Kompletteringsuppgift: Verksamhetsanalys och riskanalys



Relevanta dokument
Fortsättning av MSB:s metodstöd

Introduktion till MSB:s metodstöd

Välja säkerhetsåtgärder

Fortsättning av MSB:s metodstöd

Metodstöd 2

Metodstöd 2

Ramverket för informationssäkerhet 2

Kommunicera förbättringar

Riskanalys. Version 0.3

Metodstöd 2

Metodstöd 2

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Metodstöd 2

Riktlinjer. Informationssäkerhetsklassning

Planera genomförande

Utforma säkerhetsprocesser

Riktlinjer informationssäkerhetsklassning

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Nytt metodstöd för systematiskt informationssäkerhetsarbete. Revidering av MSB:s metodstöd. Per Oscarson, Oscarson Security AB Carl Önne, MSB

Utforma policy och styrdokument

RUTIN FÖR RISKANALYS

Kravställning på e-arkiv från informationssäkerhetsperspektiv

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Informationsklassning , Jan-Olof Andersson

Riskanalys Handledning

Konstruera och anskaffa

Mall för riskbedömning

VÄGLEDNING INFORMATIONSKLASSNING

Ledningens genomgång

Informationssäkerhetspolicy

Studiehandledning. Utbildning och arbetsmarknad i förändring, 7, 5 hp VT 2015 Kursansvariga: Christian Lundahl

Riktlinje för riskhantering

Vägledning RSA EM-hot. Metodstöd vid genomförande av RSA m.a.p. EM-hot

Informationsklassning och systemsäkerhetsanalys en guide

System för intern kontroll Hässelby-Vällingby stadsdelsförvaltning

Den kompletta studiehandledningen för kurserna DT157G/IG025G Människa datorinteraktion och IU127G Interaktionsdesign

Uppsatsskrivandets ABC

Administrativ säkerhet

Analyser. Verktyg för att avgöra vilka skydd som behövs

Underlag vid tvärprofessionell analys, åtgärdsplanering och uppföljning av avvikelse.

Rapport Informationsklassning och riskanalys Mobila enheter Umeå Fritid

Miljöriskhantering enligt egenkontrollförordningen.

Policy för informationssäkerhet

För att kunna kommunicera och vara aktiv på Internet så behöver du en e-postadress. Att skaffa en e-postadress är gratis.

Modell för klassificering av information

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

Introduktion till datateknik och datavetenskap

BESLUT. Instruktion för informationsklassificering

Sammanställning kursutvärdering

Metodbeskrivning - Riskbedömning av lyftanordningar och lyftredskap enligt AFS 2006:6

Riktlinjer för informationssäkerhet

Introduktion till metodstödet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Projekt: Utveckling av ett användargränssnitt

Regler och riktlinjer för intern styrning och kontroll vid KI

Övergripande Risk- och sårbarhetsanalys

SYSTEMATISKT ARBETSMILJÖARBETE

Lathund Webbanmälan. till vidareutbildningar

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Evenemang. Gör såhär: eller

Riktlinjer för intern kontroll

Introduktion till informationssäkerhet

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Plan för intern kontroll Kultur- och fritidsnämnden

Riktlinjer för intern kontroll

Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare;

Anvisningar för intern styrning och kontroll vid Karolinska Institutet

Utveckla LIS och skyddet

METODBESKRIVNING. Riskbedömning för användning av trycksatta anordningar INSPECTA. Revision nr: 1

RIKTLINJER FÖR FORMALIA VID SKRIFTLIGA STUDIEUPPGIFTER

28/ Introduktion CL / Föreläsning: Utvärdering av studie- och yrkesvägledning och annan pedagogisk verksamhet

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

VAD ÄR EN SÄKERHETSANALYS. Thomas Kårgren

Den kompletta studiehandledningen för kursen DT126G Användbarhet för mobila enheter

Årlig utredning. Denna sida finns endast synlig om en årlig utredning har öppnats av SMART-samordnaren.

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Systemsäkerhetsanalys förutsättningar för mobil åtkomst inom hemsjukvård.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Plan för intern kontroll Kultur- och fritidsnämnden

Ärende Beslut eller åtgärd. 1 Fastställande av dagordning Inga ärenden anmäldes till Övrigt.

INFORMATIONSSÄKERHET ETT HINDER ELLER EN MÖJLIGGÖRARE FÖR VERKSAMHETEN

GYMNASIEARBETET - ATT SKRIVA VETENSKAPLIGT

Projekt: Utveckling av ett användargränssnitt

Plan för internkontroll med väsentlighets- och riskanalys 2017 för

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Projektarbete. Anvisningar, tips och mallar. Sammanställt lå 05/06 av lärgruppen - Projektarbete

Användarmanual av Anmälan av foderanläggning via Internet ANVÄNDARMANUAL. för Anmälan av foderanläggningar via Internet 1 (5)

Plan för internkontroll med väsentlighets- och riskanalys 2018 för överförmyndarnämnden

Klinisk psykologi. Klinisk psykologi - Psykologi 2a Inlämningsuppgift - SA13A Söderslättsgymnasiet, Trelleborg

RISKINVENTERING OCH RISKANALYS, FLOXENS VATTENVERK

Informationssäkerhetspolicy

Plan för intern kontroll Barn- och utbildningsnämnden

Plan för internkontroll. riskanalys Bilaga 4. Plan för internkontroll med väsentlighets- och. Bromma stadsdelsförvaltning

Definitioner - Risk. Riskhantering. Ville Bexander.

Snabbguide Hemtelefon i mobilen

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Riktlinjer för informationssäkerhet

Läsanvisningar till Läs- och skrivundervisning i de tidigare skolåren. Fördjupning Vt-06 vecka 13-22

Transkript:

Kompletteringsuppgift: Verksamhetsanalys och riskanalys Carina Bengtsson sourcefile revision time owner Innehåll 1 Introduktion 1 2 Syfte 1 3 Läsanvisningar 2 4 Genomförande 2 4.1 Använda klassificeringsmodell.................... 2 4.2 Jämföra klassificeringar....................... 2 4.3 Riskanalys............................... 2 5 Examination 3 A Mall för riskanalys 5 1 Introduktion Denna kompletteringsuppgift gäller för de som ej medverkat vid seminariet om verksamhets- och riskanalys. Utgångspunkten för uppgiften är den promemoria som behandlade området verksamhets- och riskanalys. 2 Syfte Syftet med detta seminarium är: Att du ska få en djupare förståelse för verksamhetsanpassade klassificeringsmodeller. Att du ska få färdighet i genomförandet av verksamhets- och riskanalyser. Detta verk är tillgängliggjort under licensen Creative Commons Erkännande-DelaLika 2.5 Sverige (CC BY-SA 2.5 SE). För att se en sammanfattning och kopia av licenstexten besök URL http://creativecommons.org/licenses/by-sa/2.5/se/. 1 (9)

3 Läsanvisningar Du ska inför seminariet ha läst dokumenten Verksamhetsanalys [2], och Riskanalys [1] i MSB:s metodstöd och skrivit promemorian om verksamhets- och riskanalys. 4 Genomförande Genomförandet av kompletteringsuppgiften består av tre delar: tillämpning av klassificeringsmodell för att klassificera informationstillgångar, jämföra klassificeringar för olika verksamheter och till sist genomföra en riskanalys. 4.1 Använda klassificeringsmodell Placera in följande två informationstillgångar i klassificeringsmodellen som du själv utvecklat i promemorian, placera in dem utifrån de krav du kommit fram till finns för din verksamhet: hyreskontrakt och verksamhetsberättelse. 4.2 Jämföra klassificeringar Redogör för hur du skulle resonerat om du istället skulle ha klassificerat de två ovan informationstillgångarna i de verksamheterna som du ej blev tilldelad för PM:et för verksamhets- och riskanalys. Exempelvis om du blev tilldelad den kommunala verksamheten, då resonerar du kring hur du istället skulle klassificera ovan givna informationstillgångar för ett universitet och ett reseföretag: Vad finns det för likheter och skillnader i klassificeringen för respektive informationstillgång? Skulle respektive informationstillgång klassificeras som mer, mindre eller lika kritiska som för din ursprungliga verksamhet? 4.3 Riskanalys Välj ut en av de två informationstillgångarna från uppgift 4.1 för att genomföra en riskanalys. Ange för vilken aspekt du gör analysen: konfidentialitet, tillgänglighet eller riktighet. Identifiera minst tre hot och placera in dem i riskmatrisen. Tips: 2 (9)

En riskanalys genomförs oftast på de informationstillgångar som anses vara med kritiska för verksamheten. Exempelvis om du har verksamheten reseföretag, har fyra klasser i din modell och har klassificerat enligt följande: Område Hyreskontrakt Verksamhetsberättelse Klass K2 T2 R3 K2 T2 R4 Då rekommenderas att göra en riskanalys gällande riktighet för verksamhetsberättelsen. (Ta då inte upp hot mot tillgänglighet och konfidentialitet.) Använd gärna mallen i bilaga A eller den i MSB:s dokument om riskanalys [1, bilaga A] för att redovisa ditt resultat av riskanalysen. Exempelvis ett hot mot riktigheten i verksamhetsberättelsen kan vara att någon utomstående ändrar medvetet i verksamhetsberättelsen för att förvanska förra årets resultat, ändringen sker genom att fysiskt sätta sig vid en dator som är olåst och göra ändringarna. Uppskatta därefter konsekvensen av och sannolikheten för att detta inträffar i riskmatrisen. Slutligen, beskriv vilka risker du tycker att verksamheten bör arbeta vidare med, och vilka risker du anser att man kan acceptera för tillfället. (Använder du riskanalysmallen i bilaga A räcker det med att du kryssar för det alternativ du vill använda dig av på respektive hot.) 5 Examination Denna uppgift kommer att examineras genom ett skriftligt dokument som lämnas in i PDF-format. Om du väljer att använda mallar från MSB eller den i bilaga A måste du infoga dem i det dokument du lämnar in. Dokumentet ska innehålla uppgifterna från avsnitt 4: 1. Använda klassificeringsmodell, 2. Jämföra klassificeringar, och 3. Riskanalys. 3 (9)

Referenser [1] Andersson, Helena, Andersson, Jan-Olof, Björck, Fredrik, Eriksson, Martin, Eriksson, Rebecca, Lundberg, Robert, Patrickson, Michael, och Starkerud, Kristina. Riskanalys, 12 2011. URL http://www.informationssakerhet. se. [2] Andersson, Helena, Andersson, Jan-Olof, Björck, Fredrik, Eriksson, Martin, Eriksson, Rebecca, Lundberg, Robert, Patrickson, Michael, och Starkerud, Kristina. Verksamhetsanalys, 12 2011. URL http://www. informationssakerhet.se. 4 (9)

A Mall för riskanalys Dokumentet som följer finns även tillgängligt i lärplattformen i redigerbar form. 5 (9)

Riskanalys Skyddsvärd informationstillgång Säkerhetsklassificering: Process/Projekt: Avdelning/Motsvarande: Ansvarig: Datum: Riskanalys görs för informationstillgångar som anses vara kritiska i verksamhetsanalysen, och syftar till att få en förteckning över hot, deras potentiella skadeverkning, och tänkbara sätt att hantera risker på. Varje informationstillgång analyseras i en separat riskanalys. 2. Riskanalys 1

Konsekvens 2 a.) Identifiering av hot Här identifieras de hot som kan hindra att de kritiska kraven på en informationstillgångs riktighet/tillgänglighet/konfidentialitet bevaras. Nr: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Hot: 2b.) Riskuppskattning Katastrofal (4) Konsekvensen är ett mått på den skada ett hot skulle ha på verksamheten om det inträffade. Allvarlig (3) Måttlig (2) Försumbar (1) Mycket sällan (1) Sällan (2) Regelbundet (3) Ofta (4) Sannolikhet Sannolikheten anger hur troligt det är att hotet kommer att inträffa 2. Riskanalys 2

2 c.) Riskbehandling En riskbehandling görs för alla hot som identifierats i 2a. Hot som överstiger värdet 7 i riskanalysen (är orangea eller röda) bör ej accepteras. Hot nr: 1 Om annat än är valt, lämna förslag på åtgärd/åtgärder: Hot nr: 2 Om annat än är valt, lämna förslag på åtgärd/åtgärder: Hot nr: 3 Om annat än är valt, lämna förslag på åtgärd/åtgärder: Hot nr: 4 Om annat än är valt, lämna förslag på åtgärd/åtgärder: Hot nr: 5 Om annat än är valt, lämna förslag på åtgärd/åtgärder: 2. Riskanalys 3

Hot nr: 6 Om annat än är valt, lämna förslag på åtgärd/åtgärder: Hot nr: 7 Om annat än är valt, lämna förslag på åtgärd/åtgärder: Hot nr: 8 Om annat än är valt, lämna förslag på åtgärd/åtgärder: Hot nr: 9 Om annat än är valt, lämna förslag på åtgärd/åtgärder: Hot nr: 10 Om annat än är valt, lämna förslag på åtgärd/åtgärder: 2. Riskanalys 4

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss