Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2 Ledningssystem för informationssäkerhet ()
Informationssäkerhet Informationssäkerhet Administrativ säkerhet IT-säkerhet ADB-säkerhet Kommunikationssäkerhet
Vad är informationssäkerhet? Tillgänglighet
Vad är informationssäkerhet? Riktighet
Vad är informationssäkerhet? Sekretess
Varför är det viktigt? 15 000 sjukhusjournaler försvunna vid datorhaveri 30 000 lösenord till Internetkonton frisläppta på Internet 25 personer på utvecklingsavdelningen hoppade av till konkurrent
Vad är ledningssystem? Ett system för att på ett strukturerat och systematiskt sätt styra informationssäkerhetsarbetet i verksamheten
Skapa ett ledningssystem Steg 1 Skriv ett policydokument Steg 2 Skapa en säkerhetsorganisation Steg 3 Gör en riskbedömning
Skapa ett ledningssystem Steg 4 Styr säkerheten Steg 5 Gör en kontinuitetsplan Steg 6 Utbilda personalen Steg 7 Kontrollera efterlevnaden
Policy Ange inriktning Visa engagemang
Säkerhetspolicy Definition av informationssäkerhet Ledningens uttalande rörande informationssäkerhet Förklaring av speciella riktlinjer, principer, standarder och legala krav Ansvarsfördelning Incidenthantering
Säkerhetsorganisation Säkerhetsforum Ansvarsfördelning Oberoende kontroll
Ansvar och befogenheter Verksamhetsledning Verksamhetsansvariga chefer Informationssäkerhetschef verksamhetsledningens representant Användare
Säkerhetsorganisation extern part Säkerställa säkerheten i informationssystem som extern part har tillgång till
Riskhantering Hög påverkan Flytta Undvik Sällan Ofta Acceptera Minska Låg påverkan
Säkerhetsnivå Kostnader Risker
Klassificering och kontroll av tillgångar Register över tillgångar, t.ex. information, program och fysiska tillgångar Informationsklassificering
Fysisk säkerhet Skalskydd fysisk säkerhet såsom lås och passerkontroll Skydd av utrustning elförsörjning, kablage, kassation och mobil utrustning
Systemdrift och kommunikation Dokumentera drifthandledning Systemplanering Skydd mot skadliga program Databackup, loggning Nätverksadministration Mediahantering Utbyte av data och program
Åtkomstkontroll Verksamhetens krav på systemåtkomst, t.ex. en policy för åtkomstkontroll Administration av användarens åtkomst Användaransvar Åtkomst till nätverk Åtkomst till system Åtkomst till data Åtkomst till tillämpningar Övervakning av systemanvändning
Systemutveckling och underhåll Systemsäkerhetskrav Säkerhet i tillämpningssystem Säkerhet rörande systemfiler i tillämpningar Säkerhet i utvecklings- och underhållsmiljöer
Avbrottsplanering Process Planer Testning Uppdatering
Personal och säkerhet Säkerhet och arbetsbeskrivning Säkerhet vid rekrytering Sekretessförbindelse Användarutbildning Incidenthantering
Efterlevnad Överensstämmelse med lagkrav Säkerhetskontroll av informationssystem Kontroll av systemloggar
Standardens uppbyggnad Standarder med riktlinjer SS ISO/IEC 17799 del 1 Riktlinjer Översikt för ledningsnivå Standarder för certifiering SS 627799-2 Specifikation Index för underliggande nivå - webb med länkar Underliggande standarder Riktlinjer för certifiering
Certifiering Oberoende bedömning av säkerhetsnivå Ständig förbättring
Vägen till certifiering Förgranskning Förstudie Certifieringsrevision i två steg Uppföljning
Harmonisering med andra ledningssystem Informationssäkerhet Miljö Kvalitet SS ISO/IEC 17799 och SS 62 77 99-2 ISO 14000 ISO 9000 Ekonomi
Mer information Bengt Rydstedt SIS, Swedish Standards Institute Tel: 08-555 520 28 E-post: bengt.rydstedt@sis.se Webbplats: www.sis.se/projekt/lis