Företagsledningen och informationssäkerheten



Relevanta dokument
Informationssäkerhet nyckeln till nya affärer

Informationssäkerhetspolicy

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Informationssäkerhetspolicy inom Stockholms läns landsting

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhetspolicy

Policy för informationssäkerhet

Bilaga till rektorsbeslut RÖ28, (5)

Svensk Standard SS ISO/IEC SS

Informationssäkerhetspolicy

Administrativ säkerhet

1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhetspolicy för Ånge kommun

Koncernkontoret Enheten för säkerhet och intern miljöledning

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799

Informationssäkerhetspolicy KS/2018:260

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Informationssäkerhetspolicy för Ystads kommun F 17:01

Riktlinjer informationssäkerhet

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Vilket mervärde ger certifiering dig?

Informationssäkerhetspolicy

IT-säkerhetspolicy för Landstinget Sörmland

Informationssäkerhetspolicy. Linköpings kommun

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Bilaga 3 Säkerhet Dnr: /

Ledningssystem för Informationssäkerhet

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Ledningssystem för Informationssäkerhet

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhet, Linköpings kommun

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Regler och instruktioner för verksamheten

Informationssäkerhetspolicy för Umeå universitet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Riktlinjer för IT-säkerhet i Halmstads kommun

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Policy för användande av IT

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Skydd mot stöld av datorutrustning

Policy för informations- säkerhet och personuppgiftshantering

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Informationssäkerhetspolicy IT (0:0:0)

ISO/IEC och Nyheter

Riskhantering & Informationssäkerhet. Agneta Syrén Säkerhetschef/Informationssäkerhetschef Länsförsäkringar AB

Informationssäkerhetspolicy för Katrineholms kommun

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Informationssäkerhet i. Torsby kommun

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Myndigheten för samhällsskydd och beredskaps författningssamling

Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare;

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Kommunens författningssamling

Riktlinje för informationssäkerhet

Informationssäkerhetspolicy

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Informations- säkerhet

Välkommen till enkäten!

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Riktlinje för säkerhetsarbetet i Norrköpings kommun

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

SIS tre produktområden

Policy för informationssäkerhet

Policy och strategi för informationssäkerhet

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

FÖRHINDRA DATORINTRÅNG!

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Sammanfattning av riktlinjer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Kapitel 6 Organisation av informationssäkerheten

Rutiner för fysisk säkerhet


Fortsättning av MSB:s metodstöd

Hur värnar kommuner digital säkerhet?

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

POLICY INFORMATIONSSÄKERHET

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Revidering av policy och regler för informationssäkerhet i Stockholms stad

Finansinspektionens författningssamling

Transkript:

Företagsledningen och informationssäkerheten Ledningssystem för informationssäkerhet

Innehåll: sidan Introduktion 3 Vad är informationssäkerhet? 4 Varför är informationssäkerhet viktigt för mig? 5 Hur ska jag bäst angripa säkerhetsfrågorna? 6 Vilken funktions- och ansvarsfördelning bör gälla? 8 Hur mycket säkerhet behöver jag? 9 Hur tar jag fram en policy för säkerheten? 11 Vilka säkerhetslösningar finns? 12 Vad är en certifiering? 14 Informationssäkerhetspolicy, exempel 15 Var kan jag få mer information? 16 Deltagare i projekt Ledningsystem för informationssäkerhet, LIS I projektet deltar ett 30-tal intressenter i form av företag, myndigheter och organisationer. Projektdeltagare i november 1999 är: ABB, Acando AB, Arthur Andersen, AU-System, Bizit International Group, Bull AB, BVQI, Cap Gemini Sverige AB, Computer Security Nordic AB, DNV Certification AB, Enator Telub, Ernst & Young, Folksam, Försvarets materielverk, Guide Communicator AB, Infosec, KPMG, LAN International AB, Lindbergs Grant Thornton AB, Ludvika kommun, Perstorp AB, Price Waterhouse Coopers, Protect Data AB, Reisswolf, SAF/NSD, SEMKO-DEKRA Certification AB, Sigma CC AB, SIS Forum, SIS-SAQ, Site Security, Statskontoret, Svenska Stöldskyddsföreningen, Sveriges Provnings- och forskningsinstitut, SWEDAC, Telia, WM-Data Ledningssystem för informationssäkerhet Originalets titel: The Business Manager s Guide to Information Security Översättning med tillstånd av: DTI, Department of Trade and Industry, Storbritannien Översättning: Thomas Osvald Produktion och grafisk form: STG, Anette Karlsson Tryckning: Stellan Ståls Grafiska Innehållet i denna skrift får återges med uppgivande av källa 2

Den här skriften är en introduktion till informationssäkerhet för företagsledningen Introduktion Avsikten är att ge dig i ledande ställning underlag för att initiera informationssäkerhetsfrågorna. Först beskrivs vad informationssäkerhet är och varför det är viktigt för företagsledningen. Därefter tar vi upp hur du förverkligar säkerheten, hur du tar fram en informationssäkerhetspolicy och vilka säkerhetsfunktioner och ansvarsfrågor som bör övervägas. Skriften behandlar också hur du ska fastställa säkerhetskraven och hur du kommer fram till lämpliga säkerhetslösningar. Slutligen ges råd om var du kan få mer information. Även om du inte tidigare har funderat särskilt över säkerhetsfrågorna så kommer du att känna igen dig i vår framställning. På många sätt liknar företagets informationsskydd nämligen det sätt på vilket du skyddar värdefulla dokument och föremål i ditt hem och den jämförelsen har vi tillämpat genomgående. När du läst den här skriften kommer du att se vilka åtgärder du måste vidta för att vara säker på att företagets information har ett bra skydd. 3

Vad är informationssäkerhet? I affärsvärlden kan rätt information vid rätt tidpunkt innebära skillnaden mellan vinst och förlust, framgång och misslyckande. Informationssäkerhet bidrar till att säkra och skydda informationen mot oavsiktlig eller uppsåtlig ändring, utplånande och mot obehörigt avslöjande. I standarden definieras informationssäkerhet i termerna: Tillgänglighet Att behöriga användare har tillgång till de resurser de är behöriga till i rätt tid och omfattning. Riktighet Att information inte obehörigt ändras eller modifieras. Sekretess Att endast behöriga användare kommer åt den information som finns i informationssystemen. Även spårbarhet i systemet är en viktig komponent när det gäller informationssäkerhet. Vilken information ska skyddas? Information förekommer i bl. a. följande former: talad (även i telefon) tryckt och skriven på papper faxmeddelanden lagrad i datorer, inklusive webb och intranät sänd och mottagen via nät lagrad på band eller skivor telex e-post lagrad i databaser lagrad på microfilm eller -fiche presenterad på overhead andra metoder att kommunicera humankapital Alla tillämpar vi någon form av informationssäkerhet. Hemma säkerställer vi t.ex. att kontrakt och försäkringsbrev förvaras skyddat så att de finns tillgängliga när vi behöver dem. Ditt företags information förtjänar samma omsorg. 4

Information är idag en central tillgång i all affärsverksamhet, den kan vara nyckeln till företagets tillväxt och framgång. Att sprida och utnyttja information är något som ökar i all affärsverksamhet och som blir allt viktigare. Företagets information är en nyckeltillgång av stort värde. Varför är informationssäkerhet viktigt för mig? Informationens tillgänglighet, riktighet och sekretess kan vara kritisk för företagets fortsatta framgång. Informationssäkerheten kan hotas på flera sätt, både genom externa och interna hot. Resultatet när något händer kan bli mycket allvarligare än man först kanske tror. Förlusten av kritisk affärsinformation kan direkt påverka konkurrensförmåga och kassaflöde, den kan också fördärva företagets rykte och kan få långvariga, skadliga effekter. Självklart behöver även sådan information som företaget utnyttjar gemensamt med andra organisationer skyddas väl. Traditionellt utbyte av skrivna dokument via post har delvis ersatts av fax och i dag övergår allt flera företag till att utbyta information via sina datorer, t.ex. med e-post. Elektronisk handel mellan organisationer ökar också. Användningen av Internet som ett centralt verktyg i affärsprocessen medför helt nya säkerhetsrisker. Det händer inte mig Tyvärr gör det ändå det, vilket ett stort och ökande antal företag kan konstatera av egen bitter erfarenhet. I en undersökning gjord av RRV (RRV 1997:33) för perioden 1995-1996, beräknades kostnaderna för datorrelaterade brott och missbruk inkl. stöld av hårdvara uppgå till ca 350 miljoner kr. I samma undersökning uppgår genomsnittskostnaden till 549 tkr för varje databrott (exkl. virusskador och stöld av hårdvara). Vi skyddar självklart vårt hus och våra värdesaker från intrång, stöld och förstörelse. Ditt företags information förtjänar samma skydd. 5

Hur ska jag bäst angripa säkerhetsfrågorna? Det bästa sättet att uppnå bra informationssäkerhet är att använda ett strukturerat angreppssätt som tar hänsyn till företagets särskilda säkerhetskrav. På så sätt kan du koncentrera dig på det som är viktigast. En svensk standard, SS 62 77 99 Ledningssystem för informationssäkerhet, har nyligen antagits av Standardiseringen i Sverige, SIS. Den är en översättning av en brittisk standard, BS 7799, Code of practice for Information Security Management. Standarden tillämpas redan i många länder och användningen ökar snabbt. Standarden omfattar ett antal åtgärdsområden som tillsammans representerar det bästa av modern informationssäkerhetspraxis. Syftet är att standarden ska utgöra en gemensam grund för företagens informationssäkerhet och därmed ge företag och organisationer möjlighet att tydliggöra hur väl de skyddar sitt informationskapital. Ett sådant tydliggörande utgör en förutsättning för att skapa ett förtroende hos dem som kommunicerar, tar del av och utnyttjar gemensam information. SS 62 77 99 omfattar ett stort antal åtgärder grupperade under tio rubriker: Säkerhetspolicy Säkerhetsorganisation Klassificering och kontroll av tillgångar Personal och säkerhet Fysisk och miljörelaterad säkerhet Styrning av kommunikation och drift Styrning av åtkomst Systemutveckling och -underhåll Avbrottsplanering Efterlevnad av lagar och avtal Inom vissa särskilt viktiga eller känsliga affärsområden kan finnas skäl att därutöver införa ytterligare styrmedel och säkerhetsåtgärder. Vi skyddar våra hem och bilar på ett systematiskt sätt, med dörr- och fönsterlås, kanske också larmsystem. Vi tänker igenom riskerna och vidtar relevanta skyddsåtgärder. Skyddet av företagets information kräver ett motsvarande tillvägagångssätt. 6

Skriv säkerhetspolicy Ge en tydlig inriktning och visa ditt stöd för informationssäkerhetsarbetet genom att skriva ett policydokument och tillse att all personal får ta del av det. Sätt upp en säkerhetsorganisation Bilda ett ledningsorgan för att införa säkerheten. Beroende på företagets storlek kan du behöva inrätta ledningsgrupper för att godkänna riktlinjer, fördela arbetsuppgifter och ansvar och koordinera införandet av säkerhetsåtgärder. Du kan också behöva etablera en specialfunktion i företaget. Gör en riskanalys Det måste råda balans mellan kostnaderna för säkerheten å ena sidan och värdet av de tillgångar som skall skyddas och konsekvenserna av att misslyckas å den andra. Gör en riskbedömning för att bestämma vilka kontroller som behövs och prioriteringen i införandet av dem. Inför säkerheten Inför säkerhetsåtgärder enligt SS 62 77 99. Tänk igenom vilken vägledning som de anställda behöver. Olika kategorier kan ha olika krav, problem och prioriteter beroende på roller och IT-miljö. Befattningsbeskrivningar med individuella riktlinjer kan behöva upprättas. Klassificering och kontrollering av tillgångar Personal och säkerhet Fysisk och miljörelaterad säkerhet Styrning av kommunikation och drift Styrning av åtkomst Systemutveckling och -underhåll Avbrottsplanering Efterlevnad av lagar och avtal Utbilda personalen Gör ett lämpligt utbildningsprogram om informationssäkerhet för de anställda och säkerställ att alla användaare är övade i korrekt och säker användning av IT-resurserna. Kontrollera efterlevnaden Se till att din informationshantering regelbundet granskas mot säkerhetspolicyn, gällande normer och andra regler. Nu har du fått ordning i ditt eget hus hur står det till hos din affärspartner? 7

Vilken funktionsoch ansvarsfördelning bör gälla? För en effektiv informationssäkerhet är det viktigt att alla säkerhetsrelaterade roller definieras. Alla medarbetare ska veta vilka som har dessa roller och vad ansvaret omfattar. Ett effektivt säkerhetsarbete uppnås genom att ansvarsområden definieras och fördelas på namngivna medarbetare. Ansvarsområden kan definieras olika beroende på företagets eller organisationens storlek och inriktning. I vissa verksamheter kan ansvaret för informationssäkerhet fördelas på flera personer i ledande befattning. I andra fall kan stora företag behöva flera anställda för att kunna klara informationssäkerhetschefens uppgifter. Företagsledning bekräftar med sina underskrifter formellt företagets informationssäkerhetspolicy. Chefer ansvarar för att deras information får tillräckligt skydd. Medarbetare följer de regler som anges i företagets informationssäkerhetspolicy. Informationssäkerhetschef utvecklar, inför och granskar periodiskt företagets informationssäkerhetspolicy och rutiner. Säkerhetsorganisationen ska betraktas som en stödfunktion till företagets affärsverksamhet. Ett effektivt skydd av våra hem kräver att någon påtar sig ansvaret för säkerheten, t.ex. att tillräckliga hus- och hemförsäkringar finns. På motsvarande sätt måste någon i företaget ansvara för att företagets information får tillräckligt skydd. 8

Otillräckliga säkerhetsåtgärder och rutiner kan leda till incidenter medan överdriven säkerhet blir onödigt dyr och tidskrävande. Affärsrisker är en del av företagsledarens dagliga liv. Att ta affärsrisker syftar ytterst till att skydda företaget och dess tillgångar. Informationssäkerhetsrisker kan bedömas på motsvarande sätt med syfte att skydda mot oönskade händelser. En riskanalys möjliggör kloka investeringsbeslut och garanterar att affärsverksamhetens krav tillgodoses. Hur mycket säkerhet behöver jag? Rimligtvis är det viktigaste ledet i riskanalysen realistisk uppskattning av värdet av de tillgångar som ska skyddas. Vet du, t.ex., som företagsledare hur mycket den information som en säljare bär med sig i sin portabla dator verkligen är värd för företaget? När du bedömer risker måste du räkna in inte bara kostnaden för att ersätta till exempel en stulen PC utan också för att återskapa information som kan gå förlorad. Du kanske också måste bedöma skador som kan orsakas av utomståendes och anställdas missbruk av den information som gått förlorad. Efter att informationen värderats måste man bedöma vad som i värsta fall kan inträffa. Vad skulle det t.ex. betyda för säljaren om informationen på hans portabla dator inte längre är tillgänglig. 9

En av de rysare som du måste tänka på är om konfidentiell företagsinformation hamnar hos konkurrenter eller media. Det är alltså nödvändigt att sätta ett värde på detta, helst i kronor och ören. Det blir både ett mått på hur värdefull informationstillgången är för företaget och en vägledning för vilken skyddsnivå som krävs. I nästa steg krävs en bedömning av sannolika hot, t.ex. elavbrott, stöld eller brand. Med utgångspunkt från dessa uppgifter kan du bedöma lämplig säkerhetsnivå för att skydda informationstillgångarna. Elektronisk handel mellan t.ex. ett företag och underleverantörer medför också ett krav att bedöma riskerna i underleverantörens system. Med kännedom om riskerna är det lättare att ta riktiga och effektiva beslut. Innan du beslutar dig för att installera ett inbrottslarm i din bostad gör du en riskanalys. Du börjar med att gå igenom vilka tillgångar som ska skyddas och deras värde (för dig). Sedan bedömer du hoten från tjuvar och vandaler. Slutligen tar du ett beslut om vad som måste göras för att få lämpligt skydd. Riskanalys behövs också för att ge företagsinformationen lämpligt skydd. 10

Informationssäkerhetspolicyn är företagsledningens instrument för att klart ange inriktningen och visa sitt engagemang för informationssäkerheten. Policyn bör ses som ett komplement till företagets affärsplan och ge uttryck för företagets önskan att arbeta på ett välkontrollerat och säkert sätt. Hur tar jag fram en policy för säkerheten? Som ett minimum bör policyn innefatta vägledning inom följande områden: Informationssäkerhetens betydelse för affärsverksamheten Ett uttalande från företagsledningen till stöd för informationssäkerhetens mål och principer Särskilda uttalanden till stöd för minimistandarder och krav på efterlevnad till exempel: Vad som gäller enligt lagar, förordningar och avtal säkerhetsmedvetande och kunskapskrav upptäckt av och skydd mot datavirus avbrottsplanering. Definition av ansvar och befogenheter inom informationssäkerhetsområdet Rutiner för rapportering av misstänkta incidenter 11

Vilka säkerhetslösningar finns? Frågor om risk och sårbarhet behandlades i avsnittet Hur mycket säkerhet behöver jag? Här ger vi råd om hur olika säkerhetsåtgärder kan bidra till att minska sårbarheten. En bra utgångspunkt för säkerhetsarbetet är de här särskilt viktiga kontrollerna i SS 62 77 99. Börjar du med dessa har du kommit en bra bit på väg att få bra säkerhetslösningar. Informationssäkerhetspolicy Föregående avsnitt Hur tar jag fram en policy för säkerheten? omfattar råd för att ta fram bra riktlinjer. Ansvarsfördelning Detta behandlas i avsnittet Vilken funktions- och ansvarsfördelning bör gälla?. Utbildning Alla användare, inklusive företagsledande personer, ska ha lämpligt avpassad informationssäkerhetsutbildning. Förutom att behandla de olika kontrollerna och rutinerna ska du se till att personalen har förstått att säkerhet är viktigt, vilka riktlinjer som gäller och vars och ens ansvar. Incidentrapportering Vägledning behövs i fråga om hur man ska handla vid incidenter, bl.a. hur de ska rapporteras. Dessa frågor ska behandlas i informationssäkerhetspolicyn och utbildningen. Viruskontroll Viruskontrollen har två aspekter. Den ena är att inte tillåta användning av icke licensierad och godkänd programvara. Den andra är att installera och underhålla anti-virusprogram från en välkänd leverantör. 12

Avbrottsplanering Företaget behöver ta fram och underhålla rutiner att användas vid avbrott. Genom riskanalysen som diskuterades under avsnittet Hur mycket säkerhet behöver jag? har de väsentliga företagsfunktionerna identifierats, som måste kunna hållas i gång efter en katastrofartad händelse. Kontroll av programkopiering Du måste säkerställa att lagregler om skydd av upphovsrättsskyddad programvara är kända och följs av personalen. Riktlinjer för personalens efterlevnad av licensregler ska finnas. Lagar och avtal Lagar du behöver ta hänsyn till är till exempel: Lagen om skydd för företagshemligheter Personuppgiftslagen Sekretesslagen Regler för lagarnas efterlevnad ska finnas. Gällande avtal med kunder och leverantörer ska beaktas. Säkerhetspolicyns efterlevnad Det är nödvändigt att regelbundet kontrollera att policyn efterlevs. Riktlinjerna i policyn är av övergripande natur och måste kompletteras med anvisningar för hur de ska tillämpas i det dagliga arbetet. Underlåtenhet att följa företagets informationssäkerhetspolicy bör medföra påföljd. Om riskanalysen i ditt hem har identifierat en hög risknivå när ingen är hemma kan du besluta dig för att installera ett inbrottslarm. Du måste bestämma vilken omfattning och utformning av larm som krävs och finna en tillförlitlig leverantör som kan leverera det avsedda systemet till rätt pris. På motsvarande sätt ska i företaget principerna för riskanalys vara vägledande vid bedömning av lämplig skyddsnivå. 13

Vad är en certifiering? Dagens affärssystem, tjänster och produkter blir alltmer komplexa. Detta har skapat ett behov av pålitliga system som garanterar att leverantören upprätthåller rätt kvalitet, det vill säga överenstämmelse mellan löften som ges till kunder och den tjänst som företaget levererar. Industri- och tjänstesektor efterfrågar idag ofta verifiering av en opartisk (tredje part) att dess ledningssystem uppfyller relevanta krav. I många fall är verifieringen frivillig och kan utgöra en viktig del av företagets utveckling och marknadsföring. I andra fall fordras emellertid denna verifiering av nationella eller internationella myndigheter, försäkringsbolag eller av kunden. Med ett certifikat verifieras av en oberoende part att ledningssystemet uppfyller standardens krav. Årliga revisioner ger förutsättningar för att ledningssystemet bibehåller sina relevanta omfattning. Ekonomiskt perspektiv Ur ekonomisk synpunkt är det mycket fördelaktigt att inneha ett ledningssystem för informationssäkerhet som uppfyller de krav som framgår av standarderna. Målet att få en större andel nöjda kunder till en lägre kostnad är ett nog så viktigt argument. Den som infört ett ledningssystem önskar ofta detta certifierat för att på ett förtroendeingivande sätt kunna marknadsföra sig. Företaget får även ett bra instrument för att mäta sin säkerhetsnivå. Ackreditering Ackreditering innebär ett formellt erkännande att ett organ (laboratorium, certifieringsorgan, besiktningsorgan etc) är kompetent att utföra specificerade provningar, kalibreringar, mätningar, certifieringar o.s.v. 14

Informationssäkerhetspolicy exempel Mål Målsättningen med informationssäkerheten är att säkerställa företagets verksamhet mot avbrott och minska skador på företaget genom att förebygga och minimera verkan av oönskade händelser. Policy Avsikten med denna policy är att skydda företagets informationstillgångar 1 mot alla hot interna eller externa, avsiktliga eller oavsiktliga. Verkställande direktören har godkänt och ställer sig bakom denna informationssäkerhetspolicy. Det är företagets policy att Informationen skall skyddas mot obehörig åtkomst. Informationens sekretess skall säkerställas. 2 Informationens riktighet skall säkerställas. 3 Informationens tillgänglighet skall säkerställas. Fotnoter: 1. Information förekommer i många former data lagrade i datorer, överförda via nät, tryckta, lagrade på band och disketter eller muntligt framförda direkt mellan personer eller via telefon. 2. Här avses skydd mot otillåtet avslöjande. 3. Avser informationens korrekthet och fullständighet och dess skydd mot obehörig modifiering. 4. Avser bland annat: Personuppgiftslagen, Lagen om skydd för företagshemligheter, skydd mot icke auktoriserad kopiering av programvara m.m. 5. Säkerställer att information och viktiga företagsfunktioner finns på plats och är tillgängliga när användarna behöver dem. 6. Detta kan vara en hel- eller deltidsuppgift för den utsedde personen. Krav i lagar och avtal skall uppfyllas. 4 Avbrottsplan skall upprättas, underhållas och testas. 5 Utbildning i informationssäkerhet skall ges alla anställda. Alla säkerhetsincidenter, konstaterade eller misstänkta, skall rapporteras till och undersökas av informationssäkerhetschefen. 6 Företaget skall ta fram regler till stöd för denna policy. De bör bl.a. omfatta viruskontroll, lösenordshantering och kryptering. Verksamhetens krav på informationen och informationssystemens tillgänglighet skall tillgodoses. Funktionen och ansvaret för att leda informationssäkerhetsarbetet tilldelas informationssäkerhetschefen. 6 Informationssäkerhetschefen har det direkta ansvaret för att vidmakthålla denna policy och att ge råd och vägledning för dess införande. Alla chefer är direkt ansvariga för att denna policy följs inom sina respektive ansvarsområden och för sin personals efterlevnad av den. Det är varje anställds ansvar att efterleva denna policy. Underlåtenhet kan medföra påföljd. Underskrift Titel Datum Policyn skall revideras på informationssäkerhetschefens initiativ normalt ett år efter dess undertecknande. 15

Var kan jag få mer information? Om du behöver veta mer om informationssäkerhet kan följande källor rekommenderas: Följande publikationer finns att köpa från SIS Förlag eller SIS Forum, tfn 08-610 30 00 eller e-postadress sis.sales@sis.se. SS 62 77 99-1 Ledningssystem för informationssäkerhet Denna del av standarden innehåller förklarande text och är avsedd för den som skall bygga upp ett ledningssystem för informationssäkerhet. SS 62 77 99-2 Specifikation för ledningssystem för informationssäkerhet Denna del av standarden innehåller specifikationer för den som vill införa ett ledningssystem enligt standarden. DISC PD 3000 Information Security Management: An introduction Översikt av certifieringsordningen enligt BS 7799. DISC PD 3001 Preparing for BS 7799 certification Handbok för den som avser att certifiera sitt informationssäkerhetssystem mot BS 7799. DISC PD 3002 Guide to BS 7799 Risk assessment and Risk Management Handbok för den som vill sätta sig in i riskbedömning och riskhantering kopplat till certifiering mot BS 7799. DISC PD 3003 Are you ready for a BS 7799 audit? Informationsskrift för den som förbereder certifiering enligt BS 7799. DISC PD 3004 Guide to BS 7799 Auditing Handbok för auktoriserade certifieringsorgan. DISC PD 3005 Guide on the selection of BS 7799 controls Handbok för stöd vid införande av BS 7799. Ytterligare exemplar av denna skrift kan beställas från SIS Forum AB på telefon 08-610 31 40 eller hämtas som PDF-dokument på www.sis.se/forum. Om du vill följa utvecklingen inom området så använd projektets webb www.stg.se/projekt/lis och anmäl dig till LIS User Club där. Stellan Ståls Grafiska 1999

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss