Process 8, grupparbete A: Framta skyddsstrategi. Introduktion

Transkript

1 Process 8, grupparbete A: Framta skyddsstrategi Introduktion Process 8 innefattar utvecklingen, granskningen och godkännande av en skyddsstrategi för hela organisationen, en avhjälpningsplan för risker mot kritiska tillgångar samt en kortsiktig åtgärdslista. Process 8 innehåller två grupparbeten. I det första grupparbetet (grupparbete A), som genomförs av analysgruppen tillsammans med eventuell kompletterande personal, framtas förslag på strategi och planer. I det andra grupparbetet (grupparbete B) granskas förslagen av organisationsledningen som i sin tur inför ändringar och anger nästa steg mot implementering av strategin och planerna. Process 8, grupparbete A består av dessa aktiviteter: Sammanställa enkätresultat resultaten från enkäterna från process 1-3 sammanställs för att finna de rutiner som majoriteten anser utförs väl samt de som majoriteten anses utgöra en sårbarhet. Granska information informationen från tidigare processer granskas. Detta inkluderar sårbarheter, rutiner, riskinformation och säkerhetskrav för de kritiska tillgångarna. Skapa skyddsstrategi skyddsstrategin är strukturerad kring standarder. Strategin adresserar de rutiner som analysgruppen anser bör implementeras eller godkännas, samt även de rutiner organisationen redan i dagsläget följer väl. Skapa avhjälpningsplan för varje enskild tillgång framtas en avhjälpningsplan som behandlar prevention, upptäckande av och återhämtning från varje risk, samt sätt att mäta effektiviteten hos avhjälpningsaktiviteterna. Skapa åtgärdslista en lista över kortsiktiga åtgärder framtas som typiskt innehåller sårbarheter som omgående behöver åtgärdas. 1

2 Följande tabell rekommenderar ingångs- och utgångskriterier för process 8 grupparbete A, ett flödesschema över aktiviteter samt en checklista för de egenskaper som analysgruppen behöver för att utföra dessa aktiviteter. Ingångskriterier En katalysator för grupparbetena har identifierats En sekreterare för grupparbetena har identifierats Andra medarbetare som ska ingå i analysgruppen har identifierats (vid behov) Analysgruppen har sammanställt enkätresultaten från process 1-3 Analysgruppen har konsoliderat rutiner för skyddsstrategin och organisatoriska sårbarheter per organisationsnivå. Analysgruppens egenskaper Medlemmar och roller Förståelse för organisationens kärnverksamhet Förståelse för organisationens IT-miljö Förståelse för organisationens planeringsrutiner Förmåga att framta planer God kommunikationsförmåga God analytisk förmåga Rekommenderat processflöde Förarbete: sammanställa information (F8A.1-2) Introduktion Granska information (A8A.1) Skapa skyddsstrategi (A8A.2) Skapa avhjälpningsplan (A8.3) Skapa åtgärdslista (A8.4) Sammanfattning Uppskattad tid 2-5 timmar 15 minuter 30 minuter - 1 timme 1,5-2 timmar 2-2,5 timmar 30 minuter 1 timme 15 minuter Total tid: 5-7 timmar utan rast Total tid utanför grupparbete: 2-5 timmar Utgångskriterier Analysgruppen har framtagit en skyddsstrategi för organisationen Analysgruppen har framtagit avhjälpningsplaner för varje kritisk tillgång Analysgruppen har framtagit en lista över kortsiktiga åtgärder som organisationen behöver vidta 2

3 Förarbete Aktivitet Beskrivning Arbetspapper F8A.1 Sammanställ enkätresultat Resultaten från enkätundersökningen från process 1-3 sammanställs efter organisationsnivå. Arbetsblad Nuvarande strategiska rutiner (AB8A.1) Arbetsblad Nuvarande operationella F8A.2 Konsolidera information rörande skyddsstrategi Den kontextuella informationen (rutiner för skyddsstrategi och organisatoriska sårbarheter) från process 1-3 konsolideras efter organisationsnivå. rutiner (AB8A.2) Arbetsblad Nuvarande strategiska rutiner (AB8A.1) Arbetsblad Nuvarande operationella rutiner (AB8A.2) 3

4 Grupparbete Aktivitet Beskrivning Arbetspapper Introduktion till grupparbetet Ordföranden för grupparbetet säkerställer att gruppmedlemmarna förstår sina roller och att allt material är klart att användas. --- A8A.1 Granska sårbarheter, rutiner för skyddsstrategi, organisatoriska sårbarheter, säkerhetskrav och riskinformation Analysgruppens medlemmar granskar individuellt följande information som generats av processerna: tekniska sårbarheter rutiner för skyddsstrategi organisatoriska sårbarheter säkerhetskrav riskinformation Arbetsblad Nuvarande strategiska rutiner (AB8A.1) Arbetsblad Nuvarande operationella rutiner (AB8A.2) Arbetsbok A8A.2 Skapa skyddsstrategi Analysgruppen skapar en tilltänkt skyddsstrategi för organisationen. En skyddsstrategi definierar strategier som en organisation använder för att möjliggöra, initiera, implementera och underhålla dess interna säkerhet. A8A.3 Skapa avhjälpningsplaner Analysgruppen skapar riskavhjälpningsplaner för organisationens kritiska tillgångar. En avhjälpningsplan definierar de aktiviteter som behövs för att avhjälpa risker/hot mot kritiska tillgångar. Arbetsblad Nuvarande strategiska rutiner (AB8A.1) Arbetsblad Nuvarande operationella rutiner (AB8A.2) Arbetsblad Skyddsstrategi för strategiska rutiner (AB8A.3) Arbetsblad Skyddsstrategi för operationella rutiner (AB8A.4) Arbetsbok Arbetsblad Nuvarande strategiska rutiner (AB8A.1) Arbetsblad Nuvarande operationella rutiner (AB8A.2) Arbetsbok 4

5 A8A.4 Skapa åtgärdslista Analysgruppen skapar en åtgärdslista. En åtgärdslista definierar kortsiktiga åtgärder som folk inom organisationen kan vidta utan behov av specialträning, policyförändringar etc. Sammanfattning av grupparbetet Ordföranden går igenom resultatet av grupparbetet, ser till att de åtgärdspunkter som identifierats under grupparbetet delas ut till gruppmedlemmar (och dokumenteras i åtgärdslistan) samt schemalägger nästa grupparbete. Arbetsblad Åtgärdslista (AB8A.5) --- 5

6 Arbetsblad Nuvarande strategiska rutiner (AB8A.1) Denna mall innehåller två tabeller för varje strategiskt område. Den första tabellen summerar resultaten från enkäterna som färdigställdes under process 1-3. Den andra tabellen konsoliderar kontextuell information (rutiner för skyddsstrategi och organisatoriska sårbarheter) som identifierades under diskussionen rörande skyddsstrategin i process 1-3. Båda tabellerna summerar resultaten efter organisationsnivå. I tabellerna summeras enkäternas resultat enligt: ja 75% eller fler svarade ja. Procenten jakande svar indikerar att rutinen med största sannolikhet är i bruk inom organisationen nej 75% eller fler svarade nej. Procenten nekande svar indikerar att rutinen med största sannolikhet ej är i bruk inom organisationen vet ej Varken kriteriet för ja eller nej är uppfyllt. Om varken procenthalten för jakande eller nekande svar uppgår till 75% indikerar det att det är oklart om rutinen är i bruk inom organisationen. Detta kan betyda att vissa människor brukar rutiner medan andra inte gör det, eller att rutiner till viss mån är närvarande, men inte tillräckligt effektivt. 6

7 Förståelse för och utbildning inom säkerhet (SR1): enkätresultat Enkätfråga Chef Handläggare IT-stöd Personalen förstår sina roller och ansvar vad gäller informationssäkerhet. Detta är dokumenterat och verifierat. Det finns adekvat expertis i organisationen för alla tjänster, mekanismer och tekniker (ex. loggning, övervakning eller kryptering), inkluderande hur man handhar dessa på ett säkert sätt. Detta är dokumenterat och verifierat. Säkerhetsfrågorna är medvetandegjorda och utbildningar erbjuds i dessa frågor. Personalens förståelse för dessa frågor är dokumenterad och efterlevnad verifieras periodvis. Förståelse för och utbildning inom säkerhet (SR1): kontextuell information Organisationsnivå Rutiner för skyddsstrategi Organisatoriska sårbarheter Chef Handläggare IT-stöd 7

8 Säkerhetsstrategi (SR2): enkätresultat Enkätfråga Chef Handläggare IT-stöd Organisationens verksamhetsplaner inkluderar även säkerhetsavvägningar. Säkerhetsstrategier och policies tar hänsyn till organisationens verksamhetsmål. Strategi, mål och syfte för säkerhetsarbetet är dokumenterade och är rutinmässigt granskade, uppdaterade och kommunicerade till organisationen. Säkerhetsstrategi (SR2): kontextuell information Organisationsnivå Rutiner för skyddsstrategi Organisatoriska sårbarheter Chef Handläggare IT-stöd 8

9 Hantering av säkerhetsarbetet (SR3): enkätresultat Enkätfråga Chef Handläggare IT-stöd Ledningen allokerar tillräckliga resurser till arbetet med informationssäkerhet. Roller och ansvar inom informationssäkerhetsområdet är definierad för all personal i organisationen Organisationens rutiner för nyanställning och entlediganden av personal inbegriper också informationssäkerhetsaspekter. Organisationen hanterar informationssäkerhetsrisker, inkluderande värdering av risker för informationssäkerhet åtgärder för att minska risker för informationssäkerhet Ledningen delges och agerar på rapporter som summerar säkerhetsrelaterad information. (ex. revisioner, loggar, sårbarhetsanalyser etc.) Hantering av säkerhetsarbetet (SR3): kontextuell information Organisationsnivå Rutiner för skyddsstrategi Organisatoriska sårbarheter Chef Handläggare IT-stöd 9

10 Säkerhetspolicies och reglementen (SR4): enkätresultat Enkätfråga Chef Handläggare IT-stöd Organisationen har dokumenterade policies inom området som kontinuerligt granskas och uppdateras. Det finns en dokumenterad process för hantering av säkerhetspolicies, inkluderande produktion administration (inkl granskning och uppdatering) kommunikation Organisationen har en dokumenterad process för att utvärdera och tillse efterlevnaden av informationssäkerhetspolicies och relevant lagstiftning. Organisationen har enhetliga rutiner för att genomdriva och upprätthålla sina säkerhetspolicies. Säkerhetspolicies och reglementen (SR4): kontextuell information Organisationsnivå Rutiner för skyddsstrategi Organisatoriska sårbarheter Chef Handläggare IT-stöd 10

11 Hantering av externa aktörer (SR5): enkätresultat Enkätfråga Chef Handläggare IT-stöd Organisationen har policies och procedurer för att skydda information när externa organisationer (partners, konsulter, leverantörer etc.) är inblandade, inkluderande skydd av information som tillhör den extern organisationen. förståelse för säkerhetspolicies och procedurer i den externa organisationen. hävande av behörigheter för den externa organisationen när uppdrag är avslutat. Organisationen har verifierat att outsourcade informationssäkerhetstjänster, mekanismer och tekniker möter de behov och krav som organisationen ställer Hantering av externa aktörer (SR5): kontextuell information Organisationsnivå Rutiner för skyddsstrategi Organisatoriska sårbarheter Ledning Handläggare IT-stöd 11

