Administrativ säkerhet - Efterlevs administrativa regler och rutiner?

Storlek: px
Starta visningen från sidan:

Download "Administrativ säkerhet - Efterlevs administrativa regler och rutiner?"

Transkript

1 Administrativ säkerhet - Efterlevs administrativa regler och rutiner? Administrative safety - Are administrative rules and procedures obeyed? PETER HENNINGSEN JOAKIM LINDSTRÖM

2

3 Förord Denna uppsats är resultatet av vårt examensarbete på 10 poäng i Data- och Systemvetenskap vid Institutionen IES avdelningen DSV, vid Luleå Tekniska Universitet. Vi vill tacka vår handledare Marieléne Sjödin för synpunkter och god vägledning under arbetet med uppsatsen. Vi vill även tacka de organisationer som ställde upp med tid och engagemang och därigenom gjorde denna uppsats möjlig. Luleå den 21 maj 2001 Peter Henningsen Joakim Lindström

4

5 Sammanfattning Informationssäkerhet uppnås med hjälp av skyddsåtgärder. Det finns tre typer, administrativa, logiska och byggnadstekniska skyddsåtgärder. Administrativa skyddsåtgärder är skyddsåtgärder av administrativ typ, det vill säga regler och rutiner för vilka arbetsmoment som måste utföras och hur. Dessa regler och rutiner återfinns främst i en organisations informationssäkerhetspolicys och riktlinjer. Administrativa skyddsåtgärder kan fungera som ett komplement till logiska skyddsåtgärder men även som fristående skyddsåtgärder. Det är viktigt att en organisation som hanterar information som om den kommer i orätta händer kan skada organisationen, har tydliga administrativa regler och rutiner för sina IT-resurser. I denna uppsats har vi undersökt om en informationssäkerhetsutbildning med helhetsperspektiv rörande dessa regler och rutiner påverkar efterlevnadsgraden av dessa på ett positivt sätt. Vi redogör också för de logiska skyddsåtgärder som de administrativa reglerna och rutinerna kan fungerar som ett komplement till. Vi har undersökt tre organisationer. Undersökningen visade att ingen av de tre organisationerna hade ett helhetsperspektiv på informationssäkerhetsutbildning. Men man kunde se att desto närmare en organisation var ett helhetsperspektiv desto högre efterlevnadsgrad av de administrativa reglerna och rutinerna uppvisade användarna.

6

7 Abstract Information security is achieved by taking security measurements. There are three types of security measurements; they are: administrative, logical and constructional security measurements. Administrative security measurements are measurements of the administrative kind; that is rules and procedures about which work operations are to be carried out and how these work operations are to be carried out. These rules and procedures are first and foremost found in the information security policies and guidelines of the organization. Administrative security measurements act as a complement to logical security measurements but also as a standalone security measurement. It s important that an organization that handles sensitive information has distinct rules and procedures that applies to their IT resources. In this thesis we ve examined if an information security training with a comprehensive view regarding these rules and procedures affects the degree of adherence in a positive way. We re also describing those logical security measurements that the administrative rules and procedures act as a complement to. There are three organizations included in our case study. Our case study shows that none of these organizations has a comprehensive view on information security training. What you could see from our study is that the closer an organization is to having a comprehensive view regarding information security training the higher degree of adherence to administrative rules and procedures the users exhibit.

8

9 Innehållsförteckning 1. Inledning Problemområde Syfte Hypotes Variabler Begreppsdefinitioner Efterlevnadsgrad Utbildning Helhetsperspektiv på utbildningen Administrativa regler och rutiner Organisation Fullgoda logiska skyddsåtgärder Avgränsningar Teori Skyddsåtgärder Hot och risker Logiska skyddsåtgärder Kryptering Behörighetskontrollsystem Brandvägg Säkerhetskopiering Virusskydd Administrativa skyddsåtgärder Informationssäkerhetspolicy Riktlinjer Informationssäkerhetsutbildning Informationsklassificering Klassningsmodell Risk- och sårbarhetsanalys IT-säkerhetsrevision Byggnadstekniska skyddsåtgärder Utbildning Planering av utbildning Kunskap, erfarenhet och kompetens Lärcykeln Den individuella lärandeprocessen Metod Datainsamlingsmetod Empiri Fallstudie av statligt verk Intervju med ledningen Enkätsvar...29

10 4.2 Fallstudie av banken Intervju med ledningen Enkät Fallstudie av Landstinget Intervju med ledningen Enkät Analys Helhetsperspektiv på utbildning Slutsats Avslutande diskussion Metoddiskussion Egna kommentarer Referenser...63 Bilagor: Bilaga A Enkät

11 Inledning 1. Inledning 1.1 Problemområde Informationssäkerhet idag är ett känsligt och svårbemästrat ämne. Å ena sidan finns den tekniska delen där man gör allt för att hålla jämna steg med potentiella brottslingar och otursförföljda användare. Å andra sidan finns en administrativ del, vars uppgift är att få användarna att utnyttja skydden och att få hela organisationen att bete sig säkerhetsmässigt. Informationssäkerhetsansvariga och de enskilda användarna tycks inte alltid ha samma uppfattning om de krav som informationssäkerheten ställer och hur den skall uppnås. En vanlig uppfattning på säkerhets- och dataavdelningar är att det ofta är svårt att nå ut med sitt budskap till användarna; användarna, å sin sida, har ofta en känsla av att säkerhetsfolket bara krånglar till arbetet. Därför tyckte vi att det skulle vara intressant att se hur väl de anställda efterlever de regler och rutiner som finns inom organisationen. Och om utbildning av användarna rörande dessa regler och rutiner påverkar efterlevandegraden av dessa. Informationssäkerhet kan delas upp i administrativ säkerhet och IT-säkerhet. IT-säkerhet är säkerhet som uppnås med tekniska lösningar, ett exempel på en teknisk säkerhetslösning är ett behörighetskontrollsystem. Administrativ säkerhet är säkerhet som huvudsakligen uppnås med administrativa regler och rutiner, exempel på administrativa säkerhetsskydd är policys och riktlinjer som de anställda måste följa. [SIG97] Företagen satsar ofta på dyra och avancerade tekniska lösningar för att skydda sin information, men ofta glöms de administrativa skyddsåtgärderna bort när säkerheten skall planeras. Man förstår inte att de administrativa skydden är en förutsättning för att andra typer av skydd ska få önskad effekt. [STA98a] För att säkra information, så att till exempel obehöriga inte manipulerar den, krävs en helhetssyn på informationssäkerheten. Det räcker ofta inte med enskilda tekniska säkerhetslösningar utan det behövs även olika administrativa regler och rutiner samt utbildning av användarna. [STA98a] Erfarenheten visar att det svåraste hotet mot informationssäkerheten kommer inifrån den egna organisationen. Allra vanligast är fel, misstag och oavsiktliga försummelser som förorsakas av bristande organisation, till exempel ansvarsfördelning eller kompetens- och kunskapsbrist. [SIG97] I denna uppsats har vi tänkt titta på organisationer som hanterar information som är av sådan natur att om den hamnar i orätta händer kan orsaka stor skada för organisationen eller enskild person. Vi kommer att se om dessa organisationer tar informationssäkerhet på allvar genom att ha ett helhetsperspektiv på utbildning i informationssäkerhet. Vi kommer också att ta reda på hur detta helhetsperspektiv påverkar efterlevnaden av de administrativa reglerna och rutinerna hos de anställda. C-uppsats vt-01 vid Luleå Tekniska Universitet 1

12 Inledning 1.2 Syfte Syftet är att undersöka om utbildning av personalen rörande de administrativa reglerna och rutinerna påverkar efterlevandegraden av dessa, samt att visa om organisationerna har ett helhetsperspektiv när det gäller denna utbildning. 1.3 Hypotes Efterlevnadsgraden av de administrativa reglerna och rutinerna inom organisationen är beroende av om organisationen har ett helhetsperspektiv på utbildningen rörande de administrativa reglerna och rutinerna Variabler Omgivningsvariabler Attityd och motivation Stress Tidigare erfarenhet och kunskap Invariabel Organisationens helhetsperspektiv på utbildning Utvariabel Efterlevnads grad av regler/rutiner Figur 1 In-, ut- och omgivningsvariabler 1.4 Begreppsdefinitioner Efterlevnadsgrad Administrativa regler och rutiner är tvingande inom en organisation, det vill säga de anställda måste följa dessa. [STA98b] Med efterlevnadsgrad menar vi då till vilken grad de anställda följer de administrativa reglerna och rutinerna rörande informationssäkerhet som gäller inom organisationen. 2 C-uppsats vt-01 vid Luleå Tekniska Universitet

13 Inledning Utbildning Med utbildning menar vi alla de planerade och organiserade utbildningsaktiviteter som: Avser anställda och som innehållsmässigt anknyter till informationssäkerhet. Anordnas och finansieras av arbetsgivaren. Sker på arbetstid Helhetsperspektiv på utbildningen Ordet helhetsperspektiv kan ha många olika innebörder så därför har vi valt att definiera detta ord i den bemärkelse vi använder det i vår uppsats. Med detta ord menar vi att företag som har ett helhetsperspektiv på informationssäkerhetsutbildning först och främst har en utbildning i informationssäkerhet. Sedan ska utbildningen ha följande egenskaper när den genomförs: Kompetensanalys Att kartlägga och analysera behovet av utbildning ökar sannolikheten att träffa rätt med en utbildningsinsats. Med andra ord så måste man ta reda på vad de anställda kan innan man kan utforma utbildningen. Detta kan ske i form av ett utvecklingssamtal med sin chef. [ALU98] Tydligt mål Målet ska ange vad den anställde kunskapsmässigt ska ha uppnått när utbildningen är avslutad, anledningen till detta är för att det ska gå att göra en utvärdering/uppföljning på utbildningen. Målet är även styrande för vad som skall behandlas vid själva utbildningstillfället. [ALU98] Utbildning På vilket sätt utbildningen utförs, till exempel genom kurs eller seminarium är av mindre betydelse för hur mycket man lär sig. Man kan inte generellt säga att en form av utbildning är sämre än en annan bara genom att se på i vilken form det utförs (kurs, seminarium, grupparbete osv.). Andra faktorer som deltagarens förkunskaper motivation osv. är av större betydelse, även kvaliteten på läraren är av stor betydelse. [ALU98] Utvärdering/uppföljning Utvärdering/uppföljning av en utbildning omfattar dels insamling och analys av data, dels värdering och bedömning av utbildningen i fråga. Detta görs för att se om den anställde lärt sig det som var tänkt under utbildningen, det vill säga hur väl den anställde lever upp till målet med utbildningen. Ytterligare en aspekt är av intresse: Och det är att utvärderingen/uppföljningen även skall ge ett underlag för att för att man ska kunna planera ny och/eller kommande utbildning bättre. [ALU98] Kontinuitet Utbildning i informationssäkerhet får aldrig ses som ett engångsarbete. Det grundläggande syftet med fortlöpande utbildning är att hålla säkerhetsmedvetandet vid liv. Erfarenheten visar att säkerhetsmedvetandet är som störst strax efter en utbildning, för C-uppsats vt-01 vid Luleå Tekniska Universitet 3

14 Inledning att därefter gradvis avta. Det är därför viktigt att kontinuerligt utbilda i informationssäkerhet. [STA98b] Mellan utbildningarna ska organisationen även ha följande: Regelbundna informationspass Det kan vara svårt att mellan informationssäkerhetsutbildningar upprätthålla säkerhetsmedvetandet inom en organisation enbart genom löpande skriftlig eller webbaserad information. Därför är det nödvändigt att med jämna mellanrum samla personalen till kortare genomgångar, informationspass. Dessa informationspass bör vara korta och konkreta. [STA98b] Om en organisation har en informationssäkerhetsutbildning och den har dessa egenskaper så har de enligt vår definition ett helhetsperspektiv på informationssäkerhetsutbildning Administrativa regler och rutiner De administrativa reglerna och rutinerna är en förutsättning för att andra typer av skydd skall få önskad effekt. [STA98c] Administrativ säkerhet uppnås med administrativa skyddsåtgärder. Administrativa skyddsåtgärder är främst administrativa regler och rutiner. De administrativa reglerna och rutinerna är precis vad det låter som, det vill säga regler och rutiner för hur och när saker och ting skall utföras inom organisationen. I detta ingår både hantering av information lagrad på datorer samt information som finns i annan form, exempelvis papper. Dessa regler och rutiner är den mjuka delen av informationssäkerhet den andra delen är IT-säkerhet som är den hårda delen. Begreppet IT-säkerhet används för skyddsåtgärder som är av teknisk karaktär, dessa skyddsåtgärder kallas logiska skyddsåtgärder, ett exempel på dessa är olika former av behörighetskontrollsystem. De administrativa reglerna och rutinerna är tänkt att komplettera IT-säkerheten, med de regler och rutiner som behövs för styrning och kontroll av IT-resurserna. Administrativa skyddsåtgärder fungerar alltså som ett komplement till en teknisk skyddsåtgärd. [STA98c] Organisation Organisation innebär i uppsatsen organisation/företag/verksamhet/myndighet. 4 C-uppsats vt-01 vid Luleå Tekniska Universitet

15 Inledning Fullgoda logiska skyddsåtgärder Med fullgoda logiska skyddsåtgärder så menar vi att organisationen ska ha följande logiska skyddsåtgärder: Kryptering Behörighetskontrollsystem (BKS) Brandvägg Säkerhetskopiering Virusskydd 1.5 Avgränsningar Vi har valt att koncentrera oss på: Organisationer där man hanterar information som kan vara till skada för organisationen, eller en enskild individ om den inte hanteras på ett säkert sätt. Organisationer som har klart definierade administrativa regler och rutiner. Organisationer som har fullgoda logiska skyddsåtgärder De användare som är rena användare, det vill säga användare som enbart använder IT som stöd för sina dagliga arbetsuppgifter, inte t ex systemadministratörer och underhållspersonal. De administrativa regler och rutiner som gäller för rena användare. De administrativa regler och rutiner som finns för olika IT-resurser, t ex regler och rutiner för att skicka e-post. De administrativa regler och rutiner som gäller för det dagliga arbetet. Vi förutsätter att de anställda inom organisationen har en god kunskap om det egna arbetet. Vi tar inte hänsyn till: På vilket sätt som utbildningen genomförs, t ex genom en kurs, seminarium eller grupparbeten. Hur bra utbildningen är med avseende på t ex lärarens prestationer eller kursmaterialet. C-uppsats vt-01 vid Luleå Tekniska Universitet 5

16

17 Teori 2. Teori I detta kapitel redogör vi för den teori som vi har som stöd för vår uppsats. 2.1 Skyddsåtgärder För att uppnå informationssäkerhet, det vill säga skydda sin information, så måste man använda olika skyddsåtgärder. Skyddsåtgärder används för att möta speciella hot. Vissa skyddsåtgärder kan möta fler än ett hot. Vissa hot bekämpas mer effektivt genom att flera olika skyddsåtgärder samverkar. [STA98a] Skyddsåtgärder kan delas in i tre kategorier, som kan ses i figur 1: Skyddsåtgärder Byggnadstekniska skyddsåtgärder Figur 2 Fritt efter [STA98a] Administrativa skyddsåtgärder Logiska skyddsåtgärder Logiska skyddsåtgärder, är skyddsåtgärder av teknisk karaktär i form av maskin- och/eller programvara. Administrativa skyddsåtgärder, är regler och rutiner för vilka arbetsmoment som måste genomföras och hur. Byggnadstekniska skyddsåtgärder, är skyddsåtgärder av fysisk karaktär som till exempel lås. Skyddsåtgärder kan användas på olika sätt, till exempel för att förebygga, upptäcka och varna för hot eller för att återställa det som skadan ställde till med. Att förebygga ett hot är det bästa alternativet. Det innebär att hotet inte kan utnyttja en sårbarhet. I vissa lägen är det inte möjligt att förebygga ett hot. Skyddsåtgärden kan då rapportera skadan. Det finns också skyddsåtgärder som kan återställa eller begränsa följderna av hotet efter det har inträffat. [STA98a] För att uppnå högsta möjliga skyddsnivå så måste skyddsåtgärder av de tre typerna kombineras på ett lämpligt sätt, det vill säga anpassas till verksamhetens typ. [STA98c] C-uppsats vt-01 vid Luleå Tekniska Universitet 7

18 Teori Hot och risker Många hot kan undvikas om rätt utformade administrativa skyddsåtgärder används tillsammans med väl valda logiska skyddsåtgärder. [STA98c] Ett hot är en handling eller händelse som om den inträffar kan komma att skada en IT-resurs, till exempel information eller en applikation. Sårbarhet är en punkt där ett hot kan skada systemet. Sårbarhet är därmed en svaghet som ett hot kan utnyttja för att åstadkomma skada. Risk är sannolikheten för att hotet ska inträffa. [SIG97] Hot kan delas upp i tre kategorier: Logiska hot vilka är hot mot IT-resurser, funktioner och tjänster. Förhindras av logiska skyddsåtgärder. Administrativa hot vilka är hot mot administrativa rutiner och organisatoriska lösningar. Förhindras av administrativa skyddsåtgärder. Fysiska hot vilka är hot av typen skadegörelse, miljöpåverkan eller stöld. Förhindras av byggnadstekniska skyddsåtgärder. [STA98a] 8 C-uppsats vt-01 vid Luleå Tekniska Universitet

19 Teori 2.2 Logiska skyddsåtgärder I denna del redogör vi för de logiska skyddsåtgärder som finns att tillgå Kryptering Kryptering är en effektiv åtgärd för att i samband med datakommunikation eller lagring skydda informationen mot insyn, avlyssning och förändring. Kryptering innebär att information kodas innan den sänds eller lagras, och att informationen endast kan göras läsbar av mottagaren under förutsättning att denne innehar rätt krypteringsnyckel. För att kunna dekryptera en text måste både algoritmen och nyckeln vara känd. [STA98c] Kryptering med hjälp av ett bra program ger ett mycket gott skydd för de flesta hemliga uppgifter. Svårigheten är att vara disciplinerad och att alltid kryptera filerna efter avslutat arbete. Program som automatiskt krypterar filer som man arbetar med kan underlätta. Kryptonycklarna måste också förvaras mycket väl. Kommer de bort är uppgifterna också borta. Kommer de i orätta händer är uppgifterna inte längre hemliga. Om fler personer ska ha tillgång till uppgifterna är kryptering svår att administrera. [ABE90] Kryptering av data lagrade på datamedier används i allt större omfattning; speciellt då för säkerhetskopior som skall lagras på andra ställen, utan fara för att utomstående ska få tag i informationen. [LED89] Behörighetskontrollsystem En definition av ett behörighetskontrollsystem (BKS) är att det är ett system som kan kontrollera behörighet och som kan skydda information så att den endast är tillgänglig för den som har rätt till den. Ett BKS består av ett antal samverkande funktioner som tillsammans kan tillhandahålla ett grundläggande behörighetsskydd. En förutsättning för att man ska kunna ha kontroll över tillgången till olika resurser i ett IT-system är att det finns ett behörighetskontrollsystem installerat i den dator som används. Ett behörighetssystem kan omfatta identifiering, åtkomstkontroll och loggning. [SIG97] Syftet med behörighetskontrollen är att: Identifiera en användare. Verifiera, bevisa (autenticera) den identitet som användaren anger. Styra hur en användare får använda resurser i systemet utifrån sin behörighet. Registrera hur användaren utnyttjar systemet och dess resurser Första steget i behörighetskontrollen är att identifiera den som är behörig. Identifiering av användaren görs genom att denne anger sin identitet på något sätt, exempelvis genom att ange ett användarnamn eller en identifieringskod. Mer avancerade system finns också där man till exempel använder aktiva kort. C-uppsats vt-01 vid Luleå Tekniska Universitet 9

20 Teori I system med höga krav på säkerhet så måste användaren verifieras, d v s bevisa att han är den han säger sig vara. Detta kan exempelvis ske med ett lösenord, men även mer sofistikerade metoder finns att tillgå. Se figur 2. Metod Exempel Svagheter 1. Något man känner till Lösenord Någon kan lära sig eller gissa sig till lösenordet 2. Något föremål man har Magnetkodade plastkort Någon kan stjäla, låna eller kopiera föremålet 3. Någon egenskap man har Fingeravtryck, namnteckning röst, ögonbottenbild Figur 3 Identifiering och verifiering. [SIG97] Det är svårt att entydigt hänföra en egenskap till en enda människa utan att använda en så enorm databehandlingskapacitet att det hela blir orimligt Andra steget i behörighetskontrollen är åtkomstkontroll. Detta innebär att ett system endast är tillgängligt för behöriga användare och att deras rätigheter och befogenheter regleras. Behörighetskontrollsystemets tredje del är loggning. Detta innebär att information om de operationer som gjorts i ett system samlas in och registreras för att senare bearbetas med olika syften. En logg kan göras så omfattande att bearbetningen i systemet kan rekonstrueras i detalj. [SIG97] [STA98c] Brandvägg En brandvägg består av en eller flera komponenter som placeras mellan två datornät för att enligt förutbestämda regler kontrollera och begränsa trafiken mellan dessa. De komponenter som ingår i en brandvägg är vanligen routerutrustningar och specialanpassade datorer. All trafik mellan de två datornäten passerar genom brandväggen och endast trafik som är godkänd enligt de förutbestämda reglerna tillåts passera. För att kunna erbjuda en effektiv funktion måste brandväggen även kunna skydda sig själv från angrepp. En brandvägg ska av övervakningsskäl även innehålla funktionalitet för loggning av såväl normal som otillåten trafik och bör erbjuda verktyg för analys av loggad trafik. Det bör också finnas möjlighet att koppla larm till trafik som indikerar säkerhetsöverträdelser. I en brandväggslösning ingår även organisationen runt brandväggen. [STA98c] Säkerhetskopiering En säker driftmiljö kräver strikta rutiner för hur reservkopior på lagrade data och program ska tas samt riktigt utformade förvaringsutrymmen för lagringsmedier. En generation av lagrade data och program ska alltid förvaras på en plats som är väl avskild från den övriga driftmiljön. Sådana säkerhetskopior ska kunna användas i en nödsituation, till exempel då såväl utrustning som övriga kopior av data och program har förstörts. [STA98c] 10 C-uppsats vt-01 vid Luleå Tekniska Universitet

21 Teori Varje nät brukar förses med en utrustning för snabb säkerhetskopiering av serverns hårddisk. Utrustningen kan kopplas direkt till varje server eller till någon annan persondator i nätet. Till utrustningen hör också program för automatisk säkerhetskopiering av alla filer eller bara de filer som ändrats sedan senaste säkerhetskopiering. Med hjälp av den utrustningen kan alla de filer som användarna lagrat på servern säkerhetskopieras gemensamt. På så sätt avlastas användarnas säkerhetskopiering och det blir färre säkerhetskopior att hålla reda på. [ABE90] Viktigt i sammanhanget är att ansvaret för att ta säkerhetskopior är definierat, att rutinen för säkerhetskopiering på något sätt verifierar att säkerhetskopian är användbar samt att berörda parter vet hur man återlagrar information från kopian. Det senare är speciellt viktigt om man har utrustat persondatorn med ett BKS som krypterar säkerhetskopian. [SIG97] Virusskydd Datavirus är en självständig del av ett program som har dolts i ett annat program och virusprogrammets instruktioner utförs inte förrän det program där det ligger dolt aktiveras. De är alltså beroende av redan existerande program eller filer att dölja sig bakom. Det finns också virus som fungerar som självständiga program. [STA98c] Det finns många sätt att framgångsrikt skydda sig mot datavirus och illvilliga program. Åtgärderna består i första hand av administrativa skyddsåtgärder. Det skall finnas riktlinjer eller regler över vilka restriktioner som gäller för att undvika att datorer och program blir smittade. [RAR95] Vilka skador ett datavirus kan orsaka beror dels på vilka avsikter skaparen haft dels på hur snabbt man upptäcker angreppet. Skydden man tar till ska stå i relation till de skador ett virusangrepp kan förorsaka och en bedömning av hur stor man anser risken för ett angrepp vara. När det gäller skydd mot datavirus är det fråga om: Att förebygga att man överhuvud taget blir smittad Att upptäcka ett smittat program och då förhindra smittspridning Att återställa ett smittat system Virusprogramvara bör installeras på flera ställen i IT-miljön för att få ett mer heltäckande skydd. Virusprogrammen kan vara av två typer, aktiva virusskydd och passiva. Den aktiva programvaran kan startas automatiskt till exempel när datorn startas. Sedan ligger den minnesresident i bakgrunden och letar kontinuerligt efter virus och virusliknande händelser. Den kan även kontrollera program och datafiler innan de används. Det aktiva, residenta, virusskyddet kan även i många fall leta efter misstänkta handlingar vid öppnandet och stängandet av fil eller skrivning av fil till lagringsenhet. Den passiva programvaran kan köras vid speciella tidpunkter till exempel vid låg belastning för att göra en schemalagd körning. [STA98c] C-uppsats vt-01 vid Luleå Tekniska Universitet 11

22 Teori 2.3 Administrativa skyddsåtgärder I denna del tar vi upp och förklarar de administrativa skyddsåtgärder som är av intresse i vår uppsats Informationssäkerhetspolicy Ett beslut som berör hela verksamheten måste dokumenteras. Det mest naturliga är att fastställa en policy inom ämnesområdet som slår fast inriktningen på det arbetet som skall ske inom informationssäkerhetsarbetet. [SKO90] En informationssäkerhetspolicy skall ange riktningen och målsättningen för verksamhetens informationssäkerhetsarbete. Men precis som för alla andra målsättningar får inte heller informationssäkerhetspolicyn vara för detaljerad eller omfattande samtidigt som den skall utformas på ett sådant sätt att den inte behöver förändras alltför ofta. [SKO90] Policydokumentet ska ge en klar uppfattning om vilken inriktning IT-säkerhetsarbetet ska ha. Det ska också vara väl förankrat i den verklighet som organisationen verkar i. En viktig del i policyn är också att fastställa hur ansvaret för IT-säkerhet är fördelat mellan olika funktioner inom organisationen. Både policy och riktlinjer är tvingande för hela organisationen. Avvikelse kräver dispens av den som utfärdat policyn eller riktlinjen. [STA98b] En informationssäkerhetspolicy kan delas in i olika delar: Allmän policy Omfattar bland annat verksamhetens strävan efter att skydda identifierade resurser. Organisatorisk policy Definierar de lagar, regler och anvisningar som finns inom verksamheten för att hjälpa chefer att skydda och fördela resurser för att uppnå säkerhetspolicyns mål. Systemsäkerhetspolicy Inriktar sig på att specifika informationssystem skyddas och underhålls så att den organisatoriska säkerhetspolicyn kan uppnås. [SIG97] I policyn bör följande delar klargöras: Policyuttalande En av ledningen formellt skriven förklaring över vad som är prioriterat och måste göras, men också vad som inte får göras. Mål Varför behövs policyn? Vilka problem löser man med den? Behöver omfattningen definieras? Omfattning Gränsdragningar. Hur långt stäcker sig policyn? Vilka områden är inbegripna? Överensstämmelse med policyn Vad behövs för att kunna följa policyn? Finns det något tillfälle när avsteg kan göras från policyn. Sanktioner Vilken sanktion eller konsekvens följer om man inte arbetar i överensstämmelse med policyn. [SIG97] 12 C-uppsats vt-01 vid Luleå Tekniska Universitet

23 Teori Informationssäkerhetspolicyn bör kompletteras med underpolicys. Exempel på underliggande policys: Internet policy. E-post policy. Personlig integritet Kan organisationen se vad den enskilde gör för inlägg i till exempel nyhetsgrupper? Användningssätt Hur får verksamhetens utrustning användas? Får spel eller stötande material lagras eller användas i verksamhetens utrustning? Konfidentiell information Hur hanteras den i samband med exempelvis Internet? Programvarulicenser Hur hanteras till exempel programvara som hämtas hem från Internet, får den lagras i verksamhetens utrustning? [SIG97] Riktlinjer Riktlinjerna anger hur målen i policyn ska nås. Syftet är att uppnå och upprätthålla den säkerhetsnivå ledningen/lagarna har bestämt. Innehållet i riktlinjerna ska ge vägledning i de frågor som rör IT-säkerhet. Riktlinjerna är förankrade i teknik, metoder och rutiner. De måste sammanställas av personer med goda kunskaper om IT-säkerhet. Ett sätt att gå tillväga vid framtagning av riktlinjer är att till lämpliga punkter i policyn skapa avsnitt som ger svar på frågorna: Vad? Varför? När? Vem? Hur? [SIG97] Riktlinjerna kan beröra alla områden inom IT-säkerhet. De bör vara kortfattade, konkreta, begripliga och innehålla kärnan av budskapet. Vid förändringar inom IT-området, eller i verksamheten kan riktlinjerna behöva uppdateras. Behov av att uppdatera riktlinjerna kan även vara resultat av regelbundna uppföljningar av IT-säkerheten. [STA98b] Riktlinjer behövs på alla områden där företaget vill att verksamheten ska följa enhetliga anvisningar. Det kan gälla: Hur något ska göras. Vilken nivå som ska användas och gränsvärden för denna. Vem som ska göra något. När det ska göras. C-uppsats vt-01 vid Luleå Tekniska Universitet 13

24 Teori Exempel på riktlinjer Riktlinjerna är både av administrativ och av teknisk karaktär. Riktlinjerna bör delas in i olika områden, lämpligen utifrån de olika driftmiljöerna man har. För varje IT-miljö beskrivs hot och svagheter som identifierats, liksom lämpliga skyddsåtgärder för olika nivåer av säkerhet. Exempel på områden där riktlinjer måste definieras för de olika IT-miljöerna är: Organisation och ansvar Riktlinjer för Informationsklassificering Riktlinjer för risk- och sårbarhetsanalyser samt IT-säkerhetsrevision. Riktlinjer för utbildning. Riktlinjer för arbetsplatser. Riktlinjer för lokala nätverk. Beroende på vilka logiska skyddsåtgärder som används i verksamheten så kan det exempelvis även behövas: Riktlinjer för användning av BKS. Riktlinjer för användning av aktiva kort och läsare. Riktlinjer för säkerhetskopiering. Riktlinjer för virusskydd. [STA98b] [SIG97] Informationssäkerhetsutbildning Preparing and adopting a computer use policy is only half the battle. The principles, duties and obligations set forth in the policy must be subject of continuing efforts to educate employees. Merely having employees sign the policy and placing a copy in their files is not enough. [MRO99] Med användare menar vi personer som i sitt dagliga arbete direkt eller indirekt kommer i kontakt med IT-systemet men som, utöver det ansvar för IT-säkerheten som följer med den egna arbetsuppgiften, ej har något särskilt ansvar för IT-säkerhetsfrågor. [STA98b] Även goda kunskaper om hur en säkerhetsåtgärd ska genomföras minskar avsevärt i betydelse, om den som ska vidta åtgärden inte förstår varför den är nödvändig, eller tror att det inte har så stor betydelse om man då och då skulle glömma att genomföra den. [STA98b] Användare bör ges utbildning på två nivåer dels en allmän, orienterande utbildning, dels en målinriktad utbildning, som är anpassad till den egna arbetsuppgiften. [STA98b] 14 C-uppsats vt-01 vid Luleå Tekniska Universitet

25 Teori Den orienterade utbildningen skall ge en allmän kunskap om och förståelse för IT-säkerhetsfrågornas roll i organisationens verksamhet. Den bör innehålla korta översikter över till exempel: Betydelsen av IT i verksamheten. Följder av störningar i IT-verksamheten. Vissa begrepp inom IT-säkerhetsområdet. Hot och risker. Innebörden av risk- och sårbarhetsanalys. Möjliga skyddsåtgärder. Den bör även ta upp frågor rörande: Organisationen av IT-säkerhetsarbetet inom myndigheten eller företaget. Vad man skall göra och vem man skall vända sig till om man upptäcker brister i säkerheten eller vill veta hur man skall gå till väga i ett visst fall. Vilka gällande säkerhetsföreskrifter som finns inom organisationen och hur dessa föreskrifter finns dokumenterade. Betydelsen av att befintlig dokumentation används och att reglerna följs. Hur användaren får fortlöpande information i IT-säkerhetsfrågor. Gällande lagstiftning av betydelse, offentlighetsprincipen, sekretesslagen, personuppgiftslagen, bokföringslagen och så vidare. System för behörighetskontroll, inklusive handhavande av lösenord. [STA98c] Den allmänna orienterade utbildningen behöver kompletteras med en mer målinriktad, som direkt ansluter till arbetsuppgiften. I den bör man till exempel behandla: Vilka särskilda hot och risker som finns i den egna arbetsrutinen. Vad man kan göra för att minska riskerna. Vilka särskilda skyddsåtgärder som finns i anslutning till den egna arbetsrutinen. Vilka försiktighetsåtgärder den enskilde skall vidta i sitt arbete. Hur utrustning och datamedier, inklusive pappersutskrifter, skall hanteras från säkerhetssynpunkt. Konsekvenser av felhantering eller liknande. Vad användaren skall göra vid driftstopp. Den målinriktade utbildningen måsta anpassas efter arbetsuppgiftens karaktär, vikten av den information som produceras och riskerna för störning i just det arbetet. [STA98c] Man får inte glömma bort nyanställdas behov av utbildning. Det kan som regel inte genast tillgodoses inom ramen för den ordinarie informationssäkerhetsutbildningen. Någon form av första utbildning i de mest angelägna säkerhetsfrågorna behövs alltså. Den måste anpassas efter den nyanställdes förkunskaper och blivande arbetsuppgifter. C-uppsats vt-01 vid Luleå Tekniska Universitet 15

26 Teori De säkerhetsfrågor som hör ihop med den egna arbetsuppgiften bör ha en framträdande plats i en sådan introduktionsutbildning. Denna introduktionsutbildning bör så snart som tillfälle ges kompletteras med den ordinarie informationssäkerhetsutbildningen. [STA98b] Former för utbildning och information Utbildning och information kan ges i många olika former, till exempel som: Färdiga kurser som tillhandahålls på marknaden. schemalagd utbildning i egen regi. Kortare information i aktuella frågor, exempelvis informationsdagar och dylikt. Inlärning i det praktiska arbetet med stöd av arbetskamrater som har mer erfarenhet. Särskilda praktiska övningar. Tillvaratagande av externa erfarenheter, studiebesök, konferenser och dylikt. Spridning av skriftligt informationsmaterial. [STA98c] Informationsklassificering För att uppnå en hög grad av informationssäkerhet i verksamheten så är det nödvändigt att skilja mellan information som kräver skydd och information som kan lämnas fri. Man måste då göra en informationsklassificering där man genom att ta hänsyn till olika krav bestämmer i vilken omfattning informationen måste skyddas. [STA98a] Skyddet av informationen baseras på de krav verksamheten har vad gäller sekretess, tillgänglighet, riktighet och spårbarhet. Utöver dessa krav tillkommer de olika lagar och förordningar som verksamheten måste följa, till exempel personuppgiftslagen, bokföringslagen och sekretesslagen. Kraven måste vara desamma för hela verksamheten och bedömningarna av informationens skyddsvärde likaså. [SIG97] Sekretess informationen skall vara skyddad så att den inte avsiktligt eller oavsiktligt görs tillgänglig eller avslöjas för obehöriga eller utnyttjas på ett otillåtet sätt. Tillgänglighet den information som verksamheten behöver måste finnas tillgänglig för behörig personal vid behov. Riktighet informationen skall vara riktig och komplett och skall ej kunna modifieras på ett otillbörligt sätt. Spårbarhet det skall gå att härleda information eller ändring av information till en viss individ. [STA98b] 16 C-uppsats vt-01 vid Luleå Tekniska Universitet

27 Teori Klassificeringen sker vanligtvis i fyra nivåer. Öppen information information som är tillgänglig för alla intresserade. Information för internt bruk ägs av verksamheten och kan om den sprids på ett oönskat sätt få skadliga konsekvenser. Denna information är tillgänglig för de anställda men ej för utomstående. Företagshemlig information kan om den röjs på ett oönskat sätt medföra betydande ekonomisk eller annan skada med allvarliga konsekvenser för verksamheten. Informationen är avsedd att spridas i en mindre krets som har behov av den i sitt arbete. Kvalificerat företagshemlig information kan om den röjs på ett oönskat sätt orsaka mycket stor skada för verksamheten. [SIG97] Klassningsmodell Det måste finnas en ägare till informationen och en klassningsmodell för att klassa den. Informationsägaren har ansvaret för att informationen klassas på rätt sätt och att den skyddas i enlighet med sin klassning. Själva klassningsmodellen är en central fråga. Den måste kunna användas för samtliga enheter inom verksamheten, oavsett vilken typ av information som används. En klassningsmodell ska i grunden vara enkel att förstå och förklara. Den bör vara så självklar att alla anställda kan ta den till sig och använda den i sitt dagliga arbete utan längre utbildning. Modellen bör omfatta de aspekter på informationshantering som finns och vara användbar för klassning av alla typer av information oavsett om denna är datoriserad eller ej. Strukturen för klassningen presenteras i form av en lathund för den anställde att använda vid klassning av den egna informationen. [SIG97] Risk- och sårbarhetsanalys Risk- och sårbarhetsanalyser genomförs för att verksamheten ska få en uppfattning om vilken säkerhetsnivå som föreligger, vilka brister som måste åtgärdas och i vilken prioritetsordning detta skall ske. Genom att göra risk- och sårbarhetsanalyser skapas en uppfattning om vilken säkerhetsnivå som krävs. [STA98a] Riskanalys, är en analys som: Identifierar interna och externa risker och hot Bedömer konsekvenserna för en händelse för användarna, IT-verksamheten och organisationen som helhet. Sårbarhetsanalys, är en analys som genom en studie: Identifierar brister eller svagheter i kontrollrutiner eller installerade skyddsåtgärder Rekommenderar skydds- och andra åtgärder. [SIG97] C-uppsats vt-01 vid Luleå Tekniska Universitet 17

28 Teori De åtgärder som skall vidtagas, måste alltid vara konstruerade med tanke på verksamhetens speciella behov. Dessa är dock effektiva endast om kostnaden för införandet ligger i relation till skadekostanden. [JFR89] IT-säkerhetsrevision Med IT-säkerhetsrevision menas en internt eller externt utförd genomgång av hur en organisations samlade IT-säkerhet hanteras. Revisionen innebär att man tittar på ungefär samma saker som under Risk- och sårbarhetsanalys. Skillnaden ligger främst i att revisionen är mer granskande och värderande. Den syftar ofta till att först och främst klarlägga verklig efterlevnad av gällande regler och rutiner och verkligt utnyttjande av tekniska skyddsåtgärder. Det är från detta verkliga utgångsläge som man sedan går vidare och gör en risk- eller sårbarhetsanalys. [SIG97] IT-säkerhetsrevision bör genomföras regelbundet och repetitivt. För vissa organisationer kan det var motiverat att göra det i någon form minst ett par gånger per år. För andra kan det räcka med att göra det till exempel vart annat år. Växlande scheman där man gör växelvis stora och mindre genomgångar kan också var lämpliga. Vid de små genomgångarna fokuserar man sig speciellt på sådant som man erfarenhetsmässigt vet är svaga punkter i den egna organisationen. [STA98b] 18 C-uppsats vt-01 vid Luleå Tekniska Universitet

29 Teori 2.4 Byggnadstekniska skyddsåtgärder I de flesta IT-miljöer måste de administrativa och logiska skyddsåtgärderna kompletteras med byggnadstekniska. Till byggnadstekniska skyddsåtgärder räknas allt som hänger samman med miljöskydd, tillträdesskydd samt skydd mot röjande signaler (RÖS). Miljöskydd, åtgärder för att skydda utrustning mot hot i form av brand, vatten, rök, el störningar, temperaturförändringar osv. Exempel på åtgärder mot detta är exempelvis brandsläckningsutrustning, brandlarm eller vätskelarm. Även byggnadstekniska detaljer som brandklass på väggar och dörrar ryms under denna kategori. Tillträdesskydd, åtgärder för att skydda utrustning mot otillåten åtkomst, endast behörig personal skall ha åtkomst till utrustningen. Detta sker i form av exempelvis lås på dörrar. Även larm som inte är av miljöskydds typ placeras i denna kategori, ett exempel på detta är inbrottslarm. Röjande signaler (RÖS), åtgärder för att förhindra att verksamhetens datorutrusning skickar ut signaler som kan avlyssnas. All elektronisk utrustning skickar ut elektromagnetiska signaler som med ganska enkla medel kan avlyssnas. [STA98c] C-uppsats vt-01 vid Luleå Tekniska Universitet 19

30 Teori 2.5 Utbildning Utbildning brukar ofta definieras som systematisk påverkan på individer syftande till inlärning, i viss riktning och under organiserade former. [BFO84] Välplanerad och väl genomförd utbildning fyller en viktig funktion för kompetensutveckling i arbetslivet. [ALU98] Med personalutbildning avses vanligen i praktiken att arbetsgivaren är huvudman för utbildningen, att den innehållsmässigt har anknytning till arbetet i vid mening, att den helt eller delvis sker på arbetstid samt att den är helt eller delvis finansierad av arbetsgivaren. [BFO84] Lärandet i vardagen, grundat på enbart erfarenhet är inte tillräckligt för utveckling av ny kunskap. Det krävs distans till och reflektion av det vardagliga lärandet för att det skall kunna utvecklas. Det behövs alltså olika former av mer planlagda insatser i form av utbildning och självstudier. [ALU98] Personalutbildning bedrivs idag i huvudsak i tre former: Internt inom organisationer Vid centrala utbildningsinstitut, branschorgan, konsultfirmor eller skolor med anknytning till olika verksamhetsområden. Genom samverkan med andra vuxenutbildningsanordnare, som till exempel studieförbund eller kommunal vuxenutbildning. [BFO84] Hur en utbildning konkret genomförs är av avgörande betydelse för deltagarnas utbyte av kursen. En genomtänkt planering av utbildningens genomförande är därför nödvändig. [ALU98] 20 C-uppsats vt-01 vid Luleå Tekniska Universitet

31 Teori Planering av utbildning Yttre och inre Förutsättningar (1) Kartläggning & analys av behov av kompetensut veckling (2) Beslut om utbildningsmål och utbildningsinnehåll (3) Genomförande av utbildning (4) Utvärdering/ uppföljning av utbildning (5) Figur 4 En modell för att planera personalutbildning. [ALU98] [BFO84] Modellen visar hur såväl externa som interna faktorer yttre och inre förutsättningar (1) påverkar utbildningen i en organisation. Yttre förutsättningar, som förändrad lagstiftning, datorisering, teknisk utveckling i övrigt, kundkrav etc., har betydelse för omfattning, innehåll och inriktning i den personalutbildning som utvecklas och erbjuds. Inre förutsättningar inom en organisation är exempelvis verksamhetsidé och mål, befintlig kompetens, ekonomiska och personella resurser för personalutbildning samt förändringar i verksamheten. Att kartlägga och analysera behov av kompetensutveckling (2) ökar sannolikheten att träffa rätt med en utbildningsinsats. Oavsett vilken typ av utbildning som utvecklas som ett resultat av en kompetensanalys, är det viktigt att formulera tydliga mål för utbildningen (3). Utbildningens innehåll blir också delvis en konsekvens av utbildningsmålen. Men det krävs alltid prioriteringar i fråga om det urval av kunskaper och färdigheter, värderingar och normer som man beslutar skall ingå i en viss utbildning. Det konkreta genomförandet av en utbildning (4) måste anpassas efter den typ av mål som utbildningen skall uppnå. Praktiskt verksamma utbildare utnyttjar utvärderingar/uppföljningar för att successivt kunna förbättra en kurs, sitt eget sätt att agera, samt för att se om kursdeltagarna har lärt sig det som var tänkt, därav återkopplingen till rutorna 2-4. Utvärdering/uppföljning innebär att utbildningens förutsättningar, process och även deltagarnas kunskapsutbyte och kunskapsanvändning studeras. [ALU98] [BFO84] Om inlärningssituationens betingelser är gynnsamma, till exempel om inlärningsmaterialet bearbetas aktivt och det är möjligt att upptäcka en meningsfull innebörd i det som skall läras blir behållningen både kvantitativt och kvalitativt bättre. [ALU98] C-uppsats vt-01 vid Luleå Tekniska Universitet 21

32 Teori Kunskap, erfarenhet och kompetens Kunskap skaffar individen genom utbildning, genom att ta del av fakta om olika fenomen. Erfarenhet får man genom att tillämpa kunskaper i faktiska situationer, det vill säga i ett sammanhang. Den återkoppling individen får på sina handlingar integreras, genom att individen reflekterar över och bearbetar sina nya erfarenheter, och kopplar ihop dem med tidigare erfarenheter. Förr eller senare ger denna inre aktivitet upphov till ny kunskap. Att handla eller agera på ett i förhållande till den aktuella situationen ändamålsenligt sätt, är kompetens. [ADI96] Ger struktur åt Krävs för Fakta Data Teori Kunskap Tillämpning Erfarenhets bildning KOMPETENS Kombinera Rekonstruera Integrera Återkoppling krävs för Handla Agera I en viss situation i ett visst sammanhang Figur 5 Hur kunskap, erfarenhet och handling är relaterade till varandra. [ADI96] 22 C-uppsats vt-01 vid Luleå Tekniska Universitet

33 Teori Lärcykeln Nedanstående modell visar den cykel som ger bästa möjliga läreffekt. Genom att gå runt hela lärcykeln ökar förmågan till effektiv handling. Figuren visar även uppdelningen mellan att planera och att göra, mellan att tänka och agera. [ADI96] Dra slutsatser, utveckla begrepp, generalisera Analys Pröva och tillämpa begrepp/föreställningar Reflektion Observera, medvetandegöra, granska Erfarenhet Handling Återkoppling på handling och konkret erfarenhet Figur 6 Lärcykeln och den vanligt förekommande uppdelningen i teori och praktik, i planering och verkställande. [ADI96] Till höger om strecket finns lärandets praktiska karaktär. Man handlar och får erfarenhet och handlar igen osv. Man kan tala om lärandets know how karaktär. Men att bara göra utan att reflektera och analysera sina handlingar och dess konsekvenser medför en risk för en successivt avtagande förmåga att förstå behov av ändrade handlingsmönster och att ändra sitt beteende. På vänster av strecket finns lärandets konceptuella karaktär. Ett lärande som omfattar förmågan att forma en tankemässig förståelse av en erfarenhet. Här kan vi tala om lärandets know why karaktär. Om en individ har avsevärd kunskap och förståelse, men dessa förmågor inte kommer till uttryck i handling, har vare sig kunskapen eller förståelsen något värde. Det är i kombinationen av cirkelns två halvor som läropotentialen finns. [ADI96] C-uppsats vt-01 vid Luleå Tekniska Universitet 23

34 Teori Den individuella lärandeprocessen Vid personalutbildning försöker man systematisera och effektivisera den inlärning som bedöms vara värdefull för arbetet. Att nya kunskaper verkligen används i arbetet är i det sammanhanget centralt, det vill säga att utbildningen resulterar i olika slags effekter. [ALU98] Påverkan (1) Lärande (2) Kunskapsutveckling (3) Kunskapsanvändning (4) Individfaktorer Miljöfaktorer Handlingsutrymme Figur 7 Förändringar vid pedagogisk påverkan i arbetslivet med exempel på faktorer av intresse för effekter av utbildning. [ALU98] Modellen skall ses som en beskrivning av ett tidsmässigt skeende, genom att det först sker en viss påverkan (1). Denna påverkan leder initialt till ett visst lärande (2), men detta initiala lärande bearbetas medvetet och omedvetet genom både tankearbete och ytterligare erfarenheter. Det man lärt sig vid påverkanstillfället kan därför förändras, vilket i figuren kallas kunskapsutveckling (3). Kunskapsanvändningen (4), innebär att det man lärt sig utnyttjas i arbetet. Ytterligare kunskapsutveckling sker också ofta i samband med att de nya kunskaperna används, därav den dubbelriktade pilen mellan (3) och (4). [ALU98] 24 C-uppsats vt-01 vid Luleå Tekniska Universitet

35 Metod 3. Metod I detta kapitel beskriver vi på vilket sätt som vi har utfört vår fallstudie. 3.1 Datainsamlingsmetod Vi har valt att göra vår fallstudie på Landstinget, en statlig myndighet samt en bank som vill vara anonym. Valen av dessa grundar sig på att dessa organisationer har klart definierade administrativa regler och rutiner, vilka är en förutsättning för att vår fallstudie ska kunna utföras. Valen grundas även på det faktum att dessa organisationer hanterar information som om den kommer i orätta händer kan orsaka stor skada för organisationen eller enskild person. I vår empiriska undersökning kommer vi att genomföra ett antal intervjuer med personer som är ansvariga för informationssäkerheten i respektive organisation. Detta görs för att få en insikt i hur respektive organisations informationssäkerhet är uppbyggd, och för att ta reda på vilket sätt personalen får information/utbildning om organisationens administrativa regler och rutiner. Vi kommer även att dela ut en enkät till de anställda i de olika organisationerna för att se hur väl de efterlever de administrativa reglerna och rutinerna Datainsamlingen kommer att ske på Landstinget, en statlig myndighet samt en bank som vill vara anonym. Datainsamlingen kommer att ske dels med en intervju av någon ansvarig för informationssäkerhet hos varje organisation dels med en enkät till berörda anställda hos varje organisation. Vi kommer att fråga den ansvarige för informationssäkerheten hos varje organisation hur det är tänkt att de anställda skall lära sig de administrativa reglerna och rutinerna som gäller inom organisationen. Vi tänker även ta reda på hur informationssäkerheten är uppbyggd i organisationen, till exempel hur de informationsklassar information, eller om de använder BKS och i så fall hur. Enbart rena användare kommer att tillfrågas i enkäten, det vill säga inte exempelvis systemadministratörer eller underhållspersonal. Vi kommer att ställa frågor i enkäten till användarna om organisationens administrativa regler och rutiner, för att se om dessa följs. Det vill säga ta fram efterlevnadsgraden av reglerna och rutinerna. Enbart frågor om de administrativa regler och rutiner som dessa användare ska kunna kommer att ställas i enkäten. Frågorna som kommer att ställas i enkäten kommer att röra de administrativa regler och rutiner som för de olika IT-resurser som finns inom organisationen. Testning av hypotes sker genom att se på vilken utbildning de har inom organisationen rörande de administrativa reglerna och rutinerna, och samtidigt se vilken efterlevnadsgrad de har av reglerna och rutinerna, och därmed verifiera eller falsifiera hypotesen. C-uppsats vt-01 vid Luleå Tekniska Universitet 25

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr:0036/13 Kommunalförbundet ITSAM, Storgatan 36A, 590 36

Läs mer

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy för Ystads kommun F 17:01 KS 2017/147 2017.2189 2017-06-29 Informationssäkerhetspolicy för Ystads kommun F 17:01 Dokumentet gäller för: Ystads kommuns nämnder, kommunala bolag och kommunala förbund Gäller fr.o.m. - t.o.m. 2017-08-01-tillsvidare

Läs mer

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det?? Informationssäkerhet Hur skall jag som chef hantera detta?? Vad är det?? Vad är informationssäkerhet? Informationssäkerhet handlar om att skapa och upprätthålla ett lämpligt skydd av information. Information

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhetspolicy. Linköpings kommun Informationssäkerhetspolicy Linköpings kommun Antaget av: Kommunfullmäktige Status: Antaget 2016-08-30 291 Giltighetstid: Tillsvidare Linköpings kommun linkoping.se Sekretess: Öppen Diarienummer: Ks 2016-481

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting Informationssäkerhetspolicy för Stockholms läns landsting 1 Innehållsförteckning Inledning... 3 Mål... 4 Omfattning... 4 Innebörd... 4 Ansvar... 6 Uppföljning och revidering... 7 LS 1112-1733 Beslutad

Läs mer

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016 Informationssäkerhetspolicy Informationssäkerhetspolicy för Vingåkers kommun 013-016 Innehållsförteckning 1 Mål... Syfte... 3 Ansvarsfördelning... 4 Definition... 5 Genomförande och processägare... 3 Dokumentnamn

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson Policy för tekniska och organisatoriska åtgärder för 14 juni 2018 Peter Dickson Sida 2 av 6 Innehåll Inledning... 3 Organisation... 3 Allmänt om det tekniska säkerhetsarbetet... 4 Kontinuitetsplanering...

Läs mer

Administrativ säkerhet

Administrativ säkerhet Administrativ säkerhet 1DV425 Nätverkssäkerhet Dagens Agenda Informationshantering Hur vi handhar vår information Varför vi bör klassificera information Riskanalys Förarbete till ett säkerhetstänkande

Läs mer

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1 DIARIENUMMER: KS 47/2018 FASTSTÄLLD: 2018-04-10 VERSION: 1 SENAS T REVIDERAD: GILTIG TILL: DOKUMENTANSVAR: Tills vidare Fullmäktige Policy Policy för informationssäkerhet och personuppgiftshantering i

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Observera att denna konsoliderade version är en sammanställning, och att den tryckta författningen är den officiellt giltiga. En konsoliderad version är en fulltextversion där alla ändringar har införts

Läs mer

Informationssäkerhet - en översikt. Louise Yngström, DSV

Informationssäkerhet - en översikt. Louise Yngström, DSV Informationssäkerhet - en översikt Louise Yngström, DSV Närmaste 50 minuterna... Informationssäkerhet? Definition Mål Krav Medel Datasäkerhet säkerhet beträffande skydd av datorsystem och dess data syftande

Läs mer

Informationssäkerhetspolicy för Ånge kommun

Informationssäkerhetspolicy för Ånge kommun INFORMATIONSSÄKERHETSPOLICY 1 (10) Informationssäkerhetspolicy för Ånge kommun Denna informationssäkerhetspolicy anger hur Ånge kommun arbetar med informationssäkerhet och uttrycker kommunens stöd för

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

Koncernkontoret Enheten för säkerhet och intern miljöledning

Koncernkontoret Enheten för säkerhet och intern miljöledning Koncernkontoret Enheten för säkerhet och intern miljöledning Johan Reuterhäll Informationssäkerhetschef johan.reuterhall@skane.se RIKTLINJER Datum: 2017-12-07 Dnr: 1604263 1 (8) Riktlinjer för informationssäkerhet

Läs mer

Policy för informationssäkerhet

Policy för informationssäkerhet .. - T C Q o,.. e Policy för informationssäkerhet Landstingsdirektörens stab augusti 2015 CJiflt LANDSTINGET BLEKINGE Innehållsförteckning Inledning och bakgrund... 3 Syfte... 3 Mål... 3 Genomförande...

Läs mer

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57 1 (5) Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige 2018-05-07, 57 Postadress Besöksadress Telefon Internet och fax Giro och org.nr Sunne kommun Verksamhetsstöd

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Bilaga 3 Säkerhet Dnr: /

Bilaga 3 Säkerhet Dnr: / stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav på säkerhetsarbete

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010. Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice

Läs mer

Säkerhet i fokus. Säkerhet i fokus

Säkerhet i fokus. Säkerhet i fokus Säkerhet i fokus Säkerhet i fokus Säkerhet är en av våra viktigaste frågor. Våra hyresgäster bedriver en daglig verksamhet i allt från kriminalvårds anstalter och domstolsbyggnader till speciella vårdhem

Läs mer

1(6) Informationssäkerhetspolicy. Styrdokument

1(6) Informationssäkerhetspolicy. Styrdokument 1(6) Styrdokument 2(6) Styrdokument Dokumenttyp Policy Beslutad av Kommunfullmäktige 2017-05-17 73 Dokumentansvarig IT-chef Reviderad av 3(6) Innehållsförteckning 1 Inledning...4 1.1 Begreppsförklaring...4

Läs mer

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet Revision 1 (3) State Released Plan för IT Säkerhet DOCUMENT REVISION HISTORY Revision Reason for revision Date 1 New Document 2013-02-26 List of Authors List of Reviewers List of Approvers Skölde, Daniel/Ulrika

Läs mer

Sammanfattning av riktlinjer

Sammanfattning av riktlinjer Sammanfattning av riktlinjer INFORMATIONSSÄKERHET FÖR ANVÄNDARE inom Luleå kommunkoncern 2015-03-04 Informationssäkerhet för användare beskriver hur Luleå kommun hanterar den information som används i

Läs mer

Juridiska säkerhetskrav

Juridiska säkerhetskrav Juridiska säkerhetskrav Lagar med säkerhetskrav Det finns ingen datasäkerhetslag och inga juridiska krav på viss teknik, men... Vissa juridiska krav leder till krav på teknik i praktiken Grundtyper av

Läs mer

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen TJÄNSTESKRIVELSE Datum DNR: KS2016/918/01 2018-03-07 1 (1) Kommunstyrelsen Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Förslag till beslut Förslaget till Informationssäkerhetspolicy för

Läs mer

Gemensamma anvisningar för informationsklassning. Motala kommun

Gemensamma anvisningar för informationsklassning. Motala kommun Gemensamma anvisningar för informationsklassning Motala kommun Beslutsinstans: Kommunfullmäktige Diarienummer: 11/KS 0071 Datum: 2011-08-22 Paragraf: 107 Reviderande instans: Kommunstyrelsen Diarienummer:

Läs mer

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL 1 Microsoft AB ( Microsoft ), Box 27, 164 93 KISTA och ( Personuppgiftsbiträdet ) har denna dag träffat följande PERSONUPPGIFTSBITRÄDESAVTAL Bakgrund Personuppgiftslagen ställer krav på skriftligt avtal

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy Antagen av kommunfullmäktige 2018-04-23 149 Dnr 2017/13 100 2018-03-09 1(5) Kommunledningsförvaltningen Håkan Helgesson 0476-550 Hakan.helgesson@almhult.se Policy 2018-03-09 2(5) Innehåll Om dokumentet...

Läs mer

Riktlinje för intern styrning och kontroll avseende Norrköping Rådhus AB:s bolagskoncern

Riktlinje för intern styrning och kontroll avseende Norrköping Rådhus AB:s bolagskoncern Riktlinje Riktlinje för intern styrning och kontroll avseende Norrköping Rådhus AB:s bolagskoncern Beslutat av Norrköping Rådhus AB den 11 februari 2015 Enligt Kommunallagen (6 Kap 7 ) ska nämnder och

Läs mer

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER FÖRSVARSMAKTENS INTERNA BESTÄMMELSER FIB 2010:2 Utkom från trycket 2010-01-21 Omtryck Föreskrifter om ändring i Försvarsmaktens interna bestämmelser (FIB 2006:2) om IT-säkerhet; beslutade den 15 januari

Läs mer

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Anna Asp, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 30 oktober 2018 Myndigheten

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Policy för informations- säkerhet och personuppgiftshantering

Policy för informations- säkerhet och personuppgiftshantering Policy för informations- säkerhet och personuppgiftshantering i Vårgårda kommun Beslutat av: Kommunfullmäktige för beslut: 208-04- För revidering ansvarar: Kommunfullmäktige Ansvarig verksamhet: Strategisk

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy Informationssäkerhetspolicy KS/2018:260 Ansvarig: Kanslichef Gäller från och med: 2018-07-19 Uppföljning / revidering ska senast ske: 2019-07-19 Beslutad av kommunfullmäktige 2018-06-20, 60 Innehållsförteckning

Läs mer

Policy och strategi för informationssäkerhet

Policy och strategi för informationssäkerhet Styrdokument Dokumenttyp: Policy och strategi Beslutat av: Kommunfullmäktige Fastställelsedatum: 2014-10-23, 20 Ansvarig: Kanslichefen Revideras: Vart 4:e år eller vid behov Följas upp: Vartannat år Policy

Läs mer

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhetspolicy KS/2018:260 Informationssäkerhetspolicy KS/2018:260 Innehållsförteckning Antagen av kommunfullmäktige den [månad_år] Informationssäkerhetspolicy...22 Ändringar införda till och med KF, [nr/år] Inledning och bakgrund...22

Läs mer

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag Förfrågningsunderlag stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav

Läs mer

Handledning i informationssäkerhet Version 2.0

Handledning i informationssäkerhet Version 2.0 Handledning i informationssäkerhet Version 2.0 2013-10-01 Dnr 1-516/2013 (ersätter Dnr 6255/12-060) Informationssäkerhet 6 saker att tänka på! 1. Skydda dina inloggningsuppgifter och lämna aldrig ut dem

Läs mer

Informationssäkerhetsanvisning

Informationssäkerhetsanvisning HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Informationssäkerhetsanvisningar Användare Beslutad av enhetschef för Gemensamma förvaltningen i enlighet med rektors beslut fattat den 16 februari

Läs mer

Säkerhetsinstruktion 1 BAKGRUND INLOGGNING HANTERING AV INFORMATION INTERNET E-POST INCIDENTER...

Säkerhetsinstruktion 1 BAKGRUND INLOGGNING HANTERING AV INFORMATION INTERNET E-POST INCIDENTER... 2000-08-11 Sida 1 1 BAKGRUND... 2 2 INLOGGNING... 2 3 HANTERING AV INFORMATION... 3 4 INTERNET... 4 5 E-POST... 5 6 INCIDENTER... 5 7 BÄRBAR PC... 5 8 ARBETSPLATSEN... 6 2000-08-11 Sida 2 1 BAKGRUND Information

Läs mer

Säkerhet vid behandling av personuppgifter i forskning

Säkerhet vid behandling av personuppgifter i forskning Säkerhet vid behandling av personuppgifter i forskning Magnus Bergström IT-säkerhetsspecialist magnus.bergstrom@datainspektionen.se www.datainspektionen.se Först några ord om informationssäkerhet Organisationens

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy Informationssäkerhetspolicy Tyresö kommun 2014-03-06 Innehållsförteckning 1 Mål för informationssäkerhetsarbetet... 3 2 Policyns syfte... 3 3 Grundprinciper... 4 4 Generella krav... 4 4.1 Kommunens informationstillgångar...

Läs mer

Säkra trådlösa nät - praktiska råd och erfarenheter

Säkra trådlösa nät - praktiska råd och erfarenheter Säkra trådlösa nät - praktiska råd och erfarenheter Emilie Lundin Barse Informationssäkerhetsdagen 2007, Karlstad 1 Om mig och Combitech Informationssäkerhetskonsult på Combitech Stationerad på Karlstadskontoret

Läs mer

SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM

SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM Version 2002-11-20 INNEHÅLLSFÖRTECKNING BAKGRUND...3 INLOGGNING...3 HANTERING AV INFORMATION...4 INTERNET...5 E-POST...6 INCIDENTER...6 BÄRBAR PC...6 ARBETSPLATSEN...7

Läs mer

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT Sid 2 (7) Innehåll 1. Att upphandla på ett säkert... 3 2. Identifiera krav... 4 3. Samråd vid säkerhetsskyddad upphandling... 6 Sid 3 (7) 1. Att upphandla på

Läs mer

Rikspolisstyrelsens författningssamling

Rikspolisstyrelsens författningssamling Rikspolisstyrelsens författningssamling ISSN 0347 545X Utgivare: chefsjuristen Lars Sjöström Rikspolisstyrelsens föreskrifter och allmänna råd om anskaffning, användning, utveckling och förändring av Polisens

Läs mer

POLICY FÖR DATA- OCH INFORMATIONSSÄKERHET VID BMC I LUND

POLICY FÖR DATA- OCH INFORMATIONSSÄKERHET VID BMC I LUND POLICY FÖR DATA- OCH INFORMATIONSSÄKERHET VID BMC I LUND Oktober 2005 Innehåll Introduktion...1 Avsikten med denna policy...1 Ansvar...1 Allmän policy...2 Klassificering av data...2 Accesskontroll...3

Läs mer

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Plan för informationssäkerhet vid Högskolan Dalarna 2015 Plan för informationssäkerhet vid Högskolan Dalarna 2015 Beslut: 2015-05-04 Reviderad: Dnr: DUC 2015/769/10 Ersätter: Relaterade dokument: Policy för informationssäkerhet Ansvarig: Förvaltningschef Innehållsförteckning

Läs mer

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63 TJÄNSTESKRIVELSE 2019-01-14 Kommunstyrelsen Richard Buske Tf säkerhetschef Telefon 08 555 010 22 richard.buske@nykvarn.se informationssäkerhetspolicy KS/2019:63 Förvaltningens förslag till beslut Revidering

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad Informationssäkerhetspolicy i Borlänge kommunkoncern Beslutad av kommunfullmäktige 2012-12-18 238, reviderad 2017-09-19 153 Metadata om dokumentet Dokumentnamn Informationssäkerhetspolicy i Borlänge kommunkoncern

Läs mer

Policy för säkerhetsarbetet i. Södertälje kommun

Policy för säkerhetsarbetet i. Södertälje kommun Policy för säkerhetsarbetet i Södertälje kommun Antagen av kommunfullmäktige den 28 september 1998 2 Södertälje kommun reglerar genom detta policydokument sin inställning till säkerhet och trygghet. Säkerhetspolicyn

Läs mer

SÄKERHETSPOLICY I FÖR FALKÖPINGS KOMMUN

SÄKERHETSPOLICY I FÖR FALKÖPINGS KOMMUN 1 Kommunstyrelsen SÄKERHETSPOLICY I FÖR FALKÖPINGS KOMMUN Syfte med säkerhetsarbetet Syftet med säkerhetsarbetet är att: Verka för en säker och trygg kommun genom att förebygga och hantera förluster, störningar

Läs mer

ANVÄNDARHANDBOK. Advance Online

ANVÄNDARHANDBOK. Advance Online ANVÄNDARHANDBOK Advance Online INNEHÅLL Innehåll... 2 Välkommen!... 3 Allmän information... 3 Idén bakom Advance Online... 3 Att logga in på en terminalstation... 4 Allmänt... 4 Citrix-klienten... 4 Inloggning...

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447 97 Dnr 2016/00447 Kommunal författningssamling för Smedjebackens kommun Fastställd av Kf 97 Den 2016-12-12 Informationssäkerhetspolicy Kommunfullmäktiges beslut Revidering av informationssäkerhetspolicyn

Läs mer

Bilaga till rektorsbeslut RÖ28, (5)

Bilaga till rektorsbeslut RÖ28, (5) Bilaga till rektorsbeslut RÖ28, 2011 1(5) Informationssäkerhetspolicy vid Konstfack 1 Inledning Information är en tillgång som tillsammans med personal, studenter och egendom är avgörande för Konstfack

Läs mer

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Riktlinjer avseende Informationssäkerheten Sida 1 Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Informationssäkerhet är en del i kommunernas lednings- och kvalitetsprocess

Läs mer

Strategi Program Plan Policy» Riktlinjer Regler

Strategi Program Plan Policy» Riktlinjer Regler Strategi Program Plan Policy» Riktlinjer Regler Borås Stads Riktlinjer för IT Riktlinjer för IT 1 Fastställt av: Kommunstyrelsen Datum: 20 juni 2011 För revidering ansvarar: Kommunstyrelsen För ev uppföljning

Läs mer

ORU /2016 Användning av IT-resurser - riktlinjer vid Örebro universitet

ORU /2016 Användning av IT-resurser - riktlinjer vid Örebro universitet Användning av IT-resurser Fastställda av: Rektor Datum: 2016-10-25 Inledning Örebro universitet är en statlig myndighet som bedriver utbildning, forskning och samverkan med det omgivande samhället. Universitetet

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy Informationssäkerhetspolicy GULLSPÅNG KOMMUN Antagen av kommunfullmäktige 2017-06-21, 98 Dnr: KS 2017/314 Revideras vid behov Kommunledningskontoret Torggatan 19, Box 80 548 22 HOVA Tel: 0506-360 00 www.gullspang.se

Läs mer

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation Presentation Informationssäkerhet Kim Strandberg Informationssäkerhetsstrateg/jurist kim.strandberg@regionostergotland.se 010-103 03 385 Region Informationssäkerhet, Östergötland 2015-03-11, Kim Strandberg

Läs mer

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket 15-12-07 1/6 Tillämpningsområde 1 Denna författning innehåller bestämmelser om myndigheternas arbete med informationssäkerhet och deras tillämpning av standarder i sådant arbete. 2 Författningen gäller

Läs mer

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs Informationssäkerhet Medicinteknisk säkerhetskurs 2018-03-14, Sanja Hebib Informationssäkerhet Information är en tillgång som, liksom andra viktiga tillgångar, har ett värde och som måste skyddas. Informationssäkerhet

Läs mer

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter Vi skyddar din information Vårt informationssäkerhetsarbete och skydd av personuppgifter Vår informationssäkerhetsstrategi Capios förmåga att erbjuda sjukvård av högsta kvalitet stöds av vår strategi för

Läs mer

Policy för användande av IT

Policy för användande av IT Policy för användande av IT Inledning Det här dokumentet beskriver regler och riktlinjer för användningen av IT inom företaget. Med företaget menas [fylls i av kund] och med IT-avdelning menas vår partner

Läs mer

Regler för användning av Riksbankens ITresurser

Regler för användning av Riksbankens ITresurser Regler för användning av Riksbankens ITresurser MAJ 2009 1 Inledning I det följande ges regler för användning av Riksbankens IT-resurser, vilka gäller för alla medarbetare i Riksbanken samt konsulter och

Läs mer

Säkerhetspolicy för Västerviks kommunkoncern

Säkerhetspolicy för Västerviks kommunkoncern Säkerhetspolicy för Västerviks kommunkoncern Antagen av kommunfullmäktige 2016-10-31, 190 Mål Målen för säkerhetsarbete är att: Västerviks kommun ska vara en säker och trygg kommun för alla som bor, verkar

Läs mer

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 11 mars 2016 Myndigheten

Läs mer

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2 IT-SÄKERHETSPOLICY 1 Inledning... 1 1.1 Definition... 2 1.2 Omfattning... 2 2 Mål för IT-säkerhetsarbetet... 2 3 Ledning och ansvar för IT-säkerheten... 3 4 Lagar och andra regelverk... 4 5 IT-säkerhetsarbetet...

Läs mer

Välkommen till enkäten!

Välkommen till enkäten! Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datum Diarienr 2011-12-12 750-2011 Landstingsstyrelsen Landstinget Blekinge 371 81 Karlskrona Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datainspektionens beslut

Läs mer

VGR-RIKTLINJE FÖR FYSISK SÄKERHET

VGR-RIKTLINJE FÖR FYSISK SÄKERHET Koncernkontoret Enhet säkerhet Dokumenttyp VGR-riktlinje Dokumentansvarig Valter Lindström Beslutad av Valter Lindström, Koncernsäkerhetschef Övergripande dokument Riktlinjer för informationssäkerhet Kontaktperson

Läs mer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf

Läs mer

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Metoder för datasäkerhet. Vad handlar en sådan kurs om??? Metoder för datasäkerhet Vad handlar en sådan kurs om??? Vad avses då media rapporterar om datasäkerhet? Oftast resultat av brister i säkerheten Allt möjligt av helt olika karaktär, som Försvunna viktiga

Läs mer

Informationssäkerhet - Instruktion för förvaltning

Informationssäkerhet - Instruktion för förvaltning Informationssäkerhet - Instruktion för förvaltning Innehållsförteckning 1. INFORMATIONSSÄKERHET...3 2. ORGANISATION OCH ANSVAR INFORMATIONSSÄKERHET...4 2.1 KOMMUNSTYRELSEN... 4 2.2 NÄMND OCH BOLAG... 4

Läs mer

BILAGA 3 Tillitsramverk Version: 1.2

BILAGA 3 Tillitsramverk Version: 1.2 BILAGA 3 Tillitsramverk Version: 1.2 Innehåll Revisionshistorik... 1 Allmänt... 2 A. Organisation och styrning... 2 Övergripande krav på verksamheten... 2 Villkor för användning av Leverantörer... 3 Handlingars

Läs mer

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE 2013-01-28, 8

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE 2013-01-28, 8 VÄSTERVIKS KOMMUN FÖRFATTNINGSSAMLING SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE 2013-01-28, 8 RIKTLINJER FÖR SÄKERHETSARBETET ANTAGNA AV KOMMUN- STYRELSEN 2013-01-14, 10

Läs mer

Informationsklassning

Informationsklassning Norrmalms stadsdelsförvaltning 2003-09-09 Bilaga 5 s Informationsklassning Inledning Data som lagras och bearbetas i stadens IT-system bildar information som representerar stora värden. För att få en heltäckande

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 1552-2012 Socialnämnden i Norrköpings kommun Rådhuset 601 81 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

Metod för klassning av IT-system och E-tjänster

Metod för klassning av IT-system och E-tjänster Metod för klassning av IT-system och E-tjänster IT-FORUM 2 (9) Innehållsförteckning 1 Inledning... 3 1.1 Revisionshistorik... 3 2 Klassning av system och E-tjänster... 3 2.1 Säkerhetsnivå 3... 3 2.1.1

Läs mer

ANVÄNDARHANDBOK Advance Online

ANVÄNDARHANDBOK Advance Online ANVÄNDARHANDBOK Advance Online 2013-09-27 INNEHÅLL Innehåll... 2 Välkommen till Advance Online!... 3 Allmän information... 3 Idén bakom Advance Online... 3 Att logga in på en terminalstation... 4 Allmänt...

Läs mer

Riktlinjer för arbetet med att främja likabehandling och förebygga och motverka diskriminering, trakasserier och kränkande behandling.

Riktlinjer för arbetet med att främja likabehandling och förebygga och motverka diskriminering, trakasserier och kränkande behandling. 1 (8) 2013-08-15 Lärande Lärande Centralt Christian Jerhov Verksamhetsutvecklare 0302 52 12 04 Riktlinjer för arbetet med att främja likabehandling och förebygga och motverka diskriminering, trakasserier

Läs mer

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2)

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2) Informationssäkerhetsinstruktion Användare: Övriga (3:0:2) Kommunalförbundet ITSAM Revision: 20130317 Dnr: 2013/00036 Kommunalförbundet ITSAM, Storgatan 36A, 590 36 Kisa Tel: 0494 197 00, Fax: 0494 197

Läs mer

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13 Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13 Människors liv och hälsa samt landstingets samhällsviktiga verksamhet skall värnas. Ingen, eller inget, skall skadas av sådant som

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Antagen av kommunfullmäktige 2014-02-24, KF 29 Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd:

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

Riktlinje för informationssäkerhet

Riktlinje för informationssäkerhet Bilaga 2 Dokumentansvarig: Chef Samhällsskydd och Beredskap Upprättad av: Informationssäkerhetschef Beslutad av: Kommunfullmäktige Gäller för: Anställda och förtroendevalda i Göteborgs Stads förvaltningar,

Läs mer

Informationssäkerhetspolicy för Umeå universitet

Informationssäkerhetspolicy för Umeå universitet Sid 1 (7) Informationssäkerhetspolicy för Umeå universitet Sid 2 (7) Inledning Denna policy utgör grunden i universitetets ledningssystem för informationssäkerhet (LIS) och beskriver Umeå universitets

Läs mer

Informationssäkerhetspolicy för Katrineholms kommun

Informationssäkerhetspolicy för Katrineholms kommun Styrdokument Informationssäkerhetspolicy för Katrineholms kommun Senast reviderad av kommunfullmäktige, 203 2 (10) Beslutshistorik Gäller från 2013-09-16 2015-12-31 2010-08-18 Revision enligt beslut av

Läs mer