2. Organisationsperspektivet Flashcards
Vilka aktörer finns?
Interna
- beslutande, kravställande, säkerhetsstödjande, införande och anställda
Externa
- köpande, levererande, övervakande, opinionsbildande, konkurrerande och hotande.
Vilka steg ingår i informationssäkerhetsarbete?
- Förbereda
- Analysera
- Utforma
- Införa
- Följa upp
- Förbättra
Vilka frågeställningar ställs vid en verksamhetsanalys? (2)
1) Vilka är våra kritiska informationstillgångar?
2) Vilka är kraven/behovet av informationssäkerhet när det gäller de tillgångarna?
Vad bör en utgå ifrån för att identifiera kritiska tillgångar vid verksamhetsanalys?
Affären
Affärsprocesserna
(utan att utgå från processer eller IT-system)
- Olika fokus:
¤ Informationsflöden i verksamhetsprocesser
¤ IT-system
¤ Viktig information
För att ta reda på informationsflöden i processer, vart bör en kolla? (4)
- Tidigare dokumentation
- Kritiska processer, kärnprocesser
- Kritiska informationsflöden
- Med processägare / processledare och de som kan processen
Vad finns det för typer av krav? Ge exempel: (2+)
Externa
- Lagar
- Förordningar
- Föreskrifter
- Avtal
Interna
- Behov som verksamheten har
- Interna policyer inom en koncern
Ge exempel på legala krav:
- Personuppgiftslag – dataskydd
- Upphovsrättsliga lagar
- Bokföringslag
Vad innebär informationsklassificering?
Att avgöra säkerhetskraven för en informationstillgång
en för varje, ofta workshopformat
Efter vilka kriterier klassificeras tillgångarna?
Sekretess
Riktighet
Tillgänglighet
(Spårbarhet)
Vad har hänt efter en klassificering?
- Att vi fastställt behov/krav
- Att verksamheten som varit med fått medvetande om vikten av informationssäkerhet
- Att vi har kunskap som vi kan ta med oss in i riskanalys och val av åtgärder.
Vilka fokus kan väljas vid riskanalys?
- Hela verksamheten
- Enskild informationstillgång
Beskriv metodstegen vid en riskanalys: (1+5)
(Verksamhetens krav på informationen) sedan:
- Val & beskrivning av analysobjekt
- Identifiering av hot
- Sammanställning & gruppering av hot
- Riskbedömning
- konsekvens och sannolikhet - Framtagning av åtgärdsförslag
Vilka begrepp används vid riskanalys?
Hot
Konsekvens
Sannolikhet
Risk
(kombination av hur allvarligt en händelse kan störa verksamheten och hur troligt det är att händelsen ska inträffa)
Vad är syftet med en GAP-analys?
Att ta fram gapet mellan det som en standard beskriver som bästa praxis och den rådande säkerhetsnivån i verksamheten.
Vilka är stegen vid en GAP-analys? (1+3)
(Verksamhetens skyddsbehov tas i beaktande vid analys?
- Identifiera kunskapskällor
- Dokumentera nuläget
- Dokumentera förbättringsmöjligheter