2. Organisationsperspektivet Flashcards
Vilka aktörer finns?
Interna
- beslutande, kravställande, säkerhetsstödjande, införande och anställda
Externa
- köpande, levererande, övervakande, opinionsbildande, konkurrerande och hotande.
Vilka steg ingår i informationssäkerhetsarbete?
- Förbereda
- Analysera
- Utforma
- Införa
- Följa upp
- Förbättra
Vilka frågeställningar ställs vid en verksamhetsanalys? (2)
1) Vilka är våra kritiska informationstillgångar?
2) Vilka är kraven/behovet av informationssäkerhet när det gäller de tillgångarna?
Vad bör en utgå ifrån för att identifiera kritiska tillgångar vid verksamhetsanalys?
Affären
Affärsprocesserna
(utan att utgå från processer eller IT-system)
- Olika fokus:
¤ Informationsflöden i verksamhetsprocesser
¤ IT-system
¤ Viktig information
För att ta reda på informationsflöden i processer, vart bör en kolla? (4)
- Tidigare dokumentation
- Kritiska processer, kärnprocesser
- Kritiska informationsflöden
- Med processägare / processledare och de som kan processen
Vad finns det för typer av krav? Ge exempel: (2+)
Externa
- Lagar
- Förordningar
- Föreskrifter
- Avtal
Interna
- Behov som verksamheten har
- Interna policyer inom en koncern
Ge exempel på legala krav:
- Personuppgiftslag – dataskydd
- Upphovsrättsliga lagar
- Bokföringslag
Vad innebär informationsklassificering?
Att avgöra säkerhetskraven för en informationstillgång
en för varje, ofta workshopformat
Efter vilka kriterier klassificeras tillgångarna?
Sekretess
Riktighet
Tillgänglighet
(Spårbarhet)
Vad har hänt efter en klassificering?
- Att vi fastställt behov/krav
- Att verksamheten som varit med fått medvetande om vikten av informationssäkerhet
- Att vi har kunskap som vi kan ta med oss in i riskanalys och val av åtgärder.
Vilka fokus kan väljas vid riskanalys?
- Hela verksamheten
- Enskild informationstillgång
Beskriv metodstegen vid en riskanalys: (1+5)
(Verksamhetens krav på informationen) sedan:
- Val & beskrivning av analysobjekt
- Identifiering av hot
- Sammanställning & gruppering av hot
- Riskbedömning
- konsekvens och sannolikhet - Framtagning av åtgärdsförslag
Vilka begrepp används vid riskanalys?
Hot
Konsekvens
Sannolikhet
Risk
(kombination av hur allvarligt en händelse kan störa verksamheten och hur troligt det är att händelsen ska inträffa)
Vad är syftet med en GAP-analys?
Att ta fram gapet mellan det som en standard beskriver som bästa praxis och den rådande säkerhetsnivån i verksamheten.
Vilka är stegen vid en GAP-analys? (1+3)
(Verksamhetens skyddsbehov tas i beaktande vid analys?
- Identifiera kunskapskällor
- Dokumentera nuläget
- Dokumentera förbättringsmöjligheter
Vad för ingångsvärden (kunskap och information) behöver en person som utför en GAP-analys?
Behov och krav
Säkerhetsdokument
Standard och norm
Hur dokumenteras GAP-analysen?
Beskrivning av nuläget och eventuella förbättringsåtgärder för varje krav i standarden.
Vad inkluderas i rapporten för GAP-analysen?
- en översiktlig beskrivning av analysprocessen, hur arbetet är genomförts.
- information om vad som har legat till grund för analysen
- dokumentation av själva analysen
- sammanfattande slutsatser kring verksamhetens nuvarande informationssäkerhetsnivå
Vad ger god informationssäkerhet? (4)
Nytta för:
Ekonomi
Förtroende
Effektivitet
Efterlevnad
