Presentation laddar. Vänta.

Presentation laddar. Vänta.

Vad är informationssäkerhet?

Publicerades avRolf Fransson

Liknande presentationer

En presentation över ämnet: "Vad är informationssäkerhet?"— Presentationens avskrift:

1

2 Vad är informationssäkerhet?
Med informationssäkerhet avses organisatorisk och tekniska säkerhetsfrågor i informationsförvaltning och informationshantering, personuppgiftshantering och dataskydd, systemsäkerhet och IT-säkerhet. Informationssäkerhet är förmågan hos en organisation att hantera informationen så att legala, etisk och verksamhetsmässiga intentioner upprätthålls Tillgänglighet, riktighet, sekretess och spårbarhet

3 Varför måste man göra riskanalyser och klassa information och system
Om man inte bedömer/klassar värdet utifrån verksamhetsperspektiv/lagar hur ska man då kunna lägga på rätt skyddsåtgärder. En kedja är inte starkare än dess svagaste länk.

4 Ramverkets struktur Klarlägga hur ramverk med dokument och rutiner hänger ihop

5 triggers i processer, rutiner, checklistor
Ramverk - struktur riktlinjer anvisningar, regler triggers i processer, rutiner, checklistor policy

6 triggers i processer, rutiner, checklistor
Ramverk - struktur riktlinjer anvisningar, regler triggers i processer, rutiner, checklistor Att policy Vad (vem) På vilket sätt När & vem

7 triggers i processer, rutiner, checklistor
Ramverk - struktur Exempel på innehåll ”Informationssäkerhetspolicy” Varför och att det ska göras Att; all information, oavsett media, ska ha en lämplig säkerhetsnivå utifrån verksamhetens krav på konfidentialitet, integritet och tillgänglighet. Att; en god informationssäkerhet ska säkerställas genom: kontinuerliga förbättringar med stöd av ledningssystemet Att; värdering och klassificering av all information sker för att kunna ge den rätt skydd avseende hantering och lagring Att; informationssäkerhet beaktas i alla våra arbetsprocesser. Att; ägare och därmed ansvarig för viktiga informations-tillgångar utses. riktlinjer anvisningar, regler triggers i processer, rutiner, checklistor Att policy Vad (vem) På vilket sätt När & vem

8 triggers i processer, rutiner, checklistor
Ramverk - struktur Ex. på innehåll ”riktlinje för informationssäkerhet”: Kap. 5 Åtkomst Alla användaridentiteter ska vara personliga. Delade identiteter ska inte förekomma utan informationsägarens beslut. Tilldelade behörigheter ska motsvara aktuellt behov. Metoder för åtkomst till information skall vara utformade efter informationens värde (klassificering) och dess riskexponering. riktlinjer anvisningar, regler triggers i processer, rutiner, checklistor Att policy Vad (vem) På vilket sätt När & vem

9 triggers i processer, rutiner, checklistor
Ramverk - struktur Ex. på innehåll ”Riktlinje för åtkomst av information”: I processen för tilldelning av behörigheter skall berörda informationsägare bli informerade om tilldelade behörigheter (så att verifiering kan ske). Tilldelning av behörigheter för externa användare ska vara tidsbegränsad för endast den tiden som behövs för att utföra uppgiften. I det fall gruppidentitet behövs skall andra mekanismer kunna styrka vem som gjort vad. Exempelvis via tjänstgöringslistor eller dylikt. Användare ska upplysas om de villkor som gäller kring den åtkomst de fått sig tilldelad. Regelbunden revision av samtliga åtkomsträttigheter ska ske. För de med särskilda åtkomsträttigheter (exempelvis administratörer) skall revision ske med kortare intervall. En förteckning ska föras över alla utdelade användar-ID och rutin ska finnas för regelbunden uppdatering av denna förteckning. Rutinen ska även innehålla kontroll av att inte upphörda användar-ID återanvänds. Historikfunktion ska finnas. riktlinjer anvisningar, regler triggers i processer, rutiner, checklistor Att policy Vad (vem) På vilket sätt När & vem

10 triggers i processer, rutiner, checklistor
Ramverk - struktur Utifrån exemplet ”Riktlinje för åtkomst av information” så skapas ett antal instruktioner eller anvisningar. Exempelvis: Vid beställning av behörigheter från IT- leverantören så är anvisningen att det görs av administrationen vid nyanställning, där medarbetaren får tillgång till ett eget hemarkiv och läsrättigheter till gemensamma styrdokument. Ska ytterligare behörigheter ges ingår det i anvisningen att respektive informationsägare ska informeras. Vid nya projekt följ anvisning i projektmallen för hur tilldelning av behörigheter ska ske i projektet. riktlinjer anvisningar, regler triggers i processer, rutiner, checklistor Att policy Vad (vem) På vilket sätt När & vem

11 triggers i processer, rutiner, checklistor
Ramverk - struktur Utifrån exemplet ”Riktlinje för åtkomst av information” så skapas även ett antal triggers, rutiner. Exempelvis: För att tillgodose att användare ska upplysas om de villkor som gäller kring den åtkomst de fått sig tilldelad, så sker det vid informationssäkerhetssamordnarens genomgång av informationssäkerhet för nyanställd, som ska ske i början av anställningen och är en trigger i checklistan ”Då medarbetare börjar”. Informationssäkerhetssamordnaren har ansvar för att se till att regelbunden revision av samtliga åtkomsträttigheter sker, genom att för sig själv skapa en rutin med tidsplanerade aktiviteter. riktlinjer anvisningar, regler triggers i processer, rutiner, checklistor Att policy Vad (vem) På vilket sätt När & vem

12 Kompletterande skrivningar till den övergripande policyn
Exempel på ramverk Riktlinjer Strategin för hur man vill ha sin informationssäkerhet i organisationen. Informations-säkerhetspolicy Kompletterande skrivningar till den övergripande policyn Riktlinje för roller och ansvar för informations-säkerhetsarbetet Riktlinje för klassning och hantering av information Riktlinje för åtkomst till information Riktlinje för hantering av informations-säkerhetsrisker Riktlinje för kontinuitets-planering Riktlinje för tekniska skyddsåtgärder för klassade informations-resurser Riktlinje för fysiskt skydd Riktlinje för drift och data-kommunikation Riktlinje för loggning Riktlinje för incident-hantering Riktlinjerna beskriver vad man ska ha på plats och vad man behöver tänka på

13 Exempel på ramverk Anvisningar, regler
Har sitt ursprung från riktlinjerna, vad ska åstadkommas och hur löser man det i verksamheten Riktlinje för tekniska skyddsåtgärder för klassade informations-resurser Riktlinje för roller och ansvar för informations-säkerhetsarbetet Riktlinje för klassning och hantering av information Riktlinje för hantering av informations-säkerhetsrisker Riktlinje för kontinuitets-planering Riktlinje för incident-hantering Riktlinje för loggning Riktlinje för fysiskt skydd Riktlinje för drift och data-kommunikation Riktlinje för åtkomst till information Kompletterar och detaljerar riktlinjerna Anvisning för medarbetare gällande informations-säkerhet Anvisning för klassning av information Anvisning för analys av informations-säkerhetsrisker Regler för tekniska skyddsnivåer för klassade informationsresurser Anvisning för beställning av behörigheter Blankett - BESTÄLLNING av IT-resurser & tjänster Regler för hantering och spridning av information Anvisning för incident-hantering Regler för inköp av informations-behandlings-resurser Blankett - BESTÄLLNING av behörigheter Regler för hur USB-minne får användas Ger stöd i hur man ska utföra en uppgift

14 Exempel på ramverk Informativa utdrag (anvisningar)
Har sitt ursprung från riktlinjer, anvisningar och regler, vad ska åstadkommas och hur löser man det i verksamheten Riktlinje för tekniska skyddsåtgärder för klassade informations-resurser Riktlinje för roller och ansvar för informations-säkerhetsarbetet Riktlinje för klassning och hantering av information Riktlinje för hantering av informations-säkerhetsrisker Riktlinje för kontinuitets-planering Riktlinje för incident-hantering Riktlinje för loggning Riktlinje för fysiskt skydd Riktlinje för drift och data-kommunikation Riktlinje för åtkomst till information Ger riktad information om vad som gäller viss grupp Vad gäller för en verksamhetschef Vad gäller för informationssäkerhetssamordnaren Vad gäller för IT Vad gäller för informations-resursägare Vad gäller för informationsägare Vad gäller för kommunchef Ger stöd i hur man ska utföra en uppgift

15 Exempel på ramverk Triggers i processer, rutiner, checklistor
Har sitt ursprung från riktlinjer och/eller anvisningar, regler, vad ska åstadkommas, när och vem löser detta i verksamheten Instruktion/process för klassning av information Instruktion tekniska skyddsnivåer för klassade informationsresurser Anvisning för hur USB-minne krypteras Anvisning för medarbetare gällande informations-säkerhet Instruktion för analys av informations-säkerhetsrisker Instruktion/process för incident-hantering Instruktion för beställning av behörigheter Instruktion vid inköp av informations-behandlings-resurser Blankett - BESTÄLLNING av IT-resurser & tjänster Blankett - BESTÄLLNING av behörigheter Regler för hantering och spridning av information Riktlinje för tekniska skyddsåtgärder för klassade informations-resurser Riktlinje för roller och ansvar för informations-säkerhetsarbetet Riktlinje för klassning och hantering av information Riktlinje för hantering av informations-säkerhetsrisker Riktlinje för kontinuitets-planering Riktlinje för incident-hantering Riktlinje för loggning Riktlinje för fysiskt skydd Riktlinje för drift och data-kommunikation Riktlinje för åtkomst till information För in kompletterande detaljerar så att det händer i verksamheten Trigger i rekryterings-processen och i checklista då någon börjar och slutar Anvisning för informationssäkerhetsrådets möten och ledningens genomgång Rutin för vidimering av behörigheter Rutin för uppföljning av informations-säkerhet (efterlevnad) Rutin för att bedöma att information har ”rätt” informations-klass Trigger vid inköp ifall köpet har påverkan på informations-säkerheten Trigger i projekt för behörighets-tilldelning och riskanalys Rutin för revidering av kontinuitetsplan Anger vem och när man ska utföra en uppgift

16 triggers i processer, rutiner, checklistor
Ramverk - struktur riktlinjer anvisningar, regler triggers i processer, rutiner, checklistor Informations-säkerhetspolicy Att policy Riktlinje för tekniska skyddsåtgärder för klassade informations-resurser Riktlinje för roller och ansvar för informations-säkerhetsarbetet Riktlinje för klassning och hantering av information Riktlinje för hantering av informations-säkerhetsrisker Riktlinje för kontinuitets-planering Riktlinje för incident-hantering Riktlinje för loggning Riktlinje för fysiskt skydd Riktlinje för drift och data-kommunikation Riktlinje för åtkomst till information Riktlinjer för informations-säkerhet Vad (vem) Instruktion/process för klassning av information Instruktion tekniska skyddsnivåer för klassade informationsresurser Anvisning för hur USB-minne krypteras Anvisning för medarbetare gällande informations-säkerhet Instruktion för analys av informations-säkerhetsrisker Instruktion/process för incident-hantering Instruktion för beställning av behörigheter Instruktion vid inköp av informations-behandlings-resurser Blankett - BESTÄLLNING av IT-resurser & tjänster Blankett - BESTÄLLNING av behörigheter Regler för hantering och spridning av information På vilket sätt Rutin för revidering av kontinuitetsplan Trigger vid inköp ifall köpet har påverkan på informations-säkerheten Rutin för att bedöma att information har ”rätt” informations-klass Rutin för uppföljning av informations-säkerhet (efterlevnad) Rutin för vidimering av behörigheter Trigger i projekt för behörighets-tilldelning och riskanalys Rutin för säkerhets-gruppens möten och ledningens genomgång Trigger i rekryterings-processen och i checklista då någon börjar och slutar När & vem

17

18 Begreppsförvirring utifrån arbetsuppgift/utbildning/lagar/riktlinjer -Dokumenthanteringsplan -Säkerhetsklassning -Klassa -Informationskartläggning -Klassning av information Het debatt om hur detta ska göras och vad som skapar ett mervärde för verksamheten.

Ladda ner ppt "Vad är informationssäkerhet?"

Liknande presentationer

Federativa lösningar Hur blir federativa lösningar en naturlig grund för elektronisk samverkan mellan kommuner, myndigheter, landsting, privata utförare.

Federativa lösningar Hur blir federativa lösningar en naturlig grund för elektronisk samverkan mellan kommuner, myndigheter, landsting, privata utförare.
Magnus Ivarsson Kvalitetssamordnare

Magnus Ivarsson Kvalitetssamordnare
En bild av debatten Vårdskandaler Vinster

En bild av debatten Vårdskandaler Vinster
Roller för ledning och styrning av verksamhetsövergripande processer

Roller för ledning och styrning av verksamhetsövergripande processer
Självförvaltning Bollnäs kommuns skolplan

Självförvaltning Bollnäs kommuns skolplan
EIO-Q Ledningssystem - leder till bättre resultat

EIO-Q Ledningssystem - leder till bättre resultat
Praktisk nytta och användning av SS-ISO/IEC och 27002

Praktisk nytta och användning av SS-ISO/IEC och 27002
Några viktiga krav i ISO9001:2000

Några viktiga krav i ISO9001:2000
Verksamhetsledning Tre viktiga komponenter i ledningen Styrning

Verksamhetsledning Tre viktiga komponenter i ledningen Styrning
En introduktion till Datakommunikation och Säkerhetstänkande

En introduktion till Datakommunikation och Säkerhetstänkande
Utbildning i hantering av Behovstrapporna

Utbildning i hantering av Behovstrapporna
Systematiskt säkerhetsarbete i Åtvidabergs kommun

Systematiskt säkerhetsarbete i Åtvidabergs kommun
Bättre inköp! Att forma en organisation, och skapa verktyg och rutiner, som möjliggör för universitetet att följa lagar och regler inom inköpsområdet.

Bättre inköp! Att forma en organisation, och skapa verktyg och rutiner, som möjliggör för universitetet att följa lagar och regler inom inköpsområdet.
Informationssäkerhet Helsingborgs lasarett

Informationssäkerhet Helsingborgs lasarett
Reglemente för God hushållning och intern kontroll

Reglemente för God hushållning och intern kontroll
Västra Götalandsregionen PDL

Västra Götalandsregionen PDL
Övergripande inriktning för samhällsskydd och beredskap

Övergripande inriktning för samhällsskydd och beredskap
LEDNINGSFUNKTIONER I PRAKTIKEN

LEDNINGSFUNKTIONER I PRAKTIKEN
Nationellt ramverk för patientsäkerhetsarbete

Nationellt ramverk för patientsäkerhetsarbete
Checklista Identitetshanteringssystem för SWAMID 2.0

Checklista Identitetshanteringssystem för SWAMID 2.0

Liknande presentationer

Google-annonser