Processbeskrivning - Informationssäkerhet

Relevanta dokument
Processbeskrivning Telefoni

Processbeskrivning Avrop

Processbeskrivning Avveckling

Processbeskrivning Configuration Management

Processbeskrivning - Incident Management

Processbeskrivning - Incident Management

Processbeskrivning Systemutveckling

Processbeskrivning Systemutveckling

Processbeskrivning Problem Management

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Processbeskrivning Test

Bilaga till rektorsbeslut RÖ28, (5)

Processbeskrivning Projektstyrning

Ledningssystem för Informationssäkerhet

Ledningssystem för Informationssäkerhet

Processbeskrivning Rekrytering

Informationssäkerhetspolicy för Ånge kommun

Beskrivning IT- avdelningens processkarta

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Policy för informationssäkerhet

Processbeskrivning Uppdragshantering

Riktlinjer för informationssäkerhet

Riktlinjer för säkerhetsarbetet

Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Organisation för samordning av informationssäkerhet IT (0:1:0)

Roller och samverkansstruktur Kvalitetsstyrningsprocessen

Bilaga 3 Säkerhet Dnr: /

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Informationssäkerhetspolicy för Umeå universitet

Informationssäkerhet - Informationssäkerhetspolicy

Myndigheten för samhällsskydd och beredskaps författningssamling

Koncernkontoret Enheten för säkerhet och intern miljöledning

Informationssäkerhetspolicy

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy

Riktlinjer för IT-säkerhet i Halmstads kommun

Informationssäkerhetspolicy

Informationssäkerhetspolicy KS/2018:260

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Informationssäkerhetspolicy. Linköpings kommun

Regler och instruktioner för verksamheten

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

IT-Säkerhetsinstruktion: Förvaltning

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Metodstöd 2

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Hantering av behörigheter och roller

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Dnr

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Administrativ säkerhet

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Informationssäkerhetsanvisningar Förvaltning

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Välkommen till enkäten!

Myndigheten för samhällsskydd och beredskaps författningssamling

Svar på revisionsskrivelse informationssäkerhet

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

I Central förvaltning Administrativ enhet

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Riktlinjer för informationssäkerhet

Informationssäkerhet, Linköpings kommun

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Informationssäkerhetspolicy för Katrineholms kommun

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Processbeskrivning Systemförvaltning baserad på pm 3

ISO/IEC och Nyheter

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Informationssäkerhetspolicy

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Policy och strategi för informationssäkerhet

Transkript:

ProcIT-P-019 Processbeskrivning - Informationssäkerhet Lednings- och kvalitetssystem Fastställt av Sven Arvidson 2012-06-20

Innehållsförteckning 1 Inledning 3 2 Informationssäkerhetsprocessen 5 3 Omvärldsbevakning - delprocess 8 3.1 Syfte 8 3.2 Ansvar 8 3.3 Delprocesser 8 4 Hantera IT-säkerhet - delprocess 11 4.1 Syfte 11 4.2 Ansvar 11 4.3 Delprocesser 11 5 Administrativ säkerhet delprocess 15 5.1 Syfte 15 5.2 Ansvar 16 5.3 Delprocesser 16 6 Intressenter 19 7 Roller 20 8 Mallar/Checklistor/Verktyg 20 9 Ordlistor och definitioner 20 9.1 Ordlista för processbegrepp 20 9.2 Ordlista för Informationssäkerhetsprocessen 21 10 Förvaltning av processen 22 11 Referenser 22 Informationssäkerhetsprocessen[3.0].doc 2(22)

1 Inledning Detta processdokument beskriver på en övergripande nivå hur arbetet med informationssäkerhet ska bedrivas vid. Syfte med processdokumentet Dokumentets huvudsakliga syfte är att beskriva ett gemensamt arbetssätt för de som ansvarar för det operativa arbete som bedrivs inom informationssäkerhetsområdet. Därtill utgör processdokumentet ett utmärkt underlag vid diskussioner med säkerhetsfunktionens uppdragsgivare. Målgrupper för processdokumentet Primär målgrupp för processdokumentet är de personer som ansvarar för det operativa arbetets genomförande. Andra aktuella målgrupper utgörs av befintliga uppdragsgivare, presumtiva uppdragsgivare samt interna samverkansgrupper inom informationssäkerhetsområdet vid Uppsala universitet. Omfattning för processdokumentet Dokumentet gäller för det operativa arbetet som utförs vid. Informationssäkerhetsprocessen[3.0].doc 3(22)

Symboler i processbeskrivningarna Nedanstående symboler används i processbeskrivningarna. Start Slut Markerar start resp slut i flöde delprocess s Logiskt avgränsad del av processen, omfattar en eller flera aktiviteter inflöde/ utflöde Inflöde, information, dokument, material som startar eller används i aktivitet/process Utflöde, dvs resultatet av aktivitet/process Aktivitet Beskriver vad som utförs Flödets riktning Parallella vägar i flöde Vägval Här tar flödet olika väg beroende på situationen Funktion/roll Informationssäkerhetsprocessen[3.0].doc 4(22)

2 Informationssäkerhetsprocessen Informationssäkerhetsprocessen beskriver de delprocesser som ingår i det dagliga informationssäkerhetsarbetet vid. För varje delprocess beskrivs vilka aktiviteter som ingår. Syfte Processens syfte är att stödja det övergripande syftet med informationssäkerhetsarbetet vid universitetet; att identifiera och hantera risker, störningar och hot mot universitetets informationsresurser på ett sådant sätt att negativa konsekvenser avseende tillgänglighet, riktighet och konfidentialitet kan minimeras. Mål Processens mål är att bidra till att säkerhetsarbetet vid universitetet bedrivs på ett enhetligt, effektivt och mätbart sätt med hänsyn till universitetet, verksamma vid universitetet och allmänhetens behov. Omfattning Processen omfattar de huvudsakliga arbetsuppgifter som ingår i informationssäkerhetsarbetet: Förebygga och hantera informationssäkerhetsrelaterade incidenter Implementera förbättringsåtgärder för brister inom IT-infrastruktur och IT-system Ansvara för att datoransvariga och övriga intressenter får regelbuden information inom området Genomföra riskanalyser av verksamhetskritiska system Identifiera och följa upp att förbättringsåtgärder av säkerheten i verksamhetskritiska system implementeras Tillhandahålla uppdaterade riktlinjer, anvisningar och instruktioner inom området på vår hemsida på ett lättillgängligt och sökbart sätt Omvärldsbevakning av säkerhetsområdet, såväl internt inom universitetet som externt på marknaden Informationssäkerhetsprocessen[3.0].doc 5(22)

Starthändelse De starthändelser som sätter igång processen är: Beslut om säkerhetsuppdrag Säkerhetsincidenter Ändringar i lagar och förordningar inom säkerhetsområdet Resultat av omvärldsbevakning inom säkerhetsområdet Krav på förändringar i LIS inkl. underliggande instruktioner, anvisningar, stöddokument etc. Resultat Resultatet från processen är utförda säkerhetsuppdrag. Inflöde Säkerhetsincidenter (rapporterade via e-post, telefon eller personligt besök), tidsstyrda kontroller, säkerhetsuppdrag, organisationsförändringar (personal/roller/datorer) eller förändrade myndighetskrav. Utflöde Hanterade säkerhetsincidenter, dokumenterade riskanalyser och publicerade riktlinjer. Riktlinjer för informationssäkerhet Säkerhetsuppdrag Informationssäkerhet delprocess Utfört säkerhetsuppdrag Informationssäkerhetsprocessen[3.0].doc 6(22)

Delprocesser i informationssäkerhetsprocessen Informationssäkerhetsprocessen består av följande delprocesser: Omvärldsbevakning Hantera IT-säkerhet Hantera administrativ säkerhet Omvärldsbevakning Hantera IT-säkerhet Omfattar exempelvis informationsutbyte med andra universitet och högskolor, kurser och konferenser, bevakning av artiklar, tidskrifter och informationsforum på internet. Delprocesser i hantera IT-säkerhet är huvudsakligen bevakning och hantering av säkerhetsincidenter, kontroll av och säkerhetsförbättringar i IT-infrastrukturen och att utfärda säkerhetscertifikat inom universitet och andra Sunet-anslutna verksamheter. Hantera administrativ säkerhet Enligt denna delprocess utförs förvaltning och vidareutveckling av universitetets ledningssystem för informationssäkerhet (LIS) samt uppdrag/beställningar från institutioner/avdelningar eller motsvarande. I de följande avsnitten kommer varje delprocess att beskrivas mer i detalj. Informationssäkerhetsprocessen[3.0].doc 7(22)

3 Omvärldsbevakning - delprocess Användning av ny teknik medför också nya hot och risker att förhålla sig till. Att kontinuerligt bevaka teknikområdet på bred front utgör en grundförutsättning för att vi ska kunna upprätthålla säkra miljöer för IT-drift. Ett ständigt flöde av omvärldsinformation samt IT-organisationens verksamhetsplan är de huvudsakliga inflödena till delprocessen. Utflödet (resultatet) av delprocessen kan sammanfattas som en uppdaterad bild av hot mot universitetets IT-system samt åtgärdsplaner för ständiga förbättringar av informationssäkerheten. IT VP Bild av läget Omvärldsinformation Omvärldsbevakning delprocess Hotbild Åtgärdsplan 3.1 Syfte Delprocessens syfte är att vara ett stöd för att universitetet tillgodogör sig information om säkerhetsförändringar i omvärlden, analyserar aktuell information och vidtar adekvata åtgärder. 3.2 Ansvar Informationssäkerhetssamordnare, IT-säkerhet ansvarar för denna delprocess. 3.3 Delprocesser Omvärldsbevakning består av följande delprocesser: Analys av omvärldsinformation Analys av teknisk utveckling Analys av lagar och förordningar Hotbildsbevakning I de följande avsnitten kommer varje delprocess att beskrivas mer i detalj. 3.3.1 Analys av omvärldsinformation Information om nya hot och risker kommer oss ständigt till del på olika sätt. Mailinglistor, webbsidor, utbyte med organisationer verksamma inom säkerhetsområdet, information som sprids via media utgör exempel på inflöden i denna delprocess. Utflödet kan i vissa fall handla om konkreta Informationssäkerhetsprocessen[3.0].doc 8(22)

åtgärder som bör vidtas för att upprätthålla god säkerhet i aktuella IT-miljöer, medan det i andra fall handlar mer om att formulera och sprida korrekt information till berörda inom verksamheten. Syfte Att genom utvärdering av aktuell omvärldsinformation få en korrekt bild av läget för att vidare kunna vidta relevanta åtgärder och sprida korrekt information angående hot och risker. Omfattning Följande aktiviteter ingår i analys av omvärldsinformation: 1. Bedöma aktuell information med avseende på riktighet och allvarlighetsgrad. 2. Om bedömningen visar på ett behov av konkreta operativa åtgärder eller publicering av korrekt information skapas underlag för att kunna genomföra detta. 3.3.2 Analys av teknisk utveckling Införande av nya programvaror och andra tekniska lösningar kan även medföra nya hot och risker att förhålla sig till. Syfte Att säkerställa en fortsatt trygg IT-miljö vid införande av ny teknik. Omfattning Följande aktiviteter ingår i analys av teknisk utveckling: 3. Bedöma aktuella information. 4. Utfärda rekommendationer om hur ny programvara eller ny teknik används på ett säkert sätt, alternativt inte bör användas alls. 3.3.3 Analys av lagar och förordningar Som statlig myndighet har vi att förhålla oss till gällande lagar och förordningar med avseende på informationssäkerhet. För att garantera detta krävs att vi ständigt håller oss uppdaterade vad gäller förändringar i dessa. Syfte Att säkerställa gällande lagar och förordningar efterlevs. Omfattning Följande aktiviteter ingår i analys av lagar och förordningar: 1. Förändringar i lagtexter och förordningar stäms av mot intern information och interna instruktioner och stöddokument. 2. Initiera och/eller genomför uppdateringar i intern information och instruktioner och stöddokument för överrensstämmelse med aktuella lagar och förordningar. Informationssäkerhetsprocessen[3.0].doc 9(22)

3.3.4 Hotbildsbevakning Universitets IT-miljö utsätts ständigt för nya hot som exempel virusangrepp och intrångsförsök. Syfte Att säkerställa att universitets informationstillgångar hanteras i en fortsatt trygg IT-miljö. Omfattning Följande aktiviteter ingår i hotbildsbevakning: 1. Bevakning och bedömning av aktuell omvärldsinformation (rapporter, säkerhetspatchar etc.). 2. Utforma åtgärdsförslag, exempelvis rekommendationer om hur programvara ska konfigureras för att minimera risken för intrång i känsliga servermiljöer. Informationssäkerhetsprocessen[3.0].doc 10(22)

4 Hantera IT-säkerhet - delprocess 4.1 Syfte Delprocessens syfte är att förebygga och avhjälpa störningar i verksamheten avseende IT-säkerhet. 4.2 Ansvar Det arbete som beskrivs inom denna delprocess bedrivs inom ett s.k. CSIRT (se Ordlista punkt 9.2). Ett CSIRT är en grupp av människor med särskilt ansvar att utreda datorrelaterade incidenter och löpande informera om hot och risker. Teamet fungerar som en central kontakt till vilken man kan anmäla incidenter, få löpande återkoppling samt få sitt ärende utrett och avrapporterat. Säkerhetsincidenter Omvärldsbevakning Hantera IT-säkerhet delprocess Lösta säkerhetsincidenter Säkrare ITinfrastruktur Åtgärdade säkerhetsärenden Säkerhetsärenden Certifikatsansökan Utfärdade certifikat Utbildnings behov Genomförd utbildning 4.3 Delprocesser Hantera IT-säkerhet består av följande delprocesser: Hantera säkerhetsärenden Lösa säkerhetsincidenter Granska och kontrollera IT-infrastrukturen Utfärda certifikat Informera och utbilda i IT-säkerhetsfrågor Informationssäkerhetsprocessen[3.0].doc 11(22)

Översikt av typer av in- och utflöden till/från de olika delprocesserna i hantera IT-säkerhet framgår av tabellen nedan: Delprocess Inflöden Utflöden (resultat) Hantera säkerhetsärenden Säkerhetsärende Åtgärdat och stängt säkerhetsärende Lösa säkerhetsincidenter Granska och kontrollera ITinfrastrukturen Utfärda certifikat Säkerhetsincident Lösningar på tidigare incidenter Resultat från omvärldsbevakning Fråga från användare Säkerhetsincident /-händelse Certifikatsansökan från inom universitetet eller från outsourcade verksamheter Certifikatsansökan Sunetanslutna Underlag för problemhantering Löst incident Stängt ärende Granskningsrapport Svar till användare Genomförande av åtgärd Signerade tidsatta certifikat Informera och utbilda i ITsäkerhetsfrågor Beställningar från universitetets verksamheter och Sunet Egna initiativ till informationsoch utbildningsinsatser I de följande avsnitten kommer varje delprocess att beskrivas mer i detalj. Genomförd utbildning eller informationsinsatser 4.3.1 Hantera säkerhetsärenden Inleds alltid med en bedömning av om det är ett IT-säkerhetsärende som faller inom ramen för CSIRT-gruppens ansvarsområde eller om det ska skickas vidare till annan instans. Därefter görs en klassning enligt CSIRT-gruppens instruktioner och ärendet loggas. Vissa ärenden eskaleras till juridiska avdelningen eller till Polisen. Syfte Att förebygga och avhjälpa informationssäkerhetsrelaterade störningar i verksamheten. Informationssäkerhetsprocessen[3.0].doc 12(22)

Omfattning Följande aktiviteter ingår i delprocessen: Säkerhetsärende Tar emot och registrerar Registrerat ärende Analyserar Löser ärendet OK Ja Dokumenterar åtgärd Återrapporterar till uppgiftslämnaren Stänger ärendet Stängt löst säkerhetsärende Nej Eskalerar ärendet 4.3.2 Lösa säkerhetsincidenter Säkerhetsincidenter som exempelvis intrångsförsök i universitetets IT-miljöer, s.k. fishing av påloggningsuppgifter, hotbrev till anställda eller studenter eller distribution av upphovsrättsskyddat material inrapporteras till CSIRT-gruppen via en särskild e-postadress eller via telefonkontakt. Syfte Att minska skadan av en uppkommen incident genom avhjälpande åtgärder, samt att förhindra att liknande situationer uppkommer genom förebyggande åtgärder. Omfattning Följande aktiviteter ingår i delprocessen: Säkerhetsincident Analyserar säkerhetsincident Utformar förslag till åtgärd Genomför åtgärd Kontrollerar om problem kvarstår Återkopplar till berörd person Stängt löst ärende Stängt olöst ärende Vissa typer av säkerhetsincidenter, t.ex. hantering av en anmälan av upphovsrättskyddat material, hanteras i särskild ordning: Anmälan Analysera säkerhetsincident Skicka brev till användaren Analys om handlingen gjorts tidigare Gjort samma sak tidigare? Ja Stänger nätförbindelsen Informera anmälaren Stängt ärende Nej Informera om olämpligheten 4.3.3 Granska och kontrollera IT-infrastrukturen Att ur ett säkerhetsperspektiv granska, kontrollera och ständigt förbättra IT-infrastrukturen är ett löpande arbete som utgår från omvärldsbevakning, riskanalyser, säkerhetsärenden eller -incidenter eller på annat sätt användarrelaterade händelser. Syfte Att säkerställa att universitetets IT-infrastruktur är tillförlitlig m.a.p säkerhetsaspekterna konfidentialitet, integritet och tillgänglighet. Informationssäkerhetsprocessen[3.0].doc 13(22)

Omfattning Följande aktiviteter ingår i delprocessen: Säkerhetsincident/ säkerhetshändelse Fråga från användare Granskningsrapport Resultat från omvärldsbevakning Analys om säkerhetsrisk Är risk? Ja Upprättar ärende Öppnar och analysera Inhämtar uppgifter Gör en konsekvensbedömning Dokumenterar gjord analys Stämmer av med berörda Svar till kund Nej Slut Påbud om åtgärd 4.3.4 Utfärda certifikat Uppsala universitet är ett s.k. Certificate Authority (CA) med rätt att utfärda certifikat för egna verksamheter och för verksamheter som anslutna till Sunet. Ett certifikat är en elektronisk signatur som används för att identifiera en person, en dator, ett företag, en myndighet, en organisation eller liknande. Syfte Att utfärda signerade tidssatta certifikat utifrån inkomna ansökningar. Omfattning Certifikatshanteringen, från ansökan till signerat certifikat, följer en automatiserat process som finns beskriven i CSIRT-gruppens arbetsinstruktioner. 4.3.5 Informera och utbilda i IT-säkerhetsfrågor Utbildningar och informationsinsatser inom IT-säkerhetsområdet utförs vanligtvis på uppdrag från verksamheter inom Uppsala universitet eller Sunet, men även på CSIRT-gruppens eget initiativ t.ex. som ett resultat av delprocesserna omvärldsbevakning och hantera säkerhetsärenden ovan. Syfte Att öka berörda målgruppers medvetande i aktuella IT-säkerhetsfrågor. Omfattning Följande aktiviteter ingår i ett utbildningsuppdrag: Beställningar Idé om behov Bjuder in målgrupp Tillräckligt intresse? Nej Ja Tar fram utbildningsmaterial Bokar föredragshållare, lokal, mat etc Sammanställer utbildningsmaterial Påminner anmälda Genomför säkerhetsutbildning Utvärderar utbildningen Genomförd utvärderad säkerhetsutbildning Sparar utbildningsidén Informationssäkerhetsprocessen[3.0].doc 14(22)

Följande aktiviteter ingår i en informationsinsats: Säkerhetspolicys Resultat från omvärldsbevakning Beslut Information från maillistor Sammanställer inkommen information Bedömer relevans Information allvarlig akut? Nej Lämnar förebyggande säkerhetsinformation Ja För respektive säkerhetsområde bedöma målgrupp & viktighetsgrad Formulerar information efter målgrupp o viktighetsgrad Informerar målgruppen Informationsmaterial Målgruppsanpassad säkerhetsinformation Information till maillistor 5 Administrativ säkerhet delprocess För att förvalta och vidareutveckla universitetets LIS i takt med förändringar i externa och interna regelverk inom informationssäkerhetsområdet finns enligt illustrationen ovan många olika inflöden medan utflödet (resultatet) är alltid ett uppdaterat LIS. Inflödet till övriga delprocesser i administrativ säkerhet är alltid ett uppdrag/beställning från en verksamhetsdel inom institution/avdelning eller motsvarande med målsättningen att leverera ett utfört uppdrag som resultat av uppdraget. 5.1 Syfte Det övergripande syftet för informationssäkerhetsarbetet är att upprätthålla en väl avvägd informationssäkerhet med hänsyn till universitetet, verksamma vid universitetet och allmänhetens behov. Informationssäkerhetsarbetet ska sträva efter Rätt säkerhet, dvs. att balansera risker mot kostnader för skyddsåtgärder, och Styrd säkerhet, dvs. styras och utföras enligt universitetets Ledningssystem för informationssäkerhet, LIS. Denna delprocess stödjer arbetet med att förvalta universitets LIS samt säkerhetsuppdrag från institutioner el. motsv. som utförs av. Informationssäkerhetsprocessen[3.0].doc 15(22)

5.2 Ansvar Informationssäkerhetssamordnare, Administrativ säkerhet ansvarar för denna delprocess. Lagar o föreskrifter Tillämpbara ISOstandarder UU:s säkerhetspolicy UU:s LIS Hantera administrativ delprocess säkerhet Uppdaterat LIS Utfört riskanalysuppdrag Utfört säkerhetsanalysuppdrag Utförd förstudie, utredning etc. Uppdrag från institutioner eller motsvarande 5.3 Delprocesser Hantera administrativ säkerhet består av följande delprocesser: Förvalta och vidareutveckla LIS Utföra riskanalyser Utföra säkerhetsanalyser Göra förstudier, utredningar etc. I de följande avsnitten kommer varje delprocess att beskrivas mer i detalj. 5.3.1 Förvalta och vidareutveckla LIS LIS, Ledningssystem för informationssäkerhet, baseras på universitetets Riktlinjer för informationssäkerhet. Denna delprocess är grunden till övriga delprocesser och beskrivs därför inte vidare i detta dokument med hänvisning till följande länkar: Universitetets övergripande mål- och regeldokument http://regler.uu.se/detaljsida/?contentid=41950&kategoriid=107 Avdelningen för IT- och inköps hemsida för informationssäkerhet http://uadm.uu.se/iti/informationssakerhet Informationssäkerhetsprocessen[3.0].doc 16(22)

5.3.2 Utföra riskanalyser Risk- och hotbildsanalyser utförs vanligtvis för ett förvaltningsobjekt eller ett enskilt informationssystem på en institution/avdelning eller motsvarande. Process- och metodbeskrivningar för hur en riskanalys bör utföras är en integrerad del av universitetets LIS och beskrivs därför inte vidare i detta dokument med hänvisning till följande länkar på ITavdelningens hemsida: LIS, processteg Planering http://uadm.uu.se/iti/informationssakerhet/riktlinjer_informationssakerhet/lis/planering LIS, processteg Genomförande/Efterlevnad http://uadm.uu.se/iti/informationssakerhet/riktlinjer_informationssakerhet/lis/genomf%c3%b6 rande/efterlevnad 5.3.3 Utföra säkerhetsanalyser Informationssäkerhetsanalyser är ett sätt att säkerställa efterlevnad av LIS i förvaltningsobjekt, informationssystem eller utvecklingsprojekt samt att undvika överträdelser av tillämpliga lagar, föreskrifter och avtalsförpliktelser. Även informationssäkerhetsanalyser är en integrerad del av universitetets LIS och beskrivs därför inte vidare i detta dokument med hänvisning till följande länk på s hemsida: LIS, processteg Genomförande/Efterlevnad http://uadm.uu.se/iti/informationssakerhet/riktlinjer_informationssakerhet/lis/genomf%c3%b6 rande/efterlevnad 5.3.4 Göra förstudier, utredningar etc. På samma sätt som andra typer av IT-relaterade projekt (systemutveckling, ny teknik, infrastruktur etc.) bör ett projekt inom informationssäkerhetsområdet inledas med en förstudie. Även andra typer av utredningar görs, såväl på uppdrag internt inom som från institutioner/avdelningar eller motsvarande. Exempel på uppdrag kan vara att ta fram ett projektdirektiv för precisering av syfte, mål, omfattning, uppskattad resursåtgång etc. för att utveckla och/eller införa en ny säkerhetsteknik eller funktionalitet, eller en fördjupad utredning av föreslagna säkerhetsförbättringar från en risk- och sårbarhetsanalys av ett informationssystem. Syfte Att på beställning av institution/avdelning eller motsvarande planera och genomföra ett förstudieeller utredningsuppdrag inom informationssäkerhetsområdet. Informationssäkerhetsprocessen[3.0].doc 17(22)

Omfattning Följande aktiviteter ingår i denna delprocess: 1. Klarlägg vem som är uppdragsgivare/beställare av uppdraget 2. Diskutera uppdraget med beställaren 3. Upprätta en övergripande uppdragsbeskrivning 4. Fastställ villkoren för beställning (kostnad, prioritet, beräknad tidsåtgång etc.) 5. Om OK från uppdragsgivare: starta planeringen 6. Gör faktainsamling (intervjuer, omvärldsinformation, möten etc.) 7. Analysera och bedöm den information som samlats in 8. Dokumentera problembeskrivning, förslag på lösningsalternativ, uppskattad resursåtgång etc. i ett projektdirektiv, utredningsrapport eller motsvarande 9. Skicka ut rapporten på remiss till berörda parter för kommentarer och synpunkter 10. Avrapportera till uppdragsgivaren 11. Stäng uppdraget Informationssäkerhetsprocessen[3.0].doc 18(22)

6 Intressenter För definition av begreppet Intressent, se ordlista för processbegrepp under avsnitt 7 Ordlistor och definitioner. Exempel på intressenter till denna process är: Anställda Studenter Objekt- eller systemägare Beställare Säkerhetschef Dataansvarig/IT-intendent Intendenter Internetleverantörer Övriga universitet/högskolor Berörda hela världen Informationssäkerhetsprocessen[3.0].doc 19(22)

7 Roller För definition av begreppet Roll, se ordlista för processbegrepp under kapitel 7 Ordlistor och definitioner. Exempel på roller inom som berörs av denna process är: Informationssäkerhetssamordnare Certifikatshandläggare Behörighetsadministratör Systemdrift: rollerna driftsledare, drifttekniker Problemhantering: rollerna problemansvarig, problemlösare Incidenthantering: rollerna incidentansvarig, 1:a, 2:a och 3:e linjens support För rollbeskrivningar, se 1. 8 Mallar/Checklistor/Verktyg För att tillhandahålla lättillgängliga och uppdaterade instruktioner, stöddokument, checklistor etc. för informationssäkerhetsarbetet internt inom och på institutioner/ avdelningar eller motsvarande, görs detta via avdelningens hemsida som integrerade i de processteg i LIS som metodeller verktygsstödet avser eller via sin hemsida och beskrivs därför inte vidare i detta dokument med hänvisning till följande länk på s hemsida: LIS http://uadm.uu.se/iti/informationssakerhet/riktlinjer_informationssakerhet/lis IT-säkerhet http://uadm.uu.se/iti/informationssakerhet/it-sakerhet Certifikatsutfärdande http://uadm.uu.se/iti/informationssakerhet/certifikatutfardande 9 Ordlistor och definitioner 9.1 Ordlista för processbegrepp Begrepp Aktivitet Delprocess Definition Lägsta nivån i processhierarkin. En serie logiskt sammanhängande handlingar som en person eller roll utför, utförs på ett sätt. 2 En delprocess är en logiskt avgränsad del av en huvudprocess, kan finnas på flera nivåer. 2 1 Processbeskrivning Roller inom 2 PVU (processorienterad verksamhetsutveckling) Informationssäkerhetsprocessen[3.0].doc 20(22)

Huvudprocess Intressent Kärnprocess Process Processparameter Processansvarig Roll Rollbeskrivning Starthändelse Styr- och stödprocess Huvudprocesser är den högsta nivån av processer i en verksamhet. Kan vara både internt och externt värdeskapande. 2 Någon som tar emot något från processen eller levererar något till processen. 2 Externt värdeskapande process. Kärnprocesser uppfyller verksamhetens övergripande syfte att tillfredsställa kundernas verkliga behov - varför verksamheten existerar. 2 En process är ett flöde av sammanhängande aktiviteter som skapar ett förutbestämt resultat. Processen har alltid kunder - interna eller externa. 2 Processparameter är det mått som används för att mäta och styra processen. 2 En person utsedd av ledningen för att ansvara för att processen som helhet både är effektiv och ändamålsenlig. 2 En roll är knuten till en process. Varje roll har ansvar att leverera ett resultat i processen. En person kan inneha flera roller och samma roll kan innehas av flera personer. 2 En beskrivning av de roller som är knutna till processen. I rollbeskrivningen ingår att beskriva rollens ansvar och befogenhet. 2 Med starthändelser avses händelser som får processen att reagera på ett förutbestämt sätt. Det finns tre typer av starthändelser: tidsstyrd starthändelse, händelsestyrd starthändelse och värdestyrd starthändelse. Internt värdeskapande processer. Har till syfte att styra och stödja kärnprocesserna 2. Värdeskapande, värdeadderande Aktiviteten tillför värde till slutkunden 2. 9.2 Ordlista för Informationssäkerhetsprocessen Begrepp Eskalering ISO 27000 Incident Informationssäkerhetshändelse Definition Om supportnivån som äger ärendet inte kan lösa det inom överenskommen tid överförs ärendet till nästa nivå Definierar kraven på ett ledningssystem för informationssäkerhet SS- ISO/IEC 27001. En händelse som gör att en tjänst inte är tillgänglig eller har bristande funktionalitet SS-ISO/IEC 20000. En fastställd förekomst av ett tillstånd i ett system, nätverk eller för en tjänst som indikerar ett tänkbart brott mot informationssäkerhetspolicyn eller fallerande säkerhetsåtgärder, eller en ny tidigare okänd situation som kan påverka säkerheten [SS-ISO/IEC 27001:2006] Informationssäkerhetsprocessen[3.0].doc 21(22)

Informationssäkerhetsincident Kontinuitetsplanering Konfidentialitet Krisplan Ledningssystem för informationssäkerhet, LIS En enskild eller en serie oönskade eller oväntade informationssäkerhetshändelser som har en signifikant sannolikhet att äventyra verksamheten och hota informationssäkerheten [SS-ISO/IEC 27001:2006] Att motverka avbrott i organisationens verksamhet och att skydda kritiska verksamhetsprocesser från verkningarna av allvarliga fel i informationssystem eller katastrofer och att säkra återstart inom rimlig tid [SS-ISO/IEC 27001:2006] Säkerställa att informationen är åtkomlig bara för dem som har befogenhet att ha tillgång till informationen. En plan med all information som kan behövas för att återställa och återskapa IT-tjänster Den del av det övergripande ledningssystemet, baserad på en metodik för verksamhetsrisk, som syftar till att upprätta, införa, driva övervaka, granska, underhålla och förbättra informationssäkerhet [SS-ISO/IEC 27001:2006]. CSIRT Computer Security Incident Response Team 10 Förvaltning av processen För förvaltning och förbättring av processen och dess dokument se vidare 3. 11 Referenser s lednings- och kvalitetssystem, Processbeskrivning - Roller inom ITavdelningen PVU (processorienterad verksamhetsutveckling) s lednings- och kvalitetssystem, Processbeskrivning Kvalitetsstyrning Enhetens för Informationssäkerhets webbsida http://uadm.uu.se/iti/informationssakerhet 3 Processbeskrivning - Kvalitetsstyrning Informationssäkerhetsprocessen[3.0].doc 22(22)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss