Nulägesanalys. System. Bolag AB



Relevanta dokument
Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799

EBITS Energibranschens IT-säkerhetsforum

Sydkraft AB - Koncern IT

EBITS E-MÖTE / VIRTUELLT MÖTE 5 INFORMATIONSKLASSNING. 1 Syfte. 2 Avgränsningar. 3 Bakgrund. 4 Informationsformer

Riktlinjer för IT-säkerhet i Halmstads kommun

Informationssäkerhetspolicy inom Stockholms läns landsting

Policy för informationssäkerhet

Informationssäkerhetspolicy

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Hantering av behörigheter och roller

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Informationssäkerhetspolicy för Ystads kommun F 17:01

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Sekretess, lagar och datormiljö

Informationssäkerhet vid Lunds Universitet. Mötesplats Rydberg 3:e oktober Lennart Österman

Informationssäkerhet, ledningssystemet i kortform

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Skolorna visar brister i att hantera personuppgifter

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Sammanfattning av riktlinjer

Administrativ säkerhet

POLICY INFORMATIONSSÄKERHET

Integritetspolicy. Dokumentnamn: Integritetspolicy Version:

Var med och beskriv läget i länet

KONCERNSEKRETESSAVTAL

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

WHAT IF. December 2013

EBITS Energibranschens Informations- & IT-säkerhetsforum BITS. Checklista för f r mindre energiföretag. retag INLEDNING

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Lösenordsregelverk för Karolinska Institutet

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning Definition Omfattning Mål för IT-säkerhetsarbetet... 2

IT-säkerhetspolicy för Landstinget Sörmland

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.

Posthantering och annan överföring av sekretessbelagd och integritetskänslig information

Sänk kostnaderna genom a/ ställa rä/ krav och testa effektivt

1(6) Informationssäkerhetspolicy. Styrdokument

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

1. Bakgrund. 2. Parter. 3. Definitioner

Informations- och IT-säkerhet i kommunal verksamhet

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Riskanalys och riskhantering

Regler för användning av Riksbankens ITresurser

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Riktlinje för informationssäkerhet

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Policy för informations- säkerhet och personuppgiftshantering

Säkerhetsskyddsavtal

I n fo r m a ti o n ssä k e r h e t

Finansinspektionens författningssamling

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

1 Informationsklassificering

Ansökan om tillstånd att bedriva enskild verksamhet för äldre samt för personer med funktionsnedsättning enligt socialtjänstlagen (SoL) Information

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

- förebyggande uppföljning vid ryggmärgsbråck. Information för deltagare

Vägen mot e-arkiv. Hur vi skapar förutsättningar för e-arkiv och ett digitalt informationsflöde KORTVERSION AV FÖRSTUDIERAPPORTEN

Rikspolisstyrelsens författningssamling

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

IT-säkerhet Externt och internt intrångstest

I Central förvaltning Administrativ enhet

Modellavtal 2. Personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

ANVÄNDARVILLKOR ILLUSIONEN

Örnfrakt Ekonomisk förening (Örnfrakt) Integritetspolicy

Lathund Personuppgiftslagen (PuL)

ATTESTREGLEMENTE FÖR SJÖBO KOMMUN

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Anslutningsavtal. inom Infrastrukturen för Svensk e-legitimation. Bilaga 4 Rapporteringsrutiner. för Utfärdare av Svensk e-legitimation


Riktlinjer informationssäkerhet

BILAGA 3 Tillitsramverk Version: 1.2

Mobiltelefoni Om inte surf/mms fungerar iphone Samsung/Android Hur fungerar telefonsvararen? Specad telefonräkning...

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTER

Personuppgiftsbiträdesavtal samt fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

Familj och arbetsliv på 2000-talet. Till dig som är med för första gången

Personuppgiftslagen. Författningssamling. Vad är personuppgiftslagen (PuL)? Personuppgiftslagens syfte

Sekretessavtal. (Projekt namn)

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

AGDA Webb Enskild användare registrera reseräkning 1 AGDA WEBB. Manual

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Riktlinjer för informationssäkerhet

IT policy för elever vid

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Informationssäkerhetspolicy

Personuppgiftsbiträdesavtal

Sjunet Anslutningsavtal Förenklat regelverk för informationssäkerhet

IT-säkerhetspolicy. Antagen av kommunfullmäktige

Informationssäkerhetspolicy för Katrineholms kommun

sommarjobb i botkyrka Guide för dig som ska sommarjobba

Personuppgiftsbiträdesavtal

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare

IT-säkerhet Internt intrångstest

Ansökan Till Business Brilliance Master Mind

2.3 För att ditt medlemskap skall beviljas måste du vara över 18 år och vara registrerad kund på Webbplatsen

Transkript:

2003-04-15 Energibranschens IT-säkerhet 1 (11) Nulägesanalys System Bolag AB Skall mailas/skickas till namn.namn@bolag.se senast den XX xxxxxx Ort: Datum: Uppgiftslämnare: Bolag och befattning:

2003-04-15 Energibranschens IT-säkerhet 2 (11) 1 INFÖR NULÄGESANLYSEN... 3 1.1 VAD ÄR INFORMATIONSSÄKERHET?... 3 1.2 INSAMLING AV GRUNDLÄGGANDE INFORMATION... 4 1.2.1 Beskrivning... 4 1.2.2 Informations- och systemklassning... 6 1.2.3 Kostnader... 9 1.2.4 Avbrott... 10 1.2.5 Fel... 10 1.2.6 Formellt ansvariga... 11

2003-04-15 Energibranschens IT-säkerhet 3 (11) Inför Nulägesanalysen Vad är informationssäkerhet? Information är en tillgång som, liksom andra viktiga tillgångar i en organisation, har ett värde och följaktligen måste få ett adekvat skydd. Informationssäkerhet syftar till att skydda information mot förekommande hot, förhindra avbrott i verksamheten och minska skador och bidrar därigenom till att maximera värdet av organisationens verksamhet. Information förekommer i många former. Den kan exempelvis vara tryckt eller skriven, elektroniskt lagrad, skickad med post eller e-post, visad på film eller talad. Oavsett vilken form informationen har, eller det sätt på vilket den överförs eller lagras, måste den alltid få ett godtagbart skydd. Informationssäkerhet karaktäriseras som bevarandet av: sekretess - säkerställande av att information är tillgänglig endast för dem som har behörighet för åtkomst riktighet/tillförlitlighet - skydd av information och behandlingsmetoder så att de förblir korrekta och fullständiga tillgänglighet - säkerställande av att behöriga användare vid behov har tillgång till information och tillhörande tillgångar Informationssäkerhet uppnås genom att lämpliga styrmedel införs. Dessa kan vara t.ex. riktlinjer, rutiner, organisation och programfunktioner. Därigenom säkerställs att organisationens specifika säkerhetsmål uppnås.

2003-04-15 Energibranschens IT-säkerhet 4 (11) Insamling av grundläggande information Beskrivning Jag önskar en förteckning och beskrivning av de informationssystem som finns i er verksamhet. Detta för att utröna om de tekniska system som används vid informationshanteringen är utformade och anpassade på ett säkerhetsmässigt sätt. Vad räknas som ett system? Ett informationssystem ska uppfylla nedanstående krav: Är en helhet och kan bestå av ett eller flera program/applikationer (t.ex. mail, Officepaket, Ekonomisystem) Har ett syfte (t.ex. skicka mail, löneadministration) Har en systemägare (t.ex. ägs av IT-avd, ägare av mindre system är den som köpt systemet) Har ett namn (t.ex. Opus, Restid) Har en förvaltare/driftsansvarig (t.ex IT-drift) Har en eller flera användare Utför någon form av förändring eller bearbetning av information Exempel : System (Ange systemets namn) Beskrivning (Vad är syftet med systemet) 1. RESTID Registrering av arbetad tid och reseräkning Beroende (Ange om systemet är beroende av något annat system för att fungera) Beroende av att Intranätet är åtkomligt

2003-04-15 Energibranschens IT-säkerhet 5 (11) Fyll i nedanstående tabell enligt exemplet: 1. 2. 3. 4. 5. 6. 7. 8. 9. System (Ange systemets namn) 10. Beskrivning (Vad är syftet med systemet) Beroende (Ange om systemet är beroende av något annat system för att fungera)

2003-04-15 Energibranschens IT-säkerhet 6 (11) Informations- och systemklassning Information som hanteras inom ett bolag skall säkerhetsklassas. De säkerhetsklasser som generellt brukar användas när det gäller manuell hantering är: 1. Öppen 2. Intern 3. Företagshemlig 4. Kvalificerat företagshemlig För att kunna säkerhetsklassa system efter ISO/IEC 17799 ska vi klassa systemen inom samtliga tre områden: Tillgänglighet, Sekretess och Riktighet. Vi ska klassa systemen med utgångspunkt för hur beroende man är av dem i sitt dagliga arbete avseende tillgänglighet, sekretess och riktighet. Använd skalan 1-5 där 5 betyder ovärderlig och 1 oviktigt, se förklaring nedan. Förklaring av skalan 1 Oviktigt Det har ingen betydelse att jag inte kan nå systemet när jag försöker. Jag kan använda systemet en annan dag eller vecka. Ingen ekonomisk påverkan. 2 Inte speciellt viktigt Tillgänglighet Sekretess Riktighet Det gör inget att andra Det gör inget att jag kan komma åt och läsa inte kan lita på informationen. Jag siffrorna eller om behöver inte veta vem någon annan ändrar i som kan läsa den. informationen. Öppen. Öppen. Jag är inte beroende av att nå systemet direkt, men det gör att jag får extraarbete. Kan klara ett avbrott på en dag utan nämnvärd ekonomisk förlust. 3 Viktigt Jag är beroende av att nå systemet på dagtid annars kan jag inte fullfölja mina arbetsuppgifter. Maximal avbrottstid är ett par timmar. Kan innebära ekonomiska förluster. Det är bra om jag vet vem som kan läsa informationen. Informationen klassas som Öppen. Informationen bör inte läsas av extern part. Annan information som inte är hemlig och inte är avsedd för externt bruk. klassad som Intern. Det är inte speciellt viktigt att informationen är helt korrekt, men jag bör kunna lita på att den är någorlunda korrekt. Informationen klassas som Öppen. Informationen ska inte kunna ändras av extern part. Annan information som inte är hemlig och inte är avsedd för externt bruk klassad som Intern.

2003-04-15 Energibranschens IT-säkerhet 7 (11) 4 Mycket viktigt Jag måste kunna nå systemet alltid. Jag kan inte acceptera avbrott längre än en timme. Den ekonomiska effekten blir kännbar för företaget. 5 Ovärderligt Jag måste kunna nå systemet alltid. Inga avbrott får förekomma då det kommer att medföra mycket höga ekonomiska kostnader. Den ekonomiska effekten kan medföra att verksamheten tvingas upphöra. Informationen får inte läsas av obehörig. Information som vid otillbörlig läsning orsakar ekonomisk skada på företaget. Ekonomisk information som kan ge otillbörlig personlig vinst. Känslig information ur integritetssynpunkt. klassad som företagshemlig. Informationen får absolut inte läsas av obehörig. Information som vid otillbörlig läsning kan äventyra företagets framtida marknadsposition. Information som innehåller strategier, framtidsplanering, nya produkter, säkerhetsinformation, marknads- och konkurrentanalyser. klassad som kvalificerat företagshemlig. Informationen måste garanterat vara korrekt. Information som vid otillbörlig förändring orsakar ekonomisk skada på företaget. Ekonomisk information som kan ge otillbörlig personlig vinst. Känslig information ur integritetssynpunkt klassad som företagshemlig. Informationen måste garanterat vara korrekt. Information som vid otillbörlig förändring kan äventyra företagets framtida marknadsposition. Information som innehåller strategier, framtidsplanering, nya produkter, säkerhetsinformation, marknads- och konkurrentanalyser. klassad som kvalificerat företagshemlig.

2003-04-15 Energibranschens IT-säkerhet 8 (11) Klassa enligt ovanstående skala varje system med hänsyn till informationens tillgänglighet, sekretess och riktighet. Ange i siffror 1 5. System Tillgänglighet Sekretess Riktighet 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

2003-04-15 Energibranschens IT-säkerhet 9 (11) Kostnader Uppskatta hur stora kostnaderna blir i kr/dygn vid ett avbrott. Räkna in ev. konsulttid/-kostnad, egen personalkostnad för stillestånd och ev. merarbete samt ev. skadestånd. Ta bara hänsyn till DINA/ERA kostnader. Ange konsult- och personalkostnader i mantimmar var för sig. Uppskatta hur stora kostnaderna blir i kr/dygn eller mantimmar/dygn vid ett avbrott: 1. System kr/dygn alt mantimmar/dygn (kort avbrott, mindre än en dag) kr/dygn alt mantimmar/dygn (långt avbrott, mer än en dag) 2. 3. 4. 5. 6. 7. 8. 9. 10.

2003-04-15 Energibranschens IT-säkerhet 10 (11) Avbrott Med avbrott menas att du inte kan nå eller starta programmet. Ungefär hur ofta förekommer avbrott i ovan beskrivna system? System => 1 2 3 4 5 6 7 8 9 10 Avbrott har aldrig hänt Avbrott är sällsynta (har inträffat) Avbrott förekommer (händer varje år) Avbrott är ganska vanliga (händer varjemånad) Avbrott förekommer ofta (händer varje vecka) Avbrott förekommer ständigt (händer varje dag) Fel Med fel menas att du kan starta programmet men det hänger sig eller något går fel när du t.ex. ska skriva ut. Hur ofta inträffar fel som medför akuta åtgärder? System => 1 2 3 4 5 6 7 8 9 10 Fel som medför akuta åtgärder har aldrig hänt Fel som medför akuta åtgärder är sällsynta (har inträffat) Fel som medför akuta åtgärder förekommer (händer varje år) Fel som medför akuta åtgärder är ganska vanliga (händer varje månad) Fel som medför akuta åtgärder förekommer ofta (händer varje vecka) Fel som medför akuta åtgärder förekommer ständigt (händer varje dag)

2003-04-15 Energibranschens IT-säkerhet 11 (11) Formellt ansvariga Vissa system är gemensamma som t.ex. mail, då är det troligt att ansvarig är IT-drift. Andra system är lokala och då kan det tex. vara den som köpt in systemet som är ansvarig. Fråga dig runt i din organisation om du är osäker. Vilka personer är formellt ansvariga för respektive system? System Namn Befattning 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. TACK FÖR HJÄLPEN!

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss