SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Relevanta dokument
Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Verksamhetsdriven informationssäkerhet genom informationsklassning och målgruppsanpassade riktlinjer

Policy för informations- säkerhet och personuppgiftshantering

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Informationssäkerhetspolicy för Ystads kommun F 17:01

Policy för informationssäkerhet

Informationssäkerhetspolicy inom Stockholms läns landsting

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Riskanalys och informationssäkerhet 7,5 hp

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Hur värnar kommuner digital säkerhet?

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Informationssäkerhetspolicy. Linköpings kommun

INFORMATIONSSÄKERHET EN FÖRUTSÄTTNING FÖR GOD INFORMATIONSHANTERING

INFORMATIONSSÄKERHET ETT HINDER ELLER EN MÖJLIGGÖRARE FÖR VERKSAMHETEN

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy

Modell för klassificering av information

Informationssäkerhetspolicy KS/2018:260

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Informationssäkerhetspolicy

Koncernkontoret Enheten för säkerhet och intern miljöledning

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Riktlinjer för informationssäkerhet

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

INFORMATIONSSÄKERHET EN PATIENTSÄKERHETSFRÅGA

Finansinspektionens författningssamling

Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Informationssäkerhetspolicy för Ånge kommun

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Informationssäkerhetspolicy

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Finansinspektionens författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Policy för informationssäkerhet

Välkommen till enkäten!

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Administrativ säkerhet

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

ISO/IEC och Nyheter

I n fo r m a ti o n ssä k e r h e t

NIS-direktivet - Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Förstudie e-arkiv Begreppslista Begreppslista 1.0

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

1(6) Informationssäkerhetspolicy. Styrdokument

Strukturerat informationssäkerhetsarbete

Informationssäkerhetspolicy IT (0:0:0)

Riktlinje för säkerhetsarbetet i Norrköpings kommun

Hantering av behörigheter och roller

Sammanfattning av riktlinjer

Informationsklassning och systemsäkerhetsanalys en guide

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhet och earkiv Rimforsa 14 april 2016

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Finansinspektionens författningssamling

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Hur påvisar man värdet med säkerhetsarbetet i turbulenta tider och när budgeten är tight?

Ledningssystem för Informationssäkerhet

Ledningssystem för Informationssäkerhet

Informationssäkerhet - en översikt. Louise Yngström, DSV

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Programmet för säkerhet i industriella informations- och styrsystem

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Verksamhetsplan Informationssäkerhet

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Informationssäkerhetspolicy för Umeå universitet

Ledningens informationssäkerhet

E-strategi för Strömstads kommun

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riskanalys och riskhantering

Finansinspektionens författningssamling

Tillgänglighet, Kontinuitet och Incidenthantering. Förutsättningar för nyttoeffekter. Leif Carlson

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Rubrik. LIS + GDPR = Sant! Anne-Marie Eklund Löwinder, CISO Internetstiftelsen i

Myndigheten för samhällsskydd och beredskaps författningssamling

Energimyndigheten och NIS-direktivet Panndagarna Tommy Wahlman Projektledare för införande av NIS-direktivet

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Transkript:

SSF Säkerhetschef Informationssäkerhet 2016-11-30 Per Oscarson

Per Oscarson Informationssäkerhetsansvarig på Örebro kommun Medlem i SIS TK 318 (SS-ISO/IEC 27000- serien) Fil Dr och Fil Lic vid Linköpings universitet Har tidigare varit CISO/CSO på Folksam Informationssäkerhetsexpert på MSB Informationssäkerhetskonsult på Nexus, Transcendent Group Universitetslärare, Örebro universitet

Introduktion till informationssäkerhet Vad är informationssäkerhet? Varför behövs informationssäkerhet? Centrala begrepp Informationssäkerhet och annan säkerhet

Vad är informationssäkerhet? Tillgänglighet Konfidentialitet Att information inte tillgängliggörs eller avslöjas till obehörig Informationstillgångar Att information är åtkomlig och användbar till behörig Riktighet Att information är korrekt, aktuell och fullständig

Varför informationssäkerhet? Internet!

Varför informationssäkerhet? Digitaliseringen Alla och allt ska vara uppkopplade Samhällets mörka sidor flyttar till nätet Information är en av de viktigaste tillgångarna i organisationer IT-beroendet Ökad reglering

Digitaliseringen PC Webben E-handel Outsourcing E-förvaltning Molnet Sociala medier Digitalisering Öppna data Internet of everything???? 1990 2000 2010 2016 2030

Digitaliseringen Framväxandet drivs av Teknikutveckling och marknader, Av politiska strategier, t.ex. Digital agenda Medborgares och organisationers förväntan Man är ständigt online oh sociala medier är always on Information sprids hela tiden, utan att man alltid tanker på säkerhet och personlig integritet

Mörka sidor på nätet

Mörka sidor flyttar till nätet Samhällets avigsidor har sedan länge flyttat ut på nätet Från hackers till resursstarka aktörer med agendor och avsikter Billigare, enklare och säkrare att begå bedrägerier via nätet än att råna banker Kunskap finns, eller kan enkelt skaffas eller köpas

Information en strategisk resurs Information handlar om allt i en organisation och är kritisk för att nå dess mål För alla organisationer är informationen ett viktigt medel, liksom IT och Internet För många organisationer är själva informationen produkten Vilka klarar sig utan en god informationssäkerhet?

IT-beroendet De flesta organisationer är idag helt beroende av IT Få klarar längre avbrott Reservrutiner finns inte Alla organisationer är beroende av IT och Internet för sin administration, men vissa även för produktionen Industriella styrsystem (SCADA) Vatten, transport, el, tillverkning osv.

Ökad reglering Utvecklingen kräver en ökad reglering Organisationer måste efterleva fler och fler lagar, förordningar och föreskrifter Exempel: MSB:s föreskrifter för statliga myndigheter Finansinspektionens nya föreskrifter för banker Socialstyrelsens nya föreskrifter EU:s nya Dataskyddsförordning (GDPR)

Informationssäkerhet Konfidentialitet Riktighet Tillgänglighet Spårbarhet, oavvislighet, ansvarskyldighet, autentisering, auktoriation Informationssäkerhet Administrativ säkerhet Teknisk säkerhet Formell säkerhet Informell säkerhet IT-säkerhet Fysisk säkerhet Extern Intern Datasäkerhet Kommunikationssäkerhet Källa: SIS-TR 50

Definition av informationssäkerhet Att uppnå eller upprätthålla konfidentialitet, riktighet och tillgänglighet (KRT) hos informationstillgångar i enlighet med organisationens krav Konfidentialitet: Att information inte tillgängliggörs eller avslöjas till obehörig Riktighet: Att information är korrekt, aktuell och fullständig Tillgänglighet: Att information är åtkomlig och användbar till behörig

Informations-, IT- och datasäkerhet ITsäkerhet Datasäkerhet Informationssäkerhet Teknik Verksamhet/ samhälle Fokusering

Andra centrala begrepp Hotkälla (hotobjekt) Ligger bakom Hot (tänkt händelse) Kan realiseras till Incident (inträffad händelse) Kan leda till Skada Försämrar Infotillgångar (KRT) Tid

Informationstillgångar Informationstillgångar Informationshanterande resurser Information Hanterar Exempelvis om Medarbetare Kunder Produkter Ekonomi

Information Kan finnas I IT-system (t.ex. databaser) I pappersform I människors huvuden Är tolkad data Kan tolkas olika av olika människor Kan ha olika värde för olika aktörer Kan vara oönskad inte alltid tillgång!

Informationshanterande resurser Informationshanterande resurser Manuell hantering Hantering med verktygsstöd Icke elektroniska verktyg Elektroniska verktyg Analoga verktyg Digitala verktyg (IT)

Informationstillgångar och KRT Tillgänglighet Behörig Informationstillgångar Konfidentialitet Obehörig Riktighet

Säkerhetsåtgärder Syftar till att öka eller bibehålla informationssäkerhet, dvs. KRT Kan vara mer eller mindre inriktade mot konfidentialitet, riktighet eller tillgänglighet Kan vara förebyggande, avvärjande, skadereducerande och återställande

Säkerhetsåtgärder (skydd) Förebyggande skydd Avvärjande skydd Skadereducerande skydd Återställande skydd Avser att påverka Avser att reducera eller eliminera Avser att hindra Avser att begränsa Avser att korrigera/ återställa Hotkälla (hotobjekt) Ligger bakom Hot Incident Skada Infotillgångar (KRT) (tänkt händelse) Kan realiseras till (inträffad händelse) Kan leda till Försämrar I princip kan samtliga typer vara upptäckande och rapporterande Tid

Informationssäkerhet och annan säkerhet Informationssäkerhet en delmängd av säkerhet Områden innehåller delvis informationssäkerhetsaspekter Fysisk säkerhet Personalsäkerhet Risk-, incident-, kontinuitet- och krishantering Andra säkerhetsområden innefattar ofta kritisk information, IT-styrning och Internetanslutningar

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss