Ett lyckat informationsklassificeringsprojekt!

Relevanta dokument
Informationssäkerhetspolicy inom Stockholms läns landsting

Myndigheten för samhällsskydd och beredskaps författningssamling

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Myndigheten för samhällsskydd och beredskaps författningssamling

1(6) Informationssäkerhetspolicy. Styrdokument

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Modell för klassificering av information

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationsklassning och systemsäkerhetsanalys en guide

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Riktlinje för informationssäkerhet

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

I n fo r m a ti o n ssä k e r h e t

Policy för informations- säkerhet och personuppgiftshantering

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Riktlinjer för informationssäkerhet

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Strukturerat informationssäkerhetsarbete

Riktlinjer för informationssäkerhet

Informationssäkerhet och earkiv Rimforsa 14 april 2016

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Finansinspektionens författningssamling

Finansinspektionens författningssamling

Informationssäkerhetspolicy för Ånge kommun

Informationssäkerhetspolicy

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

En riskidentifiering flera användningsområden. GRC-dagarna 2017 Torbjörn Jacobsson & Stina Lindberg

Informationssäkerhetspolicy KS/2018:260

I Central förvaltning Administrativ enhet

Informationsklassning , Jan-Olof Andersson

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum (rev )

Administrativ säkerhet

SÅ HÄR GÖR VI I NACKA

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Nya regler om styrning och riskhantering

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

IT styrning- Från ett 1a, 2a och 3e linjeperspektiv

Information om dataskyddsförordningen

Finansinspektionens författningssamling

Handlingsplan för persondataskydd

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

POLICY FÖR E-ARKIV STOCKHOLM

Vetenskapsrådets informationssäkerhetspolicy

Integritetspolicy. Vårt dataskyddsarbete

Principer för digital samverkan i Stockholms län PRINCIPER FÖR DIGITAL SAMVERKAN

POLICY FÖR HANTERING AV ETISKA FRÅGOR

Huddinge kommun - första godkända utfärdare med kvalitetsmärket Svensk e- legitimation.

Säker informationshantering utifrån ett processperspektiv

Punkt 19 Riktlinje för regelefterlevnad

DOKUMENTNAMN: IT-användarpolicy SKAPAT DEN: TYP AV DOKUMENT: Policy SENAST ÄNDRAT DEN:

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Riktlinjer informationssäkerhetsklassning

VÄGLEDNING INFORMATIONSKLASSNING

E-strategi för Strömstads kommun

Policy för intern styrning och kontroll

10.6 Bilaga 1 Riskanalys

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Ledningssystem för IT-tjänster

Ett eller flera dataskyddsombud?

IT-policy inom Stockholms läns landsting

Riktlinjer. Informationssäkerhetsklassning

VGR-RIKTLINJE FÖR ÅTKOMST TILL INFORMATION

Riktlinjer för IT-säkerhet i Halmstads kommun

Compliancefunktionen och de nya regelverken från FI om intern styrning och kontroll. Lina Rollby Claesson, Compliance Forum

Internal Governance System. Expertverktyget för regelefterlevnad, kontroll och styrning

Riskanalys och riskhantering

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhet - Instruktion för förvaltning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Revisionsrapport. IT-revision Solna Stad ecompanion

Cyber security Intrångsgranskning. Danderyds kommun

Loggkontroll - granskning av åtkomst till patientuppgifter

POLICY FÖR E-ARKIV STOCKHOLM

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Informations- och IT-säkerhet i kommunal verksamhet

IT-säkerhetsinstruktion Förvaltning

Informationssäkerhetspolicy

Rikspolisstyrelsens författningssamling

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C

Finansinspektionens författningssamling

Riktlinjer för informationssäkerhet

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Hur får man anställda att tänka dokument- & ärendehantering?

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Metod för klassning av IT-system och E-tjänster

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Transkript:

Ett lyckat informationsklassificeringsprojekt!

Agenda Om Marginalen Om Andreas Projektet vägen fram till klassningen Bensträckare Projektet vad hände sen Frågestund Avslut

OM MARGINALENKONCERNEN Bakgrund Marginalen har rötter från 1979 och finns för närvarande i Sverige, Lettland och Litauen med cirka 620 anställda VD och ägare för Marginalenkoncernen är Ewa Glennow Marginalen Bank Fernando Miranda är VD Banklicens 2010 Förvärv Citibanks svenska konsumentverksamhet Har i Sverige ca 200.000 privatkunder och 7.000 företagskunder Vision Bidra till en bättre värld genom att skapa ekonomiskt försprång för människor som söker en bank och partner som inte bara tittar på siffror utan lika mycket på idéer och framtid.

VÅRA PRODUKTOMRÅDEN Marginalen Bank privatpersoner Marginalen Bank företag LÅN KORT SPARA FÖR- SÄKRING FINANS- IERING LEASING KONSULT INKASSO HR JURIDIK MARGINALEN CORE

VEM ÄR ANDREAS? DRIVKRAFT MARGINALEN ANDREAS ELVEBORG Nyfiken, analytisk med behov av att komma till avslut. Helhetsperspektiv Drivit bolag sedan 1992 som konsult och VD för tjänsteföretag, anställd på Marginalen sedan 2009 Verksamhetsutveckling Informationshantering Struktur: design/införa/förvalta/förbättra Styrning & kontroll, riskbaserat angreppsätt Design analys av interna förmågor & omvärld lösningar anpassat för verksamheten Uppdrag CTO lyfta plattform (infrastruktur, data warehouse/bi, integration/biztalk) & hantera förvärv Uppdrag genomlysa bankens hantering av operativa risker med fokus på informationssäkerhet Design för både grupp och bank (riskkontroll, kontinuitetshantering, CSO/CISO)

INFORMATIONSKLASSIFICERING

Projektdirektiv Syfte & mål Att identifiera skyddsnivåer för bankens information Att säkerställa efterlevnad av regulatoriska krav (Finansinspektionen, Datainspektionen) Att säkerställa förutsättningar för mer finmaskigt val av skyddsåtgärder (spara pengar) Omfattning Hela verksamheten Processperspektiv Mappar Inte system i denna fas

Projektets milstolpeplan Etablering & förberedelser Projektgrupp/staffning Metodik, fastställa kriterier Vägledning/frågebatteri December - Januari Pilot - verklighetstest Validering Kontrollfunktioner godkännande metodik Februari Genomförande Uppstartsworkshop Inventering Workshop klassning Klassning Validering Mars - April Förvaltning Projektavslut Effekthemtagning (analys & rapportering) Nästa steg Maj

Etablering & förberedelser Projektgrupp/staffning Metodik, fastställa kriterier Vägledning/frågebatteri Validering Pilot - verklighetstest Kontrollfunktioner godkännande metodik Genomförande Uppstartsworkshop Inventering Workshop klassning Klassning Validering Förvaltning Projektavslut Effekthemtagning (analys & rapportering) Nästa steg Etablering och förberedelser

Etablering & förberedelser Staffning Projektledare & projektassistent Styrgrupp 2 medlemmar ur högsta ledningen Verksamheten 15-tal affärsområden ur 3 divisioner Stödfunktioner (ekonomi, IT, marknad, juridik, etc) Kontrollfunktioner (andralinjen) Totalt drygt 25 grupperingar Processägare, övriga funktionsansvariga (specialister) Chefer (alla nivåer)

Etablering & förberedelser Kontext Informationsobjektets skyddsvärde Verksamhetskrav, Regulatoriska krav Befintliga skyddsåtgärder Hotbild & sårbarheter Incidenter Riskbedömning

Etablering & förberedelser Definitioner Sekretess Riktighet Tillgänglighet Spårbarhet Egenskap att information inte får göras tillgänglig eller avslöjas för obehöriga individer, enheter eller processer. Dvs att rätt person kommer åt rätt uppgifter, exempelvis med behörighetssystem. Egenskap hos tillgång som innebär att tillgångens exakthet och fullständighet skyddas. Dvs att information innehåller rätt datakvalité och skyddas mot förvanskning, exempelvis med arkivering eller brandväggar. Egenskapen att vara tillgänglig och användbar på begäran av en behörig enhet. Dvs att information är tillgänglig och användbar för rätt person, exempelvis med SLA-nivåer eller teknisk redundans. Möjlighet att entydigt kunna härleda dels utförda aktiviteter och dels vilken person eller systemfunktion som har utfört dessa Exempelvis genom loggning och tolkningsverktyg (SIEM) Definitionerna är baserade på ISO 27001:2006 (sv) Gallringsfrist

Etablering & förberedelser Skyddsvärde Klassningskategori Kategorier vid bedömning av konsekvens vid brister i informationens: Sekretess, Riktighet, Tillgänglighet, Spårbarhet Konsekvensanalys Bedömning av konsekvens för banken och dess kunder Konsekvensnivåer: Ingen/Försumbar Måttlig/Betydande Allvarlig/Kritisk Klassning/skyddsnivå Resulterar i klassningsnivå: 1 = Låg (publik) 2 = Medel (intern) 3 = Hög (konfidentiell) Konsekvensnivå vs klassningsnivå/skyddsnivå Undantaget tillgänglighet Konsekvens försumbar Konsekvens försumbar måttlig Konsekvens måttlig kritisk 0 - y tim y - x tim minst x tim Klass 1 - brons 2 - silver 3 - guld

Etablering & förberedelser Konsekvensnivåer Konsekvensnivå 1 - Ingen eller försumbar 2 - Måttlig/Betydande 3 - Allvarlig/Kritisk Verksamhetsförmåga Med ingen eller försumbar negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet utan eller med försumbar påverkan på: * förmågan att lösa verksamhetsuppgifterna i en utsträckning och varaktighet innebärande att verksamhetens primära uppgifter kan fullföljas Med måttlig till betydande negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet kan: * orsaka en minskning i förmågan att lösa verksamhetsuppgifterna i en utsträckning och varaktighet innebärande att verksamhetens primära uppgifter kan fullföljas, men att effektiviteten är påvisbart/påtagligt reducerad Med allvarlig till kritisk negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet kan: * orsaka en allvarlig till kritisk begränsning i förmågan att lösa verksamhetsuppgifterna i en utsträckning och varaktighet innebärande att verksamheten inte kan fullgöra en eller flera av sina primära uppgifter Tillgångar Ekonomi (kvalitativ) Ekonomi (kvantitativ) Individ och hälsa Med ingen eller försumbar negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet utan eller med försumbar påverkan på: * resultat i skador på verksamhetens tillgångar Med ingen eller försumbar negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet utan eller med försumbar påverkan på: * resultat i ekonomiska förluster. Motsvarar konsekvensnivå 1-3 i Bankens riskmodell Med ingen eller försumbar negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet utan eller med försumbar påverkan på: * möjlighet att förorsaka negativ påverkan på enskild individs rättigheter eller hälsa Med måttlig till betydande negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet kan: * resultera i måttliga till betydande skador på verksamhetens tillgångar Med måttlig till betydande negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet kan: * resultera i måttliga till betydande ekonomiska förluster Motsvarar konsekvensnivå 4-6 i Bankens riskmodell Med måttlig till betydande negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet kan: * förorsakar måttliga till betydande negativ påverkan på enskild individs rättigheter eller hälsa Med allvarlig till kritisk negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet kan: * resultera i omfattande skador på verksamhetens tillgångar Med allvarlig till kritisk negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet kan: * resultera i stora ekonomiska förluster Motsvarar konsekvensnivå 7-9 i Bankens riskmodell Med allvarlig till kritisk negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som för egen eller annan verksamhet kan: * förorsakar allvarligt negativ påverkan på enskild individs rättigheter eller liv och hälsa

Sannolikhet Etablering & förberedelser Operativ risk Riskmodell för operativ risk Synergi BIA och befintliga konsekvensnivåer Vänta med sannolikhet till riskbedömningen 9 9 18 27 36 45 54 63 72 81 8 8 16 24 32 40 48 56 64 72 7 7 14 21 28 35 42 49 56 63 6 6 12 18 24 30 36 42 48 54 5 5 10 15 20 25 30 35 40 45 4 4 8 12 16 20 24 28 32 36 3 3 6 9 12 15 18 21 24 27 2 2 4 6 8 10 12 14 16 18 1 1 2 3 4 5 6 7 8 9 1 2 3 4 5 6 7 8 9 Konsekvens Ingen/ Försumbar Måttlig/ Betydande Allvarlig/ Kritisk

Etablering & förberedelser Klassningsnivå Sekretess Riktighet Tillgänglighet Spårbarhet Skyddsnivå 1 - Låg Skyddsnivå 1 - Låg Skyddsnivå 1 - Låg Skyddsnivå 1 - Låg Skyddsnivå 2 - Medel Skyddsnivå 2 - Medel Skyddsnivå 2 - Medel Skyddsnivå 2 - Medel Skyddsnivå 3 - Hög Skyddsnivå 3 - Hög Skyddsnivå 3 - Hög Skyddsnivå 3 - Hög

Etablering & förberedelser Klassningsnivå - exempel Sekretess Riktighet Tillgänglighet Spårbarhet Skyddsnivå 1 Låg/publik Information som är avsedd för allmänheten och kan komma till allmänhetens kännedom utan att någon person eller organisation lider skada. Spridning av information bedöms inte ge någon negativ effekt på verksamheten, dess tillgångar, enskilda individer eller annan part. Exempel: - Information som publiceras på Bankens publika hemsida - Den publicerade årsredovisningen, - Olika produktblad, marknadsinformation och tjänstebeskrivningar. Skyddsnivå 1 Låg Information som, på grund av otillräcklig riktighet, bedöms innebära en ej negativ eller försumbar negativ effekt på verksamheten och dess tillgångar eller på enskilda individer eller annan part. Exempel: - Mindre felaktigheter i informationen på intranätet - Arbetsdokument som inte utgör interna regler Skyddsnivå 1 Låg Information som, på grund av otillräcklig tillgänglighet, bedöms innebära en liten eller försumbar negativ effekt på verksamheten och dess tillgångar eller på enskilda individer eller annan part. När konsekvensen vid otillgänglighet blir måttlig eller kritisk efter x timmar anses nivån som 1 (låg). Exempel: - Informationen på intranätet, ledningssystemet eller fysiskt lagrad information (pärmar) Skyddsnivå 1 Låg Brister i spårbarheten bedöms innebära en ej negativ eller måttlig negativ effekt på verksamheten och dess tillgångar eller på enskilda individer eller annan part. Avseende att exempelvis kunna: Se vem som genomfört en viss aktivitet Följa en transaktion Se vem som loggat in och ut med angivande av tidpunkter. Exempel: - Information av tillfällig karaktär på Skyddsnivå 2 Medel/intern Information som endast är avsedd för anställd och inhyrd personal vid Banken samt för behöriga externa intressenter. Information som, om den sprids utanför avsedd grupp, kan resultera i en måttlig eller betydande negativ effekt på verksamheten, dess tillgångar, enskilda individer eller annan part. Exempel: - Kunduppgifter (privat och företag) inklusive personuppgifter - Information om vilka vi samarbetar med (uppdragstagare, samarbetspartners, leverantörer) - Intern analysinformation som scoringmodeller, volymer trender men även kommande kampanjer och andra marknadsaktiviteter Skyddsnivå 3 Hög/konfidentiell Information som endast är avsedd för vissa medarbetare vid Banken och i undantagsfall för behöriga externa intressenter. Medarbetaren eller intressenten ska, för att få behörighet till denna information, ha ett uttalat behov av åtkomst för att kunna utföra sina arbetsuppgifter eller åtaganden. Information som, om den sprids utanför avsedd grupp, kan resultera i en allvarlig eller kritisk Skyddsnivå 2 Medel Information som, på grund av otillräcklig riktighet, bedöms innebära en måttlig eller betydande negativ effekt på verksamheten och dess tillgångar eller på enskilda individer eller annan part. Exempel: - Bankens medarbetares löneuppgifter, personalakt - Kunduppgifter offline (avier, kundengagemang, brev) - Interna regler (policys, instruktioner, processbeskrivningar) Skyddsnivå 3 Hög Information som, på grund av otillräcklig riktighet, bedöms innebära ett krisläge eller en allvarlig negativ effekt på verksamheten och dess tillgångar eller på enskilda individer eller annan part. Exempel: - Rapporter till Myndigheter - Pressmeddelanden och övrig information till media - Kunduppgifter för bearbetning såsom de - Bankens medarbetares löneuppgifter Skyddsnivå 2 Medel Information som, på grund av otillräcklig tillgänglighet, bedöms innebära en måttligt negativ eller betydande negativ effekt på verksamheten och dess tillgångar eller på enskilda individer eller annan part. När konsekvensen vid otillgänglighet går från försumbar till måttlig inom 0-x timmar och går från måttlig till kritisk inom y-x timmar anses nivån som 2 (medel). Exempel: - Dokument på gemensamma kataloger. - Information som behövs för att de vardagliga processerna ska fungera - Rapporter till myndigheter Skyddsnivå 3 Hög Information som, på grund av otillräcklig tillgänglighet, bedöms innebära en allvarlig eller kritisk negativ effekt på verksamheten och dess tillgångar eller på enskilda individer eller annan part. När konsekvensen vid otillgänglighet blir kritisk inom y timmar är nivån 3 (hög). Exempel: - Kunders åtkomst till Bankens digitala intranätet. Skyddsnivå 2 Medel Brister i spårbarheten bedöms innebära en måttlig eller betydande negativ effekt på verksamheten och dess tillgångar eller på enskilda individer eller annan part. Avseende att exempelvis kunna: Se vem som genomfört en viss aktivitet Följa en transaktion Se vem som loggat in och ut med angivande av tidpunkter. Exempel: - Dokument på gemensamma kataloger - Information på intranätet som inte är av tillfällig karaktär. Skyddsnivå 3 Hög Brister i spårbarheten bedöms innebära en allvarlig eller kritisk negativ effekt på verksamheten och dess tillgångar eller på enskilda individer eller annan part. Avseende att exempelvis kunna: Se vem som genomfört en viss aktivitet Följa en transaktion Se vem som loggat in och ut med angivande av tidpunkter. Exempel:

Etablering & förberedelser Stöd för verksamheten Mall för informationsklassning Vägledning för informationsklassning Processperspektiv Standardnivå för klassning = 2 Fokus på avvikelser

Etablering & förberedelser Sammanfattning: Etablering & förberedelser Att fastslå är viktigare än vad Anpassa nivå efter förmåga 3 nivåer även om det skulle finnas behov av fler Återanvänd kriterier som finns i verksamheten Riskanalyser, operativ risk, riskaptit Kontinuitetshantering BIA Skapa förutsättningar för verksamheten att göra jobbet själv!

Etablering & förberedelser Projektgrupp/staffning Metodik, fastställa kriterier Vägledning/frågebatteri Validering Pilot - verklighetstest Kontrollfunktioner godkännande metodik Genomförande Uppstartsworkshop Inventering Workshop klassning Klassning Validering Förvaltning Projektavslut Effekthemtagning (analys & rapportering) Nästa steg VALIDERING

Validering Pilot Urval pilot Många dokumenttyper Tillgång till kompetent personal Delaktig i metodik och vägledning Vad funkar i praktiken, test av metodik och vägledning Direkt återföring av feedback i projektet (ingen prestige) Framtagning av workshopmaterial

Validering Kontrollfunktioner Nålsöga test på de bråkigaste först Granskning av regelefterlevnad Granskning riskmetodik (operativ risk) Granskning kompabilitet ledningssystem Resultat: Ytterligare förenkling Accept styrgrupp

Etablering & förberedelser Projektgrupp/staffning Metodik, fastställa kriterier Vägledning/frågebatteri Validering Pilot - verklighetstest Kontrollfunktioner godkännande metodik Genomförande Uppstartsworkshop Inventering Workshop klassning Klassning Validering Förvaltning Projektavslut Effekthemtagning (analys & rapportering) Nästa steg GENOMFÖRANDE

Genomförande Upplägg med verksamheten WS1 WS2 WS3 Första presentation Inventering -> ifyllnad mall Uppdrag att genomföra inventeringen (1 vecka) Klassning exempel från ifylld mall Vägledning (utbildning) Uppdrag att genomföra klassningen (2 veckor) Fysiskt möte för uppföljning Stickprovskontroll validera verksamhetens svar Extra stöd vid behov

Genomförande Upplägg med verksamheten WS1 Första presentation Inventering & klassning -> ifyllnad mall, stöd av vägledning Uppdrag att genomföra inventeringen & klassning (3 veckor) WS2 Behövdes inte Validering Stickprovskontroll validera verksamhetens svar elektroniskt Anpassat stöd vid behov: telefon, mejl, möte

Etablering & förberedelser Projektgrupp/staffning Metodik, fastställa kriterier Vägledning/frågebatteri Validering Pilot - verklighetstest Kontrollfunktioner godkännande metodik Genomförande Uppstartsworkshop Inventering Workshop klassning Klassning Validering Förvaltning Projektavslut Effekthemtagning (analys & rapportering) Nästa steg PROJEKTAVSLUT

Projektavslut Förvaltning Intranätet och ledningssystemet kanaler för kommunikation Tydligt projektavslut och överlämning Mallar, styrdokument, vägledningar lättillgängliga Ansvar för förvaltning chefer I praktiken delegerat till funktionsansvariga Främst processägare och systemägare

Projektavslut Key Success Factors Projektets bemanning Diametrala motsatser! Kommunikation och kontakt med verksamheten Ledningens godkännande & engagemang Vägledningen verktyg för verksamheten Fastställande av kriterier Buy-in kontrollfunktioner Piloten

Projektavslut Nästa steg Klassningen gjord och? http://www.youtube.com/watch?v=patapiobiso 1:14

BENSTRÄCKARE! NOW WHAT?

PRINCIPER!

Verksamhetsnytta Klassningen är gjord hur ska vi använda den? Informationsobjektets skyddsvärde Verksamhetskrav, Regulatoriska krav Befintliga skyddsåtgärder Klassningsprofil Skyddsvärde Säkerhetsprinciper Skyddsåtgärd Hotbild & sårbarheter Incidenter Riskbedömning Riskbedömning

Entitetsrisk Info obj Doktyp Filarea System Sekretess Riktighet Tillgänglighet Spårbarhet Sekretess Riktighet Tillgänglighet Spårbarhet Skyddsnivå 1 Skyddsnivå 2 Skyddsnivå 3 Princip 1 Princip 5 Princip 7 Vidtagen åtgärd Planerad åtgärd Åtgärd 2 Åtgärd 3 Hotbild Sårbarhet Hotbild 1 Hotbild 2 Hotbild 3 Sannolikhet H Sannolikhet M Sannolikhet L Konsekvens H Konsekvens M Konsekvens L Entitetsrisk x

Klassningsprofil Klassningsprofil Summering Drygt 800 dokumenttyper 32 unika mönster av 81 möjliga (3 skyddsnivåer ^ 4 säkerhetskategorier) Kodifiering & reducering Resultat: 7 unika mönster = klassningsprofiler 12 standardiserade dokumenttyper Informationsobjektets identitet och innehåll Känsligt och kvalitetskritiskt rapport till myndighet Känsligt och kvalitetskritiskt dokument från kund Inkommande /utgående/icke applicerbart Förvaring/ lagring av dokument Utgående System A Avgränsad grupp intern Inkommande System A Avgränsad grupp intern Nivå 3 Konfidentiell Nivå 3 Konfidentiell Behöriga Sekretess Riktighetsnivå Tillgänglighetsnivå Spårbarhetsnivå Nivå 3 Hög Nivå 2 Medel Nivå 2 Medel Nivå 3 Hög Nivå 2 Medel Nivå 2 Medel

Säkerhetsprinciper Skyddsåtgärder & säkerhetsprinciper Skyddsåtgärder Varierar med informationsobjektets art En åtgärd kan påverka allt från hantering av fysiska dokument till enskilda system till verksamhetsförändringar Säkerhetsprinciper Förenkla och staka ut staketet How-to för efterlevnad av externa och interna regelverk Utgångspunkt i branschpraxis Anpassat för banken

Säkerhetsprinciper Säkerhetsprinciper Säkerhetsprinciper Totalt: 62 Prioriterade: 25 ISO 27002:2014 14 områden 35 mål 114 kontroller (drygt) Princip 1 Princip 2 Princip 3 Princip 4 Säkerhetsområde: Styrning av åtkomst Säkerhetskategori: Sekretess Skyddsnivå: 3 (konfidentiell information) Innehåll: Extern åtkomst förutsätter stark autentisering Säkerhetsområde: Drifts- och kommunikationssäkerhet Säkerhetskategori: Riktighet Skyddsnivå: 1 Innehåll: Trådlöst internt nät endast för kontrollerade enheter Säkerhetsområde: Drifts- och kommunikationssäkerhet Säkerhetskategori: Tillgänglighet Skyddsnivå: 3 (guld) Innehåll: Jour 24/7/365 Säkerhetsområde: Drifts- och kommunikationssäkerhet Säkerhetskategori: Spårbarhet Skyddsnivå: 1 Innehåll: Alla system ska tidssynkronieras mot extern källa Analysunderlaget

Sammanfattning Skyddsvärde vs skyddsåtgärder Klassningsprofil Skyddsvärde Säkerhetsprinciper Skyddsåtgärd Riskbedömning Oacceptabel risk Förhöjd risk Acceptabel risk Riskbedömning

Nästa steg Samverka med verksamhet (inkl IT) Förståelse för principer Identifiera gap Lösningar för ändamålsenliga åtgärder Standardiserade dokumenttyper Gallringsfrister Mäta KRI/KPI Initial Managed Defined Quantitatively Managed Optimizing

FRÅGOR?

TACK FÖR IDAG! Kontaktuppgifter: Andreas Elveborg andreas.elveborg@marginalen.se 010-495 16 60 / 070-572 53 20 Finns på linked-in

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss