Innehåll. Introduktion Kringmiljö Yttre miljö Inre miljö

Relevanta dokument
Ramverket för informationssäkerhet 2

VGR-RIKTLINJE FÖR FYSISK SÄKERHET

Informationssäkerhet - en översikt. Louise Yngström, DSV

Bilaga 3c Informationssäkerhet

Metoder för att öka informationssäkerheten. och därmed minska säkerhetsriskerna

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Fastställt av: Christer Lundstedt Framtaget av: Ann-Catrin Wallin Sid:1 (5) Fastställd av Ledningsgruppen för TFS

Informationssäkerhetsanvisningar Förvaltning

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Handledning i informationssäkerhet Version 2.0

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Bilaga 1 - Handledning i informationssäkerhet

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Välja säkerhetsåtgärder

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

PERSONUPPGIFTSBITRÄDESAVTAL

IT-Säkerhetsinstruktion: Förvaltning

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Finansinspektionens författningssamling

EBITS Energibranschens IT-säkerhetsforum

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Riktlinjer för informationssäkerhet

Finansinspektionens författningssamling

Säkerhetsinstruktion 1 BAKGRUND INLOGGNING HANTERING AV INFORMATION INTERNET E-POST INCIDENTER...

Informationssäkerhet Riktlinje Förvaltning

Granskning av IT-säkerhet

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

IT-säkerhet Externt och internt intrångstest

REVISIONSRAPPORT. Grundläggande IT-säkerhet. Landstinget Halland. Februari Rolf Aronsson. Telefon: ,

Finansinspektionens författningssamling

Systematiskt brandskyddsarbete Liten Skola, Samlingslokaler, Hotell, Restaurang, mm

Svensk Standard SS ISO/IEC SS

Informationssäkerhetspolicy för Ånge kommun

FÖRHINDRA DATORINTRÅNG!

Gallrings-/bevarandetider för loggar i landstingets IT-system

Innehåll 1(14) Granskningsdokumentation

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Riktlinjer för informationssäkerhet

IT-säkerhetsinstruktion

SÅ HÄR GÖR VI I NACKA

INSTALLATIONSHANDBOK. Gateway-tillbehörsbox EKLONPG EKBNPG

Riktlinje för säkerhetskrav vid upphandling av IT-stöd

Granskning av IT-säkerhet

Fortsättning av MSB:s metodstöd

Skydd mot stöld av datorutrustning

Riktlinje för informationssäkerhet

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

Förnyad certifiering av driftleverantörerna av Ladok

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Sänk kostnaderna genom a/ ställa rä/ krav och testa effektivt

ANVÄNDARHANDBOK. Advance Online

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

Bilaga 3c Informationssäkerhet

Säkerhet i fokus. Säkerhet i fokus

SURFTOWNS SÄKERHETSMILJÖ. Databehandlingsavtal - Bilaga 1

Informationssäkerhet - Informationssäkerhetspolicy

Säkerhet i fokus. Säkerhet i fokus

Råd för systembeskrivning

BILAGA 3 Tillitsramverk

LARM OCH SÄKERHETSTEKNIK

Informationssäkerhetspolicy

1 Risk- och sårbarhetsanalys

Novare Peritos - Integritetspolicy. Datum för ikraftträdande: Senast uppdaterad:

IT-säkerhetsinstruktion Förvaltning

BILAGA 5 - Fö reskrifter fö r Sambiömbud Versiön: 1.0.1

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationsklassning

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

Kontinuitetsplan IT. Bilaga till Informationssäkerhetspolicy

Sammanfattning av riktlinjer

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Koncernkontoret Enheten för säkerhet och intern miljöledning

Säkerhet vid behandling av personuppgifter i forskning

Mall säkerhetsskyddsavtal (nivå 1)

Informationssäkerhet

Bengt Sebring OKTOBER 2000 Ordförande GRANSKNINGSRAPPORT 3 Sida: 1

Regelverk för informationssäkerhet Omformulering av tidigare version 3.0

Informationssäkerhet Policy och riktlinjer för Stockholms läns sjukvårdsområde

1. Förvaltning:... Verksamhetsområde: Kontaktperson: Personregistrets benämning. 4. Hur sker information till de registrerade?

Kapitel 10 Styrning av kommunikation och drift

Informationssäkerhetsinstruktion Användare: Elever (3:0:1)

Granskning av räddningstjänstens ITverksamhet

DOKUMENTNAMN: IT-användarpolicy SKAPAT DEN: TYP AV DOKUMENT: Policy SENAST ÄNDRAT DEN:

Bilaga 3 Anvisningar gällande Säkerhetsskydd

IDE USB kabel Windows XP, Vista 7 löäzxcvbnmqwertyuiopåasdfghjklöäz [Version 1.4, ]

BILAGA 3 Tillitsramverk Version: 1.2

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

INSTALLATIONSTEKNIK. Ämnets syfte. Kurser i ämnet

SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM

Gemensamma anvisningar för informationsklassning. Motala kommun

ISO/IEC och Nyheter

BILAGA 3 Tillitsramverk Version: 2.02

INCIDENTRAPPORT FÖR DRIFTSTÖRNING VÄSTBERGA DATACENTER, ZON 1

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Rikspolisstyrelsens författningssamling

SVERIGES ADVOKATSAMFUNDS GRANSKNINGSRAPPORT FÖR ADVOKATBYRÅER

Granskning av personalakter

Metodstöd 2

Informationssäkerhet, Linköpings kommun

Transkript:

Innehåll Introduktion...6 1 Säkerhetsledning och organisation...22 1 Ledning... 22 2 Organisation... 26 3 Ansvar... 29 4 Utbildning/medvetenhet... 31 5 Central BKS-administration... 33 6 Ekonomiskt skydd... 34 7 Legala krav... 36 8 Interna regler och avtal... 38 9 Hantering av utrustning... 41 10 Incidenthantering... 42 11 Projektering/anskaffning... 45 12 Kontroll... 46 13 Hantering av tekniska sårbarheter... 47 14 Identifiering av risker med utomstående parter... 49 15 Hantering av säkerhet vid kundkontakter... 52 16 Hantering av säkerhet i tredje partsavtal... 55 17 Förteckning över tillgångar... 60 18 Ägarskap för tillgångar... 61 19 Godtagbar användning av tillgångar... 62 2 Personal...64 1 Inför anställning... 64 2 Under anställning... 66 3 Ansvar vid upphörande eller ändring av anställning... 67 4 Nyckelbefattningar/personer... 68 5 Behörighet... 69 6 Kompetens... 71 7 Utnyttjande av konsulter mm... 72 3 Tillgänglighet/tillförlitlighet...76 1 Driftstörningar... 76 2 Svarstider... 78 3 Belastning... 79 4 Planering för löpande produktion... 80 5 Kommande produktion... 82 6 Användning av system... 83 7 Underhåll... 84 8 Säkerhetsåtgärder mot skadlig kod... 85 9 Validering av indata... 88 10 Styrning av intern bearbetning... 90 11 Meddelandeintegritet... 92 12 Validering av utdata... 93 13 Tjänsteleverans... 94 14 Övervakning och granskning av tjänster från tredje part... 95 15 Ändringshantering av tjänster från tredje part... 98 4 Kringmiljö...100 1 Yttre miljö... 100 2 Inre miljö... 103 5 Tillträde...106 1 Mekaniska och teletekniska tillträdesmekanismer... 106 2 Behörighet till lokaler... 108 3 Säkerhetsanpassning... 110 6 Försörjning...112 1 Klimat... 112 2 Kraftförsörjning... 115 3 El-miljö... 116 4 Service och underhåll av fysiska komponenter.. 118 7 Brandskydd...122 1 Planering... 122 2 Brandsektionering... 124 3 Utformning... 125 4 Brandbelastning... 127 5 Brandlarm... 129 6 Brandsläckningsutrustning... 131 8 Skydd mot vattenskador...134 1 Utformning... 134 2 Larm... 136 9 Systemsäkerhet...138 1 Behörighetskontroll Införande... 138 2 Behörighetskontroll Organisation... 140 3 Behörighetskontroll Uppdatering... 142 4 Behörighetskontroll Styråtgärder... 143 5 Behörighetskontroll Uppföljning... 145 6 Behörighetskontroll Identifiering... 147 7 Behörighetskontroll Åtkomstkontroll... 150 8 Behörighetskontroll Rapportering/Analys... 152 9 Behörighetskontroll Krypteringspolicy... 154 10 Behörighetskontroll Nyckelhantering... 156 11 Operativsystem Införande... 159 12 Operativsystem Åtkomst... 161 13 Operativsystem Förändring... 163 14 Operativsystem Virus/skadliga program... 164 15 Operativsystem Användandet av system/ program... 165 16 Operativsystem Applikationer... 166 17 Operativsystem Databaser... 167 18 Loggfunktion Loggning... 169 20 Underhåll Service... 173

10 Nätverk/telekommunikation...176 1 Nätadministration Felhantering... 176 2 Nätadministration Dokumentation... 178 4 Nätadministration Avbrottsplanering och redundans... 181 5 Behörighet Identifiering... 183 6 Behörighet Åtkomst... 184 7 Skydd vid överföring Fysiskt skydd... 187 8 Skydd vid överföring Skydd mot obehörig uppkoppling... 188 9 Skydd vi överföring Skydd mot avlyssning och förändring... 190 10 Koppling till Internet Brandvägg (Firewall)... 191 11 Användning av e-tjänster Säkerhet... 193 11 Systemutveckling/Systemändringar...196 1 Projektering/anskaffning... 196 2 Programmering... 198 3 Utvecklingsmiljö... 199 4 Test... 200 5 Dokumentation... 201 6 Säkerhetsaspekter... 203 7 Driftsättning... 205 8 Change management/ändringsrutiner... 206 12 Persondatorer/arbetsstationer...208 1 Ansvar... 208 2 Behörighet... 209 3 Funktion... 210 4 Säkerhetskopiering... 212 5 Virus/skadliga program... 213 6 Säkerhetsskydd för utrustning utanför verksamheten... 215 7 Distansarbete... 216 14 Kontinuitetsskydd...232 1 Planering... 232 2 Förvaltning... 235 3 Affärsberoendesanalys (Business Impact Assessment BIA)... 237 4 Reservlösningar... 238 5 Krisledning och krishantering... 240 6 Plan för återställande... 243 7 Planering för återgång till normal drift... 246 8 Underhåll och distribution av planen... 248 9 Utbildning... 250 10 Övning och test... 253 11 Uppföljning/kontroll... 259 15 Underlag inför en analys...262 1 Underlag som sänds ut före en Gap-analys... 262 2 Underlag inför en Gap-analys enkäten... 264 16 Underlag efter en analys...272 1 Underlag som sänds ut efter en Gap-analys... 272 17 Underlag efter en analys slutrapport med åtgärdsplan...282 1 Underlag som sänds ut när rapporten är klar... 282 Gap-analys... 283 Bakgrund... 284 Resultat från Gap-analysen... 285 13 Säkerhetskopiering/arkivering...218 1 IT-produktions kopiering av aktivt data... 218 2 Informationsbehandling Arkivering av filer... 222 3 Verksamhetsenheter Magnetiska media... 223 4 Verksamheten Pappersdokument... 225 5 Förvaring... 226 6 Transport... 228 7 Hantering... 228

6 Inför en Gap-analys i detalj I god tid före en Gap-analys ska ett schema göras för analysdagarna samt frågeformuläret skickas till kontaktmannen för Gap-analysen (IT chef eller liknande för den organisation/företag där Gapanalys ska utföras). Kontaktmannen ska återsända dessa dokument senast en vecka före Gapanalysen. Detta för att ge den som ska genomföra analysen tillräckligt med tid till förberedelser. Schemat är ett resultat av den erfarenhet som gjorts under ett stort antal Gap-analyser och rekommendationen är att det följs med så små ändringar som möjligt. Detta schema ska kontaktmannen återsända med namnen ifyllda på de personer som ska besvara frågorna för varje delområde. Dessa namn ska utgöra de personer inom organisationen/företaget som kontaktmannen anser bäst skickade att besvara frågorna för varje delområde. Det är kontaktmannens uppgift att tillse att dessa personer är bokade och att ett rum där intervjun kan hållas finns till förfogande under analysdagarna. Frågeformuläret (kapitel 15) utgör underlaget för Gap-analysen och består i huvudsak av två delar: 1. 2. Organisationens beroende av datorsystemen. Beskrivning av de mest prioriterade systemen. (Detta underlag ska tillsändas den som ska genomföra analysen i ett exemplar per prioriterade system). Inledningsvis i frågeformuläret nämns ett stort antal dokument som kontaktmannen uppmanas att skicka till analysledare. När den som ska genomföra analysen får schemat och frågeformuläret returnerat samt de dokument som efterfrågats påbörjas förberedelserna. Ur frågeformuläret kan utläsas hur organisationens ITsystem ser ut och vilka hård- och mjukvarukomponenter som ingår. Den som ska genomföra analysen bör studera detta och läsa på vilka säkerhetsaspekter som finns på uppdragsgivarens IT system (omfattande material i ämnet kan hittas vid sökningar på Internet). Det går vidare att utläsa ur materialet hur man själv ser på sin IT-verksamhet. Vilka system man anser är de mest kritiska för organisationen/företaget och vilka prioriteringar och ansvarsfördelningar man har. Man kan ur materialet få en bild av huruvida man inom organisationen/företaget har tillräcklig kunskap om sitt IT-beroende och om man har försökt att utröna vad störningar i olika system skulle få för effekt för verksamheten. Det är inte troligt att analysledaren får sig tillsänt samtliga de dokument som efterfrågas. Detta beror dels på att de i många fall att dokumenten inte existerar och dels på att man klassificerar att materialet är av så pass känslig natur att man inte vill sända det utanför sin kontroll. Samtliga dokument kommer ej att behövas av analysledaren utan är mer en kontroll av om de överhuvudtaget existerar i organisationen/företaget och om de är kompletta. Vad analysledaren främst behöver inför sin Gap-analys är systemförteckningen, årsredovisning eller verksamhetsberättelse samt ritningar över de lokaler som ska besiktigas. Om uppdragsgivaren låter meddela att man av sekretesskäl ej vill skicka vissa dokument, men att de finns inom organisationen kan det vara ett tecken på ett högt säkerhetsmedvetande inom organisationen. Dock bör man på plats för Gap-analysen be uppdragsgivaren att presentera dokumentet för att säkerställa att det existerar. 12 Mät din informationssäkerhet Gap-analys

7 Gap-analys metodik i detalj Exempel på schema för Gap-analysen, med ungerfärliga tidsangivelser: För en oerfaren analysledare kan det vara lämpligt att lägga på en halvtimma på alla kapitel. eller att utöka analysen med en dag och lägga lite mer tid för varje del. Dag 1 Tid Aktivitet Anteckning 07:45 Egen kontroll av kringmiljön och lokaler 09:30 10:20 Presentation av verksamheten och IT-miljön 10:30 11:20 Rundvandring i datorlokalerna 11:20 11.45 - Kringmiljön, kap. 4 - Tillträde, kap. 5 - Försörjning, kap. 6 11:45 12:15 LUNCH 12:15 13:15 - Brandskydd, kap. 7 - Skydd mot vattenskador, kap. 8 13:30 14:00 Säkerhetsorganisation, kap. 1 14:00 14:20 Personal, kap. 2 14:30 15:00 Systemtillgänglighet/tillförlitlighet, kap. 3 15:15 16:15 Systemsäkerhet, kap. 9 16:15 16.30 Analysledarens enskilda uppsummering av dagen 16:30 16:45 Komplettering av analys underlag Dag 2 Tid Aktivitet Anteckning 08:30 09:00 Presentation av synpunkter från gårdagen 09:00 10:00 Nätverk och telekommunikation, kap. 10 10:15 10:45 Systemutveckling, kap. 11 11:00 11:30 Persondatorer, kap. 12 11:30 12:00 Säkerhetskopior/arkivering, kap. 13 12:00 12.30 LUNCH 12:30 13:15 Kontinuitesskydd, kap. 14 13:15 14:00 Reservtid 14:00 15:00 Analysledarens enskilda uppsummering 15:00 16:00 Presentation av synpunkter 16:00 SLUT Mät din informationssäkerhet Gap-analys 13

På plats dag 1 Analysledaren bör vara på plats vid analysobjektet i god tid innan 09:30 då Gap-analysen enligt schemat ska påbörjas. Detta för att i lugn och ro kunna vandra runt i lokalen/lokalerna och undersöka kringmiljön. Vägar och järnvägar som löper i anläggningens omedelbara närhet bör noteras. Vilka grannar man har och om dessa skulle kunna tänkas förvara farligt gods inom sitt område bör också undersökas. Hur ser tillträdesskyddet ut? Finns det uppenbara hål osv. Allt detta återkommer sedan under kapitel 4 (Kringmiljö) och kapitel 5 (Tillträde) men denna yttre Gap-analys ger analysledaren en möjlighet att ställa sina egna observationer mot de svar som ges under intervjuerna. 09:30 10:20 Presentation av organisationens verksamhet och IT miljö. Denna presentation görs av uppdragsgivaren eller någon utsedd av denne. Analysledaren har här möjlighet att få klarhet i hur man inom organisationen/företaget ser sin verksamhet och hur man upplever att IT miljön ser ut samt vilka krav på IT miljön man anser sig ha. 10:30 11:20 En Rundvandring i Datorlokalerna utförs. Dessa 50 minuter bör utnyttjas så effektivt som möjligt. Utgå ifrån systembeskrivningen och be den ansvarige ifrån organisationen/företaget att peka ut samtliga de komponenter som där finns angivna. Lägg noga på minnet vilka komponenter som inte pekats ut och utred vad de är. Rita in dessa på systembeskrivningen med relevanta kopplingar. När analysledaren känner sig klar över vad som finns i datorhallen undersöks det fysiska skyddet, Kontrollera tillträdesskyddet. Finns inbrottslarm? Finns galler för fönster? Är dörrar och väggar svårforcerade? Kontrollera brandsektioneringen runt datorhallen och undersök om dörrar och väggar är brandklassade (på dörrar står som regel brandklass på dörrens inre kortsida). Är ytskiktet på dörrar och väggar i ett brandfarligt material? Vidare kontrolleras att kabel och rörgenomföringar är brandtätade. Kontrollera släckningsutrustningen. Det bör finnas både skum och kolsyresläckare i omedelbar anslutning till datorhall. Lyft plattorna till undergolvet och undertak där sådant finns och kontrollera utrymmet. Titta efter genomföringar och om de är brandtätade, slarvigt dragna kablar eller om det finns avloppsrör eller vattenrör som ej ingår i den fasta brandsläckningsutrustningen. Kontrollera klimatanläggningen. Är den dubblerad? Är även försörjningen av den dubblerad (kyla, vatten). Kontrollera var värmeavgivare är placerad (finns ofta på väggen utanför och är sällan skyddad). 14 Mät din informationssäkerhet Gap-analys

Hur ser strömförsörjningen ut? Är den dubblerad? Använder man femledarkabel? Hur ansluts strömmen till maskinerna? Finns UPS, och i sådana fall var står den? Var finns huvudströmbrytare? (Bör finnas vid dörren till datorhallen.) Notera även det allmänna intrycket av lokalen. Verkar där vara god ordning? Finns tecken på att personal röker i lokalen? Hur är brandbelastningen? (Mängden brännbart material.) Be även att få se korskopplingsrum, switchar, någon del av kabeldragningen i huset. Efter denna rundvandring vidtar arbetet med frågepaketet. Se alltid till att den eller de personer som intervjuas har tillgång till frågematerialet under utfrågningen. En pärm där samtliga frågor finns på papper är bra. Läs alltid huvudfrågan först för varje delområde och be den intervjuade att ha denna fråga i åtanke när de övriga frågorna besvaras. Det kommer att visa sig att vissa frågor inte är relevanta för den organisation/företag som Gap-analysen avser varvid de kan strykas. 11:20 11:45 Genomgång av: Kringmiljön (kap 4), Tillträde till datordriftstället (kap 5) och Försörjning (kap 6). Kringmiljö. Under denna rubrik behandlas den yttre och inre kringmiljön. Man undersöker huruvida man ifrån organisationen/företaget i tillräcklig mån har beaktat de eventuella risker för IT-verksamheten som kan finnas i kringmiljön. Tillträde till datordriftstället. I detta avsnitt undersöks vilka hänsyn som tagits för att få kontroll över vilka personer som har eller som kan få fysiskt tillträde till själva datorhallen. Försörjning. Hur ser datorhallens försörjning av elström och kyla ut? Under denna rubrik behandlas klimatanläggning, strömförsörjningens utformning samt underhållet av dessa. 11:45 12:15 Lunch 12:15 13:15 Genomgång av: Brandskydd (kap 7), Skydd mot vattenskador (kap 8) Brandskyddets kvalitet och lämplighet. Vilket brandlarm är installerat och vilken typ av släckutrustning finns det? Har man beaktat risken för vattenskador och hur har man bemött det? 13:30 14:00 Säkerhetsorganisation (kap 1). Under denna rubrik behandlas både säkerhetsorganisationen för normal säkerhet men även organisation för informationssäkerhet. När benämningen säkerhetsorganisation används hänförs därför det ordet till traditionell säkerhet. I denna Gapanalys avses framförallt struktur och organisation runt IT-verksamheten. Mät din informationssäkerhet Gap-analys 15

14:00 14:20 Personal (kap 2). Detta avsnitt undersöker om man inom organisationen/företaget kan anses ha tillräcklig kontroll över vilka personer som tas in i organisationen/företaget och som därigenom direkt eller indirekt får tillgång till verksamhetens IT-system. Vidare om man har klargjort vilket beroende man har av interna och eventuellt externa nyckelpersoner. 14:30 15:00 Systemtillgänglighet/tillförlitlighet (kap 3). Avsnittet behandlar faktorer som kan påverka systemens tillgänglighet och undersöker i vilken utsträckning man inom organisationen/företaget har tagit hänsyn till dessa vid anskaffning och drift av systemen. 15:15 16:15 Systemsäkerhet (kap 9). Detta avsnitt har fyra underrubriker: Behörighetskontrollsystem: Finns ett sådant och används det på ett riktigt sätt? Har man en organisation för att hantera behörighet? Operativsystem: Vet man att det är korrekt installerat och vilka har åtkomst till operatörskommandon? Används säkerhetsfunktioner i operativsystemet? Loggfunktioner: Vad loggas och hur arkiveras det? Underhåll: Finns underhålls- och serviceavtal? 16:15 16:30 Analysledarens enskilda uppsummering av dagen. Analysledaren har en kort dragning för uppdragsgivaren där man mycket övergripande redovisar de intryck som man fått under dagen. Både positiva och negativa åsikter ska nämnas. Denna uppsummering bör förberedas under lunchen med utrymme given för de tillägg som behövs för kapitlet systemsäkerhet. 16:30 16:45 Komplettering av analysunderlag. Personer som intervjuats kan ibland hänvisa till andra personer i organisationen/företaget som kan vara bättre lämpade att besvara vissa specifika frågor. Analysledaren bör söka få kontakt med dessa innan denne lämnar anläggningen för dagen. 16 Mät din informationssäkerhet Gap-analys

Dag 2 08:30 09:00 Presentation av synpunkter från gårdagen. Denna genomgång bör vara lite mer fyllig än den som avslutar dag 1 och bör främst behandla de brister som framkommit. 09:00 10:00 Nätverk/Telekommunikation (kap 10). Detta avsnitt är uppdelat i 6 delfrågor. Dessa rör: Nätadministration. Angående driftsättning, felhantering, dokumentation, tillgänglighet, avbrottshantering och redundans. Behörighet. Frågor runt identifiering och åtkomst. Skydd vid överföring. Behandlar nätets fysiska skydd, skyddet mot obehörig uppkoppling samt skydd mot avlyssning och förändring. Koppling till Internet. Finns det en brandvägg och hur är den då konfigurerad? Användning av elektronisk post. Kommer e-post fram utan att ha förändrats eller ha blivit läst av obehörig? Växeln. Behandlar behörighet, driftstörningar, svarstider, belastning, inre miljö, kraftförsörjning, BKS och personal. 10:15 10:45 Systemutveckling (kap 11). Frågorna rör den egna systemutvecklingen i de fall detta bedrivs i egen regi. Finns det klara regler för hur detta ska göras och tar man i dessa hänsyn till säkerhetsaspekter? Hur testas nya system och vilken dokumentation kräver man? Finns det regler för hur nya system driftsätts? 11:00 11:30 Persondatorer (kap 12). Under denna rubrik undersöks hur man inom organisationen/företaget ser på säkerhetsaspekterna runt PC, framför allt bärbara. Är frågorna om ansvar och behörighet lösta? Säkerhetskopieras hårddiskarna och har man fullgott virusskydd? Hur löser man de problem som uppstår när utrustningen används utanför organisationen? 11:30 12:00 Säkerhetskopior/Arkivering (kap 13). Tar man säkerhets- och reservkopior tillräckligt ofta, vet man att de är funktionsdugliga och hur förvaras de? 12:00 12:00 Lunch Mät din informationssäkerhet Gap-analys 17

12:30 13:15 Kontinuitetsplanläggning (kap 14). Finns det en kontinuitetsplan, testas den och övar man personal efter den? 13:15 14:00 Reservtid 14:00 15:00 Analysledarens enskilda uppsummering. Under denna tid förbereds uppsummeringen. Använd gärna Power Point presentation för att tydligare åskådliggöra hur det gått och vad ni kommit fram till. 15:00 16:00 Presentation av synpunkter. Analysledaren bör kunna ge den grafiska nivån på denna presentation. Underlag för att göra detta finner du i kapitel 16 Underlag efter en analys. 16:00 Slut 18 Mät din informationssäkerhet Gap-analys

8 Rapportskrivning Svaren som erhållits under dagarna ska nu analyseras. Analysledaren analyserar materialet och anger vilka Gap-analys nivåer som de olika delfrågorna bör få. Detta täcks av kapitel 16 och 17 i denna metod. Nivåskalan är: Risk nivå 3 2,5 2 1,5 1 0,5 0 Risk värde 0= Oacceptabelt 0,5 1= Risk 1,5 2= Liten risk 2,5 3= Mycket liten risk Vad som avgör vilken nivå en huvudfråga får baseras på en sammantagen bedömning utifrån frågesvaren för huvudfrågan, egna observationer på plats samt analysledarens egen erfarenhet. Min erfarenhet säger att det är mycket sällan som fristående bedömningar av olika analysledare gjorda på samma material skiljer sig mer än 0,5 poäng per fråga. Skriv en bristlista och sänd den rekommenderat till uppdragsgivaren. Denne ska med hjälp av de personer som intervjuades kontrollera och intyga att de brister som anges på listan är korrekta. I de fall det finns relevanta invändningar mot angivna brister så ska dessa kompletteras/ändras av analysledaren. Även den åtgärden som korrelerar mot bristen kan i detta läge behöva kontrolleras och korrigeras. När bristlistan har godkänts påbörjas rapportskrivningen. Ett stöd för denna är den rapportmall som finns i slutet av handboken. Som bilaga till rapporten skickas den åtgärdslista som analysledaren upprättar. Sänd alltid rapporten rekommenderat (e-posta den aldrig om du inte har fullgott krypteringsskydd). Mät din informationssäkerhet Gap-analys 19

9 Intervjuteknik Eftersom detta är en subjektiv och kvalitativ metod är det viktigt att man får en god kontakt med de som man intervjuar. Det är lämpligt att skapa en bra rum att vara i och låta de som ska intervjuas komma till analysledaren. Ett annat tips är att alla som intervjuas ska ha sin kopia av frågebatteriet att titta i. Analysledaren ställer frågor och de intervjuade svarar ja eller nej med kommentarer. Om det är ett område som analysledaren inte kan i detalj kan man ställa frågan och låta de intervjuade tolka och analysera den. Be alla som intervjuas vara ärliga då detta är hjälp till självhjälp. 10 Bifogad cd På bifogad cd finner du wordmallar för program, enkät och rapporter. Själva frågebetteriet är bifogat i pdf. 20 Mät din informationssäkerhet Gap-analys

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss