Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799
|
|
- Håkan Håkansson
- för 8 år sedan
- Visningar:
Transkript
1 Energibranschens IT-säkerhet 1 (13) Att införa LIS Förberedelser inför anpassning till ISO/IEC Vad är informationssäkerhet? Information är en tillgång som, liksom andra viktiga tillgångar i en organisation, har ett värde och följaktligen måste få ett adekvat skydd. Informationssäkerhet syftar till att skydda information mot förekommande hot, förhindra avbrott i verksamheten och minska skador och bidrar därigenom till att maximera värdet av organisationens verksamhet. Information förekommer i många former. Den kan exempelvis vara tryckt eller skriven, elektroniskt lagrad, skickad med post eller e-post, visad på film eller talad. Oavsett vilken form informationen har, eller det sätt på vilket den överförs eller lagras, måste den alltid få ett godtagbart skydd. Informationssäkerhet karaktäriseras som bevarandet av: sekretess - säkerställande av att information är tillgänglig endast för dem som har behörighet för åtkomst riktighet/tillförlitlighet - skydd av information och behandlingsmetoder så att de förblir korrekta och fullständiga tillgänglighet - säkerställande av att behöriga användare vid behov har tillgång till information och tillhörande tillgångar Informationssäkerhet uppnås genom att lämpliga styrmedel införs. Dessa kan vara t.ex. riktlinjer, rutiner, organisation och programfunktioner. Därigenom säkerställs att organisationens specifika säkerhetsmål uppnås.
2 Energibranschens IT-säkerhet 2 (13) Kloka och tänkvärda ord Det spelar ingen roll i vilken riktning du går, om du inte vet vart du ska! För att lyckas med informationssäkerhetsarbetet så måste företagets ledning ha en uttalad strategi när det gäller informationssäkerhet och vara engagerad i arbetet. Att inte skydda företagets viktiga information är en affärsrisk, och måste alltså behandlas och beaktas på ledningsnivå. Traditionellt har man satt likhetstecken mellan Informationssäkerhet och IT-säkerhet vilket har fått till följd att man delegerat ansvaret för att upprätthålla säkerheten på IT-avdelningen. Resultatet kan ses i dagsläget när företag har lagt stora resurser på tekniska säkerhetslösningar utan förankring i verksamhetens krav och behov.
3 Energibranschens IT-säkerhet 3 (13) Informationssäkerhet, en investering Informationssäkerhet är en investering i organisationens och företagets framtid Informationssäkerhet är ingen kostnad utan en förutsättning för framtida överlevnad
4 Energibranschens IT-säkerhet 4 (13) Optimal säkerhetsnivå Hög Kostnader för skyddsåtgärder Kostnader Kostnader för händelse Låg Låg Hög Grad av skyddsåtgärder All informationssäkerhet handlar om att hitta den optimala säkerhetsnivån för företaget. Om säkerhetsnivån sätts på känn eller utefter tekniska önskemål och framsteg riskerar företaget att satsa pengar på säkerhetslösningar som inte står i relation till kostnaderna för händelsen om den skulle inträffa. Det här handlar om att göra traditionella riskbedömningar, och det som ska bedömas och skyddas är företagets viktiga information, inte tekniken. Vad är företagets viktigaste information? Var finns den? Vad händer om någon obehörig använder, förfalskar eller tar bort informationen? Vad kostar det företaget i pengar och förlorad Goodwill? Hur ofta har något liknande hänt fram till dagsläget? Hur ofta beräknar vi att det skulle kunna hända i framtiden? Hur handskas vi med risken? Ska vi minimera, försäkra bort eller acceptera risken?
5 Energibranschens IT-säkerhet 5 (13) Olika säkerhetsstandarder ITSEC (ISO/IEC 15408) ISO-standard för IT-säkerhet vid framtagning av datorprogram CC (Common Criteria) Sammanslagning av ITSEC, amerikansk och kanadensisk programutvecklingsstandard ISO/IEC Informationssäkerhetsstandard oberoende av media Det finns olika ISO-standarden som handlar om IT-säkerhet, men det finns bara en som handlar om Informationssäkerhet. ISO/IEC är en informationssäkerhetsstandard som hanterar all information oavsett media. Det innebär att det är samma krav och regler för information som kommuniceras via tal, telefon eller datanät, skickas via fax, brev eller mail, lagras i kassaskåp, arkiv, servrar eller på band. Det är alltså informationens klassning som styr hur den ska skyddas, oavsett om informationen finns i pappersform eller digitalt i IT-servrar etc.
6 Energibranschens IT-säkerhet 6 (13) BS SS ISO/IEC BS 7799 är en brittisk standard för informationssäkerhet som översattes till svenska och fick beteckningen SS Det är en direkt översättning med undantag av avsnitt som handlar om insamling av bevis. Detta avsnitt ansågs inte tillämpligt i Sverige och har därför utelämnats. I början av 2000 blev BS 7799 en internationell ISO-standard ISO/IEC Den brittiska standarden BS 7799 blev en defacto-standard i nästan hela världen, dock inte i USA. De flesta europeiska länderna översatte standarden till sitt språk, så gjorde även vi i Sverige, och vi kallade den SS I början av år 2000 blev det en ISO-standard gemensam för hela världen inklusive USA. ISO-standarden bygger på BS 7799, det skiljer inte ett kommatecken dem emellan. LIS står för Ledningssystem för InformationsSäkerhet, och det är ledningssystemet du inför när du säger att du anpassar din verksamhet till standarden.
7 Energibranschens IT-säkerhet 7 (13) Vad ska vi med en standard till? Möjliggör säkerhetscertifiering, motsvarande ISO 9000, av oberoende instans som SWEDAC accrediterar Garanti för att nödvändiga säkerhetsåtgärder vidtagits i företaget/organisationen Standarden riktar sig till ledningsnivån inom företag och organisationer Mätstock för säkerhetsnivån i en organisation Internationella krav på säkerheten Vad skiljer Informationssäkerhetsstandarden från Kvalitets- och Miljöstandarderna? När du certifierar dig på ISO 9000 och ISO är det ditt lands lagar och regler samt dina rutiner och löften att hålla dessa du blir certifierad på. Det innebär att ett företag i landet X kan ha ett miljöcertifikat fast att de inte uppfyller andra länders krav. Man kan inte jämföra olika företag och det innebär att vi inte kan dra slutsatsen att man har en hög kvalitet eller högt miljömedvetande bara för att man har ett certifikat. Så är inte fallet med Informationssäkerhetsstandarden. Det är den första standarden med mycket specifika och uttalade skallkrav. Nu kan vi för första gången använda certifieringen för att mäta nivån på informationssäkerheten i olika företag. Nivån blir en uppfyllnadsgrad gentemot standarden, exempelvis företag X uppfyller standarden till 86 %, företag Y till 78 %. Uppfyller du samtliga skallkrav har du 100 % uppfyllnadsgrad eller nivå. För att ens börja fundera på att bli certifierad bör man minst ha 75 % uppfyllnadsgrad. SWEDAC är den svenska instans som accrediterar certifieringsinstanser såsom t.ex.veritas. Enligt SWEDAC kommer ISO/IEC att bli den i särklass största standarden som företag certifierar sig på.
8 Energibranschens IT-säkerhet 8 (13) Vad är informationssäkerhet? Informationssäkerhet karaktäriseras som bevarandet av: Sekretess - säkerställande av att information är tillgänglig endast för dem som har behörighet för åtkomst Riktighet - skydd av information och behandlingsmetoder så att de förblir korrekta och fullständiga Tillgänglighet - säkerställande av att behöriga användare vid behov har tillgång till information och tillhörande tillgångar Sekretess, riktighet och tillgänglighet är standardens stöttepelare, men först måste du säkerhetsklassa din information. Det handlar inte om att skydda all information på samma vis, utan att skydda den information som ledningen uttalat är viktig för företaget. Förslagsvis använder man sig av fyra säkerhetsklasser: 1. Öppen 2. Intern 3. Företagshemlig 4. Kvalificerat företagshemligt
9 Energibranschens IT-säkerhet 9 (13) Trappstegen ❸ Certifiering ❶ Basnivå ❷ Ledningssystem Nivå 3 Certifieringssteg. Karakteriseras av ny GAP-analys. Nivå 2 Implementerande steg. Karakteriseras av genomförande av åtgärdsplanerna. Nivå 1 Förberedande steg, inventering och nuläge. Karakteriseras av systeminventering, informationsklassning, riskanalyser, GAP-analys, avgränsningar och åtgärdsplaner. Att införa LIS är som att be medarbetarna att äta en elefant! För att detta ska fungera måste vi göra införandet i rätt ordning. Ingen kan äta en elefant om du serverar den på en gång, men om man först serverar ett öra och därefter en svanssoppa, så har man ett-tu-tre ätit elefanten. Glöm inte att göra avgränsningar, vad ska LIS inte omfatta, det gör att du kan minska elefanten i storlek. Se till att du har tillräckligt god tid på dig för införandet. Att införa LIS är en lärande process i företaget som fortgår år efter år. Börja försiktigt på en rimlig nivå och låt så många som möjligt vara engagerade i förloppet. Egentligen är själva resan målet och certifieringen bara ett kvitto på att ni har ökat er medvetenhet och kunskap om informationssäkerhet inom företaget. Den största effekten fås när medarbetarnas säkerhetsmedvetande ökar i takt med att de deltar i informationssäkerhetsarbetet. Om ett fåtal personer inom företaget inför LIS, så blir det ännu en papperstiger med policies och regler som få känner till, förstår eller efterlever. Då har man missat själva poängen, att öka informationssäkerheten i företaget.
10 Energibranschens IT-säkerhet 10 (13) Vad måste göras först? Basnivå 1. VD-beslut och förankring 2. Nulägesanalys 3. Genomföra riskanalyser 4. Definiera vad ledningssystemet ska omfatta 5. Definiera en informationssäkerhetspolicy 1. VD-beslut och förankring Beslut om anpassning till ISO/IEC måste tas av företagets ledning Om det är en koncern måste beslutet förankras hos samtliga dotterbolags VD Varje VD är ansvarig för att informera sin organisation och avsätta resurser för genomförandet 2. Nulägesanalys Varför börjar vi med en nulägesanalys? För att ta fram en ändamålsenlig åtgärdsplan för anpassning till ISO/IEC startar vi med en genomgång av nuläget. Resultatet mäts mot standarden som då visar bolagets uppfyllnadsgrad. Vi får en för bolaget anpassad åtgärdsplan att följa. I nulägesanalysen dokumenteras och uppskattas även risker och hot, dock ej i samma omfattning som en riskanalys. I en nulägesanalys ingå följande : Systeminventering (se dokument Nulägesanalys Systeminventering) - Systembeskrivning - Fysisk placering - Beroendeförhållande - Systemägare - Informationsklassning - Kostnad för avbrott - Avbrotts- och felfrekvens
11 Energibranschens IT-säkerhet 11 (13) Enkätfrågor (GAP-analys) inom följande områden: - Säkerhetspolicy - Säkerhetsorganisation - Klassificering och kontroll av tillgångar - Personal och säkerhet - Fysiska och miljörelaterad säkerhet - Styrning av kommunikation och drift - Styrning av åtkomst - Systemutveckling och systemunderhåll - Kontinuitetsplanering - Efterlevnad 3. Genomföra riskanalyser Gör riskanalyser för de system som ni tidigare klassat att de hanterar känslig information, men gör även riskanalys för bolaget som helhet. Förslagsvis görs tre scenarier per system som är relaterade till: - sekretess, obehörig får tillgång till känslig information - riktighet, obehörig förändring av information - tillgänglighet, hindrad åtkomst till känslig information samt tre scenario per företag/företagsdel som är relaterade till: - natur, typ brand, översvämning etc - teknik, typ avbrott, fel i system/applikationer - människor, typ nyckelpersonsberoende, kunskap etc Bedöm riskerna - Varje del inom företaget tar fram sin specifika risk- och hotbild för sina klassade system. - Riskbilden är sannolikheten för att händelsen ska inträffa gånger konsekvensen av händelsen. Bestäm hur riskerna ska hanteras - Identifierade risker måste hanteras på ett kostnadseffektivt sätt - Varje risk ska reduceras, elimineras, undvikas, överföras eller godtas Välj kontroller och säkerhetsåtgärder - Välj kontroller och åtgärder från ISO-standarden, ISO/IEC 17799:2 för att hantera riskerna Dokumentera - Dokumentera de valda kontrollerna och åtgärderna - Sammanställ i det standarden kallar uttalande om tillämpning 4. Definiera vad ledningssystemet ska omfatta Ledningssystemet måste vara tydligt och väl avgränsat Företaget hanterar gemensamma resurser/system Eventuella dotterbolag/avdelningar hanterar egna resurser/system Omfattningen ska definieras och dokumenteras i organisationsschema, flödesschema över ingående system, applikationer, utrustning och datanätverk.
12 Energibranschens IT-säkerhet 12 (13) 5. Definiera en informationssäkerhetspolicy Nödvändigt för ett framgångsrikt säkerhetsarbete och utgör grunden för säkerhetsarbetet och införandet av LIS. Övergripande Informationssäkerhetspolicy skrivs för en koncern Varje dotterbolag kan komplettera, dock icke exkludera, innehåll i koncernens Informationssäkerhetspolicy. VD är ansvarig för att ange de mål i Informationssäkerhetspolicyn som ska uppnås.
13 Energibranschens IT-säkerhet 13 (13) Nu först kan vi börja införa LIS! Nu vet vi Vilken nivå varje avdelning och företaget som helhet ligger på Vilka risker vi har och tar samt hur vi ska åtgärda dem Vilka system som ska ingå i LIS Vilka mål som ska uppnås Nu har vi klarat av första trappsteget (Basnivån). Trappsteg nummer två kommer att behandlas i separat dokument.
Nulägesanalys. System. Bolag AB
2003-04-15 Energibranschens IT-säkerhet 1 (11) Nulägesanalys System Bolag AB Skall mailas/skickas till namn.namn@bolag.se senast den XX xxxxxx Ort: Datum: Uppgiftslämnare: Bolag och befattning: 2003-04-15
Läs merSydkraft AB - Koncern IT 2004-02-25 1
2004-02-25 1 Informationssäkerhet Informationssäkerhetsklassning Anpassning till ISO/IEC 17799 Rita Lenander IT- och Informations-säkerhetschef 2004-02-25 2 Säker hantering av information Inte många skulle
Läs merVervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,
Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte Wiggo Öberg, tidigare Verva nu KBM, 2008-11-19 Vervas regeringsuppdrag Utveckla säkert elektroniskt informationsutbyte
Läs merVilket mervärde ger certifiering dig?
Vilket mervärde ger certifiering dig? En debatt Håkan Skyllberg, KPMG Inger Nordin, WM-data Validation Information Risk Management 0 Presentation Håkan! Medytekk AB! Tillverkning av läkemedel & medicinskteknisk
Läs merLedningssystem för Informationssäkerhet
Dnr 2017/651 Ledningssystem för Informationssäkerhet Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställd av Säkerhetschefen 2016-04-26 Innehåll 1 Inledning... 3 2 Organisationens förutsättningar...
Läs merRiktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret
Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet
Läs merTJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63
TJÄNSTESKRIVELSE 2019-01-14 Kommunstyrelsen Richard Buske Tf säkerhetschef Telefon 08 555 010 22 richard.buske@nykvarn.se informationssäkerhetspolicy KS/2019:63 Förvaltningens förslag till beslut Revidering
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.
Revisionsrapport Mälardalens högskola Box 883 721 23 Västerås Datum Dnr 2011-03-08 32-2010-0735 Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010 Riksrevisionen
Läs merÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning
ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation
Läs merEnkätundersökning: En bild av myndigheternas informationssäkerhetsarbete
Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete 2014 En bild av myndigheternas informationssäkerhet 2014 tillämpning av MSB:s föreskrifter Enkätundersökning februari 2014 Utskick
Läs merAdministrativ säkerhet
Administrativ säkerhet 1DV425 Nätverkssäkerhet Dagens Agenda Informationshantering Hur vi handhar vår information Varför vi bör klassificera information Riskanalys Förarbete till ett säkerhetstänkande
Läs merInformationssäkerhetspolicy. Linköpings kommun
Informationssäkerhetspolicy Linköpings kommun Antaget av: Kommunfullmäktige Status: Antaget 2016-08-30 291 Giltighetstid: Tillsvidare Linköpings kommun linkoping.se Sekretess: Öppen Diarienummer: Ks 2016-481
Läs merInformationssäkerhetspolicy
2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan
Läs merProgram för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning
Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord
Läs merInformationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016
Informationssäkerhetspolicy Informationssäkerhetspolicy för Vingåkers kommun 013-016 Innehållsförteckning 1 Mål... Syfte... 3 Ansvarsfördelning... 4 Definition... 5 Genomförande och processägare... 3 Dokumentnamn
Läs merNuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket
15-12-07 1/6 Tillämpningsområde 1 Denna författning innehåller bestämmelser om myndigheternas arbete med informationssäkerhet och deras tillämpning av standarder i sådant arbete. 2 Författningen gäller
Läs merDNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen
TJÄNSTESKRIVELSE Datum DNR: KS2016/918/01 2018-03-07 1 (1) Kommunstyrelsen Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Förslag till beslut Förslaget till Informationssäkerhetspolicy för
Läs merInformationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57
1 (5) Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige 2018-05-07, 57 Postadress Besöksadress Telefon Internet och fax Giro och org.nr Sunne kommun Verksamhetsstöd
Läs merBilaga 3 Säkerhet Dnr: /
stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav på säkerhetsarbete
Läs merInformationssäkerhetspolicy inom Stockholms läns landsting
LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4
Läs merSvensk Standard SS ISO/IEC 17799 SS 62 77 99-2
Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2 Ledningssystem för informationssäkerhet () Informationssäkerhet Informationssäkerhet Administrativ säkerhet IT-säkerhet ADB-säkerhet Kommunikationssäkerhet
Läs merLedningssystem för Informationssäkerhet
Dnr 2017/651 Ledningssystem för Informationssäkerhet Riktlinjer för säkerhetsarbetet vid Uppsala universitet Innehåll 1 Inledning... 3 2 Organisationens förutsättningar... 4 3 Ledarskap... 5 4 Planering...
Läs merInformationssäkerhetspolicy
Informationssäkerhetspolicy KS/2018:260 Ansvarig: Kanslichef Gäller från och med: 2018-07-19 Uppföljning / revidering ska senast ske: 2019-07-19 Beslutad av kommunfullmäktige 2018-06-20, 60 Innehållsförteckning
Läs merInformationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad
Informationssäkerhetspolicy i Borlänge kommunkoncern Beslutad av kommunfullmäktige 2012-12-18 238, reviderad 2017-09-19 153 Metadata om dokumentet Dokumentnamn Informationssäkerhetspolicy i Borlänge kommunkoncern
Läs merLedningssystem för Informationssäkerhet (LIS) vid Linköpings universitet
2010-11-22 Beslut 1(9) Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet Inledning Universitetsstyrelsen fastställde 2002-02-27 IT-strategi för Linköpings universitet. Där fastslås
Läs merInformationssäkerhetspolicy KS/2018:260
Informationssäkerhetspolicy KS/2018:260 Innehållsförteckning Antagen av kommunfullmäktige den [månad_år] Informationssäkerhetspolicy...22 Ändringar införda till och med KF, [nr/år] Inledning och bakgrund...22
Läs merI Central förvaltning Administrativ enhet
., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688
Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led
Läs merInformationssäkerhetspolicy för Ånge kommun
INFORMATIONSSÄKERHETSPOLICY 1 (10) Informationssäkerhetspolicy för Ånge kommun Denna informationssäkerhetspolicy anger hur Ånge kommun arbetar med informationssäkerhet och uttrycker kommunens stöd för
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.
Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice
Läs merRiktlinjer för IT-säkerhet i Halmstads kommun
Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4
Läs merMyndigheten för samhällsskydd och beredskaps författningssamling
Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 11 mars 2016 Myndigheten
Läs merInformationssäkerhet, Linköpings kommun
1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...
Läs merInformationssäkerhetspolicy
FÖRFATTNINGSSAMLING BESLUT GÄLLER FR FLIK SID Kf 83/05 2005-06-13 Kf 26 1 2009-20-16 ändring Informationssäkerhetspolicy Härjedalens kommuns ramverk för Informationssäkerhetsarbete i enlighet med Krisberedskapsmyndighetens
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet
Revisionsrapport Karolinska institutet 171 77 Stockholm Datum Dnr 2011-02-01 32-2010-0715 Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet 2010 Riksrevisionen
Läs merSitic. Informationssäkerhetspolicy. Om detta dokument. Förebyggande Råd från Sveriges IT-incidentcentrum. Om Förebyggande Råd från Sitic
Sitic Sveriges IT-incidentcentrum FR04-01 Informationssäkerhetspolicy Förebyggande Råd från Sveriges IT-incidentcentrum Om Förebyggande Råd från Sitic Bakgrund I uppdraget för Sveriges IT-incidentcentrum
Läs merEBITS 2012-01-09 E-MÖTE / VIRTUELLT MÖTE 5 INFORMATIONSKLASSNING. 1 Syfte. 2 Avgränsningar. 3 Bakgrund. 4 Informationsformer
EBITS 2012-01-09 Arbetsgruppen för Energibranschens Informationssäkerhet E-MÖTE / VIRTUELLT MÖTE 1 Syfte Syftet med detta dokument är att belysa de risker som finns med olika former av virtuella möten.
Läs merTransportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare;
Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare; beslutade den 13 december 2012. Transportstyrelsen föreskriver följande med
Läs merVälkommen till enkäten!
Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av
Läs merRiktlinjer för säkerhetsarbetet vid Uppsala universitet
Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3
Läs merPolicy för informationssäkerhet
30 Policy för informationssäkerhet Publicerad: Beslutsfattare: Lotten Glans Handläggare: Malin Styrman Beslutsdatum: Giltighetstid: Tillsvidare Sammanfattning: Informationssäkerhetspolicyn sammanfattar
Läs merVi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter
Vi skyddar din information Vårt informationssäkerhetsarbete och skydd av personuppgifter Vår informationssäkerhetsstrategi Capios förmåga att erbjuda sjukvård av högsta kvalitet stöds av vår strategi för
Läs merPolicy för informations- säkerhet och personuppgiftshantering
Policy för informations- säkerhet och personuppgiftshantering i Vårgårda kommun Beslutat av: Kommunfullmäktige för beslut: 208-04- För revidering ansvarar: Kommunfullmäktige Ansvarig verksamhet: Strategisk
Läs merIT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda
IT governance i praktiken: Styrning och kontroll över ITriskerna med ISO2700X Fredrik Björck Transcendent Group för ADBJ 2006-01-31 Agenda IT governance definierat IT governance i praktiken och infosäk
Läs merBilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag
Förfrågningsunderlag stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav
Läs merInformationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting
Informationssäkerhetspolicy för Stockholms läns landsting 1 Innehållsförteckning Inledning... 3 Mål... 4 Omfattning... 4 Innebörd... 4 Ansvar... 6 Uppföljning och revidering... 7 LS 1112-1733 Beslutad
Läs merMetodstöd 2
Granska www.informationssäkerhet.se 2 Upphovsrätt Tillåtelse ges att kopiera, distribuera, överföra samt skapa egna bearbetningar av detta dokument, även för kommersiellt bruk. Upphovsmannen måste alltid
Läs merInformationssäkerhetspolicy IT (0:0:0)
Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr:0036/13 Kommunalförbundet ITSAM, Storgatan 36A, 590 36
Läs merPolicy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1
DIARIENUMMER: KS 47/2018 FASTSTÄLLD: 2018-04-10 VERSION: 1 SENAS T REVIDERAD: GILTIG TILL: DOKUMENTANSVAR: Tills vidare Fullmäktige Policy Policy för informationssäkerhet och personuppgiftshantering i
Läs merSkärpta krav för informationssäkerhet, IT-verksamhet och insättningssystem. Jonas Edberg och Johan Elmerhag 20 maj, GRC 2015
Skärpta krav för informationssäkerhet, IT-verksamhet och insättningssystem Jonas Edberg och Johan Elmerhag 20 maj, GRC 2015 Om företaget Hos Transcendent Group möter du erfarna konsulter inom governance,
Läs merVälja säkerhetsåtgärder
Välja säkerhetsåtgärder www.informationssäkerhet.se 2 Upphovsrätt Tillåtelse ges att kopiera, distribuera, överföra samt skapa egna bearbetningar av detta dokument, även för kommersiellt bruk. Upphovsmannen
Läs merInformationsklassning och systemsäkerhetsanalys en guide
2018-06-18 1 (7) GUIDE Digitaliseringsenheten Informationsklassning och systemsäkerhetsanalys en guide Innehåll Informationsklassning och systemsäkerhetsanalys en guide... 1 Kort om informationssäkerhet...
Läs mer1(6) Informationssäkerhetspolicy. Styrdokument
1(6) Styrdokument 2(6) Styrdokument Dokumenttyp Policy Beslutad av Kommunfullmäktige 2017-05-17 73 Dokumentansvarig IT-chef Reviderad av 3(6) Innehållsförteckning 1 Inledning...4 1.1 Begreppsförklaring...4
Läs merRiktlinjer för informationssäkerhet
Dnr UFV 2015/322 Riktlinjer för informationssäkerhet Riskhantering av informationssystem Fastställda av Säkerhetschefen 2015-03-06 Senast rev. 2017-02-01 Innehållsförteckning 1 Inledning... 3 2 Definitioner...
Läs merBilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet
Bilaga 3 Säkerhet Säkerhet 2 (8) Innehållsförteckning Bilaga 3 Säkerhet 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll
Läs merSvar på revisionsskrivelse informationssäkerhet
TJÄNSTEUTLÅTANDE Personalavdelningen Dnr KS/2014:280-007 2015-03-03 1/3 KS 10:1 Handläggare Annica Strandberg Tel. 0152-291 63 Kommunrevisionen Svar på revisionsskrivelse informationssäkerhet Förslag till
Läs merInformationssäkerhetspolicy för Ystads kommun F 17:01
KS 2017/147 2017.2189 2017-06-29 Informationssäkerhetspolicy för Ystads kommun F 17:01 Dokumentet gäller för: Ystads kommuns nämnder, kommunala bolag och kommunala förbund Gäller fr.o.m. - t.o.m. 2017-08-01-tillsvidare
Läs merLedningssystem för Informationssäkerhet (LIS) vid Linköpings universitet
2010-11-22 Beslut Dm LiU-2010-01529 1(9) Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet Inledning Universitetsstyrelsen fastställde 2002-02-27 TT-strategi för Linköpings universitet.
Läs merBilaga till rektorsbeslut RÖ28, (5)
Bilaga till rektorsbeslut RÖ28, 2011 1(5) Informationssäkerhetspolicy vid Konstfack 1 Inledning Information är en tillgång som tillsammans med personal, studenter och egendom är avgörande för Konstfack
Läs merISO/IEC och Nyheter
ISO/IEC 27001 och 27002 Nyheter Bakgrund till revisionen ISO/IEC 27001 och 27002 var cirka 10 år gamla och behövde uppdateras Harmonisering av ledningssystem (Annex SL) ISO/IEC 27001:2013(2014) ISO/IEC
Läs merPolicy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson
Policy för tekniska och organisatoriska åtgärder för 14 juni 2018 Peter Dickson Sida 2 av 6 Innehåll Inledning... 3 Organisation... 3 Allmänt om det tekniska säkerhetsarbetet... 4 Kontinuitetsplanering...
Läs merTransportstyrelsens föreskrifter om hantering av kryptografiska nycklar och certifikat med mera för tillverkning av digitala färdskrivare;
Transportstyrelsens föreskrifter om hantering av kryptografiska nycklar och certifikat med mera för tillverkning av digitala färdskrivare; beslutade den 14 september 2018. TSFS 2018:85 Utkom från trycket
Läs merRiktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och
Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och beredskap föreskriver. I dokumentet kommer fortsättningsvis
Läs merPolicy för informationssäkerhet
.. - T C Q o,.. e Policy för informationssäkerhet Landstingsdirektörens stab augusti 2015 CJiflt LANDSTINGET BLEKINGE Innehållsförteckning Inledning och bakgrund... 3 Syfte... 3 Mål... 3 Genomförande...
Läs merVÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT
VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT Sid 2 (7) Innehåll 1. Att upphandla på ett säkert... 3 2. Identifiera krav... 4 3. Samråd vid säkerhetsskyddad upphandling... 6 Sid 3 (7) 1. Att upphandla på
Läs merFortsättning av MSB:s metodstöd
Fortsättning av MSB:s metodstöd Daniel Bosk och Carina Bengtsson 1 Institutionen för informationsteknologi och medier (ITM), Mittuniversitetet, Sundsvall. msbforts.tex 884 2013-04-04 10:16:54Z danbos 1
Läs merKoncernkontoret Enheten för säkerhet och intern miljöledning
Koncernkontoret Enheten för säkerhet och intern miljöledning Johan Reuterhäll Informationssäkerhetschef johan.reuterhall@skane.se RIKTLINJER Datum: 2017-12-07 Dnr: 1604263 1 (8) Riktlinjer för informationssäkerhet
Läs merTillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen
Tillitsdeklarationen och revisionsprocessen Åsa Wikenståhl Efosdagen 2018-09-26 Agenda Intro Risk Revision LIS Tillitsdeklarationen På-platsen-revisionen Åtgärder och uppföljning Förbättringsarbetet Tillit
Läs merMyndigheten för samhällsskydd och beredskaps författningssamling
Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Anna Asp, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 30 oktober 2018 Myndigheten
Läs mermyndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete
BILAGA TILL GRANSKNINGSRAPPORT DNR: 31-2014-1526 Bilaga 5. Enkät till Affärsverket svenska kraftnät, Bolagsverket, Lantmäteriet, Post- och telestyrelsen, Sjöfartsverket samt Statens tjänstepensionsverk
Läs merInformationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26
Informationssäkerhet Dokumenttyp Riktlinjer Fastställd/upprättad 2012-02-15 av Kommunstyrelsen 26 Senast reviderad 2014-02-12 av Kommunstyrelsen 28 Detta dokument gäller för Kommunövergripande Giltighetstid
Läs merRevisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.
Revisionsrapport Kungl. Konsthögskolan Box 163 65 103 26 Stockholm Datum Dnr 2011-03-09 32-2010-0732 Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010
Läs mer2012-12-12 Dnr 074-11-19
HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Regler för informationssäkerhet Regler för informationssäkerhet är beslutade av enhetschefen för i enlighet med Högskolans säkerhetspolicy (dnr 288-11-101)
Läs merAtt införa LIS. Informationssäkerhet för offentlig sektor 2015. Johan Kallum Säkerhetschef/Informationssäkerhetschef
Att införa LIS Informationssäkerhet för offentlig sektor 2015 Johan Kallum Säkerhetschef/Informationssäkerhetschef Agenda (45 min) Inledning Så här såg det ut innan vi börja Utlösande faktorer Vad vill
Läs merRiktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13
Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13 Människors liv och hälsa samt landstingets samhällsviktiga verksamhet skall värnas. Ingen, eller inget, skall skadas av sådant som
Läs merVervas kräver ISO 27001 och ISO 27002 av alla statliga myndigheter. Maylis Karlsson, Utvecklingsstrateg Verva 08-04-03
Vervas kräver ISO 27001 och ISO 27002 av alla statliga myndigheter Maylis Karlsson, Utvecklingsstrateg Verva 08-04-03 Vervas regeringsuppdrag Utveckla säkert elektroniskt informationsutbyte Leda och samordna
Läs merInformationssäkerhetspolicy
Antagen av kommunfullmäktige 2018-04-23 149 Dnr 2017/13 100 2018-03-09 1(5) Kommunledningsförvaltningen Håkan Helgesson 0476-550 Hakan.helgesson@almhult.se Policy 2018-03-09 2(5) Innehåll Om dokumentet...
Läs merRiktlinjer informationssäkerhet
informationssäkerhet Norrbottens läns landstings riktlinjer för informationssäkerhet beskriver hur hanteringen av information ska ske. All information omfattas oberoende av mediatyp. Styrande dokument
Läs merRiktlinjer för informationssäkerhet
Dnr UFV 2015/322 Riktlinjer för informationssäkerhet Riskanalyser av informationssystem Fastställda av Säkerhetschefen 2015-03-06 Innehållsförteckning 1 Inledning... 3 2 Definitioner... 3 3 Syfte... 3
Läs merKommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336
Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336 Sida 151 av 282 Tjänsteskrivelse 1(2) 2018-03-26 Dnr: KS 2017/336 Kommunfullmäktige Revidering av
Läs merRiskanalys och riskhantering
Riskanalys och riskhantering Margaretha Eriksson, civ.ing. och doktorand i informationssäkerhet KTH Föreläsning 2 Mål känna till stegen i en risk- och sårbarhetsanalys kunna använda risk- och sårbarhetsanalys
Läs merABC - Hur certifiera verksamheten?
ABC - Hur certifiera verksamheten? Läser du detta så kan ett skäl vara att ni funderar på att införa ett ledningssystem i verksamheten. Det tycker vi är jättebra. En certifiering är dock ingen garanti
Läs merInformationssäkerhetspolicy för Umeå universitet
Sid 1 (7) Informationssäkerhetspolicy för Umeå universitet Sid 2 (7) Inledning Denna policy utgör grunden i universitetets ledningssystem för informationssäkerhet (LIS) och beskriver Umeå universitets
Läs merSäkerhetspolicy för Kristianstad kommun
2007 POLICY OCH RIKTLINJER FÖR SÄKERHETSARBETE Fastställt av kommunstyrelsen 2007-11-21 267. Säkerhetspolicy för Kristianstad kommun Syfte Kristianstads kommun har ett ansvar att upprätthålla sina verksamheter
Läs merInformationssäkerhet i. Torsby kommun
2008-09-15 Informationssäkerhet i Torsby kommun Säkerhetsplan 20080915 IT-avdelningen Besöksadress Nya Torget 8, Torsby Torsby kommun 20. IT-avdelningen 685 80 Torsby 0560-160 97 0560-160 25 fax it@torsby.se
Läs merHantering av behörigheter och roller
Dnr UFV 2018/1170 Hantering av behörigheter och roller Rutiner för informationssäkerhet Fastställda av Säkerhetschefen 2018-08-14 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 2.1 Efterlevnad 3 2.2 Uppdatering
Läs merVerket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm
Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Vervas allmänna råd till föreskrift om statliga myndigheters arbete med säkert
Läs merInformationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet
Informationssäkerhetsgranskning ISO 27001 ledningssystem för informationssäkerhet Agenda 1. Vad gör Affärsverket Svenska kraftnät 2. Vad är informationssäkerhet 3. Vad är ett ledningssystem lite om 27001
Läs merInformationssäkerhet nyckeln till nya affärer
Informationssäkerhet nyckeln till nya affärer Introduktion Denna skrift ger dig ett underlag för att diskutera frågor kring informationssäkerhet och även för att komma igång med konkreta åtgärder. Först
Läs merFördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören
Version: 1 Beslutsinstans: Regiondirektören 2(10) ÄNDRINGSFÖRTECKNING Version Datum Ändring Beslutat av 1. 2016-06-30 Nyutgåva Regiondirektören 3(10) INNEHÅLLSFÖRTECKNING 1 INLEDNING...4 2 ANSVAR FÖR INFORMATIONSSÄKERHET...4
Läs merRiktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner
Riktlinjer avseende Informationssäkerheten Sida 1 Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Informationssäkerhet är en del i kommunernas lednings- och kvalitetsprocess
Läs merInformationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs
Informationssäkerhet Medicinteknisk säkerhetskurs 2018-03-14, Sanja Hebib Informationssäkerhet Information är en tillgång som, liksom andra viktiga tillgångar, har ett värde och som måste skyddas. Informationssäkerhet
Läs merBilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A
2 (8) Innehållsförteckning 1 Allmänt 3 2 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 7 3 (8) 1 Allmänt 4 (8) 2 Tele2 bedriver en verksamhet vars produktion till största delen
Läs merPolicy och strategi för informationssäkerhet
Styrdokument Dokumenttyp: Policy och strategi Beslutat av: Kommunfullmäktige Fastställelsedatum: 2014-10-23, 20 Ansvarig: Kanslichefen Revideras: Vart 4:e år eller vid behov Följas upp: Vartannat år Policy
Läs merKatrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106
2010-0-0 Kommunstyrelsens handling nr 26120 i O 1 () Vår handläggare Katrineholms kommuns Informationssäkerhetspo licy Antagen av kommunfullmäktige 2010-06-21, 106 Informationssäkerhet är den del av kommunens
Läs merInformations- och IT-säkerhet i kommunal verksamhet
Informations- och IT-säkerhet i kommunal verksamhet En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta Vad, vem och hur man kan arbeta med informations-
Läs merInformationssäkerhetspolicy för Katrineholms kommun
Styrdokument Informationssäkerhetspolicy för Katrineholms kommun Senast reviderad av kommunfullmäktige, 203 2 (10) Beslutshistorik Gäller från 2013-09-16 2015-12-31 2010-08-18 Revision enligt beslut av
Läs merMetodstöd www.informationssäkerhet.se 2
Projektplanering www.informationssäkerhet.se 2 Upphovsrätt Tillåtelse ges att kopiera, distribuera, överföra samt skapa egna bearbetningar av detta dokument, även för kommersiellt bruk. Upphovsmannen måste
Läs merFÖRHINDRA DATORINTRÅNG!
FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser
Läs merInformationssäkerhetspolicy
2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,
Läs mer