SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Relevanta dokument
Verksamhetsdriven informationssäkerhet genom informationsklassning och målgruppsanpassade riktlinjer

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Policy för informations- säkerhet och personuppgiftshantering

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Informationssäkerhetspolicy för Ånge kommun

Ledningssystem för Informationssäkerhet

Välkommen till enkäten!

Ledningssystem för Informationssäkerhet

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Informationssäkerhetspolicy IT (0:0:0)

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Informationssäkerhetspolicy

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Koncernkontoret Enheten för säkerhet och intern miljöledning

Myndigheten för samhällsskydd och beredskaps författningssamling

Policy för informationssäkerhet

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Informationsklassning och systemsäkerhetsanalys en guide

Riktlinjer för informationssäkerhet

Informationssäkerhet vid upphandling och inköp av IT-system och tjänster

Svar på revisionsskrivelse informationssäkerhet

Informationssäkerhet - Informationssäkerhetspolicy

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Administrativ säkerhet

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy för Umeå universitet

Riktlinjer för informationssäkerhet

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

Handlingsplan för persondataskydd

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Nya krav på systematiskt informationssäkerhets arbete

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Remissutgåva. Program för informationssäkerhet

Ledningssystem för IT-tjänster

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Myndigheten för samhällsskydd och beredskaps författningssamling

Organisation för samordning av informationssäkerhet IT (0:1:0)

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Informationssäkerhetspolicy

Informationssäkerhetspolicy IT (0:0:0)

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Dnr

Regler och instruktioner för verksamheten

Informationssäkerhetspolicy

Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy

Myndigheten för samhällsskydd och beredskap

Policy och strategi för informationssäkerhet

ISO/IEC och Nyheter

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhetspolicy

1(6) Informationssäkerhetspolicy. Styrdokument

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Översikt av GDPR och förberedelser inför 25/5-2018

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Verksamhetsplan Informationssäkerhet

Ledningens informationssäkerhet

Informationssäkerhet och earkiv Rimforsa 14 april 2016

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

I Central förvaltning Administrativ enhet

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet, Linköpings kommun

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Stadens informationssäkerhetsarbete. Nr 8, Projektrapport från Stadsrevisionen

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Bilaga till rektorsbeslut RÖ28, (5)

Dataföreningens Systemförvaltningsnätverk. Systemförvaltning 2.0

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

Bilaga 3 Säkerhet Dnr: /

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Informationssäkerhetsanvisningar Förvaltning

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Nyckelroller inom informationssäkerhet

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy för Vetlanda kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

VÄGLEDNING INFORMATIONSKLASSNING

IT-plan för Söderköpings kommun

Metodstöd för systematiskt informationssäkerhetsarbete

Hantering av behörigheter och roller

Transkript:

SSF Säkerhetschef Informationssäkerhet 2016-11-30 Per Oscarson

Organisation av informationssäkerhetsarbetet Informationssäkerhet stödjande verksamhet Informationssäkerhetsansvarig Informationssäkerhetsorganisationen Beslutande och rådgivande fora Informationssäkerhet i projektstyrning Verksamhetsdriven informationssäkerhet Outsourcing och molntjänster

Informationssäkerhet en stödjande verksamhet Input och förutsättningar Uppdrag och finansiering Kärnverksamhet Input och förutsättningar Stödverksamheter Ekonomi Säkerhet HR IT Juridik Lokaler Kommunikation m.m. Produktion av varor och tjänster Andra resultat och konsekvenser Resultat Output resultat och konsekvenser

Ansvaret följer verksamhetsansvaret Har det övergripande ansvaret och beslutar om informationssäkerhetspolicy Ledning Ansvarar för verksamhetens informationstillgångar och säkerheten i dessa Linjechefer Projekt- och processägare Medarbetare ska följa policy, riktlinjer och instruktioner. Särskilda regler för konfidentiell information Medarbetare

Informationssäkerhetsansvar Verksamheten ansvarig för informationssäkerheten Informationssäkerhetsansvarig (el. motsv.) ansvarig för informationssäkerhetsarbetet

CISO Chief Information Security Officer Den som leder arbetet med en organisations informationssäkerhet Informationssäkerhetschef Informationssäkerhetsansvarig Informationssäkerhetsstrateg Informationssäkerhetssamordnare

CISO:s uppgift Att stödja organisationen i området Analysera Utforma och reglera Stödja Granska och kontrollera Tillämpa ett beprövat och systematiskt arbetssätt Tillämpning av standarder och ramverk Nätverkande Omvärldsanalys Kompetensutveckling

CISO:s kompetens Krishantering Fysisk säkerhet Personsäkerhet Pedagogik Ledarskap Nätverk Ledarskap Juridik Internet Verksamhetskunskap Kontinuitetshantering Risk Ekonomi Beteende Informationssäkerhet Kommunikation Sociala medier Compliance

CISO Tusenkonstnär? Visionär/strateg Ledare Utbildare Kommunikatör Rådgivare Tekniker/sakkunnig Inspektör/granskare Medlare/diplomat

Nätverkande Kontakter med myndigheter, nätverk, intressegrupper, branschkollegor m.m. nödvändigt Onödigt att uppfinna hjul själv! Andra har samma/liknande utmaningar Hotbild, legala krav, informationstillgångar, säkerhetsåtgärder är till stor del gemensam Åtgärd i SS-ISO/IEC 27002

Placering av CISO Bör vara i en stabsfunktion Ej underställd IT-chef (drift) Flera alternativ finns, t.ex. Säkerhetsavdelning Kvalitetsfunktion GRC Governance, Risk & Compliance Kansli/juridik Under CIO/Strategisk IT (om skild från drift) Kan (bör) rapportera direkt till ledningen

Relation till andra områden Informationssäkerhet vs Annan säkerhet (personal, fastigheter etc.) IT Kvalitet Risk Compliance Beror på organisationens utformning Ofta beror det på personliga relationer

Organisation av informationssäkerhetsarbetet CSO Ledning CIO Stab CSO CISO CISO IT-säk. Chef Kärnverksamhet Stödverksamhet Infosäk. Samordn. Infosäk. Samordn. IT IT-säk. Tekniker. Stab CIO IT-säk. Chef IT-säk. Tekniker. Infosäk. Samordn.

Beslutande och rådgivande fora Beslutande Regelverk (ej policy) och dispenser från regelverk Godkännande av produkter och tjänster Remissinstans Informationssäkerhet eller all säkerhet Rådgivande Representanter från verksamheter inkl. IT Förankring, beredningar, utkast till dokument m.m. Kunskapsdelning Informationssäkerhet eller all säkerhet

Bikupa två och två Hur ser det ut i era organisationer? CISO:s existens, placering IT-säkerhetschef/-ansvarig Säkerhet vs informationssäkerhet Beslutande och rådgivande fora Vad kan förbättras? Kort redovisning

Hantering av personuppgifter Personuppgiftsansvarig Normalt juridisk person (till exempel aktiebolag, stiftelse, myndighet eller förening) Personuppgiftsombud Utsedd av personuppgiftsansvarig Ska se till att behandlingen är korrekt och laglig Personuppgiftsbiträde Då personuppgifter behandlas utanför organisationen Skriftligt personuppgiftsbiträdesavtal ska finnas Dataskyddsombud Enligt EU:s nya Dataskyddsförordning

Informationssäkerhet i projektstyrning Informationssäkerhet bör integreras i organisationens metoder för projektstyrning Projektägare ansvarig för informationssäkerhet Projekt- och effektrisker ska innefatta informationssäkerhetsrisker

Verksamhetsdriven informationssäkerhet Stödverksamheter Externa aktörer Personal IT Fastigheter Administration Interna krav Externa krav Kärn-/affärsverksamhet Kapitalförvaltning Kommunikation Ekonomi Inköp/ upphandling

Verksamhetsdriven informationssäkerhet Verksamheter klassar information och/eller system Är krav kopplade till klasserna behöver verksamheter inte uppfinna kraven själva Stödverksamheter och externa aktörer ska leva upp till kraven Klassningsmodellen inklusive kravkatalog kan fungera som en kommunikationsmodell

Konfidentiell inf ormation som, om den sprids till obehöriga, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer eller individer Intern inf ormation som, om den sprids till obehöriga, kan medf öra måttliga negativ påv erkan på Örebro kommun, externa aktörer eller individer Öppen inf ormation som kan spridas f ritt inom och utom Örebro kommun Inf ormation som, om den ej är riktig och f ullständig, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer eller individer Inf ormation som, om den ej är riktig och f ullständig, kan medf öra måttlig negativ påv erkan på Örebro kommun, externa aktörer eller individer Inf ormation som, om den ej är tillgänglig, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer eller indiv ider Inf ormation som, om den ej är tillgänglig, kan medf öra måttlig negativ påv erkan på Örebro kommun, externa aktörer eller individer *Krav finns alltid att information ska vara riktig och tillgänglig! Verksamhetsdriven informationssäkerhet Verksamhet Använder systemet Äger systemet Klassar systemet Ställer krav på systemets säkerhet Leverantör av IT-tjänster Driftar systemet Säkerhetsåtgärder utifrån klassningen Underliggande IT-resurser ges samma säkerhetskrav 2 1 0 Kravnivå Konfidentialitet Riktighet Tillgänglighet Konfidentiell inf ormation Inf ormation som, om den Inf ormation som, om den som, om den sprids till ej är riktig och f ullständig, ej är tillgänglig, kan obehöriga, kan medf öra kan medf öra allv arliga medf öra allv arliga allv arliga konsekv enser f ör konsekv enser f ör Örebro konsekv enser f ör Örebro Örebro kommun, externa kommun, externa aktörer kommun, externa aktörer aktörer eller individer eller individer eller indiv ider Intern inf ormation som, om Inf ormation som, om den Inf ormation som, om den den sprids till obehöriga, ej är riktig och f ullständig, ej är tillgänglig, kan kan medf öra måttliga kan medf öra måttlig medf öra måttlig negativ negativ påv erkan på Örebro negativ påv erkan på påv erkan på Örebro kommun, externa aktörer Örebro kommun, externa kommun, externa aktörer eller individer aktörer eller individer eller individer Öppen inf ormation som kan spridas f ritt inom och *Krav finns alltid att information utom Örebro kommun ska vara riktig och tillgänglig! Krav Leverans 2 1 0 Kravnivå Konfidentialitet Riktighet Tillgänglighet Höga skyddskrav Normala skyddskrav Inga skyddskrav* Höga skyddskrav Normala skyddskrav Inga skyddskrav* Kravkatalog Stödsystem, infrastruktur m.m.

Informationssäkerhet i förvaltning Modeller för förvaltningsstyrning av ITsystem, t.ex. pm3, är mycket utbredda Kan användas för att styra säkerheten i förvaltade system Fördelar: Tydligt ägarskap och ansvar mellan verksamheter och IT Budgeterade förvaltningsplaner Kontinuerlig förbättring av säkerheten

Objekt-/systemägares ansvar Informationsklassning/objektklassning Behörigheter och loggning Användarinstruktioner Incidenthantering Riskanalyser Kontinuitetshantering

Kravnivå Konfidentialitet Riktighet Tillgänglighet Höga skyddskrav Normala skyddskrav Inga skyddskrav* Konfidentiell inf ormation som, om den sprids till obehöriga, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer eller individer Intern inf ormation som, om den sprids till obehöriga, kan medf öra måttliga negativ påv erkan på Örebro kommun, externa aktörer eller individer Öppen inf ormation som kan spridas f ritt inom och utom Örebro kommun Inf ormation som, om den ej är riktig och f ullständig, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer eller individer Inf ormation som, om den ej är riktig och f ullständig, kan medf öra måttlig negativ påv erkan på Örebro kommun, externa aktörer eller individer Inf ormation som, om den ej är tillgänglig, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer eller indiv ider Inf ormation som, om den ej är tillgänglig, kan medf öra måttlig negativ påv erkan på Örebro kommun, externa aktörer eller individer *Krav finns alltid att information ska vara riktig och tillgänglig! Informationsklass Behörighet/spridning Exempel Konfidentiell information Intern information Öppen information Konfidentiell inf ormation f år endast v ara tillgänglig f ör medarbetare som har särskild behörighet att hantera inf ormationen Intern inf ormation ska endast spridas till medarbetare inom Örebro kommun och till externa som har behov av inf ormationen Öppen inf ormation kan spridas f ritt inom och utom Örebro kommun Känsliga personuppgif ter Patientjournaler Sekretessbelagd inf ormation Riktlinjer Instruktioner Inf ormation på intranät Pressmeddelanden Broschy rer Inf ormation på www.orebro.se Kravnivå Konfidentialitet Riktighet Tillgänglighet Höga skyddskrav Normala skyddskrav Inga skyddskrav* Konfidentiell inf ormation som, om den sprids till obehöriga, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer eller indiv ider Intern inf ormation som, om den sprids till obehöriga, kan medf öra måttliga negativ påv erkan på Örebro kommun, externa aktörer eller indiv ider Öppen inf ormation som kan spridas f ritt inom och utom Örebro kommun Inf ormation som, om den ej är riktig och f ullständig, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer eller indiv ider Inf ormation som, om den ej är riktig och f ullständig, kan medf öra måttlig negativ påv erkan på Örebro kommun, externa aktörer eller indiv ider Inf ormation som, om den ej är tillgänglig, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer eller indiv ider Inf ormation som, om den ej är tillgänglig, kan medf öra måttlig negativ påv erkan på Örebro kommun, externa aktörer eller indiv ider *Krav finns alltid att information ska vara riktig och tillgänglig! Policy, riktlinjer, klassning och förvaltning exempel Informationssäkerhetspolicy Infosäkansv. Stöd B. Styrning av informationssäkerhet Organisation Dokumentstruktur Informationsklassning LIS Personalsäkerhet Leverantörsrelationer Efterlevnad Verksamhet IT-avdelning C. Informationssäkerhet i verksamhetsnära förvaltning 2 1 0 Förvaltningsobjekt D. Informationssäkerhet i IT-miljön Klassning Behörighetshantering Loggning Ändringshantering Användarinstruktioner Riskanalyser Incidenthantering Kontinuitetshantering Förvaltningsledare Verksamhetsutvecklare Objektspecialister Roller verksamhet Instruktioner Metoder Vägledningar A. Informationssäkerhet för medarbetare 2 1 0 Roller IT Instruktioner Standarder Vägledningar Förvaltningsledare IT IT-säkerhetsansvarig IT-resurser Hantering av tillgångar Styrning av åtkomst Kryptering Fysisk säkerhet Driftsäkerhet Kommunikationssäk. Anskaffning och utveckl. Incidenthantering Kontinuitetsshantering Granskning och kontroll 2 1 0 Kravkatalog

Krav på externa aktörer (1) Leverantörer som levererar System, IT-produkter Hantering eller lagring av information Molntjänster Informationssäkerhetskrav med från början Leverantörens säkerhet Krav på leverans, SLA (Service Level Agreement) Personuppgiftsbiträdesavtal Informationsklassning bra grund

Krav på externa aktörer (2) Standarder bra stöd Åtgärderna i SS-ISO/IEC 27002 SS-ISO/IEC 27036 Informationssäkerhet vid leverantörsrelationer Vägledning MSB Informationssäkerhet i upphandling Samverka med inköp/upphandling Styr kravhantering i styrande dokument T.ex. kravkatalog utifrån informationsklassning

Krav på externa aktörer (3) Revisionsrätt kontroll att krav efterlevs Rutin för incidentrapportering Gemensam krishantering och -övningar

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss