SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Relevanta dokument
Verksamhetsdriven informationssäkerhet genom informationsklassning och målgruppsanpassade riktlinjer

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

ISO/IEC och Nyheter

Ledningssystem för Informationssäkerhet

Ledningssystem för Informationssäkerhet

Ledningssystem för IT-tjänster

Myndigheten för samhällsskydd och beredskaps författningssamling

Administrativ säkerhet

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Myndigheten för samhällsskydd och beredskaps författningssamling

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Informationssäkerhetspolicy för Ånge kommun

Välkommen till enkäten!

Policy för informationssäkerhet

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Koncernkontoret Enheten för säkerhet och intern miljöledning

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Vilket mervärde ger certifiering dig?

Informationssäkerhetspolicy. Linköpings kommun

Riktlinjer för informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

KLISTER KARTLÄGGNING INFORMATIONSSÄKERHET I KOMMUNER

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Svar på revisionsskrivelse informationssäkerhet

Riktlinjer för informationssäkerhet

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Fortsättning av MSB:s metodstöd

Att införa LIS. Informationssäkerhet för offentlig sektor Johan Kallum Säkerhetschef/Informationssäkerhetschef

Informationssäkerhetspolicy för Umeå universitet

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Informationssäkerhetspolicy

Informationssäkerhetspolicy KS/2018:260

Myndigheten för samhällsskydd och beredskap

Fortsättning av MSB:s metodstöd

Informationsklassning och systemsäkerhetsanalys en guide

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Dnr

KLISTER KARTLÄGGNING INFORMATIONSSÄKERHET I KOMMUNER

Policy för informations- säkerhet och personuppgiftshantering

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

Bilaga till rektorsbeslut RÖ28, (5)

Informationssäkerhet, Linköpings kommun

Bilaga 3 Säkerhet Dnr: /

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Utforma policy och styrdokument

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Nya krav på systematiskt informationssäkerhets arbete

Informationssäkerhet och earkiv Rimforsa 14 april 2016

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Metodstöd för systematiskt informationssäkerhetsarbete

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

NIS-reglering.

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Informationssäkerhetspolicy

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Ledning och styrning av IT-tjänster och informationssäkerhet

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Ledningens genomgång

Svensk Kvalitetsbas kravstandard (1:2016)

Svensk Standard SS ISO/IEC SS

1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhetspolicy för Katrineholms kommun

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Nytt metodstöd för systematiskt informationssäkerhetsarbete. Revidering av MSB:s metodstöd. Per Oscarson, Oscarson Security AB Carl Önne, MSB

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Informationssäkerhetspolicy för Ystads kommun F 17:01

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Bilaga Från standard till komponent

Svensk Kvalitetsbas kravstandard (2:2019) 1. Utfärdare 2. Revisorer 3. Verksamheter. Antagen den 15 maj 2019

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Strukturerat informationssäkerhetsarbete

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Transkript:

SSF Säkerhetschef Informationssäkerhet 2016-11-30 Per Oscarson

Styrning av informationssäkerhet Organisationens förutsättningar Ledningssystem för informationssäkerhet Standarder inom informationssäkerhet Säkerhetsåtgärder/ skyddsområden Informationsklassning Styrande dokument Uppföljning

Organisationens förutsättningar Interna förutsättningar Externa förutsättningar Påverkar hur man kan/bör arbeta med informationssäkerhet Påverkar val och utformning av säkerhetsåtgärder

Organisationens förutsättningar Externa förutsättningar Informationssäkerhet i samhället Rättsliga krav Behov och förväntningar Extern information Ska korrespondera Hotbild Säkerhetsåtgärder (SS-ISO/IEC 27001:2014 Bilaga A) 5. Policy 6. Organisation 7. Personal 8. Tillgångar 9. Åtkomst 10. Kryptering 11. Fysisk säkerhet 12. Drift 13. Kommunikation 14. System 15. Leverantörer 16. Incidenter 17. Kontinuitet 18. Efterlevnad Ska korrespondera Interna förutsättningar Verksamheter Styrning Behov och mål Informationstillgångar

Externa förutsättningar Informationssäkerhet i samhället Strömningar och trender, standarder och andra ramverk, ny teknik, nya metoder m.m. Rättsliga krav Lagar, förordningar och föreskrifter Befintliga och kommande Behov och förväntningar Vilka är intressenterna? Även informella behov och förväntningar Extern information och hantering Utlagd drift, externt informationsbehov

Interna förutsättningar Vilka verksamheter bedrivs i organisationen? Kärnverksamheter och stödverksamheter Homogen eller heterogen organisation? Hur styrs organisationen? Ledning, styrmodeller, ledningssystem m.m. Informella aspekter kultur, starka personer IT-styrning, säkerhetsstyrning, kvalitetsstyrning Vilka behov och mål finns? Visioner, mål, behov, värdegrunder m.m. Vilka informationstillgångar finns? Information och informationshanterande resurser Vilka är mest kritiska för organisationen och dess intressenter (KRT)? För samhället?

Förutsättningarna grund för arbetet Externa förutsättningar Informationssäkerhetsrisker i samhället Övergripande riskanalys Riskbild/ nulägesnivå Kommunikation till ledning Beslut Handlingsplaner Interna förutsättningar Informationstillgångar GAP-analys

Ledningssystem Uppbyggd struktur för hantering av verksamhetens processer, t.ex. kvalitet, arbetsmiljö, säkerhet Innefattar bl.a. mål, metoder och rutiner Exempel på ledningssystemsstandarder: Kvalitet SS-EN ISO 9001 Kvalitet SS-EN ISO 13485 (medicinska produkter) SS-ISO 22000 (livsmedelssäkerhet) SS-ISO/IEC 27001 (informationssäkerhet) Miljö SS-EN ISO 14000 Arbetsmiljö AFS 2001:1

Ledningssystem för informationssäkerhet LIS På engelska ISMS (Information Security Management System) Beskrivs i standardserien SS-ISO/IEC 27000 Ett verksamhetsorienterat ledningssystem för informationssäkerhet Bygger på ett riskbaserat angreppssätt

Ledningssystem för informationssäkerhet LIS Ett LIS innebär en metodik som syftar till att upprätta, införa, driva, övervaka, granska, underhålla och förbättra organisationens informationssäkerhet. LIS avser alltså inte ett IT-baserat system, men IT kan användas för att stödja delar av ett LIS.

Syfte med ett LIS Externa förutsättningar Informationssäkerhet i samhället Rättsliga krav Behov och förväntningar Extern information Ska korrespondera Hotbild LIS (SS-ISO/IEC 27001:2014) Säkerhetsåtgärder (SS-ISO/IEC 27001:2014 Bilaga A) 5. Policy 6. Organisation 7. Personal 8. Tillgångar 9. Åtkomst 10. Kryptering 11. Fysisk säkerhet 12. Drift 13. Kommunikation 14. System 15. Leverantörer 16. Incidenter 17. Kontinuitet 18. Efterlevnad Tid Interna förutsättningar Ska korrespondera Verksamheter Styrning Behov och mål Informationstillgångar

Syfte med ett LIS Informationssäkerhetsbehovet är dynamiskt, eftersom de externa och interna förutsättningarna ständigt förändras, som hot, teknik, legala krav och organisationers målsättningar och behov Ett LIS innebär ett systematiskt arbetssätt som över tid anpassar informationssäkerheten efter interna och externa förutsättningar och som därigenom upprätthåller en lämplig skyddsnivå

Standardserien ISO/IEC 27000 Två huvudstandarder SS-ISO/IEC 27001:2014 Kravstandard Krav på ledningssystem för informationssäkerhet (LIS) 114 säkerhetsåtgärder i bilaga A Är certifierbar SS-ISO/IEC 27002:2014 Vägledning för införande av säkerhetsåtgärder En mängd andra standarder finns, t.ex: Mätning, revision, riskhantering och incidenthantering

Innehåll i SS-ISO/IEC 27001 Avsnitt Organisationens förutsättningar Ledarskap Planering Stöd Verksamhet Utvärdering av prestanda Förbättringar Innehåll Att förstå organisationen och dess förutsättningar, intressenters behov och förväntningar, ledningssystemets omfattning m.m. Att skapa ledarskap och engagemang, informationssäkerhetspolicy, och att definiera befattningar, ansvar och befogenheter inom organisationen Att vidta åtgärder för att hantera risker och möjligheter, att skapa informationssäkerhetsmål och att planera för att uppnå dessa Att ge förutsättningar för resurser, kompetens, medvetenhet, kommunikation och dokumenterad information Att planera och styra verksamheten, att bedöma och behandla löpande informationssäkerhetsrisker Att övervaka, mäta, analysera och utvärdera informationssäkerhetsarbetet och att genomföra ledningens genomgång Att hantera avvikelser och genomföra korrigerande åtgärder för att nå ständig förbättring

SS-ISO/IEC 27001 och 27002 Bilaga A: Säkerhetsåtgärder Vägledning för införande av säkerhetsåtgärder

Åtgärdsområden i SS-ISO/IEC 27002 (Bilaga A i SS-ISO/IEC 27001) Åtgärdsområde 5 Informationssäkerhetspolicy 6 Organisation av informationssäkerhetsarbetet 7 Personalsäkerhet 8 Hantering av tillgångar 9 Styrning av åtkomst 10 Kryptering 11 Fysisk och miljörelaterad säkerhet 12 Driftsäkerhet 13 Kommunikationssäkerhet 14 Anskaffning, utveckling och underhåll av system 15 Leverantörsrelationer 16 Hantering av informationssäkerhetsincidenter 17 Informationssäkerhetsaspekter avseende hantering av verksamhetens kontinuitet 18 Efterlevnad

Några standarder i 27000-serien Standard SS-ISO/IEC 27000:2014 SS-ISO/IEC 27001:2014 SS-ISO/IEC 27002:2014 SS-ISO/IEC 27003:2010 SS-ISO/IEC 27004:2010 SS-ISO/IEC 27005:2013 Innehåll Översikt och terminologi Krav på ledningssystem för informationssäkerhet Vägledning för införande av säkerhetsåtgärder Vägledning för ledningssystem för informationssäkerhet Mätning av informationssäkerhet Hantering av informationssäkerhetsrisker SS-ISO/IEC 27006:2015 Krav på certifieringsorgan (certifiering av 27001) SS-ISO/IEC 27007:2011 SS-ISO/IEC 27017:2015 ISO/IEC 27031:2011 SS-ISO/IEC 27035:2012 SS-ISO/IEC 27036-1:2014 SS-ISO/IEC 27036-2:2014 SS-ISO/IEC 27036-3:2014 Revision av ledningssystem för informationssäkerhet Säkerhetsåtgärder för molntjänster Avbrottshantering IT Hantering av informationssäkerhetsincidenter Informationssäkerhet vid leverantörsrelationer Översikt och begrepp Informationssäkerhet vid leverantörsrelationer Allmänna krav Informationssäkerhet vid leverantörsrelationer Riktlinjer för informations- och kommunikationssäkerhet i leverantörskedjor

Andra standarder och ramverk COBIT ITIL NIST Metodstöd på informationssäkerhet.se Samfi-myndigheterna (MSB, Försvarsmakten, FRA, FMV, PTS, Polismyndigheten, Säpo)

Fördelar med etablerade ramverk Ordning och reda Best practice Nyttjande av andras erfarenheter Transparens Underlättar att uppvisa, t.ex. vid revisioner Känd terminologi och arbetssätt Underlättar vid rekrytering, anlitande av konsulter, utbildning osv.

Informationsklassning Grundbult i informationssäkerhetsarbetet Syfte: Att ge skilja ut kritisk information och ge denna ett högre skydd Säkerhetsåtgärder ska baseras på hur informationen är klassad Konfidentialitet, riktighet, tillgänglighet Informationen i fokus System och IT-infrastruktur kan klassas på basis av vilken information som hanteras

Modell för informationsklassning Det bör finnas en gemensam modell för informationsklassning i organisationen Modellen bör utgå från rekommendationer från MSB och/eller i sektor/bransch Modellen måste anpassas till den egna organisationen

Modell för informationsklassning - Exempel från Örebro kommun Kravnivå Konfidentialitet Riktighet Tillgänglighet 2Höga skyddskrav Konfidentiell inf ormation som, om den sprids till obehöriga, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer eller indiv ider Inf ormation som, om den ej är riktig och f ullständig, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer eller indiv ider Inf ormation som, om den ej är tillgänglig, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer eller indiv ider 1 Normala skyddskrav Intern inf ormation som, om den sprids till obehöriga, kan medf öra måttliga negativ påv erkan på Örebro kommun, externa aktörer eller indiv ider Inf ormation som, om den ej är riktig och f ullständig, kan medf öra måttlig negativ påv erkan på Örebro kommun, externa aktörer eller indiv ider Inf ormation som, om den ej är tillgänglig, kan medf öra måttlig negativ påv erkan på Örebro kommun, externa aktörer eller indiv ider 0 Inga skyddskrav* Öppen inf ormation som kan spridas f ritt inom och utom Örebro kommun *Krav finns alltid att information ska vara riktig och tillgänglig!

Exempel på informationsklassning Informationstyp Konfidentialitet Riktighet Tillgänglighet Verksamhetsplan 0 1 1 Personalregister 1 1 1 Patientjournal 2 2 2 Krisplan 1 2 2

Krav på säkerhetsåtgärder Exempel Skyddsnivå/aspekt Konfidentialitet Riktighet Tillgänglighet 2. Höga skyddskrav Krypterad lagring och kommunikation 1. Normala skyddskrav Behörighetsstyrda åtkomsträttigheter till filareor osv. Stark autentisering Användarnamn och lösenord 0. Inga skyddskrav Inga N/A N/A Redundanta system Backuper dygnsvis För medarbetare brukar man endast ha regler kopplade till konfidentialitet

Informationsklassning vs riskanalys Informationsklassning: fokus på konsekvenser Sannolikhet svår att bedöma okända hot osv. Informationsklassning = kommunikationsmodell Gemensam kravbild i hela organisationen och gentemot externa aktörer Klassningsnivåer, skyddskrav, och hur information klassas bör baseras på en övergripande riskanalys Lokala riskanalyser kan motivera lägre eller högre skyddskrav

Konfidentiell inf ormation som, om den sprids till obehöriga, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer eller individer Intern inf ormation som, om den sprids till obehöriga, kan medf öra måttliga negativ påv erkan på Örebro kommun, externa aktörer eller individer Öppen inf ormation som kan spridas f ritt inom och utom Örebro kommun Inf ormation som, om den ej är riktig och f ullständig, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer eller individer Inf ormation som, om den ej är riktig och f ullständig, kan medf öra måttlig negativ påv erkan på Örebro kommun, externa aktörer eller individer Inf ormation som, om den ej är tillgänglig, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer eller indiv ider Inf ormation som, om den ej är tillgänglig, kan medf öra måttlig negativ påv erkan på Örebro kommun, externa aktörer eller individer *Krav finns alltid att information ska vara riktig och tillgänglig! Informationsklassning vs riskanalys Externa förutsättningar Informationssäkerhetsrisker i samhället 2 1 0 Kravnivå Konfidentialitet Riktighet Tillgänglighet Höga skyddskrav Normala skyddskrav Inga skyddskrav* Säkerhetsåtgärder kopplade till informationsklasser. Entydigt regelverk utan om och men Övergripande riskanalys Riskbild/ nulägesnivå Val av säkerhetsåtgärder Riktlinjer och instruktioner - Normala eller höga skyddskrav Interna förutsättningar Informationstillgångar GAP-analys Separering av åtgärder i nivåer främst beroende på konsekvens för KRT 1. Sannolikhet svår att bedöma (okända hot osv. 2. Majoriteten kan härledas från krav (interna och externa) Riskanalyser Dispenser Specifika verksamheter, miljöer, händelser osv.

Principer för styrning Reglering Stöd Uppföljning Styrande dokument, t.ex.: Policyer Riktlinjer Instruktioner Material och insatser, t.ex.: Metoder Vägledningar Utbildningar Deltagande i projekt m.m. Kontroll av efterlevnad, t.ex.: Granskningar Revisioner Säkerhetstester

Styrande dokument - hierarki Varför (även övergripande vad och hur) Vad (även övergripande hur) Hur Policy Riktlinjer Anvisningar Instruktioner Ansvar och roller (vem) bör finnas på alla nivåer Struktur måste anpassas till den egna organisationen

Informationssäkerhetspolicy Ska uttrycka ledningens viljeinriktning Specifik för den egna organisationen Inte bara allmänna klyschor Övergripande mål, ansvar och principer Måste ta hänsyn till övriga mål Ska kommuniceras i hela organisationen och till externa intressenter Kan ingå i en övergripande säkerhetspolicy men ej IT-policy el.motsv.

Struktur informationssäkerhetspolicy - Exempel Örebro kommun Om denna informationssäkerhetspolicy Om informationssäkerhet Kort introduktion, definitioner Mål med informationssäkerhet Anknytning till kommunens mål Principer och arbetssätt T.ex. systematiskt arbete utifrån standarder Roller och ansvar Uppföljning och rapportering

Riktlinjer för informationssäkerhet Övergripande regelverk Bör ta utgångspunkt i SS-ISO/IEC 27002 Bör vara anpassad till mottagarna Kan behöva indelas utifrån funktioner, t.ex. medarbetare, IT, och verksamheter Kan konkretiseras/kompletteras Med vägledningar, metoder, instruktioner T.ex. för områden, system eller avdelningar

Riktlinjer för informationssäkerhet - Exempel Örebro kommun Kapitel Innehåll Målgrupper Stödmaterial (Internt och externt) Inledning Omfattning, struktur m.m. Introduktion till infosäk Dispenser Alla medarbetare Kapitel A Informationssäkerhet för medarbetare Medarbetares ansvar Informationsklasser Åtta avsnitt utifrån DISA (A1 A8) Alla medarbetare Externa som kommer åt informationstillgångar E-utbildning Intranät Instruktioner Kapitel B Styrning av informationssäkerhet Övergripande organisation, roller och ansvar Sju avsnitt om hur informationssäkerhet styrs i kommunen (B1 B7) Roller som deltar i infosäkarbete Roller med verksamhetsansvar Standarder Mtrl. från MSB Litteratur, forskning m.m. Kapitel C Informationssäkerhet i verksamhetsnära förvaltning Roller och ansvar Åtta områden inkl. klassning av information och objekt (C1 C8) Roller i verksamhetsnära förvaltning: objektägare, förvaltningsledare m fl. Metoder Vägledningar Kapitel D Informationssäkerhet i IT-miljön Roller och ansvar Tio avsnitt utifrån kapitel i 27002 med IT-inriktning (D1 D10) Chefer och medarbetare på IT-avdelningen Roller i IT-nära förvaltning Standarder Vägledningar Instruktioner Kravkatalog

Styrning av informationssäkerhet och annan säkerhet Kan vara lämpligt att integrera Beroende på organisationens inriktning Antal styrande dokument bör minimeras Vad som helst går att styra med ett LIS Finns organisationer som har ett övergripande säkerhetsledningssystem Kontinuitetshantering har en ledningssystemsstandard (SS-ISO 22301)

Uppföljning Granskningar, kontroller och revisioner Vad man följer upp LIS Säkerhetsåtgärder Medarbetares efterlevnad Hur man följer upp Självkontroll Observationer Tekniska tester, t.ex. penetrationstester

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss