Enkät om informations- och cybersäkerhet i Finlands kommuner 2015 Välkommen att svara på enkäten!

Transkript

1 1(16) Enkät om informations- och cybersäkerhet i Finlands kommuner 2015 Välkommen att svara på enkäten! Hej, Syftet med denna enkät är att reda ut nuläget för informations- och cybersäkerheten i kommunerna i Finland. Det tar cirka en (1) timme att svara på enkäten. Se till att dina svar inte innehåller sekretessbelagd information. Svarstiden går ut kl. 15.

2 2(16) Sida 1: Anvisning Svara enligt din uppfattning om nuläget. Om verksamheten inte omfattar det som efterfrågas ska du svara. Om frågan är aktuell åtminstone i viss grad ska du svara och vid behov precisera svaret i fältet för fri text i slutet av enkäten. Svaren får inte innehålla sekretessbelagd information.

3 3(16) Sida 2: 1.1 Bakgrundsuppgifter = Obligatoriskt att svara på frågan Organisation Kommun eller stad Kontaktperson Namn Position eller tjänstebeteckning E-postadress

4 4(16) Sida 3: 1.2 Hantering och ledning av informationssäkerhet 2015 = Obligatoriskt att svara på frågan Behandlar organisationens högsta ledning frågor om informationssäkerhet eller cybersäkerhet? 1.2.1B Har din organisation en arkivbildningsplan som inkluderar anvisningar för förstöring av material? (eller en informationskontrollplan TOS), en elektronisk arkivbildningsplan Har organisationen en riskhanteringsmetod på organisationsnivå (ett dokument som beskriver principerna för riskhanteringen) och en regelbunden rapportering av risker till ledningen? Om ja: Vilket år har den fastställts? 1.2.2B Bedöms risker relaterade till kundgränssnitt? (ärendehanteringsportaler, servicesituationer och övriga möten med kunder) Har organisationen en operativ modell för informationssäkerheten som har godkänts av ledningen och som utvärderas regelbundet eller en annan allmän motsvarande beskrivning av principerna för informationssäkerheten? (T.ex. informationssäkerhetspolicy) Om ja: Vilket år har den fastställts? Har organisationen en utsedd informationssäkerhetsansvarig i vars arbetsbeskrivning informationssäkerhetsansvaret nämns? Om ja: Position eller tjänstebeteckning:, på deltid, på heltid Bedömer organisationen regelbundet risker relaterade till cyber- och informationssäkerheten?

5 5(16) Om ja: Vilket år har de bedömts senast? Rapporteras det regelbundet till organisationens ledning om informations- och cybersäkerheten? 1.2.6B Tilläggsfråga 1.2.6B Rapporteringsprocessen har beskrivits skriftligen

6 6(16) Sida 5: 1.2 Hantering och ledning av informationssäkerhet 2015 = Obligatoriskt att svara på frågan Har hanteringen av informationssäkerhetsavvikelser organiserats och ansvaret för det fördelats? Informeras organisationens ledning omedelbart om allvarliga avvikelser från informationssäkerheten? Har organisationen identifierat att den eller de funktioner som den ansvarar för omfattas av obligatorisk (lagstadgad, avtalsenlig) anmälningsskyldighet avseende kränkningar av informationssäkerheten. Om : Vilka funktioner, hos vilken instans görs anmälan? Har organisationen en ICT-kontinuitetsplan? Om ja: Vilket år har den fastställts? Har organisationen övat ICT-kontinuitetsplanen? Om ja: Vilket år har övningar ordnats senast? Har organisationen en ICT-beredskapsplan? Om ja: Vilket år har den fastställts? Har organisationen en ICT-återhämtningsplan? Om ja: Vilket år har den fastställts? Har organisationens informationssäkerhetsansvar beskrivits i uppgiftsbeskrivningarna?

7 7(16) Om ja: Vilket år? Innehållet i organisationens dataskyddsanvisningar: Omfattar de centrala områdena? Om ja: Vilket år har omfattningen bedömts? Har organisationen en samarbetsgrupp för informationssäkerheten som omfattar olika funktioner? (till exempel ledningsgruppen) Om ja: Vilket år har den inlett verksamheten? Organisationen vet i vilka nätverk den deltar samt vilka roller dess underleverantörer och samarbetspartner har vid hantering av dess information? Om ja: Vilket år har underleverantörerna granskats? Behandlas informationssäkerhetsrisker i ledningens utlåtande om utvärdering och bekräftelse gällande den interna kontrollen och riskhanteringen? Vet organisationen vilka loggar organisationens datasystem, programvara och utrustning för?

8 8(16) Sida 6: 1.3 Informationssäkerhetsproblem 2015 = Obligatoriskt att svara på frågan Har externa attacker som krävt särskilda åtgärder förekommit? Vilka metoder använder organisationen för att upptäcka cyber- och informationssäkerhetsattacker? Hurdana informationssäkerhetsavvikelser har organisationen upptäckt i sin verksamhet?

9 9(16) Sida 7: 1.4 Datatekniskt informationssäkerhet 2015 = Obligatoriskt att svara på frågan Har separata operativa miljöer för databehandling samt relaterade system och funktioner identifierats? Har informationssäkerheten för organisationens centrala datasystem bedömts? Har organisationen identifierat och separerat de delar av datanätet som kräver olika skyddsnivåer, och begränsas och filtreras trafiken mellan nät som kräver olika skyddsnivåer? Förhindras användning av lösenord av dålig kvalitet i organisationen? I detta sammanhang definieras lösenord av god kvalitet som minst 10 tecken långa strängar med olika slags tecken Organisationen har avtalade principer för hantering av användarbehörigheter? Har beviljande, ändring och radering av användarnamn och behörigheter organiserats och ansvaret fördelats enligt principerna för hantering av användarbehörigheter? 1.4.6B Övervakas användningen av administratörers användarnamn (root, superuser, admin etc.) särskilt? Har organisationen fastställt ansvaret för säkerhetskopior och identifierat objekt som ska skyddas med tanke på säkerhetskopieringen, och tas säkerhetskopior planmässigt?

10 ) 10( Använder organisationen: Kontroll av skadliga program för inkommande html-sidor? IDS-system för upptäckande av intrång eller motsvarande system? Krypteringsteknik för att skydda e-postkommunikation och förmedling av meddelanden? Krypteringsteknik för att skydda filer, register och hårddiskar? System för hantering av användarbehörigheter (IDM/IAM)? Inga av dessa Om organisationen använder krypteringsteknik för att skydda e-postkommunikation och förmedling av meddelanden, hur många användare omfattar den? Om organisationen använder krypteringsteknik för att skydda filer, register och hårddiskar, hur många användare omfattar den? Om organisationen använder ett system för hantering av användarbehörigheter (IDM/IAM), för hurdana objekt och system används det? Har organisationen en hanteringsmodell för terminaler som även omfattar mobila enheter såsom smarttelefoner och datorplattor? (telefoner ingår inte men smarttelefoner och datorplattor ingår) Uppskattning av det totala antalet terminaler i användning Antal terminaler med skyddslösningar 1.4.9B Har alla mobila enheter skyddslösningar? Är organisationens personal medveten om användningsprinciper för e-post som godkänts av ledningen? Har den tekniska övervakningen av anställda behandlats enligt samarbetsförfarandet (Lag om integritetsskydd i arbetslivet)?

11 ) 11( B Har grunderna och praxis för hantering av kommunikationsrelaterade förmedlingsuppgifter behandlats genom samarbetsförfarande enligt informationssamhällsbalken?" Sida 8: 1.6 Organisationens resurser för informationssäkerhet 2014 = Obligatoriskt att svara på frågan Uppskattning av resurser Uppskattning om hur många dagsverken och hur mycket pengar som organisationen satsade på informationssäkerhet och ICT-beredskap dagsverken Hur många dagsverken och hur mycket pengar har organisationen använt för att åtgärda sårbarheter? dagsverken Hur många dagsverken och hur mycket pengar har organisationen satsat på utbildning i informationssäkerhet? dagsverken Hur många dagsverken och hur mycket pengar har organisationen satsat på bedömning av informationssäkerheten? dagsverken

12 ) 12(16 Sida 9: 1.7 Personalsäkerhet 2015 = Obligatoriskt att svara på frågan Innehåller informationssäkerhetsplanerna beredskap för insiderhot som beror på den egna personalen eller serviceleverantörernas personal? Använder organisationen säkerhetsutredningsförfarande? 1.7.2B Har organisationen en informationssäkerhetssäkerhets- och dataskyddsförbindelse eller motsvarande som är bindande för personalen? 1.7.2C Har organisationen anvisningar för distansarbete med instruktioner för informationssäkra rutiner och organisationens datatekniska regler? Har organisationen i sina avtal kommit överens om säkerhetsutredningar om tjänsteleverantörer? Har organisationen i sina avtal kommit överens om tystnadsplikt för tjänsteleverantörer? (informationssäkerhets- och dataskyddsförbindelse eller motsvarande som är bindande för utomstående tjänsteleverantörer) 1.7.4B På vilket sätt säkerställer organisationen genom avtal (informations)säkerheten även i långa underleverantörskedjor? Underleverantörerna godkänns av organisationen. Organisationen avtalar om rätten att revidera underleverantörer när serviceavtal ingås. På annat sätt, vilket: Bedömer organisationen informationssäkerhetskompetensen i relation till arbetsuppgifterna i resultat- och utvecklingssamtal? Gäller säkerhetspersonalen Gäller ICT-personalen Gäller ledningen/cheferna Gäller hela personalen

13 ) 13(16 Sida 10: 1.8 Cybersäkerhet 2015 = Obligatoriskt att svara på frågan Samarbete mellan verksamhetsenheterna och organisationens ITadministration (eller motsvarande) vid störningar Samarbetet mellan verksamhetsenheterna och organisationens ITadministration (eller motsvarande) har inte planerats med tanke på allvarliga datastörningar som medför olägenheter för verksamhetsenheten. När en datateknisk störning upptäcks börjar organisationens IT-administration (eller motsvarande) reda ut störningens karaktär. Man är medveten om att den datatekniska störningen påverkar verksamheten (interna och externa kunder). Kan finnas ett medvetet behov av att precisera datatekniska uppgifter, rutiner och tekniska lösningar som tryggar kontinuiteten för organisationens ITadministration (eller motsvarande). Vid allvarliga datatekniska störningar agerar man enligt rutiner som verksamhetsenheten och organisationens IT-administration (eller motsvarande) avtalat om sinsemellan. Verksamhetsenheten och organisationens ITadministration (eller motsvarande) har tillsammans identifierat betydelsen av uppgifter som inte utförs under allvarliga störningar för verksamheten (interna eller externa kunder) och uppskattat de kostnader som störningen orsakar. Vid allvarliga datatekniska störningar styr kontinuitetsplanerna samarbetet mellan verksamhetsenheten och organisationens IT-administration (eller motsvarande). Planerna innehåller åtgärder för styrning av verksamheten och begränsning av skador, de operativa åtgärder (inkl. verktyg) som verksamhetsenheten ska vidta och uppgifterna för organisationens IT-administration (eller motsvarande) samt uppgifter för andra involverade verksamhetsenheter, supportenheter och externa aktörer (inkl. verktyg). Ansvaret för uppgifterna har fördelats. Det finns tillräckligt med kompetenta personer för att reda ut situationen. Man strävar efter att förebygga motsvarande störningar framöver. Vid allvarliga datatekniska störningar säkerställs kontinuiteten för samarbetet mellan verksamhetsenheten och organisationens IT-administration (eller motsvarande) genom åtgärder som har dokumenterats i kontinuitetsplanerna. Det ömsesidiga samarbetet och det övriga samarbetet med nödvändiga verksamhetsenheter, supportenheter och externa aktörer har definierats tydligt. Verksamhetsenheten och organisationens IT-administration (eller motsvarande) är medvetna om varandras uppgifter och rutinerna enligt kontinuitetshanteringen. Man strävar efter att omedelbart röja undan orsakerna till störningen. Vid allvarliga störningar kan man säkerställa kontinuiteten för samarbetet mellan verksamhetsenheten och organisationens IT-administration (eller motsvarande) genom regelbundet utvärderade och övade rutiner för kontinuitetshantering i verksamhetsenheten och organisationens IT-administration (eller motsvarande) samt andra nödvändiga externa aktörer (externa och interna kunder) så att konsekvenserna för verksamheten minimeras.

14 ) 14( ICT-beredskap Det finns inga belägg för utvecklingsprojekt för ICT-beredskap eller kontinuitetshantering (bl.a. övningar, anvisningar, rutiner, arrangemang eller tekniska lösningar) eller det finns vaga planer för projekt. Det finns en del belägg för utvecklingsprojekt för ICT-beredskap eller kontinuitetshantering (bl.a. övningar, anvisningar, rutiner, arrangemang eller tekniska lösningar). Man har till exempel identifierat risker relaterade till datatekniken och/eller automationssystemen. Det finns belägg för utvecklingsprojekt för ICT-beredskap eller kontinuitetshantering (bl.a. övningar, anvisningar, rutiner, arrangemang eller tekniska lösningar). Det finns verksamhetsanvisningar eller man har planerat alternativa rutiner för störningar. Det finns klara belägg för utvecklingsprojekt för den datatekniska funktionssäkerheten och kontinuitetshanteringen. Rutinerna, arrangemangen och de tekniska lösningarna utvecklas systematiskt. Utifrån bedömningarna har man bland annat utvecklat rutiner för kontinuitetshantering om vilka man avtalat om med datatekniska samarbetspartner. Det finns omfattande belägg för utvecklingsprojekt för ICT-beredskap och kontinuitetshantering. Övningarna, anvisningarna, rutinerna, arrangemangen och de tekniska lösningarna utvecklas systematiskt. Med hjälp av övningarna har man bland annat utvecklat rutiner för kontinuitetshantering om vilka man avtalat om med datatekniska samarbetspartner Samarbete Det finns inga avtalade rutiner i fall av nätattacker med de parter som behövs. Det finns inga anvisningar för samarbete vid störningar med de parter som behövs (organisationens interna resurser, kunder, myndigheter, leverantörer av utrustning och programvara samt organisationer som tillhandahåller sakkunnigtjänster). Parternas ansvariga personer har identifierats. Samarbetsmodellen har gåtts igenom med alla parter. Verksamheten fokuserar på hantering av ICT-system. Det finns en beskrivning av samarbetsmodellen för störningar (organisationens interna resurser, kunder, myndigheter, leverantörer av utrustning och programvara samt organisationer som tillhandahåller sakkunnigtjänster) och man har avtalat om den med alla parter. Samarbetsparterna är skyldiga att utse och instruera ansvariga personer så att de kan agera vid störningar. Vid störningar agerar samarbetsparterna aktivt enligt anvisningarna. Samarbetsmodellerna omfattar utöver ICT-systemen dessutom produktionen och produktionsstyrningen, bland annat utrustning och system för processtyrning. Det finns tillräckligt med kompetenta personer för att reda ut situationen. Man strävar efter att förebygga motsvarande störningar framöver. Man övar regelbundet ledning av störningssituationer, verksamhet vid störningar, skapande av lägesinformation och rapportering av den tillsammans med samarbetsparterna. Ledningen av störningssituationer och anvisningarna

15 ) 15(16 för parterna samt deras rutiner utvecklas utifrån övningarna. Resultaten och rekommendationerna för fortsatta åtgärder rapporteras till högsta ledningen. Man strävar efter att omedelbart röja undan orsakerna till störningen. Samarbetet mellan olika parter vid störningar är föremål för fortlöpande förbättringar. Den operativa modellen för hantering av störningar bedöms omedelbart efter störningar och minst en gång om året. Hanteringen av störningar utvecklas systematiskt utifrån resultaten.

16 ) 16(16 Sida 11: Andra observationer, respons Skicka Tack för svaren!