1 (7) Arbetsgången enligt BITS-konceptet

Relevanta dokument
Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

IT-säkerhetspolicy Instruktion Kommunfullmäktige. Senast reviderad Beskriver IT-säkerhetarbetet.

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhetspolicy

Dnr

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Regler och instruktioner för verksamheten

Organisation för samordning av informationssäkerhet IT (0:1:0)

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy för Ånge kommun

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Informationssäkerhetspolicy

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Informationssäkerhetspolicy

IT-Säkerhetsinstruktion: Förvaltning

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning Definition Omfattning Mål för IT-säkerhetsarbetet... 2

Informationssäkerhetspolicy

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhetspolicy för Katrineholms kommun

Informationssäkerhetspolicy IT (0:0:0)

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

Bilaga till rektorsbeslut RÖ28, (5)

IT-säkerhetspolicy. Fastställd av KF

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Informationssäkerhetspolicy

Informationssäkerhetspolicy. Linköpings kommun

IT-säkerhetsinstruktion Förvaltning

1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhetsanvisningar Förvaltning

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Nässjö kommun

IT-Säkerhetspolicy för Munkfors, Forshaga, Kils och Grums kommun

Informationssäkerhetspolicy

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Policy för informationssäkerhet

Informationssäkerhetspolicy KS/2018:260

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Ledningssystem för Informationssäkerhet

Hantering av behörigheter och roller

UTKAST. Riktlinjer vid val av molntjänst

Policy för informationssäkerhet

RIKTLINJER FÖR IT-SÄKERHET

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

POLICY INFORMATIONSSÄKERHET

Informationssäkerhetspolicy

Riktlinjer för IT och informationssäkerhet - förvaltning

Informations- och IT-säkerhet i kommunal verksamhet

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Ledningssystem för Informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

Informationssäkerhetspolicy för Ystads kommun F 17:01

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Policy och strategi för informationssäkerhet

Informationssäkerhetspolicy för Umeå universitet

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Informationssäkerhetsinstruktion: Användare

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Riktlinjer för IT-säkerhet i Halmstads kommun

Ansvar och roller för ägande av information samt ägande och förvaltande av informationssystem i Umeå kommun

Informationssäkerhetspolicy inom Stockholms läns landsting

Riktlinjer. Informationssäkerhet och systemförvaltning

Grundläggande IT-strategi för Falkenbergs kommun Kommunledningskontoret IT-avdelningen

IT-säkerhetspolicy. Finspångs kommun Finspång Telefon Fax E-post: Webbplats:

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Informationssäkerhet i. Torsby kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Svar på revisionsskrivelse informationssäkerhet

Myndigheten för samhällsskydd och beredskaps författningssamling

Policy för informationssäkerhet

IT-plan för Söderköpings kommun

Informationssäkerhetspolicy för Vetlanda kommun

Informationssäkerhetspolicy

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Informationssäkerhetspolicy

Informationssäkerhet Riktlinje Förvaltning

Riktlinjer för säkerhetsarbetet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Välkommen till enkäten!

Konsekvensutredning för föreskrift om krav på informationssäkerhet

Sitic. Informationssäkerhetspolicy. Om detta dokument. Förebyggande Råd från Sveriges IT-incidentcentrum. Om Förebyggande Råd från Sitic

Riktlinjer för styrdokument Dnr 1-306/2019. Gäller fr.o.m

Vad vill MSB? Information till alla medarbetare om verksamheten 2014 med utgångspunkt i det vi vill uppnå i samhället

Rikspolisstyrelsens författningssamling

Riktlinjer för informationssäkerhet

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhetsinstruktion Mora, Orsa och Älvdalens kommuner

Transkript:

1 (7) Arbetsgången enligt BITS-konceptet

2 (7) Innehållsförteckning ALLMÄNT OM BITS-KONCEPTET... 3 CENTRALA BEGREPP... 3 BITS-KONCEPTETS PRODUKTER... 3 KOPPLING TILL ISO 27000... 4 ARBETSGÅNG ENLIGT BITS-KONCEPTET... 5 STEG 1: INITIERA INFORMATIONSSÄKERHETSARBETET... 5 STEG 2: KLARLÄGGA VERKSAMHETEN OCH DESS BEROENDE AV IT-STÖD... 5 STEG 3: UPPRÄTTA STYRANDE DOKUMENT... 6 STEG 4: GENOMFÖRA ANALYSER... 6 STEG 5: UPPRÄTTA ÅTGÄRDSPLAN... 7 STEG 6: DRIFTGODKÄNNA INFORMATIONSSYSTEM... 7 STEG 7: REVIDERA INFORMATIONSSÄKERHETEN... 7

3 (7) Allmänt om BITS-konceptet Centrala begrepp Utöver gängse begrepp och definitioner inom informationssäkerhetsområdet används följande centrala begrepp i BITS-konceptet. Systemägare: Organisationens chef eller av denne särskilt utsedd verksamhetsansvarig som stöds i sin verksamhet av aktuellt informationssystem och därmed är kravställare på systemets förmåga att upprätthålla önskad sekretess (konfidentialitet), riktighet och tillgänglighet. Central systemägare: Systemägare vid en organisation som har det övergripande ansvaret för ett informationssystem som används inom flera organisationer. Informationssäkerhetssamordnare/-funktion: Person eller grupp av personer som är den sammanhållande länken mellan den operativa verksamheten för informationssäkerhet och ledningen. Säkerhetsinstruktion: Konkreta regler och rutiner avseende informationssäkerhet som riktar sig till användare, driftpersonal och personal för samordning. Basnivå: Säkerhetsnivå som minst måste uppnås för ett informationssystem som bedöms nödvändigt för att upprätthålla en verksamhet på en acceptabel nivå. Driftgodkännande: Formellt organisationsbeslut att godkänna ett informationssystem för drift. BITS-konceptets produkter BITS-konceptet består av två produkter: BITS ( Basnivå för informationssäkerhet ) Skrift som definierar en rekommenderad lägsta säkerhetsnivå för informationssäkerhet som inte bör underskridas. (Kan rekvireras gratis från MSB eller hämtas som pdf-fil på MSB:s hemsida. Finns i det senare fallet även på engelska.) BITS Plus Analysverktyg (programvara) för informationssäkerhet som utifrån kraven på sekretess (konfidentialitet), riktighet och tillgänglighet genererar åtgärdsförslag som svarar mot vald kravnivå. (Programvaran kan laddas hem från MSB:s webbplats. Finns både i en version som kan installeras i ett internt nätverk och en version för en enskild dator.)

4 (7) Koppling till ISO 27000 BITS och BITS Plus är avstämd mot svenska standarden SS-ISO/IEC 27001 och åtgärderna som föreslås i produkterna omfattar de väsentliga delarna av svenska standarden kompletterade med erfarenheter baserade på ett mycket stort antal genomförda informationssäkerhetsanalyser inom offentlig och privat verksamhet.

5 (7) Arbetsgång enligt BITS-konceptet Steg 1: Initiera informationssäkerhetsarbetet Ledning har ansvaret för att organisationen har en informationssäkerhet som står i paritet med behovet av skydd av information och informationshantering. Informationssäkerhetssamordnaren/-samordningsfunktionen har en central roll när det gäller att initiera arbetet med en organisations informationssäkerhet. Detta innebär bland annat att stödja ledningen och tillsammans med denna planera arbetet inom informationssäkerhetsområdet. Steg 2: Klarlägga verksamheten och dess beroende av IT-stöd Utgångspunkten för informationssäkerhetsarbetet är att Klarlägga vilka verksamheter som är de viktigaste och som i första hand måste fungera. Identifiera de moment som ingår i det arbete som leder fram till de viktigaste produkterna/tjänsterna Klarlägga vilka informationssystem som stöder respektive moment och i vilken grad man är beroende av dem. Besluta vilka informationssystem som ska prioriteras och därför i första hand säkerhetsanalyseras Ansvaret för att ovanstående genomförs ligger hos ledningen. Bild: De informationssystem som stöder en kritisk process väljs för säkerhetsanalys med hjälp av BITS Plus.

6 (7) Steg 3: Upprätta styrande dokument OBS! Detta steg är inte en nödvändig förutsättning för efterföljande steg. I BITS-konceptet ingår fyra typer av dokument som styr informationssäkerhetsarbetet. Informationssäkerhetspolicy Av ledningen fastställt dokument som inriktar informationssäkerhetsarbetet på policynivå. Riktas till samtliga i organisationen. (Se exempel på MSB:s webbplats) Ansvaret för att detta dokument tas fram har ledningsnivån. Säkerhetsinstruktion användare Generella instruktioner för hanteringen av IT-stödet. Riktas till normalanvändare. (Se exempel på MSB:s webbplats) Ansvaret för att detta dokument tas fram har samordningsnivån. Säkerhetsinstruktion förvaltning Instruktioner som är av generell karaktär för IT-verksamheten som exempelvis behörighetsadministration, rutiner för incidenthantering o.dyl. Riktas till samordningsfunktionen. (Se exempel på MSB:s webbplats) Ansvaret för att detta dokument tas fram har samordningsnivån. Säkerhetsinstruktion kontinuitet och drift Instruktioner för driften av IT-verksamheten. Riktas till driftpersonal. (Se exempel på MSB:s webbplats) Ansvaret för att detta dokument tas fram har samordningsnivån. Steg 4: Genomföra analyser Den prioritering som görs i steg 2 styr vilka informationssystem som ska analyseras med avseende på säkerheten. För dessa analyser används BITS Plus. I analyserna av informationssystemen klarläggs kraven på sekretess (konfidentialitet), riktighet och tillgänglighet. Kraven baseras på hotidentifiering, sannolikheter och konsekvenser. BITS Plus utgår från att frågor och åtgärder avseende informationssäkerhet hanteras på fyra skilda ansvarsnivåer: Ledningsnivån Hanterar frågor och åtgärder som är av övergripande och principiell karaktär för informationssäkerhetsarbetet. Samordningsnivån Hanterar frågor och åtgärder som är gemensamma för säkerheten i informationshanteringen. Nätverksnivån Hanterar frågor och åtgärder som gäller säkerheten i det interna IT-nätverket. Applikationsnivån Hanterar frågor och åtgärder som gäller enskilda informationssystem.

7 (7) För att skapa en helhetsbild av en organisations informationssäkerhet räcker det inte med att endast göra analyser av prioriterade informationssystem. BITS Plus omfattar därför även analys av hur säkerhetskraven uppfylls avseende - ledningens ansvar - samordningen av IT-verksamheten - det interna IT-nätverket Varje åtgärdsförslag som genereras i analysverktyget BITS Plus riktas mot endera av dessa ansvarsnivåer. Steg 5: Upprätta åtgärdsplan Analyser med BITS Plus kan visa att ett antal av de åtgärder som föreslås i verktyget inte är genomförda. Den person/funktion som har informationssäkerhetsansvaret måste i samråd med ledningen och andra berörda ta ställning till vilka risker organisationen är villig att ta och utifrån detta upprätta en tid- och resursplan för kompletterande säkerhetsåtgärder. Steg 6: Driftgodkänna informationssystem Utifrån genomförda analyser och upprättad tid- och resursplan ska respektive systemägare (verksamhetsansvarig) formellt driftgodkänna informationssystemet. För ett slutligt driftgodkännande i organisationen måste även respektive system godkännas för implementering i organisationens IT-miljö. Steg 7: Revidera informationssäkerheten Revision av informationssäkerheten i en organisation ska ingå som en naturlig del i den generella årliga revisionen av verksamheten.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss