Välkommen till enkäten!

Transkript

1 Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av stor vikt för oss. De myndigheter vars informationshantering/informationssäkerhetsarbete i sin helhet administreras av en annan myndighet och därmed inte själva arbetar med sådana uppgifter som berörs i enkäten ombedes därför att ändå svara på fråga 1 och 2 inklusive eventuella följdfrågor. De flesta av frågorna kan besvaras med ett ja eller nej och i slutet finns utrymme för kommentarer i fritextform om man önskar framföra något särskilt. Gör så här: 1. Man svarar på frågorna genom att klicka sig fram i enkäten. Om man vill se samtliga frågor innan man börjar svara på enkäten kan man använda sig av ikonen skriv ut längst ner till vänster på sidan. Observera att man, beroende på hur man svarar på vissa frågor, eventuellt inte behöver svara på alla följdfrågor. Majoriteten av frågorna är obligatoriska vilket innebär att man inte kommer vidare i enkäten utan att besvara dessa frågor. 2. Det går bra att börja svara på frågorna och sedan gå ut ur systemet igen om man har behov av det. De svar som man redan lämnat sparas då automatiskt i systemet till nästa gång man loggar in. Tänk på att klicka på Nästa eller Föregående innan systemet lämnas för att spara det senaste svaret. 3. Innan man skickar iväg svaren i enkäten genom att klicka Avsluta, rekommenderar vi att man skriver ut svaren. Genom att använd ikonen Skriv ut på sista sidan kan man skriva ut ett dokument som innehåller frågor tillsammans med lämnade svar. 4. När alla frågor är besvarade och dokumentet utskrivet, klicka på knappen "Avsluta. När man har tryckt på Avsluta skickas svaren som en slutrapport till MSB. Uppskattningsvis tar det cirka minuter att besvara webbenkäten. Svaren på enkäten ska lämnas senast den 7 mars Eventuella frågor om enkäten besvaras av Helena Andersson, helena.andersson@msb.se,

2 Sida 2 av 12 Tack för Era svar - de är värdefulla för oss. A. Bakgrund 1. Hur många anställda har myndigheten? Fler än Administrerar en annan myndighet all er informationshantering/ert informationssäkerhetsarbete? 2a. Är informationssäkerhetsfrågorna reglerade i en föreskrift eller överenskommelse mellan myndigheterna? 2b. Om ja på fråga 2a: Genom vilken föreskrift/vad regleras i överenskommelsen? 3. Finns det andra regelverk utöver MSBFS 2009:10 som ställer krav på systematiskt informationssäkerhetsarbete i form av ledningssystem för hela eller delar av er myndighet?

3 Sida 3 av 12 B. Policy/riktlinjer 4. Har ni en informationssäkerhetspolicy som är beslutad av ledningen? Under fastställande men ännu inte beslutad 4a. När bedömer ni att er myndighet kommer att ha en informationssäkerhetspolicy beslutad a ledningen? 5. Finns det andra styrdokument för informationssäkerhetsarbetet? 5a. Vilka är dessa? 6. Kontrollerar ni hur myndighetens styrande dokument (exempelvis policy, riktlinjer eller motsvarande) för informationssäkerhetsarbetet efterlevs? Har inga styrande dokument C. Informationssäkerhetsansvarig 7. Finns det en utsedd informationssäkerhetschef eller motsvarande?

4 Sida 4 av 12 7a. Drivs informationssäkerhetsfrågorna av någon annan roll och i så fall vilken? 8. Rapporterar rollen (informationssäkerhetschef eller annan roll) direkt till ledningen? 9. Har rollen/funktionen tillräckligt med kompetens, resurser och mandat för att utföra uppdraget på ett tillfredställande sätt? 9a. Om inte, vad saknas? D. Informationsklassning 10. Har ni en beslutad modell för hur informationsklassning som beaktar flera olika säkerhetsaspekter (som konfidentialitet, riktighet, tillgänglighet och spårbarhet) ska genomföras? Under fastställande men ännu inte beslutad 10a. När bedömer ni att er myndighet kommer att ha en beslutad modell för informationsklassning?

