Riktlinjer för informationssäkerhet

Relevanta dokument
Riktlinjer för informationssäkerhet

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Ledningssystem för Informationssäkerhet

Ledningssystem för Informationssäkerhet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Informationsklassning och systemsäkerhetsanalys en guide

Koncernkontoret Enheten för säkerhet och intern miljöledning

Riktlinjer för informationssäkerhet

Myndigheten för samhällsskydd och beredskaps författningssamling

Hantering av behörigheter och roller

Informationssäkerhetspolicy för Umeå universitet

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy inom Stockholms läns landsting

Bilaga till rektorsbeslut RÖ28, (5)

Vetenskapsrådets informationssäkerhetspolicy

Informationssäkerhetspolicy

I n fo r m a ti o n ssä k e r h e t

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Finansinspektionens författningssamling

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Policy för informationssäkerhet

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Ånge kommun

Välkommen till enkäten!

Informationssäkerhetspolicy KS/2018:260

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Dnr

Fortsättning av MSB:s metodstöd

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

VÄGLEDNING INFORMATIONSKLASSNING

Myndigheten för samhällsskydd och beredskaps författningssamling

Finansinspektionens författningssamling

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

ISO/IEC och Nyheter

Finansinspektionens författningssamling

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

I Central förvaltning Administrativ enhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Riktlinjer för informationssäkerhet

Regler och instruktioner för verksamheten

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

BESLUT. Instruktion för informationsklassificering

Riktlinjer för säkerhetsarbetet

Informationssäkerhetsanvisningar Förvaltning

Riktlinjer för informationssäkerhet vid Stockholms universitet

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Informationssäkerhet vid upphandling och inköp av IT-system och tjänster

Riktlinjer för informationssäkerhet

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Informationssäkerhetspolicy. Linköpings kommun

Driftsäkerhet. Ett utbildningsmaterial för god funktion och säkerhet i stadsnäten

Informationssäkerhetspolicy IT (0:0:0)

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Rutiner för fysisk säkerhet

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Administrativ säkerhet

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Fortsatt arbete utifrån dataskyddsförordningen, GDPR. Denna presentation utgår i första hand från ett informationssäkerhetsmässigt perspektiv

Riktlinjer för IT-säkerhet i Halmstads kommun

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Informationssäkerhetspolicy

Säkerhetsgranskning

Modell för klassificering av information

Bilaga 3 Säkerhet Dnr: /

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

KLISTER KARTLÄGGNING INFORMATIONSSÄKERHET I KOMMUNER

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Riktlinjer. Informationssäkerhetsklassning

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

1(6) Informationssäkerhetspolicy. Styrdokument

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Myndigheten för samhällsskydd och beredskaps författningssamling

Kravställning på e-arkiv från informationssäkerhetsperspektiv

Dnr UFV 2013/1490. Lösenordshantering. Rutiner för informationssäkerhet. Fastställd av Säkerhetchef Reviderad

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

SÅ HÄR GÖR VI I NACKA

Riktlinjer informationssäkerhetsklassning

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

Fortsättning av MSB:s metodstöd

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

Workshop II inför dataskyddsförordningen, GDPR

Transkript:

Dnr UFV 2015/322 Riktlinjer för informationssäkerhet Riskhantering av informationssystem Fastställda av Säkerhetschefen 2015-03-06 Senast rev. 2017-02-01

Innehållsförteckning 1 Inledning... 3 2 Definitioner... 3 3 Syfte... 3 4 Mål... 3 5 Process... 4 6 Arbetsform... 4 7 Genomförande... 4 7.1 Avgränsning... 4 7.2 Informationsklassificering... 4 7.3 Nulägesbedömning... 5 7.4 Riskanalys... 6 7.5 Åtgärdsplan för säkerhetsförbättringar... 7 8 Bilagor... 7 2

1 Inledning Denna riktlinje beskriver en process för genomförande av riskanalyser för bedömning och behandling av säkerhetsrisker i informationssystem. Riktlinjen är en del av universitetets övergripande riktlinjer för informationssäkerhet (UFV 2010/424), som baseras på Myndigheten för Samhällsskydds och Beredskaps föreskrifter för Statliga myndigheters informationssäkerhet (MSBFS 2016:1). 2 Definitioner Organisation avser i detta dokument en organisatorisk enhet, t.ex. institution eller motsvarande, eller ett projekt, systemförvaltningsobjekt etc. Information eller informationsmängd innefattar all elektronisk, pappersbaserad, muntlig eller på annat sätt lagrad eller kommunicerad information. Informationsresurs avser information enligt definitionen ovan samt de informationssystem (hård- och mjukvara) och kommunikationslösningar som hanterar informationen. Händelse (incident, störning). En oönskad händelse med negativa effekter på universitetet Hot. En tänkbar/möjlig händelse som skulle kunna inträffa med negativ konsekvens. Sannolikhet. Sannolikheten för att en händelse ska inträffa (att ett hot ska resultera i en händelse). Konsekvens. De sammantagna konsekvenserna av en händelse inkluderande direkta och indirekta kostnader, förtroendeskador, vikande studentantal, minskade forskningsmedel. Risk. Sammanvägning av konsekvens och sannolikhet för en händelse. 3 Syfte Dessa riktlinjer avser att ge ett praktiskt och verksamhetsanpassat stöd för kontinuerlig riskhantering av universitetets informationsresurser med avseende på konfidentialitet (sekretess), riktighet (integritet) och tillgänglighet. 4 Mål Att universitetets informationsresurser är skyddade i enlighet med vid universitetet gällande riktlinjer för informationssäkerhet (UFV 2010/424). 3

5 Process Riskhanteringsprocessen i sin helhet genomförs i följande steg men de enskilda arbetsmomenten kan även utföras separat eller i en kombination. Dock är resultatet från informationsklassificeringen alltid en förutsättning för att kunna göra de efterföljande arbetsmomenten. 1. Avgränsning 2. Informationsklassificering 3. Nulägesbedömning 4. Riskanalys 5. Åtgärdsplan för säkerhetsförbättringar 6 Arbetsform Den arbetsform som rekommenderas är en eller flera workshops med representation från berörd organisation eller arbetsgrupp, gärna med en processledare från universitetets säkerhetsavdelning. 7 Genomförande 7.1 Avgränsning Innan informationsklassning och efterföljande arbetsmoment kan starta måste omfattningen definieras. Om den information och de informationsresurser som ska riskbedömas är relativt homogena kan hela eller delar av processen användas för grupper av system, ett systemförvaltningsobjekt, ett utvecklings- eller anskaffningsprojekt etc. Om systemen är för heterogena rekommenderas att hantera ett system i taget. 7.2 Informationsklassificering Informationsklassificeringen innebär att en bedömning av informationens skyddsvärde görs och måste alltid göras, alternativt vara gjord sedan tidigare, eftersom resultatet är förutsättning för de efterföljande arbetsmomenten i riskanalysprocessen. Universitetets klassificeringsmodell baseras på de tre vedertagna informationssäkerhetsaspekterna: Konfidentialitet, Riktighet och Tillgänglighet. Konfidentialitet Riktighet Informationen ska inte göras tillgänglig eller avslöjas för obehöriga personer, system eller processer. Informationen ska inte förändras eller förstöras, varken 4

obehörigen, av misstag eller på grund av funktionsstörningar. Tillgänglighet Informationen ska vara åtkomlig och användbar på förväntat sätt och inom önskad tid. Informationsklassificeringen görs av den organisation som äger informationen och skyddsbehovet med avseende på säkerhetsaspekterna ovan ska klassificeras i någon av nivåerna: Publik, Bas, Hög eller Särskilda krav. Som stöd för informationsklassificeringen kan checklistan i Bilaga 1a användas. Bilaga 1b kan användas som stöd för en kompletterande konsekvensanalys. 7.3 Nulägesbedömning I nulägesbedömningen granskas efterlevnadnivån av universitetets riktlinjer för informationssäkerhet (UFV 2010/424). I tabellen nedan framgår de säkerhetsområden som omfattas av riktlinjerna och målen för säkerhetsarbetet (skyddsmålen) inom dessa områden. Riktlinjer Organisation och ansvar Personalsäkerhet Hantering av tillgångar Styrning av åtkomst Kryptering Fysisk och miljörelaterad säkerhet Driftsäkerhet Kommunikationssäkerhet Anskaffning, utveckling och underhåll av system Leverantörsrelationer Universitetets riktlinjer för informationssäkerhet är kända inom organisationen. Ansvar och ansvarsområden för informationssäkerhetsarbetet är uttalat inom organisationen. Anställda och övriga berörda parter är medvetna om det egna ansvaret för informationssäkerhet. Informationsresursen/erna skyddas på ett lämpligt sätt. Endast behöriga användare har åtkomst till informationsresursen/erna. Känslig information skyddas genom kryptering. Berörda lokaler och utrustning är skyddade mot obehörigt tillträde, skador och störningar. Driften av den aktuella informationsresursen/erna sker på ett korrekt och säkert sätt. Dataöverföring till/från informationsresursen/erna skyddas på ett lämpligt sätt. Informationssäkerhet hanteras som en integrerad del av informationsresursen/erna över hela livscykeln. Informationssäkerhetskrav enligt universitetets riktlinjer är reglerade i avtal med externa leverantörer. 5

Incidenthantering Kontinuitetshantering Efterlevnad Rutiner för hantering av informationssäkerhetsincidenter är kända inom organisationen. Organisationen har en dokumenterad och verifierad plan för tillgång till informationen i en kris eller katastrofsituation. Organisationen följer författningsenliga och avtalsmässiga informationssäkerhetskrav och skyldigheter. Nulägesbedömningen görs av den organisation som äger den aktuella informationsresursen/erna med stöd av de representanter från stöd- och servicefunktioner som t.ex. drift- och förvaltningsorganisationen och efterlevnad ska anges i någon av nivåerna: god efterlevnad, bristfällig efterlevnad eller ingen efterlevnad. Som stöd för nulägesbedömningen kan checklistan i Bilaga 2 användas. 7.4 Riskanalys I riskanalysen bedöms de hot som organisationen exponeras för på grund av sedan tidigare kända eller misstänkta säkerhetsbrister eller de brister som detekterats i nulägesbedömningen av informationsresursen/arna ovan, vilka konsekvenser dessa hot skulle få om det realiseras i en incident eller störning i organisationens verksamhet och sannolikheten för att de skulle inträffa. För varje identifierat hot beräknas en riskfaktor fram som en sammanvägning av konsekvens och sannolikhet. Riskfaktorn kategoriserar risken i någon av grupperna nedan som indikerar hur risken ska hanteras av organisationen. Låg risk Bevakas. Medel risk Hög risk Planera för att implementera en riskreducerande åtgärd för införande vid lämpligt tillfälle, t.ex. versionsbyte eller motsvarande. Omedelbar åtgärd krävs. Riskanalysen görs av den organisation som äger den aktuella informationsresursen/erna med stöd av de representanter från stöd- och servicefunktioner som t.ex. drift- och förvaltningsorganisationen. Som stöd för riskanalysen kan checklistan i Bilaga 3 användas. 6

7.5 Åtgärdsplan för säkerhetsförbättringar När riskanalysen är slutförd sammanställer processledaren resultatet och skickar ut på remiss till berörda deltagare i arbetsmomenten ovan för synpunkter och kommentarer. Efter eventuella ändringar och kompletteringar fastställs rapporten med de säkerhetsförbättringar som föreslås och skickas till prefekt, projektledare, objekt- eller systemägare eller annan ansvarig person för den aktuella informationsresursen. Som stöd för rapporten kan mallen i Bilaga 4 användas. 8 Bilagor Bilaga 1a Instruktion för genomförande av informationsklassificering. Bilaga 1b Instruktion för genomförande av konsekvensanalys. Bilaga 2 Checklista för nulägesbedömning av informationssäkerheten i en informationsresurs. Bilaga 3 Instruktion för genomförande av riskanalys. Bilaga 4 Mall för slutrapport och åtgärdsplan för säkerhetsförbättringar. 7

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss