Riktlinjer för informationssäkerhet

Relevanta dokument
Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Ledningssystem för Informationssäkerhet

Ledningssystem för Informationssäkerhet

Bilaga till rektorsbeslut RÖ28, (5)

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Hantering av behörigheter och roller

Riktlinjer för informationssäkerhet

Ansvar och roller för ägande och förvaltande av informationssystem

Riktlinjer för säkerhetsarbetet

Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy för Umeå universitet

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Systemförvaltningsmodell för LiU

Mittuniversitetets riktlinjer för systemförvaltning

Universitetsgemensam förvaltningsmodell IT-avdelningen, Stockholms universitet

Prefekt Prefekt beslutar om miljöledningssystemet på institutionsnivå. Det innebär att prefekten/motsvarande 1 ansvarar för att:

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Koncernkontoret Enheten för säkerhet och intern miljöledning

Finansinspektionens författningssamling

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Rutiner för säker roll och behörighet SLUTRAPPORT Version 1,0. Kalmar, Sakkunnig, Stephen Dorch. Projektledare, Ulrika Adolfsson

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Finansinspektionens författningssamling

Administrativ säkerhet

Finansinspektionens författningssamling

Handbok för organisationsförändringar

Informationssäkerhetspolicy inom Stockholms läns landsting

System- och objektförvaltning - roller

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Roller och Ansvar - Länsteknik

FÖRVALTNINGSGUIDE FGUIDE FÖR STOCKHOLMS STAD

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Fortsättning av MSB:s metodstöd

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Informationssäkerhetspolicy för Ånge kommun

Inför Karolinska Institutets fördjupade riskanalyser 2012

Styrning av e-förvaltning. Uppsala Universitet

VÄGLEDNING INFORMATIONSKLASSNING

Informationssäkerhetspolicy KS/2018:260

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

System för intern kontroll Spånga-Tensta Stadsdelsnämnd

Riktlinjer. Informationssäkerhetsklassning

Informationssäkerhetspolicy för Ystads kommun F 17:01

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

FörvaltningsrnodelI för informationsbehandlande system vid Linköpings universitet

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Informationssäkerhetspolicy

Riktlinjer för dataskydd

RISKHANTERING FÖR SCADA

Svensk Standard SS ISO/IEC SS

Förslag till föreskrifter om fördelning (delegering) av arbetsuppgifter och beslutsbefogenheter gällande säkerhetsarbetet vid Lunds universitet

Regler och instruktioner för verksamheten

VGR-RIKTLINJE FÖR FYSISK SÄKERHET

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Roller och Ansvar - Medicinsk Teknik

Informationssäkerhetspolicy. Linköpings kommun

RUTIN FÖR RISKANALYS

Skapa ett ledningssystem för informationssäkerhet (LIS) enligt nya ISO/IEC eller konsten att införa LIS

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

Projektplan Från antagning till välkomnande

Rutiner för fysisk säkerhet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Strategi för bevarande av elektroniska handlingar vid Karolinska Institutet

I Central förvaltning Administrativ enhet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Säkerhetspolicy för Västerviks kommunkoncern

POLICY INFORMATIONSSÄKERHET

Policy för informations- säkerhet och personuppgiftshantering

Riktlinjer. Informationssäkerhet och systemförvaltning

VAD ÄR EN SÄKERHETSANALYS. Thomas Kårgren

NIS-direktivet. 4 september Johanna Linder Martin Gynnerstedt

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

Östgötatrafiken berättar om sin styrning samt hur de använder pm3-licensen

Systemförvaltnings Modell Ystads Kommun(v.0.8)

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Kravställning på e-arkiv från informationssäkerhetsperspektiv

Remiss angående säkerhetspolicy med tillhörande riktlinjer

Anvisningar för intern styrning och kontroll vid Karolinska Institutet

Riktlinjer för intern kontroll

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

KOMMUNALA STYRDOKUMENT

Policy för Essunga kommuns internkontroll

Policy för säkerhetsskydd

Handlingsplan för persondataskydd

Informationsklassning och systemsäkerhetsanalys en guide

Handbok för organisationsförändringar

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Process för intern styrning och kontroll

Myndigheten för samhällsskydd och beredskaps författningssamling

Riktlinjer för informationssäkerhet

Cyber security Intrångsgranskning. Danderyds kommun

Fortsättning av MSB:s metodstöd

Riktlinje för säkerhetsarbetet i Norrköpings kommun

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Policy för informationssäkerhet

Transkript:

UFV 2012/716 Riktlinjer för informationssäkerhet Anvisningar för genomförande av egenkontroller av informationssäkerheten i systemförvaltningsobjekt Fastställd av: Säkerhetschef 2012-05-22

Innehållsförteckning 1 Inledning 3 1.1 Syfte 3 1.2 Mål 3 1.3 Målgrupper 3 2 Planering 4 3 Genomförande 4 3.1 Definiera omfattning 4 3.1.1 Klassificera informationen 4 3.1.2 Anpassa checklistan 4 3.2 Gör nulägesbedömning 5 3.3 Sammanställ rapport och föreslå förbättringsåtgärder 5 4 Uppföljning 5 5 Bilagor 5 2

1 Inledning Till följd av ökande användning av informationsteknik och internetbaserade informationstjänster utsätts universitetets informationstillgångar för ett växande antal och en större bredd av hot och sårbarheter. Information är en tillgång som i likhet med personal och egendom är avgörande för vår verksamhet och måste följaktligen få ett adekvat skydd. Säkerhetsåtgärder i vår verksamhet kan vara organisatoriska, administrativa, fysiska eller tekniska och har som mål att skydda med avseende på säkerhetsaspekterna konfidentialitet, riktighet, och tillgänglighet. När säkerhetsåtgärderna granskas är det viktigt att tänka i flera dimensioner: Är säkerhetsåtgärden dokumenterad? Är säkerhetsåtgärden verkligen på plats och används den? Fungerar säkerhetsåtgärden som det är tänkt? Underhålls säkerhetsåtgärden? En säkerhetsanalys av de informationssystem som ingår i ett förvaltningsobjekt ger ett bra kvitto på hur sårbart förvaltningsobjektet är för de risker som kan uppträda. Det skapar en trygghet för objektägare (OÄ) att känna till status på informationsskyddet och få ett underlag för prioriteringar av och beslut om säkerhetsförbättringar som är en del av det löpande förvaltningsarbetet. 1.1 Syfte Syftet med att genomföra regelbundna egenkontroller av informationssäkerheten är framför allt att säkerställa att säkerhetsåtgärder med avseende på konfidentialitet, riktighet och tillgänglighet är införda i tillräcklig omfattning i det aktuella förvaltningsobjektet. 1.2 Mål Att metoden som beskrivs i dessa anvisningar, inklusive dess bilagor, ska upplevas som ett stöd vid egenkontroller av hur informationsskyddet i ett förvaltningsobjekt uppfyller de mål och regler som omfattas av universitets riktlinjer för informationssäkerhet 1. 1.3 Målgrupper Metoden är i första hand framtagen för förvaltningsledare (FL) som stöd för att leda arbetet med att genomföra egenkontroller av informationssäkerheten i sitt förvaltningsobjekt. 1.4 Omfattning Vilka säkerhetsåtgärder som egenkontrollen av ett förvaltningsobjekt omfattas av framgår av Checklistan (Bilaga 1). Checklistan i sin helhet är baserad på ISO/IEC 27001:2006 men bör anpassas till förvaltningsobjektets bedömda säkerhetsnivå (Bas, Hög eller Särskilda krav) enligt det förfarande som beskrivs i avsnittet Genomförande nedan. 1 http://regler.uu.se/digitalassets/8/8850_riktlinjer_f r_informationss kerhet.pdf 3

Att notera: Utöver de säkerhetsåtgärder som beskrivs i checklistan kan säkerhetsåtgärder tillkomma, eller behöva anpassas, för specifika situationer eller behov i ett förvaltningsobjekt. 1.5 Stöd till genomförandet Informationssäkerhetsspecialister vid universitetets IT-organisation kan bistå FL vid planering av en säkerhetsanalys eller för bedömning av resultatet. Se kontaktuppgifter på universitetsförvaltningens hemsida 2. 2 Planering En säkerhetsanalys av förvaltningsobjektet, eller valda delar av objektet, bör göras på årsbasis och enligt en tidplan som möjliggör att prioriterade säkerhetsförbättringar i slutrapporten kan inkluderas i förvaltningsplanen för kommande verksamhetsår. 3 Genomförande En säkerhetsanalys i ett förvaltningsobjekt består i huvudsak av tre arbetsuppgifter vilka förklaras närmare i de följande avsnitten. 3.1 Definiera omfattning Säkerhetsanalyser kan göras av hela förvaltningsobjektet eller valda delar av objektet, dvs. även av ett enskilt system inom objektet. 3.1.1 Klassificera informationen För att kunna avgöra vilka säkerhetsåtgärder som är relevanta för förvaltningsobjektet behöver en informationsklassificering göras av de informationstillgångar som objektet hanterar. Informationsklasserna som används är Bas, Hög eller Särskilda krav. Anvisningar för hur en informationsklassificering ska genomföras, inklusive stödblanketter, finns på universitetets hemsida för informationssäkerhet 3. 3.1.2 Anpassa checklistan 2 http://uadm.uu.se. 3 http://uadm.uu.se/iti/informationssakerhet 4

När klassificeringen enligt ovan har utvisat vilken önskad säkerhetsnivå som förvaltningsobjektet är nästa steg att anpassa checklistan (Bilaga 1) till att omfatta de säkerhetsåtgärder som motsvarar denna säkerhetsnivå. Detta görs genom att följa de inledande användarinstruktioner som finns i checklistan. 3.2 Gör nulägesbedömning FL, eller annan av OÄ utsedd person, leder arbetet med säkerhetsanalysen och ansvarar för att analysen dokumenteras och rapporteras till OÄ. Analysen genomförs i form av en eller flera workshops i en analysgrupp där de personer som har viktiga roller i förvaltningsorganisationen deltar. Även s.k. super users eller andra nyckelpersoner kan vara tänkbara deltagare i hela eller delar av analysen. Analysgruppen går metodiskt igenom checklistan för objektet och bedömer efterlevnaden av de angivna säkerhetssåtgärderna enligt följande skala: 3 = Hög efterlevnad (säkerhetsåtgärden fungerar enligt dokumenterad och implementerad rutin) 2 = Acceptabel efterlevnad (säkerhetsåtgärden kan anses fungera tillfredställande) 1 = Bristfällig efterlevnad (säkerhetsåtgärden har stora brister) 0 = Ingen efterlevnad (säkerhetsåtgärden är ej implementerad/följs ej) Et = Ej tillämpligt (t.ex. för IT-relaterade förvaltningsobjekt som Teknisk plattform, IT-arbetsplats etc) Att notera: För nivåerna 0-1 ska förslag på förbättringar för att uppnå acceptabel nivå anges i checklistan. 3.3 Sammanställ rapport och föreslå förbättringsåtgärder När nulägesbedömningen är slutförd gör FL en sammanställning av resultatet och skickar denna på remiss till övriga workshopdeltagare och gör erforderliga ändringar och kompletteringar. Därefter skriver FL en slutrapport från säkerhetsanalysen, som stöd för detta finns ett rapportexempel (Bilaga 2). Som en bilaga till slutrapporten upprättas en åtgärdsplan (Bilaga 3). Avslutningsvis skickas slutrapporten från säkerhetsanalysen till OÄ som underlag för prioritering och beslut om föreslagna säkerhetsförbättringar. 4 Uppföljning Uppföljning av att de beslutade säkerhetsförbättringarna genomförs sker därefter i det löpande förvaltningsarbetet för objektet. 5 Bilagor Bilaga 1 Checklista 5

Bilaga 2 Slutrapport (mall) Bilaga 3 Åtgärdsplan (mall) 6

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss