Vägledning kartläggning av informationssäkerhet - GAP-analys

Slides:



Advertisements
Liknande presentationer
Kvalitet i förskolan Erfarenheter från Kungälvs kommun
Advertisements

Nyttorealisering på 10 min
Kartläggning av energirådgivningen Stockholms län
Ledningssystem SOSFS 2011:9.
Roller för ledning och styrning av verksamhetsövergripande processer
Praktisk nytta och användning av SS-ISO/IEC och 27002
Sammanhållen vård och omsorg om de mest sjuka äldre
Några viktiga krav i ISO9001:2000
Problemformulering Vad är problemet eller behovet– gapen i våra resultat? Vad: Vad påverkas? Är det specifikt? Innehåller det ett implicit förslag till.
Processorienterat förbättringsarbete
Nationell strategi för eHälsa och Socialstyrelsens roll
Reglemente för God hushållning och intern kontroll
Övergripande inriktning för samhällsskydd och beredskap
Nationellt ramverk för patientsäkerhetsarbete
Välkommen till ESF:s seminarium
Ramverk för patientmedverkan
Modell för Utveckling av ledningssystem
EN MODELL FÖR SAMVERKAN:
Tillsammans för världens säkraste vård
Systematiskt kvalitetsarbete i våra kommuner
Roller för ledning och styrning av verksamhetsövergripande processer
Nya föreskrifter och allmänna råd
Hur väl verksamheten uppfyller nationella mål
Naturvårdsverket | Swedish Environmental Protection Agency 1 Regional årlig uppföljning av miljökvalitetsmålen Naturvårdsverkets anvisningar.
Våra planerade arbetssätt - Våra processer
Teknisk nämnden Nämndutveckling Underlag och utkast till uppläggning.
Fullmäktiges revisionsenhet (REV) Håkan Skyllberg, BDO Direktionens säkerställande av IT- säkerhetsskyd d PROTOKOLLSBILAGA C Fullmäktiges protokoll ,
Systematiskt kvalitetsarbete i förskolan
Kvalitetsutveckling - administrativa processer
Organisationsförändring -hur påverkas arbetet med intern kontroll
Projektledarträning. Målsättning / Önskat utfall Deltagarna/teamet har en gemensam uppfattning avseende sina egna och gruppens styrkor och svagheter i.
Energikartläggning i stora företag
LEAN Historia. Lean har sina rötter i Japansk industri och det man främst då tänker på är Toyota som på 1930-talet började att tillverka bilar. Andra världskriget.
Informationssäkerhet + arkiv = sant? Johan Andersson, Mälardalens högskola
Patientsäkerhetslag 2010:657 3 kap. Vårdgivarens skyldighet att bedriva ett systematiskt patientsäkerhetsarbete.
Regeringsuppdraget Nationell informationsstruktur för vård och omsorg Monica Winge Socialstyrelsen.
Introduktion i arbetsmodell för trygghetslarm För att underlätta införandet av trygghetslarm har ett ledningssystem tagits fram. Ledningssystemet ger.
Skolinspektionen Bra tillsyn – bättre skola - Det pedagogiska ledarskapet.
Gemensamma grunder för samverkan och ledning vid samhällsstörningar #grundSoL Introduktion till gemensamma grunder för samverkan.
Utvärdering 1 Fredrik Björk Urbana Studier, Malmö högskola.
Gemensamma grunder för samverkan och ledning vid samhällsstörningar Modul 02: Aktörer och deras roller och ansvar #grundSoL.
Introduktion till The Rational IT Model
Vad är informationssäkerhet?
Ramverk för patientmedverkan
Vägledning 5 steg för att följa Dataskyddsförordningen
Offentlighets- och Sekretesslagen (2009:400)
Navigating uncertainty
Risk- och sårbarhetsanalyser
Vägledningsdokument för Vuxna Psykiatri Missbruk
Material för socialtjänsten
Ledningens genomgång: Informationssäkerhet Mall där allt underlag finns i denna presentation Datum 2018-XX-XX.
Informationssäkerhet – en möjliggörare för att uppnå verksamhetens mål
INFORMATIONSSÄKERHETSPROGRAM 2020
I offentlighetens tjänst
INFORMATIONSSÄKERHETSPROGRAM 2020
Verktyget Utmärkelsen….
Ledningens genomgång: Informationssäkerhet mall kortversion – underlag i annat underlag Datum 2018-XX-XX.
Validering av reell kompetens för tillträde och tillgodoräknande
Introduktion till processen för balanserad styrning
Att leda och genomföra transformation WS 3 Region 10
Fördjupning till systematiskt kvalitetsarbete
Förbättra klubbkvalitet
Gnosjö kommuns styrmodell
”Om vi inte vet vart vi ska spelar det ingen roll vilken väg vi tar”
Inriktnings- och samordningsfunktion på lokal nivå
OM DIGIBAROMETER Digibarometer är att workshopmaterial som tagits fram inom det regeringsuppdrag som Lantmäteriet har för att öka kompetens och.
Systematiskt förbättringsarbete för jämställda resultat
Digitalisering av kvalitetsledning och kvalitetsuppföljning
Inriktnings- och samordningsfunktion på lokal nivå
Presentationens avskrift:

Vägledning kartläggning av informationssäkerhet - GAP-analys Sammanställning från KLISTER-projektet Rose-Mharie Åhlfeldt Institutionen för Informationsteknologi

Introduktion

Varför Ledningssystem Behov av strukturerad hantering av processer, dokument och ärenden med bäring på information. Behöver fördela roller och ansvar så att styrning av informationssäkerhet kan uppnås. Tekniken kan inte skapa säkerhet Människor enbart kan inte heller skapa säkerhet Människor och teknik behövs i samklang

Varför ledningssystem forts Informationssäkerhet i sig är inte verksamhetens huvudprocess utan en stödprocess Om informationssäkerheten i en organisation fungerar – så märks den inte. Om den inte fungerar – märks direkt! Processen för informationssäkerhet måste integreras i andra processer Därför – många aktörer får säkerhetsroller

Roller och ansvar För att få en effektiv styrning av informationssäkerheten krävs fördelning av ansvar. Befintliga roller kan få nya ansvarsområden Nya roller kan behöva skapas Viktigt med samverkan mellan ansvarsrollerna

Olika roller för styrning av informationssäkerhet Exempel Ledning Ansvarar för visioner, strategiska beslut och koordinerar aktiviteter för att vägleda och styra organisationen. Informationssäkerhetschef/ansvarig Befattningshavare som har ansvar för att driva informationssäkerhetsfrågor i organisationen, framförallt rörande administrativ/organisatorisk säkerhet Informationsägare Äger ansvaret för sin verksamhet inklusive informationen och informationshanteringen. Informationsägarens viktigaste roll (funktion och säkerhet) är att kravställa.

Olika roller för styrning av informationssäkerhet Exempel Informationsägare/processägare Ansvarar för att delegera uppgifter och hantera information i sin del av processen samt att föra ansvaret vidare till nästa delprocess. Säkerhetsforum (arbetsgrupp/kommitté) Ansvarar för hur informationstillgångar ska hanteras och har en ledande roll för ledningssystemet i organisationen. Systemägare Ansvarar för att leverera lösningar som uppfyller informationsägarens krav. Systemadministratör Ansvarar för att praktiskt hantera den dagliga förvaltningen av IT-system i verksamheten

Olika roller för styrning av informationssäkerhet Exempel IT-chef Ägare av IT infrastruktur IT-säkerhetsansvarig Ansvar för bevakning av IT-säkerhetsfrågor, d v s tekniska säkerhetsåtgärder i verksamhetens IT-system. Riskägare Ansvar för organisationens riskvalidering Organisationens jurist Ansvar för att ta hänsyn till legala aspekter Personalansvarig Ansvarar för personalfrågor

Olika roller för styrning av informationssäkerhet forts Exempel Arkivansvarig Ansvarar för fysiska skyddsåtgärder i arkivet samt att informationen lagras över lång tid. Personuppgiftsombud Utsedd roll för att tillgodose personers integritet samt ha kontakt med Datainspektionen avseende registerhantering. Fastighetsansvarig Ansvarar för organisationens fastighetsfrågor. Kunskap om fastighetens fysiska säkerhet Medarbetare/användare Ansvarar för att upprätthålla informationssäkerheten I arbetsområdet och i verksamhetsmiljön. Informationssäkerhetsrevisor Ansvarar för bedömning och evaluering av LIS. Informationssäkerhetsutbildare Ansvarar för informationssäkerhetsutbildningar – fokus på ökad säkerhetsmedvetenhet i verksamheten

Ledningssystem och metodstöd Best practice, standarder, ramverk, metodstöd etc. är verktyg för att stödja styrning av informationssäkerhet. Dessa är ingen frälsning i sig. Ger endast förslag till struktur, metod, mallar, checklistor etc. Måste verksamhetsanpassas/situationsanpassas Få standarder och ramverk är vetenskapligt validerade och utvärderade. De undersökningar som är gjorde visar ändå på att de är en viktig grund för styrning av infosäk men behöver anpassas för specifik verksamhet (Sipponen, 2008)

LIS - PDCA-snurran - en ständig förbättringsprocess Syfte att förbättra både arbetssätt och säkerhetslösningar. Användbart om man börjar från noll eller vill förbättra en redan pågående aktivitet. Källa: www.informationssäkerhet.se

PDCA Plan (planera) Identifiera problemet Analysera Föreslå en eller flera lösningar Do (genomföra) Genomför lösningen Check (kontrollera/följa upp) Samla in data Utvärdera data Om lösningen är bra, vidare till ACT annars tillbaka till PLAN. Act (handla/förbättra) Implementera och systematisera lösningen Åter till PLAN för en ständig förbättringsprocess.

Ett ledningssystem - en ständig förbättringsprocess Strategisk Taktisk Operativ

Ständig förbättring En ständig pågående process Nya analyser Nya åtgärder Nya uppföljningar Se till att LIS alltid är anpassat till rådande risksituation och verksamhet Syftet är att göra förbättringar där det behövs och när det behövs. Stärka säkerhetsskyddet om förändrad risksituation. Anpassa metoder – användbarhet Förstärka integrering med andra styrmedel och verksamhetsprocesser.

Situationsanpassning Vilka förutsättningar råder? Anpassa användning och metodstöd så de stämmer med den egna organisationen

GAP-analys

GAP-ANALYS Analyserar gapet mellan det nuvarande läget mot kraven i standarden (ISO/IEC 27001 och 27002) Ger en helhetsbild över informationssäkerhetsnivån i kommunens verksamhet baserat på en vedertagen/jämförbar ”best practice” Är en viktig (omfattande) del i den grundläggande analysen för ett införande av ett ledningssystem för informationssäkerhet (LIS).

GAP-analys (MSBs metodstöd)

GAP-analysen – en del i den grundläggande analysen?

Syftet med GAP-analysen Kontrollera hur verksamhetens informationssäkerhet står sig i förhållande till uppsatta mål. Bekräftelse på att befintligt skydd är infört i tillräcklig omfattning En uppfattning om kvalitén på säkerhetsarbetet. Information om styrkor och svagheter i skyddet Ett underlag att gå vidare med i införandet av ledningssystemet.

IngånGsvärden Behov och kunskap Säkerhetsdokumentation Dokumentation från verksamhetsanalys och riskanalys om sådan finns Säkerhetsdokumentation Existerande policy och riktlinjer med bäring på informationssäkerhet Standard och norm GAP-analysen utgörs av en lista med krav eller säkerhetsåtgärder som utgår från kraven i standarden 27001 och 27002. Ev tidigare genomförda revisionsrapporter

Aktiviteter I GAP-analysen

Aktiviteter I Gap-analysen Sammanställning av material och kunskap med utgångspunkt från kraven i ISO/IEC 27002. Vilka säkerhetsåtgärder finns redan nu och hur fungerar de? Vilka säkerhetsåtgärder fungerar tillfredsställande tack vare kompenserande åtgärder Vilka säkerhetsåtgärder finns inte eller fungerar inte tillfredsställande Vilka säkerhetsåtgärder behövs inte (motivera) För varje krav i standarden beskriva nuläget samt eventuella förbättringsåtgärder.

Resultat Översiktlig beskrivning om nuvarande brister och vad som behöver förbättras. Om ytterligare dokumentation från informationsklassificeringar och riskanalyser finns behöver dessa också kopplas till nuvarande lägesbild avseende behov av förbättringsåtgärder. Sammanfattande slutsatser ger en bild av verksamhetens nuvarande informationssäkerhetsnivå. Beslutsunderlag för fortsatt systematiskt informationssäkerhetsarbete.

OBSERVERA Resultatet av GAP-analysen kan vara känslig information och bör hanteras därefter

Vad bör man tänka på? Säkerhetsskydden är administrativa, organisatoriska, fysiska eller logiska. Alla säkerhetsåtgärder har som mål att skydda informationen utifrån aspekterna/egenskaperna för informationssäkerhet: konfidentialitet, riktighet och tillgänglighet.

Informationssäkerhetsmodellen

Vad bör man tänka på? När skyddsåtgärder kartläggs är det viktigt att tänka i flera dimensioner. Är skyddsåtgärden dokumenterad? Är skyddsåtgärden verkligen på plats och används den? Fungerar skyddsåtgärden som det är tänkt? Underhålls skyddsåtgärden?

För Vem är GAP-analysen användbar? I projekt för att införa LIS Ansvariga för att mäta eller verifiera nivån på säkerhetsskyddet. Verksamhetschefer/förvaltningschefer (informationsägare/systemägare) som vill ställa krav på sin skyddsnivå. Säkerhet- och informationssäkerhetsansvariga som ska mäta effektiviteten i skyddet.

Kritiska säkerhetsåtgärder - Kommunanpassning Ett förslag till kommunanpassade kritiska säkerhetsåtgärder har tagits fram från KLISTER-projektet. Utgångspunkten är checklistan på www.informationssakerhet.se som summerar krav och vägledningar från informationssäkerhetsstandarden SS-ISO/IEC 27002:2014. Den nuvarande kommunanpassade checklistan är uppdaterad från SS-ISO/IEC 27002:2014, där kritiska säkerhetsåtgärder finns angivna i bilaga A. Av totalt 114 säkerhetsåtgärder är 70 angivna som kritiska. Dessa bör varje kommun införa som basnivå för att skydda organisationens information. En övergripande förteckning över säkerhetsåtgärderna finns i bilaga B.

SS-ISO/IEC 27002:2014 Riktlinjer för styrning av informaitonssäkerhet Checklistan (bilaga A) utgår från mål och säkerhetsåtgärder i 27002 Innehåller 14 rubriknivåer och utgår från standardens innehållsförteckning med start från rubrik 5.

Innehållsförteckning (2014) Förord 0 Orientering 1 Omfattning 2 Normativa hänvisningar 3 Termer och definitioner 4 Denna standards struktur 5 Informationssäkerhetspolicy 6 Organisation av informationssäkerhetsarbetet 7 Personalsäkerhet 8 Hantering av tillgångar 9 Styrning av åtkomst 10 Kryptering 11 Fysisk och miljörelaterad säkerhet 12 Driftsäkerhet 13 Kommunikationssäkerhet 14 Anskaffning utveckling av system 15 Leverantörsrelationer 16 Hantering av informationssäkerhetsincidenter 17 Informationssäkerhetsaspekter avseende hantering av verksamhetens kontinuitet 18 Efterlevnad Litteraturförteckning

Arbetsbeskrivning

Det huvudsakliga arbetet består av tre delar Arbetsbeskrivning Det huvudsakliga arbetet består av tre delar Inför GAP-analysen - planering Under GAP-analysen - genomförande Efter GAP-analysen – sammanställning och rapportering En generell detaljerad arbetsbeskrivning finns i metodstödets dokumentation för GAP-analys (www.informationssäkerhet.se)

Arbetsbeskrivning forts Inför GAP-analysen - planering Avsätt tid – 2-3 dgr Skicka ut frågeunderlag (bilaga D) och förslag på agenda till områdesansvariga (bilaga E). Läs igenom inkommet material och stäm av agendan med berörda.

Arbetsbeskrivning forts Under GAP-analysen - genomförande Rundvandring Presentation av IT-miljön (serverrum, korskopplingsskåp, kablage, förvaring av säkerhetskopior etc. Intervjuer enligt agendan med hjälp av checklistan (bilaga A). Sammanställ säkerhetsnivåerna och sammanfatta bristerna kortfattat för berörda deltagare (bilaga C).

Nivåskala för bedömningar 0 – Ingen efterlevnad 0,5 1 – Bristfällig efterlevnad 1,5 2 - Acceptabel efterlevnad 2,5 3 - Stor efterlevnad

Arbetsbeskrivning forts Efter GAP-analysen – Sammanställning och rapportering Ytterligare analys av sammanställning säkerhetsnivåer och sammanfattande brister (bilaga C) Om behov finns stäm av och komplettera med berörda deltagare. Sammanställ en nivå- och bristrapport samt förslag till åtgärdsplan (bilaga F)

Kontakta oss: Sekretesspolicy Kontakta oss
Om projektet: SlidePlayer Användarvillkor

© 2024 SlidePlayer.se Inc. All rights reserved.