Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799



Relevanta dokument
Nulägesanalys. System. Bolag AB

Sydkraft AB - Koncern IT

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

Vilket mervärde ger certifiering dig?

Ledningssystem för Informationssäkerhet

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Administrativ säkerhet

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhetspolicy

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Bilaga 3 Säkerhet Dnr: /

Informationssäkerhetspolicy inom Stockholms läns landsting

Svensk Standard SS ISO/IEC SS

Ledningssystem för Informationssäkerhet

Informationssäkerhetspolicy

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Informationssäkerhetspolicy KS/2018:260

I Central förvaltning Administrativ enhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Informationssäkerhetspolicy för Ånge kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Riktlinjer för IT-säkerhet i Halmstads kommun

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhet, Linköpings kommun

Informationssäkerhetspolicy

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Sitic. Informationssäkerhetspolicy. Om detta dokument. Förebyggande Råd från Sveriges IT-incidentcentrum. Om Förebyggande Råd från Sitic

EBITS E-MÖTE / VIRTUELLT MÖTE 5 INFORMATIONSKLASSNING. 1 Syfte. 2 Avgränsningar. 3 Bakgrund. 4 Informationsformer

Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare;

Välkommen till enkäten!

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Policy för informationssäkerhet

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Policy för informations- säkerhet och personuppgiftshantering

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Metodstöd 2

Informationssäkerhetspolicy IT (0:0:0)

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Skärpta krav för informationssäkerhet, IT-verksamhet och insättningssystem. Jonas Edberg och Johan Elmerhag 20 maj, GRC 2015

Välja säkerhetsåtgärder

Informationsklassning och systemsäkerhetsanalys en guide

1(6) Informationssäkerhetspolicy. Styrdokument

Riktlinjer för informationssäkerhet

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Svar på revisionsskrivelse informationssäkerhet

Informationssäkerhetspolicy för Ystads kommun F 17:01

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Bilaga till rektorsbeslut RÖ28, (5)

ISO/IEC och Nyheter

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Transportstyrelsens föreskrifter om hantering av kryptografiska nycklar och certifikat med mera för tillverkning av digitala färdskrivare;

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Policy för informationssäkerhet

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Fortsättning av MSB:s metodstöd

Koncernkontoret Enheten för säkerhet och intern miljöledning

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

Myndigheten för samhällsskydd och beredskaps författningssamling

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Dnr

Att införa LIS. Informationssäkerhet för offentlig sektor Johan Kallum Säkerhetschef/Informationssäkerhetschef

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Vervas kräver ISO och ISO av alla statliga myndigheter. Maylis Karlsson, Utvecklingsstrateg Verva

Informationssäkerhetspolicy

Riktlinjer informationssäkerhet

Riktlinjer för informationssäkerhet

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Riskanalys och riskhantering

ABC - Hur certifiera verksamheten?

Informationssäkerhetspolicy för Umeå universitet

Säkerhetspolicy för Kristianstad kommun

Informationssäkerhet i. Torsby kommun

Hantering av behörigheter och roller

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Informationssäkerhet nyckeln till nya affärer

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

Policy och strategi för informationssäkerhet

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

Informations- och IT-säkerhet i kommunal verksamhet

Informationssäkerhetspolicy för Katrineholms kommun

Metodstöd 2

FÖRHINDRA DATORINTRÅNG!

Informationssäkerhetspolicy

Transkript:

2003-01-24 Energibranschens IT-säkerhet 1 (13) Att införa LIS Förberedelser inför anpassning till ISO/IEC 17799 Vad är informationssäkerhet? Information är en tillgång som, liksom andra viktiga tillgångar i en organisation, har ett värde och följaktligen måste få ett adekvat skydd. Informationssäkerhet syftar till att skydda information mot förekommande hot, förhindra avbrott i verksamheten och minska skador och bidrar därigenom till att maximera värdet av organisationens verksamhet. Information förekommer i många former. Den kan exempelvis vara tryckt eller skriven, elektroniskt lagrad, skickad med post eller e-post, visad på film eller talad. Oavsett vilken form informationen har, eller det sätt på vilket den överförs eller lagras, måste den alltid få ett godtagbart skydd. Informationssäkerhet karaktäriseras som bevarandet av: sekretess - säkerställande av att information är tillgänglig endast för dem som har behörighet för åtkomst riktighet/tillförlitlighet - skydd av information och behandlingsmetoder så att de förblir korrekta och fullständiga tillgänglighet - säkerställande av att behöriga användare vid behov har tillgång till information och tillhörande tillgångar Informationssäkerhet uppnås genom att lämpliga styrmedel införs. Dessa kan vara t.ex. riktlinjer, rutiner, organisation och programfunktioner. Därigenom säkerställs att organisationens specifika säkerhetsmål uppnås.

2003-01-24 Energibranschens IT-säkerhet 2 (13) Kloka och tänkvärda ord Det spelar ingen roll i vilken riktning du går, om du inte vet vart du ska! För att lyckas med informationssäkerhetsarbetet så måste företagets ledning ha en uttalad strategi när det gäller informationssäkerhet och vara engagerad i arbetet. Att inte skydda företagets viktiga information är en affärsrisk, och måste alltså behandlas och beaktas på ledningsnivå. Traditionellt har man satt likhetstecken mellan Informationssäkerhet och IT-säkerhet vilket har fått till följd att man delegerat ansvaret för att upprätthålla säkerheten på IT-avdelningen. Resultatet kan ses i dagsläget när företag har lagt stora resurser på tekniska säkerhetslösningar utan förankring i verksamhetens krav och behov.

2003-01-24 Energibranschens IT-säkerhet 3 (13) Informationssäkerhet, en investering Informationssäkerhet är en investering i organisationens och företagets framtid Informationssäkerhet är ingen kostnad utan en förutsättning för framtida överlevnad

2003-01-24 Energibranschens IT-säkerhet 4 (13) Optimal säkerhetsnivå Hög Kostnader för skyddsåtgärder Kostnader Kostnader för händelse Låg Låg Hög Grad av skyddsåtgärder All informationssäkerhet handlar om att hitta den optimala säkerhetsnivån för företaget. Om säkerhetsnivån sätts på känn eller utefter tekniska önskemål och framsteg riskerar företaget att satsa pengar på säkerhetslösningar som inte står i relation till kostnaderna för händelsen om den skulle inträffa. Det här handlar om att göra traditionella riskbedömningar, och det som ska bedömas och skyddas är företagets viktiga information, inte tekniken. Vad är företagets viktigaste information? Var finns den? Vad händer om någon obehörig använder, förfalskar eller tar bort informationen? Vad kostar det företaget i pengar och förlorad Goodwill? Hur ofta har något liknande hänt fram till dagsläget? Hur ofta beräknar vi att det skulle kunna hända i framtiden? Hur handskas vi med risken? Ska vi minimera, försäkra bort eller acceptera risken?

2003-01-24 Energibranschens IT-säkerhet 5 (13) Olika säkerhetsstandarder ITSEC (ISO/IEC 15408) ISO-standard för IT-säkerhet vid framtagning av datorprogram CC (Common Criteria) Sammanslagning av ITSEC, amerikansk och kanadensisk programutvecklingsstandard ISO/IEC 17799 Informationssäkerhetsstandard oberoende av media Det finns olika ISO-standarden som handlar om IT-säkerhet, men det finns bara en som handlar om Informationssäkerhet. ISO/IEC 17799 är en informationssäkerhetsstandard som hanterar all information oavsett media. Det innebär att det är samma krav och regler för information som kommuniceras via tal, telefon eller datanät, skickas via fax, brev eller mail, lagras i kassaskåp, arkiv, servrar eller på band. Det är alltså informationens klassning som styr hur den ska skyddas, oavsett om informationen finns i pappersform eller digitalt i IT-servrar etc.

2003-01-24 Energibranschens IT-säkerhet 6 (13) BS 7799 - SS 627799 ISO/IEC 17799 BS 7799 är en brittisk standard för informationssäkerhet som översattes till svenska och fick beteckningen SS 627799. Det är en direkt översättning med undantag av avsnitt 12.1.7 som handlar om insamling av bevis. Detta avsnitt ansågs inte tillämpligt i Sverige och har därför utelämnats. I början av 2000 blev BS 7799 en internationell ISO-standard ISO/IEC 17799. Den brittiska standarden BS 7799 blev en defacto-standard i nästan hela världen, dock inte i USA. De flesta europeiska länderna översatte standarden till sitt språk, så gjorde även vi i Sverige, och vi kallade den SS 627799. I början av år 2000 blev det en ISO-standard gemensam för hela världen inklusive USA. ISO-standarden bygger på BS 7799, det skiljer inte ett kommatecken dem emellan. LIS står för Ledningssystem för InformationsSäkerhet, och det är ledningssystemet du inför när du säger att du anpassar din verksamhet till standarden.

2003-01-24 Energibranschens IT-säkerhet 7 (13) Vad ska vi med en standard till? Möjliggör säkerhetscertifiering, motsvarande ISO 9000, av oberoende instans som SWEDAC accrediterar Garanti för att nödvändiga säkerhetsåtgärder vidtagits i företaget/organisationen Standarden riktar sig till ledningsnivån inom företag och organisationer Mätstock för säkerhetsnivån i en organisation Internationella krav på säkerheten Vad skiljer Informationssäkerhetsstandarden från Kvalitets- och Miljöstandarderna? När du certifierar dig på ISO 9000 och ISO 14000 är det ditt lands lagar och regler samt dina rutiner och löften att hålla dessa du blir certifierad på. Det innebär att ett företag i landet X kan ha ett miljöcertifikat fast att de inte uppfyller andra länders krav. Man kan inte jämföra olika företag och det innebär att vi inte kan dra slutsatsen att man har en hög kvalitet eller högt miljömedvetande bara för att man har ett certifikat. Så är inte fallet med Informationssäkerhetsstandarden. Det är den första standarden med mycket specifika och uttalade skallkrav. Nu kan vi för första gången använda certifieringen för att mäta nivån på informationssäkerheten i olika företag. Nivån blir en uppfyllnadsgrad gentemot standarden, exempelvis företag X uppfyller standarden till 86 %, företag Y till 78 %. Uppfyller du samtliga skallkrav har du 100 % uppfyllnadsgrad eller nivå. För att ens börja fundera på att bli certifierad bör man minst ha 75 % uppfyllnadsgrad. SWEDAC är den svenska instans som accrediterar certifieringsinstanser såsom t.ex.veritas. Enligt SWEDAC kommer ISO/IEC 17799 att bli den i särklass största standarden som företag certifierar sig på.

2003-01-24 Energibranschens IT-säkerhet 8 (13) Vad är informationssäkerhet? Informationssäkerhet karaktäriseras som bevarandet av: Sekretess - säkerställande av att information är tillgänglig endast för dem som har behörighet för åtkomst Riktighet - skydd av information och behandlingsmetoder så att de förblir korrekta och fullständiga Tillgänglighet - säkerställande av att behöriga användare vid behov har tillgång till information och tillhörande tillgångar Sekretess, riktighet och tillgänglighet är standardens stöttepelare, men först måste du säkerhetsklassa din information. Det handlar inte om att skydda all information på samma vis, utan att skydda den information som ledningen uttalat är viktig för företaget. Förslagsvis använder man sig av fyra säkerhetsklasser: 1. Öppen 2. Intern 3. Företagshemlig 4. Kvalificerat företagshemligt

2003-01-24 Energibranschens IT-säkerhet 9 (13) Trappstegen ❸ Certifiering ❶ Basnivå ❷ Ledningssystem Nivå 3 Certifieringssteg. Karakteriseras av ny GAP-analys. Nivå 2 Implementerande steg. Karakteriseras av genomförande av åtgärdsplanerna. Nivå 1 Förberedande steg, inventering och nuläge. Karakteriseras av systeminventering, informationsklassning, riskanalyser, GAP-analys, avgränsningar och åtgärdsplaner. Att införa LIS är som att be medarbetarna att äta en elefant! För att detta ska fungera måste vi göra införandet i rätt ordning. Ingen kan äta en elefant om du serverar den på en gång, men om man först serverar ett öra och därefter en svanssoppa, så har man ett-tu-tre ätit elefanten. Glöm inte att göra avgränsningar, vad ska LIS inte omfatta, det gör att du kan minska elefanten i storlek. Se till att du har tillräckligt god tid på dig för införandet. Att införa LIS är en lärande process i företaget som fortgår år efter år. Börja försiktigt på en rimlig nivå och låt så många som möjligt vara engagerade i förloppet. Egentligen är själva resan målet och certifieringen bara ett kvitto på att ni har ökat er medvetenhet och kunskap om informationssäkerhet inom företaget. Den största effekten fås när medarbetarnas säkerhetsmedvetande ökar i takt med att de deltar i informationssäkerhetsarbetet. Om ett fåtal personer inom företaget inför LIS, så blir det ännu en papperstiger med policies och regler som få känner till, förstår eller efterlever. Då har man missat själva poängen, att öka informationssäkerheten i företaget.

2003-01-24 Energibranschens IT-säkerhet 10 (13) Vad måste göras först? 1 2 3 4 5 Basnivå 1. VD-beslut och förankring 2. Nulägesanalys 3. Genomföra riskanalyser 4. Definiera vad ledningssystemet ska omfatta 5. Definiera en informationssäkerhetspolicy 1. VD-beslut och förankring Beslut om anpassning till ISO/IEC 17799 måste tas av företagets ledning Om det är en koncern måste beslutet förankras hos samtliga dotterbolags VD Varje VD är ansvarig för att informera sin organisation och avsätta resurser för genomförandet 2. Nulägesanalys Varför börjar vi med en nulägesanalys? För att ta fram en ändamålsenlig åtgärdsplan för anpassning till ISO/IEC 17799 startar vi med en genomgång av nuläget. Resultatet mäts mot standarden som då visar bolagets uppfyllnadsgrad. Vi får en för bolaget anpassad åtgärdsplan att följa. I nulägesanalysen dokumenteras och uppskattas även risker och hot, dock ej i samma omfattning som en riskanalys. I en nulägesanalys ingå följande : Systeminventering (se dokument Nulägesanalys Systeminventering) - Systembeskrivning - Fysisk placering - Beroendeförhållande - Systemägare - Informationsklassning - Kostnad för avbrott - Avbrotts- och felfrekvens

2003-01-24 Energibranschens IT-säkerhet 11 (13) Enkätfrågor (GAP-analys) inom följande områden: - Säkerhetspolicy - Säkerhetsorganisation - Klassificering och kontroll av tillgångar - Personal och säkerhet - Fysiska och miljörelaterad säkerhet - Styrning av kommunikation och drift - Styrning av åtkomst - Systemutveckling och systemunderhåll - Kontinuitetsplanering - Efterlevnad 3. Genomföra riskanalyser Gör riskanalyser för de system som ni tidigare klassat att de hanterar känslig information, men gör även riskanalys för bolaget som helhet. Förslagsvis görs tre scenarier per system som är relaterade till: - sekretess, obehörig får tillgång till känslig information - riktighet, obehörig förändring av information - tillgänglighet, hindrad åtkomst till känslig information samt tre scenario per företag/företagsdel som är relaterade till: - natur, typ brand, översvämning etc - teknik, typ avbrott, fel i system/applikationer - människor, typ nyckelpersonsberoende, kunskap etc Bedöm riskerna - Varje del inom företaget tar fram sin specifika risk- och hotbild för sina klassade system. - Riskbilden är sannolikheten för att händelsen ska inträffa gånger konsekvensen av händelsen. Bestäm hur riskerna ska hanteras - Identifierade risker måste hanteras på ett kostnadseffektivt sätt - Varje risk ska reduceras, elimineras, undvikas, överföras eller godtas Välj kontroller och säkerhetsåtgärder - Välj kontroller och åtgärder från ISO-standarden, ISO/IEC 17799:2 för att hantera riskerna Dokumentera - Dokumentera de valda kontrollerna och åtgärderna - Sammanställ i det standarden kallar uttalande om tillämpning 4. Definiera vad ledningssystemet ska omfatta Ledningssystemet måste vara tydligt och väl avgränsat Företaget hanterar gemensamma resurser/system Eventuella dotterbolag/avdelningar hanterar egna resurser/system Omfattningen ska definieras och dokumenteras i organisationsschema, flödesschema över ingående system, applikationer, utrustning och datanätverk.

2003-01-24 Energibranschens IT-säkerhet 12 (13) 5. Definiera en informationssäkerhetspolicy Nödvändigt för ett framgångsrikt säkerhetsarbete och utgör grunden för säkerhetsarbetet och införandet av LIS. Övergripande Informationssäkerhetspolicy skrivs för en koncern Varje dotterbolag kan komplettera, dock icke exkludera, innehåll i koncernens Informationssäkerhetspolicy. VD är ansvarig för att ange de mål i Informationssäkerhetspolicyn som ska uppnås.

2003-01-24 Energibranschens IT-säkerhet 13 (13) Nu först kan vi börja införa LIS! Nu vet vi Vilken nivå varje avdelning och företaget som helhet ligger på Vilka risker vi har och tar samt hur vi ska åtgärda dem Vilka system som ska ingå i LIS Vilka mål som ska uppnås Nu har vi klarat av första trappsteget (Basnivån). Trappsteg nummer två kommer att behandlas i separat dokument.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss