Status för.se:s kvalitets- och säkerhetsarbete Anne-Marie Eklund Löwinder amel@iis.se
.SE:s kvalitetspolicy Vi vill göra rätt från början. Vi kontrollerar att vi gör rätt. Vi har en tydligt definierad och processorienterad verksamhet. Vi är lyhörda mot våra slutkunder. Våra medarbetare har engagemang och drar åt samma håll. Vi arbetar tillsammans med våra leverantörer.
Kvalitetsprogrammet.SEUpp! Mätningar För att ge beslutsunderlag.se-dagar För att skapa laganda Processer För att ge hela bilden Utbildning För att ge självförtroende Planering För att ge tydlighet
Kvalitetsträningens syfte Att skapa förståelse för vad kvalitetspolicyn står för och vad det innebär för vårt sätt att agera. Tillsammans med affärsplanen utgör kvalitetspolicyn riktmärke för verksamheten och skapar den kultur som skall känneteckna agerandet i.se. Att kvalificera.se för en kvalitetsutmärkelse 2009!
Kvalitetsträning i praktiken Fyra olika kvalitetsteam, 2 kvalitetstränare i varje Utbildningsprogram teori och praktik Att förstå kvalitetspolicyns vision och mening Mål, mätningar och analys av mätningar Förbättringsprojekt Bench marking jämför och lär av andra besök på andra cctld:er.se-dagar med tema
.SE:s säkerhetsarbete Arbetet inleddes för drygt 3 år sedan; policybeslut. Särskilda resurser avsatta (säkerhetschef). Styrelsebeslut om anpassning till ISO/IEC 27001, Ledningssystem för informationssäkerhet (LIS). Systematiskt och strukturerat säkerhetsarbete.
Säkerhetsarbetets olika delar Policy VARFÖR? Handlingsplan VAD? IT-säkerhetsinstruktioner HUR?
Policy styrande dokument.se:s säkerhetspolicy har fyra huvudsyften. Den fokuserar på inriktningen på säkerhetsarbetet och täcker: Förebyggande åtgärder Begränsande åtgärder Upptäckande åtgärder Återställande/korrigerande åtgärder
Hur förbereder vi oss? Säkerhetsstrategi (intern säkerhet, regler, rutiner, organisation och ansvarsfördelning) Riskanalys Skyddsåtgärder, teknik - administration Krishantering/kontinuitetsplanering Incidenthantering Utbildning
Organisation Linjeansvar.SE:s ledningsgrupp är styrgrupp för arbetet. Säkerhetschefen koordinerar arbetet och utformar riktlinjer, ställer krav på åtgärder och annan dokumentation. Regelbunden oberoende granskning sker med externt stöd. Systemsäkerhetsplaner upprättas för alla kritiska system. Hot- och riskanalys sker kontinuerligt. Hantering och uppföljning av incidenter.
Policy för krishantering.se har beredskap att hantera krissituationer på ett sådant sätt att verksamheten endast påverkas marginellt även vid allvarliga störningar. I detta ingår att hantera alla incidenter och händelser som, direkt eller efter ett visst förlopp, bidrar till att en krissituation uppstår. Policyn omfattar hela verksamheten, såväl personal som tekniska och administrativa system. Policyn har omsatts i en krisplan, som har övats med krisledningen (senast april 2007).
Lag om nationella toppdomäner för Sverige på Internet (SFS 2006:24) Lagen gäller teknisk drift av nationella toppdomäner för Sverige på Internet samt tilldelning och registrering av domännamn under dessa toppdomäner. PTS är enligt lagen tillsynsansvarig myndighet. En genomförd tillsyn: http://www.pts.se/archive/documents/se/pm_tillsyn_av_se_doman_feb_2007.pdf Formulär med ett stort antal frågor Intervjuer och platsbesök
PTS tillsyn omfattade Namnservrarnas tekniska lösning, reservkapacitet och skydd. Zonfilens tillkomst, distribution och korrekthet (autenticitet). SE:s driftsorganisation och övervakningssystem. Registerföring. Uppdateringar av mjuk- och hårdvara. Kontinuitetsplan. Informationssäkerhet Beredskap för möjliga framtida hot och attacker.
amel@iis.se