Kapitel 10 (i ISO27002) - Från dröm till verklighet Jaak Akker www.ekelow.se.

En presentation över ämnet: "Kapitel 10 (i ISO27002) - Från dröm till verklighet Jaak Akker www.ekelow.se."— Presentationens avskrift:

1 Kapitel 10 (i ISO27002) - Från dröm till verklighet Jaak Akker www.ekelow.se

2 Målet med kapitel 10 beskrivs i de olika underkapitlen Denna presentation innehåller extrakt och sammanfattningar av mål och åtgärder för de olika underkapitlen och gör inte anspråk på att vara en ordagrann återgivning av innehållet. För fullständiga och korrekta texter hänvisas till standarden ISO27002 i senaste originalversion. I den muntliga föredragningen ingick konkreta exempel för varje kapitel vilka konsekvenser det medför om de givna åtgärderna inte beaktas.

3 Vilka underkapitel finns i kapitel 10, ISO27002 10.1 Driftsrutiner och driftansvar 10.2 Hantering av tredjepartsleverantör av tjänster 10.3 Systemplanering och systemgodkännande 10.4 Skydd mot skadlig och mobil kod 10.5 Säkerhetskopiering 10.6 Hantering av säkerhet i nätverk 10.7 Hantering av media 10.8 Utbyte av information 10.9 Tjänster för elektronisk handel 10.10 Övervakning

4 10.1 Driftrutiner och driftansvar Mål: Att säkerställa korrekt och säker drift av informationsbehandlingsutrustning Mål: Fastställande av ansvar och rutiner drifthandbok för server drifthandbok för kommunikations- och kryptokomponenter dokumentation av konfigurationsstatus för servrar, kommunikations- och kryptokomponenter rutinbeskrivning för ändringshantering uppdelning av resurser i utveckling, test och drift eventuell beskrivning av ansvarsuppdelning

5 10.2 Hantering av tredjepartsleverantör av tjänster Mål: Att införa och bibehålla lämplig nivå på informationssäkerhet enligt avtal Mål: Organisationen bör följa upp… Definitioner av tjänst införs och upprätthålls Tjänsterna bör regelbundet granskas Ändring av tjänstens innehåll bör anpassas till tjänstens vikt och riskbedömning

6 10.3 Systemplanering och systemgodkännande Mål: Att minimera risken för systemfel rutinbeskrivning för utgivningshantering rutinbeskrivning för kapacitetsplanering

7 10.4 Skydd mot skadlig och mobil kod Mål: Att skydda riktighet i program och data rutinbeskrivning för uppdatering av virussignaturer fastställande av vilket virusskydd som bör användas avbrottsplaner nb, även virusprogram behöver versionshanteras och uppdateras

8 10.5 Säkerhetskopiering Mål: Att bevara informationens och informationsbehandlingsresursernas riktighet och tillämplighet rutinbeskrivning för backup anvisningar för förvaring av backup

9 10.6 Hantering av säkerhet i nätverk Mål: Att säkerställa skyddet av information i nätverk och infrastruktur ansvar och rutiner skydd vid datatransport i allmänna nätverk loggning

10 10.7 Hantering av media Mål: Att förhindra avslöjande och avbrott i information rutinbeskrivning för media livscykelhantering inkl avveckling säkrad systemdokumentation (???) nb: KRYPTERA ERA LAPTOPPAR!!!

11 10.8 Utbyte av information Mål: Att bibehålla säkerheten hos information som utbyts inom organisationen eller externt överenskommelser, policies och rutiner mellan berörda parter telefonavlyssning omfattas faxpolicy media under transport skydd av elektroniska meddelanden integrationsfrågor

12 10.9 Tjänster för elektronisk handel Mål: Att säkerställa säkra e-handelstjänster skydd mot avlyssning och bedräglig aktivitet över publika nät bör införas skydd av ”direktanslutna transaktioner”

13 10.10 Övervakning Mål: Att upptäcka obehörig informationsbehandling rutinbeskrivning för skapande och kontroll av loggar skydd av logginformation loggning av operatörer och administratörer rutinbeskrivning för loggning av fel definition av var och hur tid hämtas

14 Frågor? Jaak.akker@ekelow.se 08 – 410 685 14