KLISTER KARTLÄGGNING INFORMATIONSSÄKERHET I KOMMUNER

Relevanta dokument
KLISTER KARTLÄGGNING INFORMATIONSSÄKERHET I KOMMUNER

KLISTER KARTLÄGGNING INFORMATIONSSÄKERHET I KOMMUNER

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Metod och kartläggning av informationssäkerhet för kommuner i Västra Götaland

INFORMATIONSSÄKERHET ETT HINDER ELLER EN MÖJLIGGÖRARE FÖR VERKSAMHETEN

Fortsättning av MSB:s metodstöd

ISO/IEC och Nyheter

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Ledningssystem för Informationssäkerhet

Nytt metodstöd för systematiskt informationssäkerhetsarbete. Revidering av MSB:s metodstöd. Per Oscarson, Oscarson Security AB Carl Önne, MSB

Fortsättning av MSB:s metodstöd

Ledningssystem för Informationssäkerhet

Ledningssystem för IT-tjänster

Smart region Västra Götaland Enklare, öppnare, effektivare och hållbart

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Myndigheten för samhällsskydd och beredskap

Smart region Västra Götaland

Informationssäkerhetspolicy

Ledning och styrning av IT-tjänster och informationssäkerhet

Informationssäkerhetspolicy KS/2018:260

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Att införa LIS. Informationssäkerhet för offentlig sektor Johan Kallum Säkerhetschef/Informationssäkerhetschef

Smart region Västra Götaland Enklare, öppnare, effektivare och hållbart

Västra Götalandsregionens stöd till Informationssäkerhetsprogram Riktlinjer för sökande kommuner

Digital agenda för Västra Götaland. Öppen data 27 mars 2017 Tore Johnsson Koncernstab regionalutveckling Västra Götalandsregionen

Regionala Digitaliseringsrådet GIS-nätverket Västra Götaland. 30 Maj 2018 Göteborgs Museum

Informationsklassning och systemsäkerhetsanalys en guide

Strategiska styrgruppen för verksamhetsutveckling med stöd av IT - SSVIT

Riktlinjer för informationssäkerhet

Myndigheten för samhällsskydd och beredskaps författningssamling

Riktlinjer för informationssäkerhet

Bilaga till rektorsbeslut RÖ28, (5)

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Informationssäkerhetspolicy för Umeå universitet

Regler och instruktioner för verksamheten

Myndigheten för samhällsskydd och beredskaps författningssamling

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhetspolicy inom Stockholms läns landsting

Svensk Standard SS ISO/IEC SS

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

INFORMATIONSSÄKERHET EN FÖRUTSÄTTNING FÖR GOD INFORMATIONSHANTERING

Koncernkontoret Enheten för säkerhet och intern miljöledning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Nya krav på systematiskt informationssäkerhets arbete

Samverkan för stärkt krisberedskap genom behovsanalysprocessen

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Välkommen till enkäten!

E-hälsostrategi för socialförvaltningen

Bilaga Från standard till komponent

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Administrativ säkerhet

Kartlägga informationssäkerhetsnivån i kommunala grundskolor

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

UTVÄRDERING AV GAPANALYS FÖR INFORMATIONSSÄKERHET EVALUATION OF A GAP ANALYSIS FOR INFORMATION SECURITY

Nuläges- och Mognadsanalys

Hur värnar kommuner digital säkerhet?

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

E-strategi för Strömstads kommun

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

HEJ! Susanne Gyllhamn, CIO Telgekoncernen

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

IT-Policy. Tritech Technology AB

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Informationssäkerhetspolicy för Ystads kommun F 17:01

Projekt Informationssäkerhet

Utforma policy och styrdokument

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

I Central förvaltning Administrativ enhet

Bilaga 3 Säkerhet Dnr: /

Informationssäkerhet - Informationssäkerhetspolicy

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Standarder källa till kunskap och utveckling. Arkivarien i den digitala kommunikationen

Lokal och regional krisberedskap. Dag 2. Risk- och sårbarhetsanalyser

Protokoll Styrgruppsmöte för insatsområde Säker roll- och behörighets-

Policy för informationssäkerhet

1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhetsprogram Valter Lindström Strateg

Säkerhetsgranskning

Organisation för samordning av informationssäkerhet IT (0:1:0)

Ubit. 22 augusti Gullbergsvass

Finansinspektionens författningssamling

1 (7) Arbetsgången enligt BITS-konceptet

Kontinuitetshantering ur ett samhällsperspektiv SIS Clas Herbring: MSB Enheten för skydd av samhällsviktig verksamhet

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Finansinspektionens författningssamling

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Ledningens genomgång

Utforma säkerhetsprocesser

Transkript:

KLISTER KARTLÄGGNING INFORMATIONSSÄKERHET I KOMMUNER Metod och resultat Rose-Mharie Åhlfeldt Eva Söderström Marcus Nohlberg Joeri van Laere Christian Lennerholt I N S T I T U T I O N E N F Ö R I N F O R M A T I O N S T E K N O L O G I, H Ö G S K O L A N S K Ö V D E Bild 1

PROJEKTGRUPP HÖGSKOLAN I SKÖVDE Marcus Nohlberg Informationssäkerhet, Social enginering, Forensic Rose-Mharie Åhlfeldt Informationssäkerhet Ledning och styrning Eva Söderström Informationssäkerhet, Trust, E-tjänster Christian Lennerholt Databaser, IT-utveckling Joeri Van Laere Krishantering, Informationshantering Bild 2

VARFÖR INFORMATIONSSÄKERHET? Information är ett av våra viktigaste arbetsverktyg. Ingen information ingen fungerande verksamhet. God och säker informationshantering är därför en verksamhets- och kvalitetsfråga. Bild 3

INFORMATIONSHANTERING I KOMMUNER Sveriges kommuner hanterar en betydande del av samhällets tjänster Kommunernas informationsförsörjning är blir därför en kritisk del i samhällets informationssäkerhet För att kunna säkerställa en tillräcklig nivå av informationssäkerhet krävs att informationssäkerhetsarbetet bedrivs metodiskt och långsiktigt (Informationssäkerhet i kommuner, MSB 2012) Bild 4

INFORMATIONSSÄKERHETSMODELLEN Bild 5

KARTLÄGGNING INFORMATIONSSÄKERHET Bild 6

METOD FÖR KARTLÄGGNING GAP-analys Analyserar gapet mellan det nuvarande läget mot kraven i standarden (ISO/IEC 27001 och 27002) Ger en helhetsbild över informationssäkerhetsnivån i kommunens verksamhet baserat på en vedertagen/jämförbar best practice Är en viktig (omfattande) del i den grundläggande analysen för ett införande av ett ledningssystem för informationssäkerhet (LIS). Bild 7

METODSTÖD FÖR LIS Bild 8

GAP-ANALYS Bild 9

GAP-ANALYS Identifiera kunskapskällor Befintliga dokument Utse nyckelpersoner/roller för intervjuer Dokumentera nuläget Platsbesök, intervjuer Dokumentera förbättringsförslag Handlingsplan för åtgärder Bild 10

FORSKNINGSUTBLICK Bild 11

FORSKNINGSUTBLICK ÖVER METODER FÖR KARTLÄGGNING Utvärdera utifrån ett tillstånd Olika funktioner / roller i en verksamhet Baserat på olika kriterier och mål Nivåer på skydd : D, C1, C2, B1, B2, A1. D= minimalt skydd, A=bra skydd. Utvärdera genom jämförelse Utifrån givna standarder Hur gör andra? (Solms, 2012) (Tu & Yuan, 2014) (Lopes & Oliveira, 2015) Bild 12

VERKTYG FÖR KARTLÄGGNING AV INFORMATIONSSÄKERHET Matriser Ger helhetssyn på vilka nivåer som är uppfyllda och vilka brister som finns Verksamhetens struktur Organisatorisk support Medvetenhet: utbildning av anställda IT-kompetens: rent generellt (Behnia & Rashid, 2012) (Solms, 2012) (Tu & Yuan, 2014) (Lopes & Oliveira, 2015) Bild 13

VERKTYG FÖR KARTLÄGGNING AV INFORMATIONSSÄKERHET Mindre enkäter Inför nya policies Saknar riktiga IT-verktyg (Behnia & Rashid, 2012) (Solms, 2012) (Tu & Yuan, 2014) (Lopes & Oliveira, 2015) Bild 14

VÅRT FÖRENKLADE IT-STÖD - UTMANINGAR Hur översätts GAP-analysens frågebatteri till ett IT-stöd? Kommunanpassa frågorna: hur påverkar det IT-stödet? Förändras arbetsprocessen med kartläggningen om ett IT-stöd används? Hur? Bild 15

DEMO Bild 16

FÖRBÄTTRINGSFÖRSLAG Processbaserat IT-stöd Utifrån olika roller Säkerhetskrav kopplade till IT-stödet Förslag på frågor som är intressanta för respektive roll Bild 17

REFERENSER Behnia, A., Rashid, R.A and Chandry, J.A, 2012. A Survey of Information Security Risk Analysis Methods. Smart Computing Review, Vol.2, No.1. Lopes, I and Oliveira, P, 2015. Implementation of Information Security Olives: A Survey in Small and Medium Sized Enterprises, New Contributions in Information Systems and Technologies, Vol. 353, pp. 459-468. Sols, R, 2012. Information Security Management: Processes and Metrics. Diss, University of Johannesburg. Tu, Z and Yuah, Y, 2014. Critical Success Factors, Analysis on Information Security Management: A Literature Review, CSF Analysis on Effective Information Security Management. Bild 18

KLISTER GENOMFÖRANDE OCH RESULTAT Bild 19

PROJEKTPLAN Planering/Upplägg April - Aug Analys och efterarbete Nov Dec Genomförande Sep- Nov Resultatredovisning Januari 2016 Bild 20

FÖRVÄNTAT RESULTAT KOMMUNER På ledningsnivå ha informationssäkerhet på agendan på ett systematiskt sätt, Påskynda och öka arbetet med informationssäkerhet, Få ökad kunskap om nuvarande skydd av informationen är infört i tillräcklig omfattning i den egna verksamheten, Få en ökad uppfattning om kvalitén på informationssäkerhetsarbetet som bedrivs, Få en fördjupad information om styrkor och svagheter i skyddet av information, Bild 21

FÖRVÄNTAT RESULTAT ÖVRIGT Forskningsunderlag kartläggning av informationssäkerhet från ett större antal kommuner i ett lokalt område Utvärdering och möjlighet till förbättringsförslag av metodik för kartläggning av informationssäkerhet generellt och kommunalt Möjlighet till produktifiering av metod och förenklat it-stöd, Ökad samverkan mellan Högskolan i Skövde och kommuner i Västra Götaland Bild 22

ORGANISATION AV PROJEKTET Styrgrupp Representanter från SSVIT, HiS, samt deltagande kommuner Projektgrupp Intern grupp med HiS samt Skaraborgs kommunalförbund Extern grupp med ytterligare 2 representanter från deltagande kommuner. Referensgrupp Representanter från både deltagande kommuner i Skaraborg samt övriga Västra Götaland. Bild 23

UTVECKLING METODSTÖD Bild 24

UTVECKLING AV METODSTÖD Utgångspunkter Befintlig GAP-analys i metodstödet Uppdaterad ISO 27002 standard Hur uppdaterade vi GAP-analysen? Kritiska/ickekritiska åtgärder Kommunperspektiv (= fyra extra kritiska åtgärder) Identifiering av roller för respektive kartläggningsområde Samarbete med referensgruppen Kravställning/utveckling av förenklat IT-stöd Bild 25

KARTLÄGGNING - PILOTSTUDIE Bild 26

KARTLÄGGNING - PILOTSTUDE 15 kommuner i Skaraborg Mål: bidra till etablering av LIS i VGRs kommuner Observera! Varje analys baseras på kommunernas självskattning och analysledarnas subjektiva bedömningar och jämförelse kan endast ske internt inom en kommun. Ett fokus har skett på skola, vård och social verksamhet (duktiga men utsatta verksamheter). Bild 27

Arbetssätt Planering Genomförande Efterarbete Uppdatering av metodstöd Förberedelse av GAP-analys Schemaläggning av besök Forskare Referensgrupp Förberedelse av GAP-analys Inbokning av besök Kommuner Pilotstudie hos 15 kommuner Analysförberedelser utifrån resultatet Sammanställning och förbättringsåtgärder på kommunnivå Helhetsresultat och projektdokumentation Förbättringsåtgärder metodstöd Bild 28

Bedömningsnivåer Bedömningen är graderad i fyra nivåer: 0 = Ingen efterlevnad 1 = Bristande efterlevnad 2 = Acceptabel efterlevnad 3 = Stor efterlevnad Maxvärde: 3 Normvärde: 2 Kommunernas genomsnitt: 1,2 Bild 29

Bild 30

RESULTAT PER DELOMRÅDE Kartläggningsområde Snitt Informationsäkerhetspolicy 0,8 Organisation av informationssäkerhet 0,9 Personalsäkerhet 1,1 Hantering av tillgångar 0,9 Styrning av åtkomst 1,7 Kryptering 0,2 Fysisk säkerhet 1,6 Bild 31

RESULTAT PER DELOMRÅDE Kartläggningsområde Snitt Driftsäkerhet 1,4 Kommunikationssäkerhet 1,9 Anskaffning, utveckling o underhåll av IS 1,3 Leverantösrelationer 1,2 Hantering av informationssäkerhetsincidenter 0,8 Kontinuitetshantering informationssäkerhet 1,1 Efterlevnad 1,2 Bild 32

BRISTER - ÖVERGRIPANDE Informationssäkerhetspolicyn Organisation av informationssäkerhet - roller/ansvar Avsaknad av kompetens inom informationssäkerhetsområdet Hantering av informationstillgångar Regler för kryptering Incidenthantering Kontinuitetshantering Efterlevnad Formalisering av processer Befintliga system styr behov Bild 33

STYRKOR - ÖVERGRIPANDE Kommunikationssäkerhet Driften Styrning och åtkomst - dubbelbottnad Bild 34

VAD BEHÖVER HÄNDA NU? (1 av 2) Kommuner Regelverk och organisation av arbetet en prioritet Systematiskt och långsiktigt tänk LIS-arbete Samarbete såväl inom kommuner som mellan kommuner GAP-verktyg Vidare arbete med kommunanpassning Språkbruk och formuleringar Skalbarhet gällande kommunstorlek och komplexitet Bild 35

VAD BEHÖVER HÄNDA NU (2 av 2) Forskare Sprida resultat till forskarsamhället Fördjupa pilotstudien och dess resultat Förbättra både standard och metod Resurser i att stärka kommunernas eget arbete Bild 36

KONTAKT Rose-Mharie Åhlfeldt, rose-mharie.ahlfeldt@his.se Projektledare Maria Nilsson, maria.nilsson@skaraborg.se e-samordnare Skaraborgs kommunalförbund Mer information om projektet http://www.vastkom.se/samverkansomraden/esamhallet/gemens ammafunktionerochtjanster/informationssakerhet/metodstodgapa nalys.4.455606ea14bccfd925216c8b.html Bild 37

DISKUSSION I BIKUPOR Bild 38

BIKUPA - INSTRUKTIONER Varje bord har 3 frågor (delvis samma frågor men i annan ordning) Ni har totalt 20 minuter diskussionstid Börja med fråga 1 och 2; ta fråga 3 bara om ni har tid kvar För varje fråga: ta ett snabbt varv runt bordet (så att alla kommer till tals) skriv ner de svar/idéer som nämns oftast eller som ni tycker var bäst välj eventuellt ett svar och utveckla det i mer detalj (texta på pappret!!) Jag påminner om 10 minuter att det dags att byta till nästa fråga Bild 39

BIKUPA - DISKUSSIONSFRÅGOR Hur kan olika kommuner samverka med varandra när ni utvecklar och förbättrar informationssäkerheten? Hur skapas ett brett engagemang i en organisation för att förbättra informationssäkerheten? Vilken aspekt av informationssäkerhet är viktigast att åtgärda först, när en kommun har en bristfällig utvärdering på de flesta områdena? Bild 40

BIKUPA - INSTRUKTIONER Varje bord har 3 frågor (delvis samma frågor men i annan ordning) Ni har totalt 20 minuter diskussionstid Börja med fråga 1 och 2; ta fråga 3 bara om ni har tid kvar För varje fråga: ta ett snabbt varv runt bordet (så att alla kommer till tals) skriv ner de svar/idéer som nämns oftast eller som ni tycker var bäst välj eventuellt ett svar och utveckla det i mer detalj (texta på pappret!!) Jag påminner om 10 minuter att det dags att byta till nästa fråga Bild 41

PANELDEBATT Bild 42

FRÅGA FÖR PANELEN Nämn ett plus och ett minus med den använda metoden (GAPanalys) för kartläggning. Bild 43

FRÅGA FÖR PANELEN GAP-analysen är en självskattningsmetod. Hur ser ni på det? Lägger man sig högre eller lägre än verkligheten? Bild 44

FRÅGA FÖR PANELEN Har genomförandet av GAP-analysen redan gett en effekt i er organisation, i så fall vilken? Bild 45

FRÅGA FÖR PANELEN Fråga från salen Bild 46

FRÅGA FÖR PANELEN Hur kan GAP-analysen förbättras bäst om ni bara får ge ett förslag? Bild 47

FRÅGA FÖR PANELEN Vid genomförandet av GAP-analysen har både enskilda intervjuer och gruppintervjuer tillämpats. Vad är för- och nackdelar med dessa metoder? Bild 48

FRÅGA FÖR PANELEN Vad tyckte de som deltog i GAP-analysens genomförande? Bild 49

FRÅGA FÖR PANELEN fråga från salen Bild 50

FRÅGA FÖR PANELEN Samstämmer den bild som analysen/rapporten ger med den uppfattning som ni hade innan om informationssäkerhet i er organisation? Om JA => ska men ändå göra en sådan analys? Om NEJ => vad var största överraskningen för er/dig? Bild 51

FRÅGA FÖR PANELEN Vad kommer er organisation göra med utfallet av GAP-analysen på kort sikt (innan midsommar 2016) och på långsikt (därefter)? Bild 52

FRÅGA FÖR PANELEN Vad är största hindret/utmaningen för er i att bli bättre på informationssäkerhet? Bild 53

FRÅGA FÖR PANELEN Vilka tänka-på-tips skulle du vilja skicka med till de som står inför ett genomförande av en GAP-analys? Bild 54

FRÅGA FÖR PANELEN Fråga från salen Bild 55

DISKUSSION: HUR GÅR VI VIDARE? Bild 56

HUR GÅR VI VIDARE? Tillsammans ska vi hitta: Tre konkreta exempel som kommunerna kan samverka kring Tre förbättringsåtgärder som kommunerna behöver extern hjälp kring Tre viktiga framgångsfaktorer för arbetet med informationssäkerhet Tre stora hinder för arbetet med informationssäkerhet Tre förslag på ev förbättring av metoden för GAP-analys Slutligen ska vi identifiera: Vad ska vi som konferensdeltagarna berätta om denna dag imorgon på vår arbetsplats under fikat? Bild 57

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss