Infosäk

Question 1

Vilka är de fyra delar som ingår i ett systematiskt informationssäkerhetsarbete?

Answer 1

Identifiera & analysera
Utforma
Använda
Följ upp & förbättra

Question 2

Vilka delar ingår i Identifiera & analysera?

Answer 2

Verksamhet
Omvärld
Risk
Gap

Question 3

Vilka delar ingår i Utforma?

Answer 3

Organisation
Mål
Styrdokument
Handlingsplan
Klassningsmodell

Question 4

Vilka delar ingår i Använda?

Answer 4

Utbildning & kommunikation
Klassa information
Genomföra & efterleva
Granska
Övervaka

Question 5

Vilka styrdokument kan det finnas?

Answer 5

Policy
Riktlinjer/föreskrifter
Anvisningar
Instruktioner/rutinbeskrivningar

Question 6

Vad är målet med policyn?

Answer 6

• uttrycker ledningens övergripande viljeinriktning
• ger auktoritet åt informationssäkerhetsarbetet
• kort, övergripande, lättförståelig

Question 7

Vad är föreskrifter?

Answer 7

• styrdokument under policyn som innehåller bindande regler
• ska-krav
• organisationsövergripande

Question 8

Vad är riktlinjer?

Answer 8

• styrdokument under policyn som även tillåter alternativa handlingssätt
• bör-krav
• organisationsövergripande

Question 9

Vad är Anvisningar?

Answer 9

• står emellan riktlinjer/föreskrifter och instruktioner/rutinbeskrivningar
• mer detaljerad än riktlinjer/föreskrifter
• mindre detaljerad än instruktioner/rutinbeskrivningar

Question 10

Vad är instruktioner/rutinbeskrivningar?

Answer 10

• anger hur arbetet ska bedrivas på detaljnivå
• begränsat till specifik teknisk plattform eller lokala förhållanden
• t.ex.: hur och när man ska göra säkerhetskopior

Question 11

Vad bör en policy innehålla för att räknas som fullständig (checklista)?

Answer 11

• anger policyn ledningens viljeinriktning och stödjer informationssäkerhetsarbetet?
• visar policyn målet med samt omfattningen och vikten av informationssäkerhetsarbetet?
• har ledningen fastställt policyn?
• är ansvaret av informationssäkerhet definierat?
• står det klart och tydligt vem som äger policyn?
• är det beskrivet hur policyn ska underhållas?
• finns det en definition av informationssäkerhetsbegreppet?
• är policyn spridd i organisationen och finns det rutiner för detta?

Question 12

Vad ska en policy innehålla enligt ISO27001?

Answer 12

• Definition av informationssäkerhet
• Strategiska mål med informationssäkerhet
• Principer för informationssäkerhetsarbetet
• Ansvar och roller för informationssäkerhetsarbetet
• Hantering av avvikelser och undantag

Question 13

Vad är informationssäkerhet?

Answer 13

• De åtgärder som vidtas för att hindra att information läcker ut, förvanskas eller förstörs och för att informationen ska vara tillgänglig när den behövs.
• För en organisation kan det handla om att:
  – skydda information mot en uppsättning hot för att säkerställa verksamhetens kontinuitet (exempelvis genom att säkerställa tillgång till källkod till verksamhetskritisk programvara)
  – minimera verksamhetsrisken
  – maximera avkastningen på investeringar och affärsmöjligheter.
• Informationen som ska skyddas kan vara tryckt på papper, vara lagrad elektroniskt, överföras med post eller med elektroniska hjälpmedel, visas på film eller yttras i en konversation.
• Möjliga säkerhetsåtgärder är att införa en viss policy, rutin, process, organisationsstruktur eller olika mjuk- och hårdvarufunktioner.
• Säkerhetsarbetet kan också innefatta att utforma, införa, övervaka, granska och förbättra dessa åtgärder för att säkerställa att organisationens säkerhets- och verksamhetsmål uppnås.

Question 14

Varför ska man följa en standard?

Answer 14

● Ger förtroende
● Systematiskt arbetssätt
● Beprövat

Question 15

Vad ingår i ett systematiskt arbetssätt?

Answer 15

->Plan->Do->Check->Act->

Question 16

Nämn några exempel på standarder inom informationssäkerhet

Answer 16

• ISO 2700-serien
• NIST
• SOC2
• PCI-DSS

Question 17

Varför ska man följa en standard?

Answer 17

• ger förtroende
• systematiskt arbetssätt
• beprövat

Question 18

Vad ingår i omvärldsanalys?

Answer 18

• externa intressenter
• externa förutsättningar
• rättsliga krav

Question 19

Vad ingår i verksamhetsanalys?

Answer 19

• interna intressenter
• interna förutsättningar
• informationstillgångar

Question 20

Vilka punkter ingår i riskanalys?

Answer 20

• händelse
• sannolikhet
• konsekvens

Question 21

När ska en riskanalys göras?

Answer 21

• organisationsförändringar
• inköp av nya system
• outsourcing
• nya rutiner

Question 22

Hur kan man hantera risker?

Answer 22

• minimera
• acceptera

Question 23

Vad är resultatet av riskanalyser?

Answer 23

• dokumenterad lista över risker
• tillhörande riskbedömning
• vem som är ansvarig för risken
• kan vara skyddsvärd information!

Question 24

Vad är en gapanalys?

Answer 24

• skillnaden mellan den nivå man vill uppnå och faktiska nivån vid analystillfället

Question 25

Vad ingår i CISO-rollen?

Answer 25

• analysera omvärlden och den egna organisationen
• utveckla informationssäkerhetsområdet
• stödja den egna organisationen
• kontrollera och följa upp informationssäkerheten internt

Question 26

Vilka mandat har CISO:n?

Answer 26

• kravställa vid utvecklingsprojekt
• bedriva tillsyn att styrdokument efterlevs
• rapportera interna brister i efterlevnaden av styrdokument
• godkänna vid eventuella undantag från styrdokument
• godkänna specifika informationssäkerhetslösningar
• stoppa aktiviteter som strider mot styrdokument

Question 27

Vad är SMARTa mål?

Answer 27

• Specifikt
• Mätbart
• Accepterat
• Realistiskt
• Tidsatt

Question 28

Vad bör man tänka på angående informationssäkerhetsmål?

Answer 28

• kortsiktigt och långsiktigt (startegiskt)
• effektmål och resultatmål
• undvik uppdateringar av målen
• inte alltid mätbara

Question 29

Vad ska ingå i en handlingsplan?

Answer 29

• konkreta aktiviteter
• ska kopplas till mål
• målen ska kopplas till strategin
• bör följas upp årligen

Question 30

Var bör de olika mål finnas?

Answer 30

• strategiska mål i policyn
• årliga mål i handlingsplanen
• informationssäkerhetsmål i en målgraf

Question 31

Vad är styrdokument och vad innehåller de?

Answer 31

• beslutande dokument
• reglerar organisationens infosäksrelaterade aktiviteter:
  — var
  — hur
  — när
  — av vem
• innehåller både obligatoriska och rekommenderade krav
• viktigaste hörnstenarna i lyckat infosäkarbete
• reglerar på olika nivåer
• har en tydlig avsändare och målgrupp
• bör tydlig bevakas och följas upp

Question 32

Vad är kontinuitetsplanering?

Answer 32

• planera för att upprätthålla verksamhet på en tolerabel nivå oavsett vilken störning den utsätts för

Question 33

Varför har man en kontinuitetsplan?

Answer 33

• snabbare återhämtning
• mildare konsekvenser
• förhindra att värden gå förlorade

Question 34

Vad ingår i incidenthantering?

Answer 34

• säkerställa att säkerhetsincidenter upptäcks och identifieras
• utbilda användare om riskerna som kann innebära en incident
• ta hand om incidenter på bästa möjliga sätt
• minimera risken och sannolikheten för framtida incidenter
• förbättra säkerhetskontroller

Question 35

Vad är en klassningsmodell (förenklad)?

Answer 35

• värdera informationstillgånger
• består av IT-system, Infrastruktur, Fysiska tillgånger, Informationen

Question 36

Vad ska en klassnigsmodell innehålla?

Answer 36

• matris som inkludera CIA/KRT
• beskrivning av de olika klasserna
• koppling mellan klasser och skyddsnivå

Question 37

Hur går klassningen till?

Answer 37

• definiera klassningsobjektens information
• klassa information
• få fram en bruttolista på åtgärder
• utför kompletterande riskanalyser
• fastställ nettolista

Question 38

Hur går stegat Utbilda & kommunicera till?

Answer 38

• öka medvetenheten
• ska ske kontinuerligt
• formellt och planerat
• informellt & spontant

Question 39

Vilka exempel finns det på utbildning?

Answer 39

• utbildningar
• kampanjer
• nyhetsbrev
• deltagande
• sida på intranät