12 Kontinuitets- och krishanteringsplaner (SR6): enkätresultat Enkätfråga Chef Handläggare IT-stöd En analys av kritiska verksamheter, applikationer och data har genomförts. Organisationen har dokumenterat, granskat och testat kontinutitetsplaner återhämtningsplaner krishanteringsplaner Dessa planer inbegriper fysiska och elektroniska tillgänglighetskrav och kontroller. All personal är medveten om kontinuitets-/återhämtnings eller krishanteringsplaner förstår och har kapacitet att verka inom sina ansvarsområden. En analys av kritiska verksamheter, applikationer och data har genomförts. Kontinuitets- och krishanteringsplaner (SR6): kontextuell information Organisationsnivå Rutiner för skyddsstrategi Organisatoriska sårbarheter Chef Handläggare IT-stöd 12

13 Arbetsblad Nuvarande operationella rutiner (AB8A.2) Denna mall innehåller två tabeller för varje operationellt område. Den första tabellen summerar resultaten från enkäterna som färdigställdes under process 1-3. Den andra tabellen konsoliderar kontextuell information (rutiner för skyddsstrategi och organisatoriska sårbarheter) som identifierades under diskussionen rörande skyddsstrategin i process 1-3. Båda tabellerna summerar resultaten efter organisationsnivå. I tabellerna summeras enkäternas resultat enligt: ja 75% eller fler svarade ja. Procenten jakande svar indikerar att rutinen med största sannolikhet är i bruk inom organisationen nej 75% eller fler svarade nej. Procenten nekande svar indikerar att rutinen med största sannolikhet ej är i bruk inom organisationen vet ej Varken kriteriet för ja eller nej är uppfyllt. Om varken procenthalten för jakande eller nekande svar uppgår till 75% indikerar det att det är oklart om rutinen är i bruk inom organisationen. Detta kan betyda att vissa människor brukar rutiner medan andra inte gör det, eller att rutiner till viss mån är närvarande, men inte tillräckligt effektivt. 13

14 Fysiskt skydd - säkerhetsplaner och procedurer (OP1.1): enkätresultat Enkätfråga Chef Handläggare IT-stöd Säkerhetsplaner och procedurer för lokalernas skalskydd är dokumenterade och testade. Det finns dokumenterade policies och procedurer för att hantera besökare. Det finns dokumenterade polices och procedurer för fysisk kontroll av hård- och programvara. Fysiskt skydd - säkerhetsplaner och procedurer (OP1.1): kontextuell information Organisationsnivå Rutiner för skyddsstrategi Organisatoriska sårbarheter Chef Handläggare IT-stöd 14

15 Kontroll av fysisk tillgänglighet (OP1.2): enkätresultat Enkätfråga Chef Handläggare IT-stöd Det finns dokumenterade policies och procedurer för att kontrollera fysisk tillgänglighet till lokaler samt hård- och programvara. Datorer och andra komponenter som innehåller sekretessbelagd information är fysiskt skyddade för att förhindra obehörig tillgång. Kontroll av fysisk tillgänglighet (OP1.2): kontextuell information Organisationsnivå Rutiner för skyddsstrategi Organisatoriska sårbarheter Chef Handläggare IT-stöd 15

16 Övervakning och granskning av fysiskt säkerhet (OP1.3): enkätresultat Enkätfråga Chef Handläggare IT-stöd Underhållsregister hålls för att dokumentera reparation och modifikation av en facilitets fysiska komponenter. En individs eller grupps agerande, med avseende på samtliga fysiskt kontrollerade media, kan redovisas. Gransknings- och övervakningsregister genomsöks kontinuerligt efter avvikelser och åtgärder vidtas vid behov. Övervakning och granskning av fysiskt säkerhet (OP1.3): kontextuell information Organisationsnivå Rutiner för skyddsstrategi Organisatoriska sårbarheter Chef Handläggare IT-stöd 16

