F1-3

Question 1

Vad är information?

Answer 1

Data med mening. Kunskap som kommuniceras. Kan lagras i datorer, skickas via kommunikation.

Question 2

Vad menas med att information är säkert (och som också är målet med informationssäkerhet)?

Answer 2

• Konfidentialitet(hemlig)
• Riktighet
• Tillgänglighet
• Spårbarhet

Question 3

Vad innebär att information är konfidentiellt?

Answer 3

Den avslöjas inte eller görs tillgänglig för obehöriga.

Question 4

Vad innebär att information är tillgängligt?

Answer 4

Den är tillgänglig för behöriga användare, i förväntad utsträckning och inom önskad tid.

Question 5

Hur kan information skyddas?

Answer 5

• Administrativt
• Logiskt(tekniskt)
• Fysiskt

Question 6

Vilka krav finns på informationssäkerheten?

Answer 6

Externa och interna krav.

Question 7

En bra informationssäkerhet handlar om att hitta en bra balans som tar hänsyn till:

Answer 7

• informationens värde
• hot och risker
• interna och externa krav

Question 8

Ge exempel på interna aktörer som påverkar informationssäkerheten i en organisation.

Answer 8

beslutande, kravställande, säkerhetsstödjande, införande och anställda.

Question 9

Ge exempel på externa aktörer som påverkar informationssäkerheten i en organisation.

Answer 9

köpande, levererande, övervakande, opinionsbildande, konkurrerande och hotande.

Question 10

Informationssäkerhetsarbete följer en modell i fem steg, vilka?

Answer 10

Förbereda, analysera, utforma, införa, följa upp och förbättra.

Question 11

En verksamhetsanalys svara på två frågor, vilka?

Answer 11

1. vilka är våra kritiska informationstillgångar?

2. vilka är kraven/behovet av informationssäkerhet när det gäller de tillgångarna?

Question 12

När man identifierar kritiska tillgångar kan man ha tre olika fokusområden, vilka?

Answer 12

• informationsflöden i verksamhetsprocesser
• IT-system
• viktig information

Question 13

Ge exempel på externa krav på informationssäkerhet.

Answer 13

lagar, förordningar, föreskrifter, avtal

Question 14

Ge exempel på interna krav på informationssäkerhet.

Answer 14

behov som verksamheten har, interna policyer mm.

Question 15

Vad innebär informationsklassificering?

Answer 15

Att avgöra säkerhetskraven för en informationstillgång.

Question 16

Vad är målen med en informationsklassificering?

Answer 16

• Att man fastställt behov/krav.
• Att verksamheten som varit med fått medvetande om vikten av informationssäkerhet.
• Att man har kunskap som kan tas med in i riskanalys och val av åtgärder.

Question 17

Vilka olika fokus finns vid en riskanalys av informationssäkerhet?

Answer 17

• hela verksamheten

- en enskild informationstillgång.

Question 18

Vilka metodsteg finns vid en riskanalys?

Answer 18

• verksamhetens krav på informationen
  1. val och beskrivning av analysobjektet
  2. identifiering av hot
  3. sammanställning och gruppering av hot
  4. riskbedömning: konsekvens och sannolikhet
  5. framtagning av åtgärdsförslag

Question 19

Vad innebär risk, i en riskanalys?

Answer 19

en kombination av hur allvarligt en händelse kan störa verksamheten(konsekvensen) och hur troligt det är att händelsen ska inträffa. K x S = R

Question 20

steg 1 i en riskanalys innebär:

Answer 20

• vad är det som ska analyseras?
• gruppen enas om vad uppgiften omfattar.
  eventuella avgränsningar och tillägg tas upp.
• gå igenom dokumentation- finns all information som behövs?

Question 21

steg 2 i en riskanalys innebär:

Answer 21

• att ta fram hot
• vad kan inträffa som stör verksamheten och analysobjektet?
• dokumentera möjliga hot. Vad har hänt? vad kan hända?

Question 22

steg 3 i en riskanalys innebär:

Answer 22

• sammanställ och ordna
• ta bort dubbletter
• förtydliga hoten: bygg scenarier
• gruppera hoten
• numrera hoten

Question 23

steg 4 i en riskanalys innebär:

Answer 23

• värdera risken
• vilken konsekvens kan hotet ha?
• hur sannolikt eller troligt är det att hotet blir verklighet?

Question 24

steg 5 i en riskanalys innebär:

Answer 24

• hitta åtgärder
• vad kan man göra för att minska risken? reducera konsekvensen eller minska sannolikheten.
• ser gruppen några direkta åtgärder att vidta?

Question 25

Vad innebär en GAP-analys?

Answer 25

Det är en analys av nuläget, som beskriver gapet mellan idealläget(best practice) och rådande säkerhetsnivån.

Question 26

Vad är syftet med en GAP-analys?

Answer 26

• ge bekräftelse att skyddet är infört i tillräcklig omfattning
• ge en uppfattning om kvaliteten på informationssäkerhetsarbetet
• ge information om styrkor och svagheter i skyddet
• ge underlag för resten av arbetet med att styra informationssäkerheten

Question 27

Vilka ingångsvärden behövs för en GAP-analys? dvs vilken kunskap behövs

Answer 27

• tillgångar, krav och risker från verksamhets- och riskanalys.
• säkerhetsdokument med existerande policys och riktlinjer
• standarder och norm (tex 27002-standarden)

Question 28

Vad ska rapporten av en GAP-analys ge?

Answer 28

• översiktlig beskrivning av analysprocessen
• info om vad som legat till grund för analysen
• dokumentation av analysen
• sammanfattande slutsatser kring nuvarande säkerhetsnivå

Question 29

Vad ger god informationssäkerhet?

Answer 29

• en förutsättning att skydda pengar eller tjäna nya.
• skapar ett ökat förtroende för kunder
• man ser till att efterleva lagkrav
• det skapar effektivitet i verksamheten

Question 30

Vad är personlig integritet?

Answer 30

• rätten till en privat sfär, att vara ifred.

- att personlig information inte ska behandlas eller delges andra utan individens vetskap och samtycke.

Question 31

Vad är en personuppgift?

Answer 31

all information som behandlar fysiska personer som kan identifieras

Question 32

Vad innebär en behandling av en personuppgift?

Answer 32

all typ av behandling, tex lagring, ta emot, skriva ut, överföra.

Question 33

Vad gör en personuppgiftsansvarig?

Answer 33

den som beslutar om ändamålet med behandlingen (juridisk person som ett företag)

Question 34

Vad gör ett personuppgiftsbiträde?

Answer 34

den som behandlar uppgifter å den personuppgiftsansvarige vägnar.

Question 35

Vad är en registrerad?

Answer 35

den individ uppgifterna handlar om.

Question 36

Vilka principer måste alltid följas vid behandling av personuppgifter enl GDPR?

Answer 36

• Laglig grund: stöd i dataskyddsförordningen för att få behandla personuppgifter.
• Ändamålsbegränsning: man får bara samla in uppgifter för specifika, angivna ändamål.
• Uppgiftsminimering: man får inte behandla fler uppgifter än vad som behövs för ändamål.
• Riktighet: personuppgifter ska vara riktiga.
• Lagringsminimering: uppgifter ska raderas när de inte längre behövs.
• Konfidentialitet: uppgifter ska skyddas från obehöriga.
  Ansvarsskyldighet: man ska kunna visa att man lever upp till förordningen.

Question 37

Huvudsakliga krav i GDPR:

Answer 37

• register över behandling
• analyser: konsekvensanalys o riskanalys
• skydd: tekniska och organisatoriska skyddsåtgärder
• incidentrapportering: till datainspektionen

Question 38

Vad är ett dataskyddsombud?

Answer 38

en lokal tillsyn över dataskyddsarbetet. ser till att GDPR efterföljs.

Question 39

Vad innebär patientdatalagen?

Answer 39

• en sammanhållen journalföring mellan vårdgivare.
• bara den som har vårdrelation får ta del av patientinformation.
• patienter har rätt att spärra åtkomst till uppgifter.

Question 40

Vad innebär LEK- lagen om elektronisk information?

Answer 40

• omfattar allmänt tillgängliga elektroniska kommunikationstjänster (e-post/telefon)

Question 41

Vad innebär FRA-lagen?

Answer 41

• gäller tele- och datatrafik som passerar Sveriges gränser.

- spaning får ske efter domslut.

Question 42

Vad innebär/innebar datalagringsdirektivet?

Answer 42

• till för brottsbekämpning
• lagring av uppgifter i elektronisk kommunikation: telefonnr, geografisk placering, IP-nr mm.
• ogiltig sedan 2016