Introduktion till OCTAVE

Relevanta dokument
Process 8 Skyddsstrategi

Process 8, grupparbete A: Framta skyddsstrategi. Introduktion

POLISENS LEDARKRITERIER

Ledningssystem för Informationssäkerhet

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Ledningssystem för Informationssäkerhet

Vidareanvända verksamhetsbaserad arkivredovisning

5-stegsguide. Till ett effektivt digitalt samarbete

Myndigheten för samhällsskydd och beredskaps författningssamling

IT-skyddsrond, en metod för ökad användbarhet

Strategi Program Plan Policy Riktlinjer Regler. Lysekils kommuns. Riktlinjer för arbete med ständiga förbättringar

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

Ledningssystem för kvalitet i Socialtjänst

Ramverk för kvalitetssäkring av forskning - en idéskiss

Riktlinjer för styrdokument i Hallsbergs kommun

Metoddokument Processorienterat arbetssätt

Vägledning för anskaffning av robust elektronisk kommunikation

Diplomeringsmaterial. Ett stöd för införandet av ett processinriktat arbetsätt

IT-säkerhet Externt och internt intrångstest

Presentation och bakgrund Kjell Ekbladh. Per Nordenstam

System för intern kontroll Hässelby-Vällingby stadsdelsförvaltning

Reflektion över vår säkerhetskultur. MaPSaF, Manchester Patient Safety Framework

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Patientsäkerhetsberättelse för Hälsan & Arbetslivet

Division medicinska specialiteter

UTBILDNING: Företagsstrategi i praktiken

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Perspektiv på totalförsvaret Underlag till workshop den 7 december 2016

Vem tar ansvar för Sveriges informationssäkerhet?

Så här gör du. om du vill genomföra en framgångsrik innovationstävling

Riktlinje för riskhantering

Digital Strategi för Kulturrådet

Beslut efter uppföljning för grundsärskola

UTBILDNING: Förbereda och Leda Workshop

Håbo kommuns förtroendevalda revisorer

Nationell risk- och förmågebedömning 2017

Enkät & Analysmetoden

Ny i HR-rollen 1. Ny i HR-rollen. Detta måste du ha koll på

Ks 583/2011. Jämställdhets- och ickediskrimineringsplan för Örebro kommun

IKT-strategi för Sjöbo kommun

Riktlinje Riskhantering (Patientsäkerhet)

Punkt 11 Internrevisionsplan

Patientsäkerhetsberättelse. för. Hälsocentralen i Näsum

Kommunledning. Ärendenr: 2016/61 Fastställd: KS Reviderad: KS RIKTLINJE. Intern kontroll

Verksamhetsstrategi 2015

HITTA KRONJUVELERNA. Charlotta Rudoff & Åsa Schwarz PAGE 2 THIS IS KNOWIT

Göteborgs universitets IT-strategiska plan

Balanserade Styrkort. Västra Götalandsregionen,

Uppföljning av internkontrollplan per december 2017

SwedPower:s integrerade ledningssystem

TOMELILLA KOMMUN KOMMUNAL FÖRFATTNINGSSAMLING Nr B 17:1

Policy för Essunga kommuns internkontroll

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Utvecklingsplan för verksamhet: Hallens vård och omsorgsboende Utvecklingsplan upprättad (170208): Datum för omvårdnadsförvaltningens uppföljning:

Hur får man en kommunal RSA att funka? Tankar och erfarenheter från utvecklingsarbete i Malmö stad

Ledningsgruppsutveckling

Analys och åtgärder med anledning av kommunrevisionens webbenkät; Intern styrning och kontroll Vård- och omsorgsnämnden

Rättsmedicinalverkets forskningspolicy

Framgångsfaktorer för en bra uppföljning. Lisa Stöpfgeshoff Lantmäteriet

Processpecifikation för Hantera projekt

Koncernkontoret Enheten för säkerhet och intern miljöledning

Koncernkontoret Koncernstab HR

Riktlinjer för informationssäkerhet

KVALITETSBERÄTTELSE Personlig assistans

Policy för informationssäkerhet

Policy för informationssäkerhet

Kurs Processledning. Kund- och processorientering - grunder för ett ledningssystem

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Granskning för utveckling vi säkrar Sverige som kunskapssamhälle EN STRATEGI FÖR UNIVERSITETSKANSLERSÄMBETET

Första mötet med vården kan vara förvirrande. Information, men på vems villkor?

Anvisning för intern kontroll och styrning

Kommunerna är på e! Bengt Svenson. Sveriges Kommuner och Landsting. IT-strateg Avdelningen för tillväxt och samhällsbyggnad

LOKAL ARBETSPLAN 2014

Bilaga Framgångsfaktorer och exempel

Informationssäkerhetspolicy för Ystads kommun F 17:01

Medarbetarenkäten 2016 handledning för förbättringsarbete

Informationssäkerhetspolicy

Så här kan Transportstyrelsen bedöma säkerhetskultur vid tillsyn. Sixten Nolén, Transportstyrelsen

Hur kan Transportstyrelsen granska organisationers säkerhetskultur genom tillsyn? Sixten Nolén och Inger Engström

Energimyndigheten och NIS-direktivet Panndagarna Tommy Wahlman Projektledare för införande av NIS-direktivet

DIGITALISERING OCH SMARTA STÄDER STADSNÄTENS ROLL I DEN SMARTA STADEN Bredbandsbåten Christian Wictorin

Internkontrollplan et

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

EY:s uppdrag gällande analys av stödfunktionerna vid SLUs akademi i Alnarp

Metodstöd 2

Slutgiltig kvalitetsbedömning

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Nej. Arbetsgång i en processförbättring. Processägare beslutar att inleda ett förbättringsarbete. Föranalysens resultat:

Linnéuniversitetets kvalitetspolicy

Informationssäkerhetspolicy för Ånge kommun

STRATEGI STRATEGI FÖR EHÄLSA

IT-Policy. Tritech Technology AB

POLICY VID ARBETE MED TREDJE PART POLICY ANTAGEN MARS 2015 REVIDERAD FEBRUARI 2017

Övergripande mål, detaljerade mål och handlingsplaner

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

UTBILDNING: Miljöledningssystem i praktiken ISO 14001

Riktlinje för säkerhetsarbetet i Norrköpings kommun

Transkript:

Introduktion till OCTAVE

Kritiska framgångsfaktorer för en riskvärderingsmetod Erfarenheter och expertis Helhetsperpektiv Öppen kommunikation Självstyrning

Erfarenheter och expertis Identifiering och hantering av frågor inom området informationssäkerhet fordrar att organisationen tillvaratar erfarenheter och expertis ifrån: användare av information som förstår hur information används för att bedriva organisationens kärnverksamhet, förvaltare av infrastrukturen som förstår hur IT-systemen är konfigurerade för att stödja kärnverksamheten, beslutsfattare som balanserar kärnverksamhetens behov och säkerhetskrav i beslutsfattandet, kanske även tjänsteleverantörer, konsulter etc?

Helhetsperspektiv Individuella perspektiv på informationssäkerhetsrisker inhämtas och konsolideras. Dessa perspektiv skapar ett helhetsbild av informationssäkerhetsrisker som en organisation behöver hantera. En helhetsperspektiv kräver en förståelse för informationssäkerhetsriskerna i ett större sammanhang av lagstiftning, affärsmodell, myndighetsinstruktion och andra verksamhetsmål.

Öppen kommunikation Informationssäkerhetsrisker kan inte hanteras om de inte delges och förstås av organisationens beslutsfattare Öppen kommunikation kräver: utvärderingsaktiviteter som bygger på samarbete och samverkan, exempelvis workshops, befrämjande av utbytet av säkerhets- och riskinformation över alla nivåer i en organisation, användande av konsensusbaserade processer som tillvaratar individuella åsikter.

Självstyrning Ansvarstagande för informationssäkerheten genom att styra riskvärderingar och hantera riskvärderingsprocessen (ansvarsprincipen). Slutgiltigt beslutsfattande om organisationens säkerhetsambition, inkluderande vilka förbättringar och åtgärder som ska vidtas.

Varför OCTAVE? Operationally Critical Threat, Asset and Vulnerability Evaluation. En riskbaserad, strategisk, värderings- och planeringsteknik för informationssäkerhet. Tillvaratar medarbetares kunskaper om deras organisations säkerhetsrelaterade rutiner och processer i syfte att fånga upp organisationens säkerhetsstatus. Identifierar verksamhetskritiska tillgångars risker för att prioritera förbättringsområden och för att ta fram säkerhetsstrategier för organisationen.

Fördelar med OCTAVE Tar till vara erfarenheter och expertis: involverar medarbetare från alla delar av organisationen, inte bara IT-stödsnivån. kan också inkludera tjänsteleverantörer, partners, konsulter / entreprenörer etc. Skapar verksamhetsbaserade förbättringsplaner. Kommunicerar effektivt säkerhetsfrågor i termer som ledningsgruppen förstår. Skapar en grund för framtida förbättringsåtgärder. Självstyrande kräver inte externa experter eller resurser. Icke-kommersiell!

Riskhanteringscykeln Kontroll Identifiering Observation Risk utredning Analys Implementation Planering

OCTAVE - Fas 1 Den inledande fasen i riskutredningen syftar till att skapa en organisatorisk bild av organisationens säkerhetsläge genom att: etablera vad som är viktigt för organisationens verksamhet, ta reda på hur organisationen för närvarande arbetar med säkerhet, sätta ramar för riskvärderingens omfattning genom att identifiera och välja ut verksamhetskritiska tillgångar, beskriva vad som är viktigt för varje verksamhetskritisk tillgång, ta reda på hur hotbilder mot dessa tillgångar ser ut. Katalog av säkerhetskrav: BITS, OffLIS, Basel II, FM

OCTAVE - Fas 2 Den andra fasen i riskutredningen syftar till att skapa en teknisk bild av organisationens säkerhetsläge genom att: identifiera och kartlägga organisationens IT-infrastruktur, utvärdera sårbarheter i denna infrastruktur. Kan bygga på tidigare säkerhetsrevisioner som har gjorts vid organisationen eller kan genomföras av konsulter eller när tillämpligt Försvarets Radioanstalt.

OCTAVE - Fas 3 Riskanalys Skyddsstrategier Handlingsplan (svara mot valda säkerhetskrav) Avhjälpningslista Åtgärdslista

Skräddarsömnad OCTAVE kan skräddarsys för att möta variationer av: kataloger eller standarder, batterier av hotprofiler, organiationers avdelningar med dess olika storlekar och strukturer, tidsscheman och resursknappheter. OCTAVE-resultat kan integreras till: organisationsvida och sektorsvida utredningar med innehåll för sektoriella strategier och policies, standardiserade metoder för att identifiera verksamhetskritiska tillgångar och värdera hotbilder, Gemensam grund för att hantera risker för tillgångar som delas av multipla organisationer.

Kursupplägg OCTAVE är utformad i ett hålla handen -format Varje process presenteras varefter en genomgång av arbetsblad, enkäter och arbetsbok följer. Varje process inleds och avslutas med ingångs- och utgångskriterier En tidplan är framtagen för varje process Aktiviteterna beskrivs i detalj i utdelade arbetsblad

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss