regel inte genast tillgodoses inom ramen för den ordinarie informationssäkerhetsutbildningen. Någon form av första utbildning i de mest angelägna säkerhetsfrågorna behövs alltså. Den måste anpassas efter den nyanställdes förkunskaper och blivande arbetsuppgifter. C-uppsats vt-01 vid Luleå Tekniska Universitet 15

26 Teori De säkerhetsfrågor som hör ihop med den egna arbetsuppgiften bör ha en framträdande plats i en sådan introduktionsutbildning. Denna introduktionsutbildning bör så snart som tillfälle ges kompletteras med den ordinarie informationssäkerhetsutbildningen. [STA98b] Former för utbildning och information Utbildning och information kan ges i många olika former, till exempel som: Färdiga kurser som tillhandahålls på marknaden. schemalagd utbildning i egen regi. Kortare information i aktuella frågor, exempelvis informationsdagar och dylikt. Inlärning i det praktiska arbetet med stöd av arbetskamrater som har mer erfarenhet. Särskilda praktiska övningar. Tillvaratagande av externa erfarenheter, studiebesök, konferenser och dylikt. Spridning av skriftligt informationsmaterial. [STA98c] Informationsklassificering För att uppnå en hög grad av informationssäkerhet i verksamheten så är det nödvändigt att skilja mellan information som kräver skydd och information som kan lämnas fri. Man måste då göra en informationsklassificering där man genom att ta hänsyn till olika krav bestämmer i vilken omfattning informationen måste skyddas. [STA98a] Skyddet av informationen baseras på de krav verksamheten har vad gäller sekretess, tillgänglighet, riktighet och spårbarhet. Utöver dessa krav tillkommer de olika lagar och förordningar som verksamheten måste följa, till exempel personuppgiftslagen, bokföringslagen och sekretesslagen. Kraven måste vara desamma för hela verksamheten och bedömningarna av informationens skyddsvärde likaså. [SIG97] Sekretess informationen skall vara skyddad så att den inte avsiktligt eller oavsiktligt görs tillgänglig eller avslöjas för obehöriga eller utnyttjas på ett otillåtet sätt. Tillgänglighet den information som verksamheten behöver måste finnas tillgänglig för behörig personal vid behov. Riktighet informationen skall vara riktig och komplett och skall ej kunna modifieras på ett otillbörligt sätt. Spårbarhet det skall gå att härleda information eller ändring av information till en viss individ. [STA98b] 16 C-uppsats vt-01 vid Luleå Tekniska Universitet

27 Teori Klassificeringen sker vanligtvis i fyra nivåer. Öppen information information som är tillgänglig för alla intresserade. Information för internt bruk ägs av verksamheten och kan om den sprids på ett oönskat sätt få skadliga konsekvenser. Denna information är tillgänglig för de anställda men ej för utomstående. Företagshemlig information kan om den röjs på ett oönskat sätt medföra betydande ekonomisk eller annan skada med allvarliga konsekvenser för verksamheten. Informationen är avsedd att spridas i en mindre krets som har behov av den i sitt arbete. Kvalificerat företagshemlig information kan om den röjs på ett oönskat sätt orsaka mycket stor skada för verksamheten. [SIG97] Klassningsmodell Det måste finnas en ägare till informationen och en klassningsmodell för att klassa den. Informationsägaren har ansvaret för att informationen klassas på rätt sätt och att den skyddas i enlighet med sin klassning. Själva klassningsmodellen är en central fråga. Den måste kunna användas för samtliga enheter inom verksamheten, oavsett vilken typ av information som används. En klassningsmodell ska i grunden vara enkel att förstå och förklara. Den bör vara så självklar att alla anställda kan ta den till sig och använda den i sitt dagliga arbete utan längre utbildning. Modellen bör omfatta de aspekter på informationshantering som finns och vara användbar för klassning av alla typer av information oavsett om denna är datoriserad eller ej. Strukturen för klassningen presenteras i form av en lathund för den anställde att använda vid klassning av den egna informationen. [SIG97] Risk- och sårbarhetsanalys Risk- och sårbarhetsanalyser genomförs för att verksamheten ska få en uppfattning om vilken säkerhetsnivå som föreligger, vilka brister som måste åtgärdas och i vilken prioritetsordning detta skall ske. Genom att göra risk- och sårbarhetsanalyser skapas en uppfattning om vilken säkerhetsnivå som krävs. [STA98a] Riskanalys, är en analys som: Identifierar interna och externa risker och hot Bedömer konsekvenserna för en händelse för användarna, IT-verksamheten och organisationen som helhet. Sårbarhetsanalys, är en analys som genom en studie: Identifierar brister eller svagheter i kontrollrutiner eller installerade skyddsåtgärder Rekommenderar skydds- och andra åtgärder. [SIG97] C-uppsats vt-01 vid Luleå Tekniska Universitet 17

28 Teori De åtgärder som skall vidtagas, måste alltid vara konstruerade med tanke på verksamhetens speciella behov. Dessa är dock effektiva endast om kostnaden för införandet ligger i relation till skadekostanden. [JFR89] IT-säkerhetsrevision Med IT-säkerhetsrevision menas en internt eller externt utförd genomgång av hur en organisations samlade IT-säkerhet hanteras. Revisionen innebär att man tittar på ungefär samma saker som under Risk- och sårbarhetsanalys. Skillnaden ligger främst i att revisionen är mer granskande och värderande. Den syftar ofta till att först och främst klarlägga verklig efterlevnad av gällande regler och rutiner och verkligt utnyttjande av tekniska skyddsåtgärder. Det är från detta verkliga utgångsläge som man sedan går vidare och gör en risk- eller sårbarhetsanalys. [SIG97] IT-säkerhetsrevision bör genomföras regelbundet och repetitivt. För vissa organisationer kan det var motiverat att göra det i någon form minst ett par gånger per år. För andra kan det räcka med att göra det till exempel vart annat år. Växlande scheman där man gör växelvis stora och mindre genomgångar kan också var lämpliga. Vid de små genomgångarna fokuserar man sig speciellt på sådant som man erfarenhetsmässigt vet är svaga punkter i den egna organisationen. [STA98b] 18 C-uppsats vt-01 vid Luleå Tekniska Universitet

29 Teori 2.4 Byggnadstekniska skyddsåtgärder I de flesta IT-miljöer måste de administrativa och logiska skyddsåtgärderna kompletteras med byggnadstekniska. Till byggnadstekniska skyddsåtgärder räknas allt som hänger samman med miljöskydd, tillträdesskydd samt skydd mot röjande signaler (RÖS). Miljöskydd, åtgärder för att skydda utrustning mot hot i form av brand, vatten, rök, el störningar, temperaturförändringar osv. Exempel på åtgärder mot detta är exempelvis brandsläckningsutrustning, brandlarm eller vätskelarm. Även byggnadstekniska detaljer som brandklass på väggar och dörrar ryms under denna kategori. Tillträdesskydd, åtgärder för att skydda utrustning mot otillåten åtkomst, endast behörig personal skall ha åtkomst till utrustningen. Detta sker i form av exempelvis lås på dörrar. Även larm som inte är av miljöskydds typ placeras i denna kategori, ett exempel på detta är inbrottslarm. Röjande signaler (RÖS), åtgärder för att förhindra att verksamhetens datorutrusning skickar ut signaler som kan avlyssnas. All elektronisk utrustning skickar ut elektromagnetiska signaler som med ganska enkla medel kan avlyssnas. [STA98c] C-uppsats vt-01 vid Luleå Tekniska Universitet 19

30 Teori 2.5 Utbildning Utbildning brukar ofta definieras som systematisk påverkan på individer syftande till inlärning, i viss riktning och under organiserade former. [BFO84] Välplanerad och väl genomförd utbildning fyller en viktig funktion för kompetensutveckling i arbetslivet. [ALU98] Med personalutbildning avses vanligen i praktiken att arbetsgivaren är huvudman för utbildningen, att den innehållsmässigt har anknytning till arbetet i vid mening, att den helt eller delvis sker på arbetstid samt att den är helt eller delvis finansierad av arbetsgivaren. [BFO84] Lärandet i vardagen, grundat på enbart erfarenhet är inte tillräckligt för utveckling av ny kunskap. Det krävs distans till och reflektion av det vardagliga lärandet för att det skall kunna utvecklas. Det behövs alltså olika former av mer planlagda insatser i form av utbildning och självstudier. [ALU98] Personalutbildning bedrivs idag i huvudsak i tre former: Internt inom organisationer Vid centrala utbildningsinstitut, branschorgan, konsultfirmor eller skolor med anknytning till olika verksamhetsområden. Genom samverkan med andra vuxenutbildningsanordnare, som till exempel studieförbund eller kommunal vuxenutbildning. [BFO84] Hur en utbildning konkret genomförs är av avgörande betydelse för deltagarnas utbyte av kursen. En genomtänkt planering av utbildningens genomförande är därför nödvändig. [ALU98] 20 C-uppsats vt-01 vid Luleå Tekniska Universitet

31 Teori Planering av utbildning Yttre och inre Förutsättningar (1) Kartläggning & analys av behov av kompetensut veckling (2) Beslut om utbildningsmål och utbildningsinnehåll (3) Genomförande av utbildning (4) Utvärdering/ uppföljning av utbildning (5) Figur 4 En modell för att planera personalutbildning. [ALU98] [BFO84] Modellen visar hur såväl externa som interna faktorer yttre och inre förutsättningar (1) påverkar utbildningen i en organisation. Yttre förutsättningar, som förändrad lagstiftning, datorisering, teknisk utveckling i övrigt, kundkrav etc., har betydelse för omfattning, innehåll och inriktning i den personalutbildning som utvecklas och erbjuds. Inre förutsättningar inom en organisation är exempelvis verksamhetsidé och mål, befintlig kompetens, ekonomiska och personella resurser för personalutbildning samt förändringar i verksamheten. Att kartlägga och analysera behov av kompetensutveckling (2) ökar sannolikheten att träffa rätt med en utbildningsinsats. Oavsett vilken typ av utbildning som utvecklas som ett resultat av en kompetensanalys, är det viktigt att formulera tydliga mål för utbildningen (3). Utbildningens innehåll blir också delvis en konsekvens av utbildningsmålen. Men det krävs alltid prioriteringar i fråga om det urval av kunskaper och färdigheter, värderingar och normer som man beslutar skall ingå i en viss utbildning. Det konkreta genomförandet av en utbildning (4) måste anpassas efter den typ av mål som utbildningen skall uppnå. Praktiskt verksamma utbildare utnyttjar utvärderingar/uppföljningar för att successivt kunna förbättra en kurs, sitt eget sätt att agera, samt för att se om kursdeltagarna har lärt sig det som var tänkt, därav återkopplingen till rutorna 2-4. Utvärdering/uppföljning innebär att utbildningens förutsättningar, process och även deltagarnas kunskapsutbyte och kunskapsanvändning studeras. [ALU98] [BFO84] Om inlärningssituationens betingelser är gynnsamma, till exempel om inlärningsmaterialet bearbetas aktivt och det är möjligt att upptäcka en meningsfull innebörd i det som skall läras blir behållningen både kvantitativt och kvalitativt bättre. [ALU98] C-uppsats vt-01 vid Luleå Tekniska Universitet 21

32 Teori Kunskap, erfarenhet och kompetens Kunskap skaffar individen genom utbildning, genom att ta del av fakta om olika fenomen. Erfarenhet får man genom att tillämpa kunskaper i faktiska situationer, det vill säga i ett sammanhang. Den återkoppling individen får på sina handlingar integreras, genom att individen reflekterar över och bearbetar sina nya erfarenheter, och kopplar ihop dem med tidigare erfarenheter. Förr eller senare ger denna inre aktivitet upphov till ny kunskap. Att handla eller agera på ett i förhållande till den aktuella situationen ändamålsenligt sätt, är kompetens. [ADI96] Ger struktur åt Krävs för Fakta Data Teori Kunskap Tillämpning Erfarenhets bildning KOMPETENS Kombinera Rekonstruera Integrera Återkoppling krävs för Handla Agera I en viss situation i ett visst sammanhang Figur 5 Hur kunskap, erfarenhet och handling är relaterade till varandra. [ADI96] 22 C-uppsats vt-01 vid Luleå Tekniska Universitet

33 Teori Lärcykeln Nedanstående modell visar den cykel som ger bästa möjliga läreffekt. Genom att gå runt hela lärcykeln ökar förmågan till effektiv handling. Figuren visar även uppdelningen mellan att planera och att göra, mellan att tänka och agera. [ADI96] Dra slutsatser, utveckla begrepp, generalisera Analys Pröva och tillämpa begrepp/föreställningar Reflektion Observera, medvetandegöra, granska Erfarenhet Handling Återkoppling på handling och konkret erfarenhet Figur 6 Lärcykeln och den vanligt förekommande uppdelningen i teori och praktik, i planering och verkställande. [ADI96] Till höger om strecket finns lärandets praktiska karaktär. Man handlar och får erfarenhet och handlar igen osv. Man kan tala om lärandets know how karaktär. Men att bara göra utan att reflektera och analysera sina handlingar och dess konsekvenser medför en risk för en successivt avtagande förmåga att förstå behov av ändrade handlingsmönster och att ändra sitt beteende. På vänster av strecket finns lärandets konceptuella karaktär. Ett lärande som omfattar förmågan att forma en tankemässig förståelse av en erfarenhet. Här kan vi tala om lärandets know why karaktär. Om en individ har avsevärd kunskap och förståelse, men dessa förmågor inte kommer till uttryck i handling, har vare sig kunskapen eller förståelsen något värde. Det är i kombinationen av cirkelns två halvor som läropotentialen finns. [ADI96] C-uppsats vt-01 vid Luleå Tekniska Universitet 23

34 Teori Den individuella lärandeprocessen Vid personalutbildning försöker man systematisera och effektivisera den inlärning som bedöms vara värdefull för arbetet. Att nya kunskaper verkligen används i arbetet är i det sammanhanget centralt, det vill säga att utbildningen resulterar i olika slags effekter. [ALU98] Påverkan (1) Lärande (2) Kunskapsutveckling (3) Kunskapsanvändning (4) Individfaktorer Miljöfaktorer Handlingsutrymme Figur 7 Förändringar vid pedagogisk påverkan i arbetslivet med exempel på faktorer av intresse för effekter av utbildning. [ALU98] Modellen skall ses som en beskrivning av ett tidsmässigt skeende, genom att det först sker en viss påverkan (1). Denna påverkan leder initialt till ett visst lärande (2), men detta initiala lärande bearbetas medvetet och omedvetet genom både tankearbete och ytterligare erfarenheter. Det man lärt sig vid påverkanstillfället kan därför förändras, vilket i figuren kallas kunskapsutveckling (3). Kunskapsanvändningen (4), innebär att det man lärt sig utnyttjas i arbetet. Ytterligare kunskapsutveckling sker också ofta i samband med att de nya kunskaperna används, därav den dubbelriktade pilen mellan (3) och (4). [ALU98] 24 C-uppsats vt-01 vid Luleå Tekniska Universitet

35 Metod 3. Metod I detta kapitel beskriver vi på vilket sätt som vi har utfört vår fallstudie. 3.1 Datainsamlingsmetod Vi har valt att göra vår fallstudie på Landstinget, en statlig myndighet samt en bank som vill vara anonym. Valen av dessa grundar sig på att dessa organisationer har klart definierade administrativa regler och rutiner, vilka är en förutsättning för att vår fallstudie ska kunna utföras. Valen grundas även på det faktum att dessa organisationer hanterar information som om den kommer i orätta händer kan orsaka stor skada för organisationen eller enskild person. I vår empiriska undersökning kommer vi att genomföra ett antal intervjuer med personer som är ansvariga för informationssäkerheten i respektive organisation. Detta görs för att få en insikt i hur respektive organisations informationssäkerhet är uppbyggd, och för att ta reda på vilket sätt personalen får information/utbildning om organisationens administrativa regler och rutiner. Vi kommer även att dela ut en enkät till de anställda i de olika organisationerna för att se hur väl de efterlever de administrativa reglerna och rutinerna Datainsamlingen kommer att ske på Landstinget, en statlig myndighet samt en bank som vill vara anonym. Datainsamlingen kommer att ske dels med en intervju av någon ansvarig för informationssäkerhet hos varje organisation dels med en enkät till berörda anställda hos varje organisation. Vi kommer att fråga den ansvarige för informationssäkerheten hos varje organisation hur det är tänkt att de anställda skall lära sig de administrativa reglerna och rutinerna som gäller inom organisationen. Vi tänker även ta reda på hur informationssäkerheten är uppbyggd i organisationen, till exempel hur de informationsklassar information, eller om de använder BKS och i så fall hur. Enbart rena användare kommer att tillfrågas i enkäten, det vill säga inte exempelvis systemadministratörer eller underhållspersonal. Vi kommer att ställa frågor i enkäten till användarna om organisationens administrativa regler och rutiner, för att se om dessa följs. Det vill säga ta fram efterlevnadsgraden av reglerna och rutinerna. Enbart frågor om de administrativa regler och rutiner som dessa användare ska kunna kommer att ställas i enkäten. Frågorna som kommer att ställas i enkäten kommer att röra de administrativa regler och rutiner som för de olika IT-resurser som finns inom organisationen. Testning av hypotes sker genom att se på vilken utbildning de har inom organisationen rörande de administrativa reglerna och rutinerna, och samtidigt se vilken efterlevnadsgrad de har av reglerna och rutinerna, och därmed verifiera eller falsifiera hypotesen. C-uppsats vt-01 vid Luleå Tekniska Universitet 25

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet Revision 1 (3) State Released Plan för IT Säkerhet DOCUMENT REVISION HISTORY Revision Reason for revision Date 1 New Document 2013-02-26 List of Authors List of Reviewers List of Approvers Skölde, Daniel/Ulrika

Läs mer

Informationssäkerhetsanvisning

Informationssäkerhetsanvisning HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Informationssäkerhetsanvisningar Användare Beslutad av enhetschef för Gemensamma förvaltningen i enlighet med rektors beslut fattat den 16 februari

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

Säkerhet i fokus. Säkerhet i fokus

Säkerhet i fokus. Säkerhet i fokus Säkerhet i fokus Säkerhet i fokus Säkerhet är en av våra viktigaste frågor. Våra hyresgäster bedriver en daglig verksamhet i allt från kriminalvårds anstalter och domstolsbyggnader till speciella vårdhem

Läs mer

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Plan för informationssäkerhet vid Högskolan Dalarna 2015 Plan för informationssäkerhet vid Högskolan Dalarna 2015 Beslut: 2015-05-04 Reviderad: Dnr: DUC 2015/769/10 Ersätter: Relaterade dokument: Policy för informationssäkerhet Ansvarig: Förvaltningschef Innehållsförteckning

Läs mer

Policy för informationssäkerhet

Policy för informationssäkerhet .. - T C Q o,.. e Policy för informationssäkerhet Landstingsdirektörens stab augusti 2015 CJiflt LANDSTINGET BLEKINGE Innehållsförteckning Inledning och bakgrund... 3 Syfte... 3 Mål... 3 Genomförande...

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM

SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM Version 2002-11-20 INNEHÅLLSFÖRTECKNING BAKGRUND...3 INLOGGNING...3 HANTERING AV INFORMATION...4 INTERNET...5 E-POST...6 INCIDENTER...6 BÄRBAR PC...6 ARBETSPLATSEN...7

Läs mer

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Metoder för datasäkerhet. Vad handlar en sådan kurs om??? Metoder för datasäkerhet Vad handlar en sådan kurs om??? Vad avses då media rapporterar om datasäkerhet? Oftast resultat av brister i säkerheten Allt möjligt av helt olika karaktär, som Försvunna viktiga

Läs mer

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2)

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2) Informationssäkerhetsinstruktion Användare: Övriga (3:0:2) Kommunalförbundet ITSAM Revision: 20130317 Dnr: 2013/00036 Kommunalförbundet ITSAM, Storgatan 36A, 590 36 Kisa Tel: 0494 197 00, Fax: 0494 197

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

Gemensamma anvisningar för informationsklassning. Motala kommun

Gemensamma anvisningar för informationsklassning. Motala kommun Gemensamma anvisningar för informationsklassning Motala kommun Beslutsinstans: Kommunfullmäktige Diarienummer: 11/KS 0071 Datum: 2011-08-22 Paragraf: 107 Reviderande instans: Kommunstyrelsen Diarienummer:

Läs mer

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016 Informationssäkerhetspolicy Informationssäkerhetspolicy för Vingåkers kommun 013-016 Innehållsförteckning 1 Mål... Syfte... 3 Ansvarsfördelning... 4 Definition... 5 Genomförande och processägare... 3 Dokumentnamn

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

ANVÄNDARHANDBOK Advance Online

ANVÄNDARHANDBOK Advance Online ANVÄNDARHANDBOK Advance Online 2013-09-27 INNEHÅLL Innehåll... 2 Välkommen till Advance Online!... 3 Allmän information... 3 Idén bakom Advance Online... 3 Att logga in på en terminalstation... 4 Allmänt...

Läs mer

Juridiska säkerhetskrav

Juridiska säkerhetskrav Juridiska säkerhetskrav Lagar med säkerhetskrav Det finns ingen datasäkerhetslag och inga juridiska krav på viss teknik, men... Vissa juridiska krav leder till krav på teknik i praktiken Grundtyper av

Läs mer

ANVÄNDARHANDBOK. Advance Online

ANVÄNDARHANDBOK. Advance Online ANVÄNDARHANDBOK Advance Online INNEHÅLL Innehåll... 2 Välkommen!... 3 Allmän information... 3 Idén bakom Advance Online... 3 Att logga in på en terminalstation... 4 Allmänt... 4 Citrix-klienten... 4 Inloggning...

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Antagen av kommunfullmäktige 2014-02-24, KF 29 Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd:

Läs mer

Säkerhetsinstruktion för användare av UmUs it-resurser

Säkerhetsinstruktion för användare av UmUs it-resurser Sid 1 (7) Säkerhetsinstruktion för användare av UmUs it-resurser Innehållsförteckning 1 Bakgrund...2 2 Tillgång till it-resurserna...2 3 Hantering av information...4 4 Programvaror...4 5 Internet...4 6

Läs mer

Informationssäkerhetsinstruktion Användare: Elever (3:0:1)

Informationssäkerhetsinstruktion Användare: Elever (3:0:1) Informationssäkerhetsinstruktion Användare: Elever (3:0:1) Kommunalförbundet ITSAM Revision: 20130307 Dnr: 2013/00036 Kommunalförbundet ITSAM, Storgatan 36A, 590 36 Kisa Tel: 0494 197 00, Fax: 0494 197

Läs mer

Hot + Svaghet + Sårbarhet = Hotbild

Hot + Svaghet + Sårbarhet = Hotbild 4 Hotbild Du har säkert hört begreppet hotbild tidigare. Om jag skulle försöka mig på att klassificera begreppet hotbild skulle det kunna vara enligt följande formel: Hot + Svaghet + Sårbarhet = Hotbild.

Läs mer

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Vervas allmänna råd till föreskrift om statliga myndigheters arbete med säkert

Läs mer

Välkommen till enkäten!

Välkommen till enkäten! Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av

Läs mer

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 8 januari 2010 Myndigheten

Läs mer

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Informationssäkerhet vid Karolinska Universitetssjukhuset Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Förlorar vi informationen, om den är felaktig eller manipulerad

Läs mer

Sammanfattning av riktlinjer

Sammanfattning av riktlinjer Sammanfattning av riktlinjer INFORMATIONSSÄKERHET FÖR ANVÄNDARE inom Luleå kommunkoncern 2015-03-04 Informationssäkerhet för användare beskriver hur Luleå kommun hanterar den information som används i

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

IT-säkerhetsinstruktion

IT-säkerhetsinstruktion IT-säkerhetsinstruktion Innehållsförteckning 1. ANVÄNDARENS ANSVAR...2 2. ÅTKOMST TILL INFORMATION...2 2.1 BEHÖRIGHET...2 2.2 INLOGGNING...2 2.3 VAL AV LÖSENORD...2 2.4 BYTE AV LÖSENORD...2 3. DIN ARBETSPLATS...3

Läs mer

IT-riktlinjer Nationell information

IT-riktlinjer Nationell information IT-riktlinjer Nationell information Syftet med denna It-riktlinje: den ska vägleda i användningen av Studiefrämjandets gemensamma datornätverk och dess it-resurser, vilket även innefattar den egna datorarbetsplatsen.

Läs mer

Juridik och informationssäkerhet

Juridik och informationssäkerhet 2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga

Läs mer

Informations- säkerhet

Informations- säkerhet ISec Code of Conduct Internal information Informations- säkerhet Ditt ansvar! ISec Code of Conduct Informationssäkerhet Scanias verksamhet är beroende av att information är tillgänglig och hanteras på

Läs mer

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation Presentation Informationssäkerhet Kim Strandberg Informationssäkerhetsstrateg/jurist kim.strandberg@regionostergotland.se 010-103 03 385 Region Informationssäkerhet, Östergötland 2015-03-11, Kim Strandberg

Läs mer

Säkra trådlösa nät - praktiska råd och erfarenheter

Säkra trådlösa nät - praktiska råd och erfarenheter Säkra trådlösa nät - praktiska råd och erfarenheter Emilie Lundin Barse Informationssäkerhetsdagen 2007, Karlstad 1 Om mig och Combitech Informationssäkerhetskonsult på Combitech Stationerad på Karlstadskontoret

Läs mer

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN 06-07 GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 3 VERKSAMHETSBESKRIVNING...2 3.1 ANVÄNDNINGSSÄTT - FUNKTIONSBESKRIVNING...2

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Handbok Informationsklassificering

Handbok Informationsklassificering Stockholms stad Handbok Informationsklassificering Stockholm 2008-03-18 1. Informationssäkerhet Kraven på säkerhet i en organisation med IT-stöd skall ställas i relation till de krav som ställs på organisationens

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 1552-2012 Socialnämnden i Norrköpings kommun Rådhuset 601 81 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 3 VERKSAMHETSBESKRIVNING...1 3.1 ANVÄNDNINGSSÄTT - FUNKTIONSBESKRIVNING...1 3.1.1 Användning under normala förhållanden

Läs mer

Bilaga 3c Informationssäkerhet

Bilaga 3c Informationssäkerhet SID 1 (9) Bilaga 3c Informationssäkerhet Förfrågningsunderlag Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm Box 22049, 104 22 Stockholm. Besöksadress

Läs mer

Policy och strategi för informationssäkerhet

Policy och strategi för informationssäkerhet Styrdokument Dokumenttyp: Policy och strategi Beslutat av: Kommunfullmäktige Fastställelsedatum: 2014-10-23, 20 Ansvarig: Kanslichefen Revideras: Vart 4:e år eller vid behov Följas upp: Vartannat år Policy

Läs mer

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Riktlinjer avseende Informationssäkerheten Sida 1 Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Informationssäkerhet är en del i kommunernas lednings- och kvalitetsprocess

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 )

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 ) Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 14-11-24 dnr V 2014/853 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum November 2014 Publicerad Beslutsfattare

Läs mer

Strategi Program Plan Policy» Riktlinjer Regler

Strategi Program Plan Policy» Riktlinjer Regler Strategi Program Plan Policy» Riktlinjer Regler Borås Stads Riktlinjer för IT Riktlinjer för IT 1 Fastställt av: Kommunstyrelsen Datum: 20 juni 2011 För revidering ansvarar: Kommunstyrelsen För ev uppföljning

Läs mer

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2 IT-SÄKERHETSPOLICY 1 Inledning... 1 1.1 Definition... 2 1.2 Omfattning... 2 2 Mål för IT-säkerhetsarbetet... 2 3 Ledning och ansvar för IT-säkerheten... 3 4 Lagar och andra regelverk... 4 5 IT-säkerhetsarbetet...

Läs mer

Sitic. Informationssäkerhetspolicy. Om detta dokument. Förebyggande Råd från Sveriges IT-incidentcentrum. Om Förebyggande Råd från Sitic

Sitic. Informationssäkerhetspolicy. Om detta dokument. Förebyggande Råd från Sveriges IT-incidentcentrum. Om Förebyggande Råd från Sitic Sitic Sveriges IT-incidentcentrum FR04-01 Informationssäkerhetspolicy Förebyggande Råd från Sveriges IT-incidentcentrum Om Förebyggande Råd från Sitic Bakgrund I uppdraget för Sveriges IT-incidentcentrum

Läs mer

Advokatfirma Rosén och Lagerbielke

Advokatfirma Rosén och Lagerbielke Anders Berndt Arena College Vårterminen 03 Analys av IT-säkerheten i Advokatfirma Rosén och Lagerbielke med förslag till riskreducerande åtgärder och införande av informationssäkerhetspolicy. Konsultfirma

Läs mer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf

Läs mer

Riktlinje för säkerhetskrav vid upphandling av IT-stöd

Riktlinje för säkerhetskrav vid upphandling av IT-stöd 1 (5) Ver. 1.1-2008-11-06 Riktlinje för säkerhetskrav vid upphandling av IT-stöd 1. Inledning Detta dokument redogör för vissa grundläggande säkerhetskrav som bör ställas i samband med anskaffning eller

Läs mer

Förutsättningar för gallring efter skanning 1 (5) Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26

Förutsättningar för gallring efter skanning 1 (5) Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26 Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26 1 (5) Förutsättningar för gallring efter skanning För att myndighet ska få gallra pappershandlingar efter skanning fordras det myndighetsspecifika

Läs mer

Allmänna villkor för infrastrukturen Mina meddelanden

Allmänna villkor för infrastrukturen Mina meddelanden Allmänna villkor för infrastrukturen Mina meddelanden Bilaga 1 Krav på säkerhet för brevlådeoperatörer version 1.2 (Gäller fr.o.m. 2015-11-11) 2 Bakgrund och syfte Skatteverket tillhandahåller en myndighetsgemensam

Läs mer

Begrepp och definitioner

Begrepp och definitioner Begrepp och definitioner I riskanalysen förekommer flera begrepp och definitioner som är nödvändiga att känna till för att kunna förstå riskanalysen. Några väsentliga begrepp och definitioner förklaras

Läs mer

ITsäkerhetspolicy. Antagen av kommunstyrelsen 1999-03-03 46-99

ITsäkerhetspolicy. Antagen av kommunstyrelsen 1999-03-03 46-99 ITsäkerhetspolicy Antagen av kommunstyrelsen 1999-03-03 46-99 IT-säkerhetspolicy för Denna policy uttrycker kommunledningens syn på behovet av IT-säkerhet i Lysekils kommun. Den anger omfattning och ansvarsfördelning

Läs mer

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Gäller från och med 2009-01-01 Dnr 5581/2008-030 Beslut 2008-12-10 Dnr:5581/2008-030 Universitetsdirektören Regler och riktlinjer för IT-säkerhet

Läs mer

Organisation för samordning av informationssäkerhet IT (0:1:0)

Organisation för samordning av informationssäkerhet IT (0:1:0) Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,

Läs mer

Informationssäkerhetsinstruktion: Användare

Informationssäkerhetsinstruktion: Användare EXEMPEL 1 Informationssäkerhetsinstruktion: Användare (Infosäk A) Innehållsförteckning 1. INSTRUKTIONENS ROLL I INFORMATIONSSÄKERHETSARBETET...2 2. ANVÄNDARENS ANSVAR...2 3. ÅTKOMST TILL INFORMATION...2

Läs mer

Riskanalys och informationssäkerhet 7,5 hp

Riskanalys och informationssäkerhet 7,5 hp Riskanalys och informationssäkerhet 7,5 hp Margaretha Eriksson Civ.Ing. och doktorand i informationssäkerhet KTH irbiskonsult@tele2.se Föreläsning 1 Vad menar vi med säkerhet? Säkerhet är en grad av skydd

Läs mer

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda IT governance i praktiken: Styrning och kontroll över ITriskerna med ISO2700X Fredrik Björck Transcendent Group för ADBJ 2006-01-31 Agenda IT governance definierat IT governance i praktiken och infosäk

Läs mer

FÖRHINDRA DATORINTRÅNG!

FÖRHINDRA DATORINTRÅNG! FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser

Läs mer

I Central förvaltning Administrativ enhet

I Central förvaltning Administrativ enhet ., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens

Läs mer

Rikspolisstyrelsens författningssamling

Rikspolisstyrelsens författningssamling Rikspolisstyrelsens författningssamling ISSN 0347 545X Utgivare: chefsjuristen Lars Sjöström Rikspolisstyrelsens föreskrifter och allmänna råd om anskaffning, användning, utveckling och förändring av Polisens

Läs mer

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.3

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.3 Bromölla kommun KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.3 Antagen/Senast ändrad Gäller från Dnr Kf 2004-08-30 88 2004-08-31 2004/273-008 RIKTLINJER FÖR IT-ANVÄNDNING Riktlinjer för IT-användningen i Bromölla

Läs mer

Rekryteringsmyndighetens interna bestämmelser

Rekryteringsmyndighetens interna bestämmelser Rekryteringsmyndighetens interna bestämmelser Rekryteringsmyndighetens interna bestämmelser om användning av myndighetens IT-utrustning samt IT-tjänster och telefoni RIB 2014:1 beslutade den 9 april 2014.

Läs mer

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21 IT-säkerhetspolicy Antagen av kommunfullmäktige 2004-06-21 1 Det moderna samhället är starkt beroende av att elförsörjning, telekommunikationer och IT-system fungerar. Om dessa påverkas kan svåra störningar

Läs mer

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhetspolicy för Nässjö kommun Författningssamling Antagen av kommunfullmäktige: 2014-11-27 173 Informationssäkerhetspolicy för Nässjö kommun Innehåll 1 Inledning... 3 1.1 Begreppsförklaring... 3 2 Syfte... 4 3 Mål för Informationssäkerhetsarbetet...

Läs mer

INFORMATIONSSÄKERHET EN PATIENTSÄKERHETSFRÅGA

INFORMATIONSSÄKERHET EN PATIENTSÄKERHETSFRÅGA INFORMATIONSSÄKERHET EN PATIENTSÄKERHETSFRÅGA NATIONELLT NÄTVERK FÖR LÄKARSEKRETERARE 2011 11 10 STOCKHOLM Rose-Mharie Åhlfeldt Institutionen för Kommunikation och Information Bild 1 VEM ÄR JAG? Universitetslektor

Läs mer

IT-säkerhetspolicy för Landstinget Sörmland

IT-säkerhetspolicy för Landstinget Sörmland Bilaga 1, LS 115 /02 1.0 1(5) IT-säkerhetspolicy för Landstinget Sörmland Inledning Bakgrund och motiv Mål Medel Omfattning Organisation och ansvar Regelverk 1.0 2(5) Inledning Policyn är landstingsstyrelsens

Läs mer

2009-05-04. Informationssäkerhetspolicy

2009-05-04. Informationssäkerhetspolicy 2009-05-04 Informationssäkerhetspolicy 2 1 POLICYNS ROLL I INFORMATIONSSÄKERHETSARBETET... 3 2 ALLMÄNT OM INFORMATIONSSÄKERHET... 3 3 MÅL... 4 4 ORGANISATION, ROLLER OCH ANSVAR... 4 4.1 ÖVERGRIPANDE ANSVAR...5

Läs mer

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och beredskap föreskriver. I dokumentet kommer fortsättningsvis

Läs mer

C/D-UPPSATS. Efterlevnad av informationssäkerhet

C/D-UPPSATS. Efterlevnad av informationssäkerhet C/D-UPPSATS 2008:13 Efterlevnad av informationssäkerhet Johanna Lind Nina Tiensuu Luleå tekniska universitet C/D-uppsats Data- och systemvetenskap Institutionen för Industriell ekonomi och samhällsvetenskap

Läs mer

2012-12-12 Dnr 074-11-19

2012-12-12 Dnr 074-11-19 HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Regler för informationssäkerhet Regler för informationssäkerhet är beslutade av enhetschefen för i enlighet med Högskolans säkerhetspolicy (dnr 288-11-101)

Läs mer

Regler för användning av Riksbankens ITresurser

Regler för användning av Riksbankens ITresurser Regler för användning av Riksbankens ITresurser MAJ 2009 1 Inledning I det följande ges regler för användning av Riksbankens IT-resurser, vilka gäller för alla medarbetare i Riksbanken samt konsulter och

Läs mer

IT-säkerhetspolicy. Fastställd av KF 2005-02-16

IT-säkerhetspolicy. Fastställd av KF 2005-02-16 IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten

Läs mer

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun. V A R B E R G S K O M M U N föregångare inom IT-säkerhet av lena lidberg Vilka är kommunens viktigaste IT-system? Och hur länge kan systemen ligga nere innan det uppstår kaos i verksamheterna? Frågor som

Läs mer

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799 2003-01-24 Energibranschens IT-säkerhet 1 (13) Att införa LIS Förberedelser inför anpassning till ISO/IEC 17799 Vad är informationssäkerhet? Information är en tillgång som, liksom andra viktiga tillgångar

Läs mer

Säkerhet för personuppgifter

Säkerhet för personuppgifter Säkerhet för personuppgifter Datainspektionens allmänna råd 1 Innehåll Inledning 4 Ansvaret för säkerheten 6 Organisation 11 Hotbild 14 Säkerhetsnivå 16 Säkerhetsåtgärder 19 Sammanfattning 26 Några begrepp

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

Informationssäkerhet Riktlinje Förvaltning

Informationssäkerhet Riktlinje Förvaltning Informationssäkerhet Riktlinje Förvaltning Fastställd av kommundirektören 2011-06-20 Innehåll 1 Informationssäkerhet 3 2 Organisation och ansvar 4 2.1 Informationssäkerhetssamordnare... 4 2.2 IT-chef...

Läs mer

PuL och ny dataskyddsförordning. Nätverksträff Informationssäkerhet i fokus 4 maj 2015

PuL och ny dataskyddsförordning. Nätverksträff Informationssäkerhet i fokus 4 maj 2015 PuL och ny dataskyddsförordning Nätverksträff Informationssäkerhet i fokus 4 maj 2015 Om företaget Hos Transcendent Group möter du erfarna konsulter inom governance, risk and compliance. Våra tjänster

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

Elektronisk informationssäkerhet. Riktlinjer för Användare - anställda och förtroendevalda. Eslövs kommun

Elektronisk informationssäkerhet. Riktlinjer för Användare - anställda och förtroendevalda. Eslövs kommun Elektronisk informationssäkerhet Riktlinjer för Användare - anställda och förtroendevalda Eslövs kommun Dokumentet Riktlinjer för användare anställda och förtroendevalda är antaget av kommunstyrelsens

Läs mer

Säkerhetsskyddsplan för Piteå kommun

Säkerhetsskyddsplan för Piteå kommun Säkerhetsskyddsplan för Piteå kommun Dokumentnamn Dokumenttyp Fastställd/upprättad Beslutsinstans Säkerhetsskyddsplan för Piteå kommun Plan/Program 2013-11-18, 190 Kommunfullmäktige Dokumentansvarig/processägare

Läs mer

Informationssäkerhet

Informationssäkerhet Informationssäkerhet Information och anvisningar för medarbetare i Stockholms läns sjukvårdsområde Informationssäkerhet 3 Informationssäkerhet inom Stockholms läns sjukvårdsområde (SLSO) Med informationssäkerhet

Läs mer

WHAT IF. December 2013

WHAT IF. December 2013 December 2013 Har du hittat rätt säkerhetsnivå för ditt företag? Här får du hjälp i det arbetet, och med att få resurser för att nå den trygghet du tycker verksamheten behöver. God jul, Oskar Ehrnström

Läs mer

Arbetsplatsfo rlagt la rande inom vuxenutbildning

Arbetsplatsfo rlagt la rande inom vuxenutbildning 1 (10) Arbetsplatsfo rlagt la rande inom vuxenutbildning Med arbetsplatsförlagt lärande, apl, avses ett lärande i en utbildning som genomförs på en eller flera arbetsplatser utanför skolan. Detta är möjligt

Läs mer

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM FÖRFATTNINGSSAMLING (8.1.3) SÄKERHETSFÖRESKRIFTER Dokumenttyp Riktlinjer Ämnesområde IT Ägare/ansvarig IT-strateg Antagen av KS 2012-02-08 47 Revisions datum Förvaltning KSF, stab Dnr KS/2010:1056 Giltig

Läs mer

Kapitel 10 Styrning av kommunikation och drift

Kapitel 10 Styrning av kommunikation och drift Kapitel 10 Styrning av kommunikation och drift En förutsättning för att de flesta informationssystem ska fungera är den underliggande kommunikationen. Varje enhet måste kunna lita på att nödvändiga resurser

Läs mer

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar

Läs mer