5 Sida 5 av Är det tydligt uttalat vem som ansvarar för att informationsklassning genomförs, exempelvis informationsägare? 12. Är det tydligt beskrivet när informationsklassning ska ske (visst intervall, vid nyanskaffning av nya system, vid organisationsförändringar)? 13. Har ni tagit fram tydligt definierade skyddsnivåer som både omfattar hanteringsregler och it-miljö? 14. Används informationsklassning även som styrning vid outsourcing (även molntjänster)? Använder inte sådana tjänster E. Hantering och analys av risker 15. Har er myndighet en process för incidentrapportering och incidenthantering? 16. Finns det en beslutad modell/metod för hur riskanalys skall genomföras? Under fastställande men ännu inte beslutad

6 Sida 6 av 12 16a. När bedömer ni att er myndighet kommer att ha en beslutad modell/metod för riskanalys 17. Finns det regler för när och för vad riskanalyser ska genomföras, t.ex. för hela myndigheten, vid systemutveckling, vid övriga förändringar som kan påverka er informationssäkerhet? 18. Finns det ett uttalat ansvar för att riskanalyser genomförs? 19. Är riskanalysen kopplad till er modell för informationsklassning? 20. Sammanställs myndighetens mer väsentliga riskanalyser? 21. Samordnas arbetet med riskanalyser med uppgiften att genomföra risk- och sårbarhetsanalyser (enligt 9 förordningen (2006:942) om krisberedskap och höjd beredskap)? 22. Finns det tydliga regler för uppföljning av resultatet av riskanalyserna (riskhantering)? F. Kontinuitetsplan

7 Sida 7 av Finns det en framtagen kontinuitetsplan för er verksamhet? 23a. Är kontinuitetsplanen beslutad? Under fastställande men ännu inte beslutad 23b. Är kontinuitetsplanen övad? 24. Används riskanalysen som stöd för kontinuitetsplanering? G. Dokumentation 25. Dokumenterar er myndighet granskningar och säkerhetsåtgärder av större betydelse som har vidtagits? I stor utsträckning Endast vid enstaka tillfällen Inte alls H. Ledningens roll 26. Informerar sig myndighetens ledning löpande om arbetet med informationssäkerhet? I stor utsträckning Endast i mycket begränsad utsträckning Inte alls

8 Sida 8 av Följer myndighetens ledning minst en gång per år upp informationssäkerhetsarbetet? I stor utsträckning Endast i mycket begränsad utsträckning Inte alls 28. Utvärderar myndigheten informationssäkerhetsarbetet på myndigheten? I stor utsträckning Endast i mycket begränsad utsträckning Inte alls I. Utbildning 29. Har ni introduktionsutbildning för alla nyanställda där även informationssäkerhet ingår som ett moment? 29a. Vid er introduktionsutbildning - använder ni er av utbildningen DISA ( 30. Har ni fortlöpande utbildning kring informationssäkerhet? 30a. Vid er fortlöpande utbildning - använder ni er av utbildningen DISA (

9 Sida 9 av Får medarbetare med ansvar för vitala resurser (som exempelvis brandväggar) utbildning i säkerhet för respektive resurs? J. Säkerhet i upphandling/utveckling av it -tjänster 32. Sker informationsklassning eller liknande analys av säkerhetsbehov innan utveckling eller upphandling av nya informationsresurser? 33. Deltar informationssäkerhetsansvarig eller motsvarande roll i denna aktivitet? 34. Finns det en tydligt utpekad ansvarig för att bevaka säkerhetsaspekter i större projekt? K. Outsourcing/molntjänster 35. Anlitar myndigheten underleverantörer för drift av it-stödet?, helt I stor utsträckning Endast i mycket begränsad utsträckning Inte alls 36. Har ni ett tydligt regelverk kring hur outsourcing får ske?

10 Sida 10 av Finns det särskilda regler för användande av molntjänster? 38. Görs en riskanalys innan outsourcing eller användande av molntjänster? 39. Görs informationsklassning innan outsourcing? 40. Ställs i outsourcingavtalet/avtalen krav på tillgänglighet, riktighet, konfidentialitet och spårbarhet? 40a. Om inte, vad saknas? Tillgänglighet Riktighet Konfidentialitet Spårbarhet 41. Ställs i outsourcingavtalet/avtalen specifika krav på att leverantören ska rapportera inträffade incidenter till er myndighet? 42. Sker regelbunden uppföljning kring säkerhet med leverantören? L. Stöd 43. Utgör standarderna (ISO/IEC och ISO/IEC 27002) ett stöd i ert informationssäkerhetsarbete?

11 Sida 11 av Använder myndigheten det metodstöd för systematiskt informationssäkerhetsarbete som finns på I stor utsträckning Endast i mycket begränsad utsträckning Inte alls 45. Önskar ni mer stöd? 45a. Inom vilket område (ex kontinuitetshantering, informationsklassning)? 45b. I vilken form (ex vägledning, film, webbutbildning)? M. Övrigt 46. Finns det något övrigt ni vill lyfta fram med koppling till ert informationssäkerhetsarbete?

12 Sida 12 av 12 Tack för att ni fyllt i enkäten! OBS! Glöm inte att skriva ut dina svar. Du skriver ut svaren genom att klicka på utskriftsikonen längst ner till vänster på sidan innan du trycker på "Avsluta". Genom att trycka på "Avsluta" skickas dina svar iväg.