EBITS Energibranschens IT-säkerhetsforum

Relevanta dokument
Nulägesanalys. System. Bolag AB

EBITS Energibranschens Informations- & IT-säkerhetsforum BITS. Checklista för f r mindre energiföretag. retag INLEDNING

Sydkraft AB - Koncern IT

Metod för klassning av IT-system och E-tjänster

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer. Informationssäkerhetsklassning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Medarbetarundersökningen 2012

VÄGLEDNING INFORMATIONSKLASSNING

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet Granskad

Metodstöd 2

Riskanalys. Version 0.3

Informationssäkerhetspolicy inom Stockholms läns landsting

EBITS Energibranschens IT-säkerhetsforum

Medarbetarundersökningen 2012

Medarbetarundersökningen 2012

E-strategi för Strömstads kommun

Mobilitet - Direkt informationsåtkomst. Lena Brännmar Boråsregionen Sjuhärads kommunalförbund

Finansinspektionens författningssamling

Bilaga 5 Administration och kontroll

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

Informationssäkerhetspolicy

1 Informationsklassificering

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Beordrad nedreglering av Ringhals säkrade driftsäkerheten

EAs krav vid ackreditering av flexibel omfattning

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

Sjunet Anslutningsavtal Förenklat regelverk för informationssäkerhet

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Skärpta krav för informationssäkerhet, IT-verksamhet och insättningssystem. Jonas Edberg och Johan Elmerhag 20 maj, GRC 2015

Informationssäkerhetspolicy IT (0:0:0)

AVTAL OM TELIASONERA KOPPLAD TRANSIT

RISK- OCH SÅRBARHETSANALYS

Till dig som rådgivare i det offentliga stödsystemet

Ledning och styrning av IT-tjänster och informationssäkerhet

SERVICENIVÅER V

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Informationskartläggning och Säkerhetsklassning

Informationssäkerhetspolicy för Ystads kommun F 17:01

Grundläggande informationssäkerhet 7,5 högskolepoäng

VIPRE Security/j2 Global Sweden AB (VIPRE) Databehandlingsvillkor

Bilaga 4 c: Processkartläggning

Datum Diarienummer Ärendetyp. ange ange ange. Dokumentnummer. ange 1(12) <SYSTEM> <VERSION> ANALYSUNDERLAG IDENTIFIERA (AU-I)

PromikBook bas (gratis) med bokföring, dokumenthantering, fakturering, kundreskontra och leverantörsreskontra.

Kom igång med e-cm. Så gör du.

Informationssäkerhetspolicy

PERSONUPPGIFTSBITRÄDESAVTAL

5 säkerhetsaspekter att tänka på vid skapandet av din digitala assistent

16 Policy om etiska riktlinjer Ansvar Senast fastställt Version Sid nr. Styrelsen, Redeye AB (5)

Strukturerad informationshantering

Informationssäkerhetspolicy KS/2018:260

Stöd till innovatörer

1. Vad är en personuppgift och vad är en behandling av personuppgifter?

Kf , 322 Blad 1(5)

Informationsklassning , Jan-Olof Andersson

Kvalitetskrav för Familjerådgivning i Varbergs Kommun

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

AFFÄRSPLAN. Namn. Företag. Adress. Telefon. E-post. Hemsida. Affärsplan. Sara Isaksson Pär Olofsson

Redovisning av regeringsuppdrag: Ekonomisk stabilitet hos enskilda huvudmän inom skolväsendet

Handbok Informationsklassificering

Vi behandlar dina personuppgifter endast för ändamål som är kopplade till verksamheten. Det kan till exempel ske i samband med:

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

(Text av betydelse för EES)

HSA Policytillämpning

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Frågor & svar om nya PuL

Introduktion för förskollärare- och barnskötare elever

Administrativ säkerhet

AVTAL OM KOPPLAD TRANSIT

1(7) Familjerådgivning. Styrdokument

ERSÄTTNINGSPOLICY P E A K P A R T N E R S K A P I T A L F Ö R V A L T N I N G A B FASTSTÄLLD AV STYRELSEN

Riktlinjer och avtal för elektroniska utskick via nyhetsbrevtjänst SCUF- regioner

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Allmänna Villkor för Tjänsten

Riktlinjer och rutiner för Lex Sarah i Håbo Kommun

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

Råd för systembeskrivning

Dispens för svetsade komponenter och reservdelar i förråd vid Oskarshamns kärnkraftverk

checklista informationssäkerhet vid hantering av it-system

Informationssäkerhetspolicy för Ånge kommun

Sammanfattning av inkomna riskanalyser i arbetet för att förebygga korruption, Högskolan i Skövde

Örebro kommun. Serviceundersökning Mann Service AB grupp 8 svarande Svarsfrekvens: 35 procent. Antal svar 2015: 7.

ISO I PRAKTIKEN

Kaesers lilla gröna. eller konsten att spara energi och miljö med intelligentare tryckluft.

Sekretess: En väg till ökad konkurrens och bättre upphandlingar, eller en irritationskälla för alla vid offentlig upphandling.

Säkerhetspolicy för Västerviks kommunkoncern

Anslutningsavtal. inom Infrastrukturen för Svensk e-legitimation. Bilaga 4 Rapporteringsrutiner. för Utfärdare av Svensk e-legitimation

Risk, säkerhet och rättslig analys för migrering till molnet. PART 4: Skydd, rättigheter och juridiska skyldigheter

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Accum Kapital (AccuKap AB) Dessa riktlinjer har fastställts av styrelsen den 9 mars 2016

Koncernkontoret Enheten för säkerhet och intern miljöledning

Informationssäkerhetspolicy

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

Regler och instruktioner för verksamheten

Mina meddelanden. säker digital post från myndigheter och kommuner

Internkontrollplan 2016 Nämnden för personer med funktionsnedsättning

Transkript:

EBITS 20040308 Energibranschens ITsäkerhetsforum Fastställa ett systems säkerhetsprofil Varje system som är viktigt för verksamheten ska klassas i avseende på sekretess, riktighet och. Det handlar här om att välja skydds för var och av de tre klasserna och riskanalys måste ligga till grund för en sådan bedömning. Resultatet blir ett systems säkerhetsprofil. Denna profil ligger till grund för att vaska fram tillämpliga ITsäkerhetskrav ur kravdatabasen. Vi kallar detta grundsäkerhetsprocessen. Princip för val av skydds för en enskild skyddsklass Om ett ITsystem har bristande skydd lider företaget och/eller elbranschen skada. Denna skada kan indelas i tre allvarlighetsgrader: Allvarlig skada ( 3) Skada ( 2) Ingen skada ( 1) Var och en av de tre skyddsklasserna indelas således i ovanstående tre er och det är omfattningen av skadan vid brister i skydden som ligger till grund för val av skydds. Se bilaga 1 3 där skyddserna för var och en av de tre skyddsklasserna beskrivs explicit. Revisionshistorik 20040308 L Castenhag En första utgåva Fastställa ett systems säkerhetsprofil.doc

2(5) Tillvägagångssätt för att bedöma skyddser Följande tillvägagångssätt ligger till grund för att upprätthålla ett fullgott skydd för ett enskilt ITsystem: 1. Inventera informationstillgångarna i systemet. Se figur nedan. 2. Gör en förhandsbedömning av sekretessen för de olika grupper av information som identifierats. 3. Genomför en riskanalys. Se till att få en god sammansättning på analysgruppen. 4. Bedöm systemets säkerhetsprofil, dvs fastställ skyddserna. 5. Bedöm innebörden av en, dvs specificera tider. 6. Låt säkerhetsprofilen ligga till grund för de specifika ITsäkerhetskraven i Grundsäkerhetsprocessen. Informationstillgångar som hanteras av ett system Systemets totala informationsmängd Informationsmängd A Informationsmängd B Informationsmängd C Informationsmängd D Färgkoder Grön = öppen information Rött = hemlig information

3(5) Bilaga 1 Bedömning av skydds för skyddsklassen SEKRETESS 3 Allvarlig skada om informationen kommer i orätta händer. Kvalificerat företagshemlig information. Exempel: strategier, framtidsplaner, nya produkter, säkerhetsinformation, marknads och konkurrentanalyser. 2 Skada om informationen kommer i orätta händer. Företagshemlig information. Exempel: produktionsplaner och ekonomisk information som kan ge otillbörlig personlig vinst. Information som är känslig med avseende på integritet som t ex individuella löneuppgifter 1 Ringa eller ingen skada om informationen kommer i orätta händer. Öppen information (I vissa fall skiljer man på öppen och intern information, men eftersom det här handlar om skydds för ITsystem, slår vi samman dessa er till en skydds).

4(5) Bilaga 2 Bedömning av skydds för skyddsklassen RIKTIGHET 3 Allvarlig skada vid brister i riktigheten hos informatione n. Kvalificerat företagshemlig information Informationen måste garanterat vara korrekt. Vid otillbörlig förändring äventyras företagets framtida marknadsposition. Exempel: strategier, framtidsplaner, säkerhetsinformation, marknads och konkurrentanalyser. 2 Skada vid brister i riktigheten hos informatione n. Företagshemlig information Informationen måste garanterat vara korrekt. Vid otillbörlig förändring lider företaget ekonomisk skada. Exempel: produktionsplaner. 1 Ringa eller ingen skada vid brister i riktigheten hos informationen. Öppen information Det är inte speciellt viktigt att informationen är helt korrekt, men jag bör kunna lita på att den är någorlunda korrekt. (I vissa fall skiljer man på öppen och intern information, men eftersom det här handlar om skydds för ITsystem, slår vi samman dessa er till en skydds).

5(5) Bilaga 3 Bedömning av skydds för skyddsklassen TILLGÄNGLIGHET 3 Allvarlig skada vid bristande hos informationen. Det är ett absolut krav att informationen eller funktionen är tillgänglig. Vid bristande lider företaget så stor skada att dess verksamhet tvingas upphöra. Exempel: ITsystem för kontrollrum. 2 Skada vid bristande hos informationen. Det är viktigt att informationen eller funktionen är tillgänglig. Exempel: produktionsplaner. 1 Ingen eller ringa skada vid bristande hos informationen eller funktionen. Tillgängligheten är inte speciellt viktig för verksamheten. Vid bristande störs ej verksamheten nämnvärt. Informationen kan t ex gå att nå på annat sätt eller det är tillräckligt att den kan nås vid ett senare tillfälle. Att observera Efter det att skyddsn fastställts för en skall det för varje enskilt system beskrivas t ex under vilka tider på dygnet som en är högre eller lägre, under vilka veckodagar som en är högre eller lägre, under vilka månader som en är högre eller lägre, hur många oförutsedda avbrott som kan tillåtas per år under de tider då hög skall råda samt varaktigheten av dessa, hur många planerade avbrott som kan tillåtas per år under de tider då låg skall råda samt varaktigheten av dessa.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss