Infosäk Flashcards
Vilka är de fyra delar som ingår i ett systematiskt informationssäkerhetsarbete?
Identifiera & analysera
Utforma
Använda
Följ upp & förbättra
Vilka delar ingår i Identifiera & analysera?
Verksamhet
Omvärld
Risk
Gap
Vilka delar ingår i Utforma?
Organisation
Mål
Styrdokument
Handlingsplan
Klassningsmodell
Vilka delar ingår i Använda?
Utbildning & kommunikation
Klassa information
Genomföra & efterleva
Granska
Övervaka
Vilka styrdokument kan det finnas?
Policy
Riktlinjer/föreskrifter
Anvisningar
Instruktioner/rutinbeskrivningar
Vad är målet med policyn?
- uttrycker ledningens övergripande viljeinriktning
- ger auktoritet åt informationssäkerhetsarbetet
- kort, övergripande, lättförståelig
Vad är föreskrifter?
- styrdokument under policyn som innehåller bindande regler
- ska-krav
- organisationsövergripande
Vad är riktlinjer?
- styrdokument under policyn som även tillåter alternativa handlingssätt
- bör-krav
- organisationsövergripande
Vad är Anvisningar?
- står emellan riktlinjer/föreskrifter och instruktioner/rutinbeskrivningar
- mer detaljerad än riktlinjer/föreskrifter
- mindre detaljerad än instruktioner/rutinbeskrivningar
Vad är instruktioner/rutinbeskrivningar?
- anger hur arbetet ska bedrivas på detaljnivå
- begränsat till specifik teknisk plattform eller lokala förhållanden
- t.ex.: hur och när man ska göra säkerhetskopior
Vad bör en policy innehålla för att räknas som fullständig (checklista)?
- anger policyn ledningens viljeinriktning och stödjer informationssäkerhetsarbetet?
- visar policyn målet med samt omfattningen och vikten av informationssäkerhetsarbetet?
- har ledningen fastställt policyn?
- är ansvaret av informationssäkerhet definierat?
- står det klart och tydligt vem som äger policyn?
- är det beskrivet hur policyn ska underhållas?
- finns det en definition av informationssäkerhetsbegreppet?
- är policyn spridd i organisationen och finns det rutiner för detta?
Vad ska en policy innehålla enligt ISO27001?
- Definition av informationssäkerhet
- Strategiska mål med informationssäkerhet
- Principer för informationssäkerhetsarbetet
- Ansvar och roller för informationssäkerhetsarbetet
- Hantering av avvikelser och undantag
Vad är informationssäkerhet?
- De åtgärder som vidtas för att hindra att information läcker ut, förvanskas eller förstörs och för att informationen ska vara tillgänglig när den behövs.
- För en organisation kan det handla om att:
– skydda information mot en uppsättning hot för att säkerställa verksamhetens kontinuitet (exempelvis genom att säkerställa tillgång till källkod till verksamhetskritisk programvara)
– minimera verksamhetsrisken
– maximera avkastningen på investeringar och affärsmöjligheter. - Informationen som ska skyddas kan vara tryckt på papper, vara lagrad elektroniskt, överföras med post eller med elektroniska hjälpmedel, visas på film eller yttras i en konversation.
- Möjliga säkerhetsåtgärder är att införa en viss policy, rutin, process, organisationsstruktur eller olika mjuk- och hårdvarufunktioner.
- Säkerhetsarbetet kan också innefatta att utforma, införa, övervaka, granska och förbättra dessa åtgärder för att säkerställa att organisationens säkerhets- och verksamhetsmål uppnås.
Varför ska man följa en standard?
● Ger förtroende
● Systematiskt arbetssätt
● Beprövat
Vad ingår i ett systematiskt arbetssätt?
->Plan->Do->Check->Act->