2. Organisationsperspektivet Flashcards

1
Q

Vilka aktörer finns?

A

Interna
- beslutande, kravställande, säkerhetsstödjande, införande och anställda

Externa
- köpande, levererande, övervakande, opinionsbildande, konkurrerande och hotande.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Vilka steg ingår i informationssäkerhetsarbete?

A
  1. Förbereda
  2. Analysera
  3. Utforma
  4. Införa
  5. Följa upp
  6. Förbättra
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Vilka frågeställningar ställs vid en verksamhetsanalys? (2)

A

1) Vilka är våra kritiska informationstillgångar?

2) Vilka är kraven/behovet av informationssäkerhet när det gäller de tillgångarna?

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Vad bör en utgå ifrån för att identifiera kritiska tillgångar vid verksamhetsanalys?

A

Affären
Affärsprocesserna
(utan att utgå från processer eller IT-system)

  • Olika fokus:
    ¤ Informationsflöden i verksamhetsprocesser
    ¤ IT-system
    ¤ Viktig information
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

För att ta reda på informationsflöden i processer, vart bör en kolla? (4)

A
  • Tidigare dokumentation
  • Kritiska processer, kärnprocesser
  • Kritiska informationsflöden
  • Med processägare / processledare och de som kan processen
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Vad finns det för typer av krav? Ge exempel: (2+)

A

Externa

  • Lagar
  • Förordningar
  • Föreskrifter
  • Avtal

Interna

  • Behov som verksamheten har
  • Interna policyer inom en koncern
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Ge exempel på legala krav:

A
  • Personuppgiftslag – dataskydd
  • Upphovsrättsliga lagar
  • Bokföringslag
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Vad innebär informationsklassificering?

A

Att avgöra säkerhetskraven för en informationstillgång

en för varje, ofta workshopformat

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Efter vilka kriterier klassificeras tillgångarna?

A

Sekretess
Riktighet
Tillgänglighet
(Spårbarhet)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Vad har hänt efter en klassificering?

A
  • Att vi fastställt behov/krav
  • Att verksamheten som varit med fått medvetande om vikten av informationssäkerhet
  • Att vi har kunskap som vi kan ta med oss in i riskanalys och val av åtgärder.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Vilka fokus kan väljas vid riskanalys?

A
  • Hela verksamheten

- Enskild informationstillgång

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Beskriv metodstegen vid en riskanalys: (1+5)

A

(Verksamhetens krav på informationen) sedan:

  1. Val & beskrivning av analysobjekt
  2. Identifiering av hot
  3. Sammanställning & gruppering av hot
  4. Riskbedömning
    - konsekvens och sannolikhet
  5. Framtagning av åtgärdsförslag
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Vilka begrepp används vid riskanalys?

A

Hot

Konsekvens

Sannolikhet

Risk
(kombination av hur allvarligt en händelse kan störa verksamheten och hur troligt det är att händelsen ska inträffa)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Vad är syftet med en GAP-analys?

A

Att ta fram gapet mellan det som en standard beskriver som bästa praxis och den rådande säkerhetsnivån i verksamheten.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Vilka är stegen vid en GAP-analys? (1+3)

A

(Verksamhetens skyddsbehov tas i beaktande vid analys?

  1. Identifiera kunskapskällor
  2. Dokumentera nuläget
  3. Dokumentera förbättringsmöjligheter
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Vad för ingångsvärden (kunskap och information) behöver en person som utför en GAP-analys?

A

Behov och krav

Säkerhetsdokument

Standard och norm

17
Q

Hur dokumenteras GAP-analysen?

A

Beskrivning av nuläget och eventuella förbättringsåtgärder för varje krav i standarden.

18
Q

Vad inkluderas i rapporten för GAP-analysen?

A
  • en översiktlig beskrivning av analysprocessen, hur arbetet är genomförts.
  • information om vad som har legat till grund för analysen
  • dokumentation av själva analysen
  • sammanfattande slutsatser kring verksamhetens nuvarande informationssäkerhetsnivå
19
Q

Vad ger god informationssäkerhet? (4)

A

Nytta för:

Ekonomi
Förtroende
Effektivitet
Efterlevnad