17 Hantering av system och nätverk (OP2.1): enkätresultat Enkätfråga Chef Handläggare IT-stöd Det finns dokumenterade och testade säkerhetsplaner för att skydda system och nätverk.. Känslig information är skyddad genom säker lagring (t.ex. backuper annorstädes, process för destruktion av känslig information) Tillförlitligheten hos installerad programvara är regelbundet säkerställd. Samtliga system är uppdaterade med hänsyn till revisioner, patchar och rekommendationer i säkerhetsråd. Det finns en dokumenterad och testad backup-plan för backuper av både programvara och data. All personal förstår sina ansvarsområden och skyldigheter enligt backup-planen. Ändringar i IT-hårdvara och programvara är planerad, kontrollerad och dokumenterad. IT-personal följer procedurer vid utgivning, ändring och terminering av användares lösenord, konton och rättigheter. Unik användaridentifikation krävs av informationssystemets samtliga användare, även tredjepartsanvändare. Standardkonton och standardlösenord är borttagna från systemet. Endast nödvändiga tjänster körs på systemen alla onödiga tjänster är borttagna. 17

18 Hantering av system och nätverk (OP2.1): kontextuell information Organisationsnivå Rutiner för skyddsstrategi Organisatoriska sårbarheter Chef Handläggare IT-stöd 18

19 Systemadministrationsverktyg (OP2.2): enkätresultat Enkätfråga Chef Handläggare IT-stöd Underhållsregister hålls för att dokumentera reparation och modifikation av en facilitets fysiska komponenter. Systemadministrationsverktyg (OP2.2): kontextuell information Organisationsnivå Rutiner för skyddsstrategi Organisatoriska sårbarheter Chef Handläggare IT-stöd 19

20 Övervakning och granskning av IT-säkerhet (OP2.3): enkätresultat Enkätfråga Chef Handläggare IT-stöd Verktyg för system- och nätverksövervakning är rutinmässigt i bruk inom organisationen. Abnorm aktivitet behandlas i enlighet med passande policy eller procedur. Brandväggar och andra säkerhetskomponenter är periodiskt granskade för uppfyllande av policy. Övervakning och granskning av IT-säkerhet (OP2.3): kontextuell information Organisationsnivå Rutiner för skyddsstrategi Organisatoriska sårbarheter Chef Handläggare IT-stöd 20

21 Autenticering och godkännande (OP2.4): enkätresultat Enkätfråga Chef Handläggare IT-stöd Passande tillträdeskontroll och användarautenticering (t.ex. filrättigheter, nätverkskonfiguration) som är i linje med policy används för att begränsa användaråtkomst till information, känsliga system, specifika applikationer och tjänster samt nätverk. Det finns dokumenterade policies och procedurer för att sätta och häva behörighetsrättigheter till information för både individer och grupper. Metoder och mekanismer för att säkerställa att känslig information inte blivit åtkommen, ändrad eller förstörd på ett icke godkänt vis. Autenticering och godkännande (OP2.4): kontextuell information Organisationsnivå Rutiner för skyddsstrategi Organisatoriska sårbarheter Chef Handläggare IT-stöd 21

22 Hantering av sårbarheter (OP2.5): enkätresultat Enkätfråga Chef Handläggare IT-stöd Det finns en dokumenterad uppsättning procedurer för hantering av sårbarheter, inkluderande välja verktyg, checklistor och skript för utvärdering av sårbarheter hålla sig uppdaterad beträffande kända sårbarhetstyper och attackmetoder granskning av källor för information om sårbarhetskungörelser, säkerhetsmeddelanden och notiser identifiera infrastrukturkomponenter för evaluering schemalägga säkerhetsevaluering tolka och reagera på resultaten underhålla säker förvaring och disposition av sårbar data. Procedurer för hantering av sårbarheter följs och granskas och uppdateras periodiskt. Teknisk sårbarhetsbedömning genomförs periodiskt och sårbarheter hanteras vid identifiering. Hantering av sårbarheter (OP2.5): kontextuell information Organisationsnivå Rutiner för skyddsstrategi Organisatoriska sårbarheter Chef Handläggare IT-stöd 22

23 Kryptering (OP2.6): enkätresultat Enkätfråga Chef Handläggare IT-stöd Passande säkerhetskontroller används för känslig information vid lagring samt transport (t.ex. datakryptering, public key infrastructure, teknik för virtuella privata nätverk) Krypterade protokoll används vid fjärrhantering av system, routrar och brandväggar. Kryptering (OP2.6): kontextuell information Organisationsnivå Rutiner för skyddsstrategi Organisatoriska sårbarheter Chef Handläggare IT-stöd 23

24 Säkerhetsarkitektur och design (OP2.7): enkätresultat Enkätfråga Chef Handläggare IT-stöd Systemarkitektur och design för nya och reviderade system inkluderar hänsyn till Säkerhetsstrategier, -policies och procedurer Historik om komprometterande av säkerheten Resultat från säkerhetsriskbedömningar Organisationen har uppdaterade verksamhetstäckande diagram/ritningar över säkerhetsarkitektur och nätverkstopologi. Säkerhetsarkitektur och design (OP2.7): kontextuell information Organisationsnivå Rutiner för skyddsstrategi Organisatoriska sårbarheter Chef Handläggare IT-stöd 24

25 Incidenthantering (OP3.1): enkätresultat Enkätfråga Chef Handläggare IT-stöd Det finns dokumenterade procedurer för att identifiera, rapportera och reagera på misstänkta säkerhetsincidenter och säkerhetsöverträdelser. Incidenthanteringsprocedurer är kontinuerligt testade, verifierade och uppdaterade. Det finns dokumenterade policies och procedurer för när och hur organisationen ska samarbeta med polismyndigheter. Incidenthantering (OP3.1): kontextuell information Organisationsnivå Rutiner för skyddsstrategi Organisatoriska sårbarheter Chef Handläggare IT-stöd 25

26 Allmänna rutiner (OP3.2): enkätresultat Enkätfråga Chef Handläggare IT-stöd Personalen följer bra säkerhetsrutiner, såsom att säkra information som de ansvarar för. att uppmärksamma försök till social engineering. att ha förmåga att använda informationssystem och programvaror. att använda bra lösenordsrutiner. att ha förståelse för och efterleva säkerhetspolicies och regleringar. Att uppmärksamma och rapportera incidenter All personal på alla ansvarsnivåer realiserar sina roller och skyldigheter inom arbetet med informationssäkerhet. Det finns dokumenterade procedurer för godkännande och tillsyn av personal som arbetar med sekretessbelagd information och som arbetar i lokaler där sådan information förvaras. Allmänna rutiner (OP3.2): kontextuell information Organisationsnivå Rutiner för skyddsstrategi Organisatoriska sårbarheter Chef Handläggare IT-stöd 26

27 Arbetsblad Skyddsstrategi för strategiska rutiner (AB8A.3) Skyddsstrategi för strategiska rutiner Förståelse för och utbildning inom säkerhet (SR1) Frågor att beakta Vad kan ni göra för att bibehålla eller höja nivån på den utbildning inom informationssäkerhet som all personal genomgår (beakta medvetandegörande såväl som teknikrelaterad utbildning)? Har er organisation adekvat expertis för all teknik? Vad kan ni göra för att förbättra personalens tekniska expertis? Vad kan ni göra för att säkerställa att all personal förstår sina roller och ansvar vad gäller informationssäkerhet? Strategier Beakta: nuvarande strategier inom området som organisationen skall fortsätta följa nya strategier som organisationen borde anamma Områden: Vilka områden relaterade till säkerhetsmedvetenhet och utbildning kan inte hanteras av organisationen? 27

28 Skyddsstrategi för strategiska rutiner Säkerhetsstrategi (SR2) Frågor att beakta Är säkerhetsfrågor inkludera i verksamhetsplanerna? Vad kan ni göra för att förbättra det sätt säkerhetsfrågor integreras i din organisations verksamhetsplaner? Är verksamhetsmålet inkorporerade i säkerhetsstrategin? Vad kan ni göra för att förbättra det sätt verksamhetsmålen integreras med organisationens säkerhetsstrategi? Vad kan ni göra för att förbättra det sätt säkerhetsstrategier, mål och målsättningar dokumenteras och kommuniceras till organisationen? Strategier Beakta: nuvarande strategier inom området som organisationen skall fortsätta följa nya strategier som organisationen borde anamma Områden: Vilka områden relaterade till säkerhetsstrategin kan inte hanteras av organisationen? 28

29 Skyddsstrategi för strategiska rutiner Hantering av säkerhetsarbetet (SR3) Frågor att beakta Allokerar ledningen tillräckliga resurser till arbetet med informationssäkerhet? Vilken nivå på finansieringen är lämplig för er organisationen? Vad kan ni göra för att säkerställa att roller och ansvar inom informationssäkerhetsområdet är definierade för all personal? Inbegriper organisationens rutiner för nyanställning och entlediganden av personal också informationssäkerhetsaspekter? Vad kan ni göra för att förbättra organisationens rutiner vid nyanställning och entlediganden? Vad kan ni göra för att förbättra det sätt organisationen hanterar sina informationssäkerhetsrisker? Vad kan ni göra för att förbättra det sätt säkerhetsrelaterad information är kommunicerad till ledningen? Strategier Beakta: nuvarande strategier inom området som organisationen skall fortsätta följa nya strategier som organisationen borde anamma Områden: Vilka områden relaterade till hanteringen av säkerhetsarbetet kan inte hanteras av organisationen? 29

30 Skyddsstrategi för strategiska rutiner Säkerhetspolicies och reglementen (SR4) Frågor att beakta Vad kan ni göra för att säkerställa att er organisation har en heltäckande uppsättning dokumenterade och aktuella säkerhetspolicies? Vad kan ni göra för att förbättra det sätt er organisation producerar, uppdaterar och kommunicerar säkerhetspolicies? Har er organisationen rutiner för att säkerställa att lagar och reglementen efterlevs som berör säkerhet? Vad kan ni göra för att förbättra hur väl er organisation efterlever lagar och reglementen som berör säkerheten? Vad kan ni göra för att säkerställa att er organisationen enhetligt upprätthåller sina säkerhetspolicies? Strategier Beakta: nuvarande strategier inom området som organisationen skall fortsätta följa nya strategier som organisationen borde anamma Områden: Vilka områden relaterade till säkerhetspolicies och reglementen kan inte hanteras av organisationen? 30

31 Skyddsstrategi för strategiska rutiner Hantering av externa aktörer (SR5) Frågor att beakta Har er organisationen policies och procedurer för att skydda information när externa parter är inblandade? Vad kan er organisation göra för att förbättra det sätt den skyddar information vid arbete med externa parter? Vad kan er organisationen göra för att förbättra det sätt den verifierar att externa parter vidtar fullgoda åtgärder för att skydda kritisk information och kritiska system? Vad kan er organisationen göra för att förbättra det sätt den verifierar att outsourcade säkerhetstjänster, - mekanismer och tekniker möter behov och uppfyller krav? Strategier Beakta: nuvarande strategier inom området som organisationen skall fortsätta följa nya strategier som organisationen borde anamma Områden: Vilka områden relaterade till hanteringen av externa aktörer kan inte hanteras av organisationen? 31

32 Skyddsstrategi för strategiska rutiner Kontinuitets- och krishanteringsplaner (SR6) Frågor att beakta Har er organisationen en definierad kontinuitetsplan? Har kontinuitetsplanen testats? Vad kan ni göra för att säkerställa att er organisationen har definierat och testat en kontinuitetsplan? Har er organisationen en definierad återhämtningsplan? Har återhämtningsplanen testats? Vad kan ni göra för att säkerställa att er organisationen har definierat och testat en återhämtningsplan? Vad kan ni göra för att säkerställa att personalen är medveten om och förstår organisationens kontinuitets- och återhämtningsplan? Strategier Beakta: nuvarande strategier inom området som organisationen skall fortsätta följa nya strategier som organisationen borde anamma Områden: Vilka områden relaterade till kontinuitets- och återhämtningsplaner kan inte hanteras av organisationen? 32

33 Arbetsblad Skyddsstrategi för operationella rutiner (AB8A.4) Skyddsstrategi för operationella rutiner Fysisk säkerhet (OP1) Frågor att beakta Strategier Vilken tränings- och utbildningsinitiativ skulle kunna hjälpa er organisation bibehålla eller förbättra sina rutiner för fysisk säkerhet? Vilken nivå på finansieringen är lämplig för att tillgodose er organisations behov av fysisk säkerhet? Är era policies och procedurer tillräckliga för organisations behov av fysisk säkerhet? Vem är ansvarig för den fysiska säkerheten? Borde någon annan iblandas? Vilka andra delar av er organisation borde hantera den fysiska säkerheten? Vilka externa experter kan hjälpa er med den fysiska säkerheten? Hur kommer ni kommunicera era krav? Hur kommer ni verifiera att era krav är tillgodosedda? Områden: Vilka områden relaterade till fysisk säkerhet kan inte hanteras av organisationen? 33

34 Skyddsstrategi för operationella rutiner IT-säkerhet (OP2) Frågor att beakta Strategier Vilken tränings- och utbildningsinitiativ skulle kunna hjälpa er organisation bibehålla eller förbättra sina rutiner för ITsäkerhet? Vilken nivå på finansieringen är lämplig för att tillgodose er organisations behov av IT-säkerhet? Är era policies och procedurer tillräckliga för organisations behov av IT-säkerhet? Vem är ansvarig för IT-säkerheten? Borde någon annan iblandas? Vilka andra delar av er organisation borde hantera IT-säkerheten? Vilka externa experter kan hjälpa er med IT-säkerheten? Hur kommer ni kommunicera era krav? Hur kommer ni verifiera att era krav är tillgodosedda? Områden: Vilka områden relaterade till IT-säkerhet kan inte hanteras av organisationen? 34

35 Skyddsstrategi för operationella rutiner Personalsäkerhet (OP3) Frågor att beakta Strategier Vilken tränings- och utbildningsinitiativ skulle kunna hjälpa er organisation bibehålla eller förbättra sina rutiner för personalsäkerhet? Vilken nivå på finansieringen är lämplig för att tillgodose er organisations behov av personalsäkerhet? Är era policies och procedurer tillräckliga för organisations behov av personalsäkerhet? Vem är ansvarig för personalsäkerheten? Borde någon annan iblandas? Vilka andra delar av er organisation borde hantera personalsäkerheten? Vilka externa experter kan hjälpa er med personalsäkerheten? Hur kommer ni kommunicera era krav? Hur kommer ni verifiera att era krav är tillgodosedda? Områden: Vilka områden relaterade till personalsäkerhet kan inte hanteras av organisationen? 35

36 Arbetsblad Åtgärdslista (AB8A.5) Åtgärd Information Ansvar: Slutdatum: Nödvändiga vidtaganden från ledningen: Ansvar: Slutdatum: Nödvändiga vidtaganden från ledningen: Ansvar: Slutdatum: Nödvändiga vidtaganden från ledningen: 36

37 Ansvar: Slutdatum: Nödvändiga vidtaganden från ledningen: Ansvar: Slutdatum: Nödvändiga vidtaganden från ledningen: Ansvar: Slutdatum: Nödvändiga vidtaganden från ledningen: Ansvar: Slutdatum: Nödvändiga vidtaganden från ledningen: 37