Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Relevanta dokument
Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

ISO/IEC och Nyheter

Ledningssystem för Informationssäkerhet

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Ledningssystem för Informationssäkerhet

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

Ledningssystem för IT-tjänster

KLISTER KARTLÄGGNING INFORMATIONSSÄKERHET I KOMMUNER

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet

Nya krav på systematiskt informationssäkerhets arbete

Finansinspektionens författningssamling

Koncernkontoret Enheten för säkerhet och intern miljöledning

Välkommen till enkäten!

Informationssäkerhetspolicy. Linköpings kommun

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Svensk Standard SS ISO/IEC SS

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Finansinspektionens författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Informationssäkerhetspolicy för Umeå universitet

KLISTER KARTLÄGGNING INFORMATIONSSÄKERHET I KOMMUNER

Policy för informationssäkerhet

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Finansinspektionens författningssamling

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Bilaga till rektorsbeslut RÖ28, (5)

Bilaga Från standard till komponent

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Vilket mervärde ger certifiering dig?

Att införa LIS. Informationssäkerhet för offentlig sektor Johan Kallum Säkerhetschef/Informationssäkerhetschef

Verksamhetsdriven informationssäkerhet genom informationsklassning och målgruppsanpassade riktlinjer

Fortsättning av MSB:s metodstöd

Svar på revisionsskrivelse informationssäkerhet

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Regler och instruktioner för verksamheten

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Ledning och styrning av IT-tjänster och informationssäkerhet

Informationssäkerhetspolicy inom Stockholms läns landsting

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Myndigheten för samhällsskydd och beredskaps författningssamling

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Informationssäkerhetspolicy för Ånge kommun

Policy för informations- säkerhet och personuppgiftshantering

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm


Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Informationsklassning och systemsäkerhetsanalys en guide

Administrativ säkerhet

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

Transportstyrelsens föreskrifter om hantering av kryptografiska nycklar och certifikat för tillverkning av digitala färdskrivare;

Säkerhet och Tillit vid elektronisk identifiering. Fredrik Ljunggren

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Konsekvensutredning rörande reviderade föreskrifter och allmänna råd om statliga myndigheters informationssäkerhet

Myndigheten för samhällsskydd och beredskap

Processinriktning i ISO 9001:2015

Fortsättning av MSB:s metodstöd

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Utforma policy och styrdokument


SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Karolinska Universitetssjukhuset i Stockholm. Verksamhetstillsyn tillsyn av vårdgivarens informationssäkerhet

Kvalitetsprocesser och nya utmaningar i ISO-certifieringar. Jana Johansson Kvalitetsansvarig CityAkuten Praktikertjänst AB

Transportstyrelsens föreskrifter om hantering av kryptografiska nycklar och certifikat med mera för tillverkning av digitala färdskrivare;

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Molntjänster och utkontraktering av kritisk verksamhet lagar och regler. Alireza Hafezi

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

Informationssäkerhetspolicy för Ystads kommun F 17:01

Granskning av IT-säkerhet

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Informationssäkerhetspolicy

Informationssäkerhet och earkiv Rimforsa 14 april 2016

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Nytt metodstöd för systematiskt informationssäkerhetsarbete. Revidering av MSB:s metodstöd. Per Oscarson, Oscarson Security AB Carl Önne, MSB

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

PM 2015:127 RVI (Dnr /2015)

I Central förvaltning Administrativ enhet

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

SOX & ISO 9000-serien

Kontinuitetshantering i samhällsviktig verksamhet

Informationssäkerhetsanvisningar Förvaltning

Nya regler om styrning och riskhantering

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Transkript:

Informationssäkerhetsgranskning ISO 27001 ledningssystem för informationssäkerhet

Agenda 1. Vad gör Affärsverket Svenska kraftnät 2. Vad är informationssäkerhet 3. Vad är ett ledningssystem lite om 27001 och 27002 4. Granskningsmetodik - min granskning - delar jag valde

1. Elens motorvägar = Svenska kraftnäts nät

Svenska kraftnäts verksamhet

2.Vilken säkerhet? Informationssäkerhet IT-säkerhet Cybersecurity

Definition på informationssäkerhet Konfidentialitet Riktighet Tillgänglighet

3. Ledningssystem Ett ledningssystem hjälper dig att få överblick och att lättare kunna ta rätt beslut. Det innehåller principer för hur du planerar, leder, följer upp, utvärderar och förbättrar din verksamhet på ett systematiskt sätt. Ofta reglerar ISO-standarder hur ditt systematiska arbete bör se ut. Jmf med miljöledningssystemet

Vilka krav ställs i förordningen? 5 Varje myndighet ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av ett ledningssystem för informationssäkerhet. I detta arbete ska standarderna ISO/IEC 27001:2014 och ISO/IEC 27002:2014 beaktas. Tillräckliga resurser ska tilldelas för informationssäkerhetsarbetet samt löpande och regelbunden information lämnas till myndighetsledningen.

Vilka krav ställs i förordningen? forts 6 Ledningssystemet ska utformas utifrån verksamhetens behov och vara styrande för all hantering av information som myndigheten ansvarar för. Genom ledningssystemet ska myndigheten 1. tydliggöra myndighetsledningens och den övriga organisationens ansvar för myndighetens informationssäkerhetsarbete, 2. tilldela nödvändiga befogenheter för de roller som arbetet med informationssäkerhet kräver, detta gäller särskilt för den eller de som ska utses för att leda och samordna arbetet, 3. säkerställa att informationssäkerhetsarbetet bedrivs samordnat samt att det regelbundet utvärderas och löpande utvecklas

Strukturen för ISO 27000-serien > SS-ISO/IEC 27000 Ledningssystem för informationssäkerhet Översikt och terminologi > SS-ISO/IEC 27001 Ledningssystem för informationssäkerhet Krav certifiering sker mot denna > SS-ISO/IEC 27002 Riktlinjer för styrning av informationssäkerhet > SS-ISO/IEC 27003 Vägledning för införande av ledningssystem för informationssäkerhet

Strukturen 27001 och 27002

Hur vet jag hur det ska vara? > Läs standarden > GAP-analys checklistor kommer snart att finnas att köpa på SIS > MSB s metodstöd

Organisationen ska avgöra vilka externa och interna frågor som är relevanta för dess syfte och som påverkar dess förmåga att nå de avsedda resultaten med sitt ledningssystem för informationssäkerhet. > Delar som ingår: > Idéer om hur ledningssystemet ska struktureras > Innehållet ska vara dokumenterat > Innehållet ska kommuniceras > Ledningssystemet ska kunna uppdateras/revideras > Organisationen ska känna till sina risker och dessa ska kunna kommuniceras.

Organisationen ska upprätta, införa, underhålla och ständigt förbättra ett ledningssystem för informationssäkerhet, inklusive nödvändiga processer och deras samverkan, enligt kraven i 27001. > Delar som ska ingå: > Ledningssystemet ska vara upprättat, underhållas och fungera under ständig förbättring. > Följande processer ska finnas: > Riskhantering > Incidenthantering > Kontinuitetshantering > Ledningsgenomgång > Ändringshantering

Delar i 2007:2 eller annex 1 27001 > 1 Omfattning > 2 Normativa hänvisningar > 3 Termer och definitioner > 4 Denna standards struktur > 5 Informationssäkerhetspolicy > 6 Organisation av informationssäkerhetsarbetet > 7 Personalsäkerhet > 8 Hantering av tillgångar > 9 Styrning av åtkomst > 10 Kryptering > 11 Fysisk och miljörelaterad säkerhet > 12 Driftsäkerhet > 13 Kommunikationssäkerhet > 14 Anskaffning, utveckling och underhåll av system > 15 Leverantörsrelationer > 16 Hantering av informationssäkerhetsincidenter > 17 Informationssäkerhetsaspekter avseende hantering av verksamhetens kontinuitet > 18 Efterlevnad

4a.Hur kan man inrikta granskningen? > Vad är skyddsvärd info? > Utgå från din myndighetsverklighet om vad som är skyddsvärt och vad de största riskerna ligger. > Vet man något om riskerna generellt och för organisationen?

Risker

4 b)välja vilka delar i standarden man granskar > Jämföra kraven i standarden mot verkligheten

4)Vad valde jag? Jag beaktade både ISO 27001 och 27002/annex 1 27001 1. Ledning av informationssystemet 2. Genomförande av informationssäkerhet

1. Ledning av informationssäkerhet > 1. Ledningssystemet samt anvisningar och regler > 2. Ledarskap och ledningens genomgång > 3. Riskanalyser > 4. Efterlevnad

2Genomförande av informationssäkerhet. > 7. Utbildning och medvetenhet > 9.Behörighetstilldelning IFS, AD, Agresso > 11. Fysisk åtkomst serverhall, driftcentral, fastighet > 11. Drift och förvaltning serverhall > 12. Loggning > 13. IT-kommunikation > 16. Incidenthantering

Granskningsmetodik > Intervjuer > Besök i serverhall, backuprum mmm > Läsa styrandedokument, processbeskrivningar, rollbeskrivningar, lathundar > Stickprov; > Genomförande och uppföljning av ledningssystem, utbildning, riskanalysarbete > Ledning och uppföljning av rutiner för loggning och incident > Dataanalyser mha ACL för behörigheter jämförde mot AD, lönelista, konsultmärkning och intranät och till slut frågor

Iakttagelser på olika nivåer Ledningsgruppen Årlig rapport från ledningssystem Samordningsgrupp Status för informationssäkerhet Informationsklassningsregler Arbetsgrupper Riktlinjer för kommunikation, drift Behörighetstilldelningsregler

Viktigaste iakttagelser - Ledning > Ett ledningssystem > Ledningens engagemang

27003

Viktigaste iakttagelser - genomförande

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss