Vad är informationssäkerhet?

Slides:



Advertisements
Liknande presentationer
Federativa lösningar Hur blir federativa lösningar en naturlig grund för elektronisk samverkan mellan kommuner, myndigheter, landsting, privata utförare.
Advertisements

Magnus Ivarsson Kvalitetssamordnare
En bild av debatten Vårdskandaler Vinster
Roller för ledning och styrning av verksamhetsövergripande processer
Självförvaltning Bollnäs kommuns skolplan
EIO-Q Ledningssystem - leder till bättre resultat
Praktisk nytta och användning av SS-ISO/IEC och 27002
Några viktiga krav i ISO9001:2000
Verksamhetsledning Tre viktiga komponenter i ledningen Styrning
En introduktion till Datakommunikation och Säkerhetstänkande
Utbildning i hantering av Behovstrapporna
Systematiskt säkerhetsarbete i Åtvidabergs kommun
Bättre inköp! Att forma en organisation, och skapa verktyg och rutiner, som möjliggör för universitetet att följa lagar och regler inom inköpsområdet.
Informationssäkerhet Helsingborgs lasarett
Reglemente för God hushållning och intern kontroll
Västra Götalandsregionen PDL
Övergripande inriktning för samhällsskydd och beredskap
LEDNINGSFUNKTIONER I PRAKTIKEN
Nationellt ramverk för patientsäkerhetsarbete
Checklista Identitetshanteringssystem för SWAMID 2.0
Mina meddelanden Juridik & Informationssäkerhet Jeanna Thorslund Jurist Center för eSamhället.
Informationssäkerhet - en översikt
Omarbetad handbok Ingår nu som en del i en serie handböcker:
Modell för Utveckling av ledningssystem
Projekt och Arkitektur
Att komma igång Checklistor och tips.
Tillsynsplaner Länsstyrelsens tillsyns- och stödverksamhet enligt Lag (2003:778) om skydd mot olyckor.
Projektledning.
Kom igång med Nationella ramverket för öppna data
Säkerhetschef/informationssäkerhetschef
Förslag till Arbetsrutiner inför ”Nulägeskartläggning” MÅL 1
Roller för ledning och styrning av verksamhetsövergripande processer
Kvalitetssäkring ISO 9000.
Strategier för säker hälso- och sjukvård i Västra Götaland
Säkerhet.
Ledning och styrning av sjukskrivningsprocessen
UFAB i Uddevalla och Shanghai
Varför säkerhet Att bevara en hemlighet Att skydda tillgångar materiella och immateriella Krav från leverantörer eller kunder Säkerhet för.
Användarrådet för EBH-stödet
Handlingsplan för uppföljning om vården som ges är jämlik och jämställd Kunskapscentrum för Jämlik vård.
Fullmäktiges revisionsenhet (REV) Håkan Skyllberg, BDO Direktionens säkerställande av IT- säkerhetsskyd d PROTOKOLLSBILAGA C Fullmäktiges protokoll ,
Kommunens hantering av styrdokument Redovisning Kommunfullmäktige
Kapitel 10 (i ISO27002) - Från dröm till verklighet Jaak Akker
Samma musik men olika teknik Tekniken byts ungefär vart femte år. Informationsinnehållet har oftast en livslängd som är 25–30 år, ibland ännu längre. Besluten.
Kvalitetsutveckling - administrativa processer
Organisationsförändring -hur påverkas arbetet med intern kontroll
Om HSA och HSA-ansvarigs roll
Handlingsplan för utveckling av exploateringsprocessen Ansvar och befogenheter I exploateringsprojekt Utkast 3 Exploateringsgruppen /Susanne Ek.
Hur skapar vi robusta välfärdstjänster? Samhället förlitar sig allt mer på nätinfrastrukturen. Vad finns det för risker med detta och hur skapar vi robusta.
Informationssäkerhet + arkiv = sant? Johan Andersson, Mälardalens högskola
Annika Davidsson Avdelningen för Redovisning och Intern revision 1 Intern styrning och kontroll i den svenska statsförvaltningen Annika Davidsson.
Inköp Dokument- information 20. Reservdelar / artiklar 20. Reservdelar och artiklar planeras utifrån behov i Pyramid (”Bristlistan”). 30. Övriga varor.
Introduktion till The Rational IT Model
Vägledning 5 steg för att följa Dataskyddsförordningen
Presentation av ledningssystemet
Offentlighets- och Sekretesslagen (2009:400)
SLL om tjänster för det kommunala området
Utbildning i hantering av Behovstrapporna
Ledningens genomgång: Informationssäkerhet Mall där allt underlag finns i denna presentation Datum 2018-XX-XX.
Kommunikationsprocesser
I offentlighetens tjänst
INFORMATIONSSÄKERHETSPROGRAM 2020
Vägledning kartläggning av informationssäkerhet - GAP-analys
Ledningens genomgång: Informationssäkerhet mall kortversion – underlag i annat underlag Datum 2018-XX-XX.
Introduktion till processen för balanserad styrning
Allmänna dataskyddsförordningen
Om bildspelet Det här bildspelet är tänkt att vara ett stöd till dig som ska kommunicera hur kontinuitetshantering hänger ihop med andra områden. Det kan.
Information till verksamhetschefer
Systematiskt förbättringsarbete för jämställda resultat
Om bildspelet Det här bildspelet är tänkt att vara ett stöd till dig som ska kommunicera hur kontinuitetshantering hänger ihop med andra områden. Det kan.
Presentationens avskrift:

Vad är informationssäkerhet? Med informationssäkerhet avses organisatorisk och tekniska säkerhetsfrågor i informationsförvaltning och informationshantering, personuppgiftshantering och dataskydd, systemsäkerhet och IT-säkerhet. Informationssäkerhet är förmågan hos en organisation att hantera informationen så att legala, etisk och verksamhetsmässiga intentioner upprätthålls Tillgänglighet, riktighet, sekretess och spårbarhet

Varför måste man göra riskanalyser och klassa information och system Om man inte bedömer/klassar värdet utifrån verksamhetsperspektiv/lagar hur ska man då kunna lägga på rätt skyddsåtgärder. En kedja är inte starkare än dess svagaste länk.

Ramverkets struktur Klarlägga hur ramverk med dokument och rutiner hänger ihop

triggers i processer, rutiner, checklistor Ramverk - struktur riktlinjer anvisningar, regler triggers i processer, rutiner, checklistor policy

triggers i processer, rutiner, checklistor Ramverk - struktur riktlinjer anvisningar, regler triggers i processer, rutiner, checklistor Att policy Vad (vem) På vilket sätt När & vem

triggers i processer, rutiner, checklistor Ramverk - struktur Exempel på innehåll ”Informationssäkerhetspolicy” Varför och att det ska göras Att; all information, oavsett media, ska ha en lämplig säkerhetsnivå utifrån verksamhetens krav på konfidentialitet, integritet och tillgänglighet. Att; en god informationssäkerhet ska säkerställas genom: kontinuerliga förbättringar med stöd av ledningssystemet Att; värdering och klassificering av all information sker för att kunna ge den rätt skydd avseende hantering och lagring Att; informationssäkerhet beaktas i alla våra arbetsprocesser. Att; ägare och därmed ansvarig för viktiga informations-tillgångar utses. riktlinjer anvisningar, regler triggers i processer, rutiner, checklistor Att policy Vad (vem) På vilket sätt När & vem

triggers i processer, rutiner, checklistor Ramverk - struktur Ex. på innehåll ”riktlinje för informationssäkerhet”: Kap. 5 Åtkomst Alla användaridentiteter ska vara personliga. Delade identiteter ska inte förekomma utan informationsägarens beslut. Tilldelade behörigheter ska motsvara aktuellt behov. Metoder för åtkomst till information skall vara utformade efter informationens värde (klassificering) och dess riskexponering. riktlinjer anvisningar, regler triggers i processer, rutiner, checklistor Att policy Vad (vem) På vilket sätt När & vem

triggers i processer, rutiner, checklistor Ramverk - struktur Ex. på innehåll ”Riktlinje för åtkomst av information”: I processen för tilldelning av behörigheter skall berörda informationsägare bli informerade om tilldelade behörigheter (så att verifiering kan ske). Tilldelning av behörigheter för externa användare ska vara tidsbegränsad för endast den tiden som behövs för att utföra uppgiften. I det fall gruppidentitet behövs skall andra mekanismer kunna styrka vem som gjort vad. Exempelvis via tjänstgöringslistor eller dylikt. Användare ska upplysas om de villkor som gäller kring den åtkomst de fått sig tilldelad. Regelbunden revision av samtliga åtkomsträttigheter ska ske. För de med särskilda åtkomsträttigheter (exempelvis administratörer) skall revision ske med kortare intervall. En förteckning ska föras över alla utdelade användar-ID och rutin ska finnas för regelbunden uppdatering av denna förteckning. Rutinen ska även innehålla kontroll av att inte upphörda användar-ID återanvänds. Historikfunktion ska finnas. riktlinjer anvisningar, regler triggers i processer, rutiner, checklistor Att policy Vad (vem) På vilket sätt När & vem

triggers i processer, rutiner, checklistor Ramverk - struktur Utifrån exemplet ”Riktlinje för åtkomst av information” så skapas ett antal instruktioner eller anvisningar. Exempelvis: Vid beställning av behörigheter från IT- leverantören så är anvisningen att det görs av administrationen vid nyanställning, där medarbetaren får tillgång till ett eget hemarkiv och läsrättigheter till gemensamma styrdokument. Ska ytterligare behörigheter ges ingår det i anvisningen att respektive informationsägare ska informeras. Vid nya projekt följ anvisning i projektmallen för hur tilldelning av behörigheter ska ske i projektet. riktlinjer anvisningar, regler triggers i processer, rutiner, checklistor Att policy Vad (vem) På vilket sätt När & vem

triggers i processer, rutiner, checklistor Ramverk - struktur Utifrån exemplet ”Riktlinje för åtkomst av information” så skapas även ett antal triggers, rutiner. Exempelvis: För att tillgodose att användare ska upplysas om de villkor som gäller kring den åtkomst de fått sig tilldelad, så sker det vid informationssäkerhetssamordnarens genomgång av informationssäkerhet för nyanställd, som ska ske i början av anställningen och är en trigger i checklistan ”Då medarbetare börjar”. Informationssäkerhetssamordnaren har ansvar för att se till att regelbunden revision av samtliga åtkomsträttigheter sker, genom att för sig själv skapa en rutin med tidsplanerade aktiviteter. riktlinjer anvisningar, regler triggers i processer, rutiner, checklistor Att policy Vad (vem) På vilket sätt När & vem

Kompletterande skrivningar till den övergripande policyn Exempel på ramverk Riktlinjer Strategin för hur man vill ha sin informationssäkerhet i organisationen. Informations-säkerhetspolicy Kompletterande skrivningar till den övergripande policyn Riktlinje för roller och ansvar för informations-säkerhetsarbetet Riktlinje för klassning och hantering av information Riktlinje för åtkomst till information Riktlinje för hantering av informations-säkerhetsrisker Riktlinje för kontinuitets-planering Riktlinje för tekniska skyddsåtgärder för klassade informations-resurser Riktlinje för fysiskt skydd Riktlinje för drift och data-kommunikation Riktlinje för loggning Riktlinje för incident-hantering Riktlinjerna beskriver vad man ska ha på plats och vad man behöver tänka på

Exempel på ramverk Anvisningar, regler Har sitt ursprung från riktlinjerna, vad ska åstadkommas och hur löser man det i verksamheten Riktlinje för tekniska skyddsåtgärder för klassade informations-resurser Riktlinje för roller och ansvar för informations-säkerhetsarbetet Riktlinje för klassning och hantering av information Riktlinje för hantering av informations-säkerhetsrisker Riktlinje för kontinuitets-planering Riktlinje för incident-hantering Riktlinje för loggning Riktlinje för fysiskt skydd Riktlinje för drift och data-kommunikation Riktlinje för åtkomst till information Kompletterar och detaljerar riktlinjerna Anvisning för medarbetare gällande informations-säkerhet Anvisning för klassning av information Anvisning för analys av informations-säkerhetsrisker Regler för tekniska skyddsnivåer för klassade informationsresurser Anvisning för beställning av behörigheter Blankett - BESTÄLLNING av IT-resurser & tjänster Regler för hantering och spridning av information Anvisning för incident-hantering Regler för inköp av informations-behandlings-resurser Blankett - BESTÄLLNING av behörigheter Regler för hur USB-minne får användas Ger stöd i hur man ska utföra en uppgift

Exempel på ramverk Informativa utdrag (anvisningar) Har sitt ursprung från riktlinjer, anvisningar och regler, vad ska åstadkommas och hur löser man det i verksamheten Riktlinje för tekniska skyddsåtgärder för klassade informations-resurser Riktlinje för roller och ansvar för informations-säkerhetsarbetet Riktlinje för klassning och hantering av information Riktlinje för hantering av informations-säkerhetsrisker Riktlinje för kontinuitets-planering Riktlinje för incident-hantering Riktlinje för loggning Riktlinje för fysiskt skydd Riktlinje för drift och data-kommunikation Riktlinje för åtkomst till information Ger riktad information om vad som gäller viss grupp Vad gäller för en verksamhetschef Vad gäller för informationssäkerhetssamordnaren Vad gäller för IT Vad gäller för informations-resursägare Vad gäller för informationsägare Vad gäller för kommunchef Ger stöd i hur man ska utföra en uppgift

Exempel på ramverk Triggers i processer, rutiner, checklistor Har sitt ursprung från riktlinjer och/eller anvisningar, regler, vad ska åstadkommas, när och vem löser detta i verksamheten Instruktion/process för klassning av information Instruktion tekniska skyddsnivåer för klassade informationsresurser Anvisning för hur USB-minne krypteras Anvisning för medarbetare gällande informations-säkerhet Instruktion för analys av informations-säkerhetsrisker Instruktion/process för incident-hantering Instruktion för beställning av behörigheter Instruktion vid inköp av informations-behandlings-resurser Blankett - BESTÄLLNING av IT-resurser & tjänster Blankett - BESTÄLLNING av behörigheter Regler för hantering och spridning av information Riktlinje för tekniska skyddsåtgärder för klassade informations-resurser Riktlinje för roller och ansvar för informations-säkerhetsarbetet Riktlinje för klassning och hantering av information Riktlinje för hantering av informations-säkerhetsrisker Riktlinje för kontinuitets-planering Riktlinje för incident-hantering Riktlinje för loggning Riktlinje för fysiskt skydd Riktlinje för drift och data-kommunikation Riktlinje för åtkomst till information För in kompletterande detaljerar så att det händer i verksamheten Trigger i rekryterings-processen och i checklista då någon börjar och slutar Anvisning för informationssäkerhetsrådets möten och ledningens genomgång Rutin för vidimering av behörigheter Rutin för uppföljning av informations-säkerhet (efterlevnad) Rutin för att bedöma att information har ”rätt” informations-klass Trigger vid inköp ifall köpet har påverkan på informations-säkerheten Trigger i projekt för behörighets-tilldelning och riskanalys Rutin för revidering av kontinuitetsplan Anger vem och när man ska utföra en uppgift

triggers i processer, rutiner, checklistor Ramverk - struktur riktlinjer anvisningar, regler triggers i processer, rutiner, checklistor Informations-säkerhetspolicy Att policy Riktlinje för tekniska skyddsåtgärder för klassade informations-resurser Riktlinje för roller och ansvar för informations-säkerhetsarbetet Riktlinje för klassning och hantering av information Riktlinje för hantering av informations-säkerhetsrisker Riktlinje för kontinuitets-planering Riktlinje för incident-hantering Riktlinje för loggning Riktlinje för fysiskt skydd Riktlinje för drift och data-kommunikation Riktlinje för åtkomst till information Riktlinjer för informations-säkerhet Vad (vem) Instruktion/process för klassning av information Instruktion tekniska skyddsnivåer för klassade informationsresurser Anvisning för hur USB-minne krypteras Anvisning för medarbetare gällande informations-säkerhet Instruktion för analys av informations-säkerhetsrisker Instruktion/process för incident-hantering Instruktion för beställning av behörigheter Instruktion vid inköp av informations-behandlings-resurser Blankett - BESTÄLLNING av IT-resurser & tjänster Blankett - BESTÄLLNING av behörigheter Regler för hantering och spridning av information På vilket sätt Rutin för revidering av kontinuitetsplan Trigger vid inköp ifall köpet har påverkan på informations-säkerheten Rutin för att bedöma att information har ”rätt” informations-klass Rutin för uppföljning av informations-säkerhet (efterlevnad) Rutin för vidimering av behörigheter Trigger i projekt för behörighets-tilldelning och riskanalys Rutin för säkerhets-gruppens möten och ledningens genomgång Trigger i rekryterings-processen och i checklista då någon börjar och slutar När & vem

Begreppsförvirring utifrån arbetsuppgift/utbildning/lagar/riktlinjer -Dokumenthanteringsplan -Säkerhetsklassning -Klassa -Informationskartläggning -Klassning av information Het debatt om hur detta ska göras och vad som skapar ett mervärde för verksamheten.