2. Organisationsperspektivet

Question 1

Vilka aktörer finns?

Answer 1

Interna
- beslutande, kravställande, säkerhetsstödjande, införande och anställda

Externa
- köpande, levererande, övervakande, opinionsbildande, konkurrerande och hotande.

Question 2

Vilka steg ingår i informationssäkerhetsarbete?

Answer 2

1. Förbereda
2. Analysera
3. Utforma
4. Införa
5. Följa upp
6. Förbättra

Question 3

Vilka frågeställningar ställs vid en verksamhetsanalys? (2)

Answer 3

1) Vilka är våra kritiska informationstillgångar?

2) Vilka är kraven/behovet av informationssäkerhet när det gäller de tillgångarna?

Question 4

Vad bör en utgå ifrån för att identifiera kritiska tillgångar vid verksamhetsanalys?

Answer 4

Affären
Affärsprocesserna
(utan att utgå från processer eller IT-system)

• Olika fokus:
  ¤ Informationsflöden i verksamhetsprocesser
  ¤ IT-system
  ¤ Viktig information

Question 5

För att ta reda på informationsflöden i processer, vart bör en kolla? (4)

Answer 5

• Tidigare dokumentation
• Kritiska processer, kärnprocesser
• Kritiska informationsflöden
• Med processägare / processledare och de som kan processen

Question 6

Vad finns det för typer av krav? Ge exempel: (2+)

Answer 6

Externa

• Lagar
• Förordningar
• Föreskrifter
• Avtal

Interna

• Behov som verksamheten har
• Interna policyer inom en koncern

Question 7

Ge exempel på legala krav:

Answer 7

• Personuppgiftslag – dataskydd
• Upphovsrättsliga lagar
• Bokföringslag

Question 8

Vad innebär informationsklassificering?

Answer 8

Att avgöra säkerhetskraven för en informationstillgång

en för varje, ofta workshopformat

Question 9

Efter vilka kriterier klassificeras tillgångarna?

Answer 9

Sekretess
Riktighet
Tillgänglighet
(Spårbarhet)

Question 10

Vad har hänt efter en klassificering?

Answer 10

• Att vi fastställt behov/krav
• Att verksamheten som varit med fått medvetande om vikten av informationssäkerhet
• Att vi har kunskap som vi kan ta med oss in i riskanalys och val av åtgärder.

Question 11

Vilka fokus kan väljas vid riskanalys?

Answer 11

• Hela verksamheten

- Enskild informationstillgång

Question 12

Beskriv metodstegen vid en riskanalys: (1+5)

Answer 12

(Verksamhetens krav på informationen) sedan:

1. Val & beskrivning av analysobjekt
2. Identifiering av hot
3. Sammanställning & gruppering av hot
4. Riskbedömning
   - konsekvens och sannolikhet
5. Framtagning av åtgärdsförslag

Question 13

Vilka begrepp används vid riskanalys?

Answer 13

Hot

Konsekvens

Sannolikhet

Risk
(kombination av hur allvarligt en händelse kan störa verksamheten och hur troligt det är att händelsen ska inträffa)

Question 14

Vad är syftet med en GAP-analys?

Answer 14

Att ta fram gapet mellan det som en standard beskriver som bästa praxis och den rådande säkerhetsnivån i verksamheten.

Question 15

Vilka är stegen vid en GAP-analys? (1+3)

Answer 15

(Verksamhetens skyddsbehov tas i beaktande vid analys?

1. Identifiera kunskapskällor
2. Dokumentera nuläget
3. Dokumentera förbättringsmöjligheter

Question 16

Vad för ingångsvärden (kunskap och information) behöver en person som utför en GAP-analys?

Answer 16

Behov och krav

Säkerhetsdokument

Standard och norm

Question 17

Hur dokumenteras GAP-analysen?

Answer 17

Beskrivning av nuläget och eventuella förbättringsåtgärder för varje krav i standarden.

Question 18

Vad inkluderas i rapporten för GAP-analysen?

Answer 18

• en översiktlig beskrivning av analysprocessen, hur arbetet är genomförts.
• information om vad som har legat till grund för analysen
• dokumentation av själva analysen
• sammanfattande slutsatser kring verksamhetens nuvarande informationssäkerhetsnivå

Question 19

Vad ger god informationssäkerhet? (4)

Answer 19

Nytta för:

Ekonomi
Förtroende
Effektivitet
Efterlevnad