Planering för IT-säkerhet Flashcards
Vad innebär begreppet “mission”?
- Organisationens övergripande kärnuppgift; vad vill vi göra?
- Långtgående (10+ år), abstrakt, utgår ifrån dagsläget
Vad innebär begreppet “vision”?
- Vad vill organisationen uppnå på sikt?
- Långtgående (ca 10 år), abstrakt, var ska vi vara i framtiden?
Vad innebär begreppet strategi?
- Hur ska organisationen uppnå sin vision, hur ska vi göra det?
- Fortsättningsvis långtgående och abstrakt
Beskriv strategisk planering
- Högnivå och långsiktig plan för organisationen
- Innehåller definierade mål
- Strategin “rullar ner” till avdelningar, funktioner och processer
- Strategin är ledningens ansvar
- Lång tidshorisont, 5-10 år, revideras med långa mellanrum
Beskriv taktisk planering
- Strategiska planen omsätts till en taktisk plan
- Klara, tydliga och mätbara mål
- Kortsiktigare, 1-2 år
- Revideras oftare än strategiska planen
Beskriv operativ planering
Innefattar de dagliga aktiviteterna
Vad är de 4 huvudsakliga komponenterna inom ledning av informationssäkerhet (LIS)?
- Behovsanalys
- Reglering
- Stöd
- Uppföljning
Dessa 4 ger en informationssäkerhetsplan
Vad ingår i en behovsanalys?
- Analyser av verksamhet, omvärld, hot/risker, GAP-analyser, kostnadsanalyser etc.
- Viktigt att analysen är aktuell, bör göras återkommande
Vad ingår inom begreppet reglering?
- Skapa styrdokument, framförallt policyer, riktlinjer, stöd, instruktioner
Vad ingår inom begreppet stöd?
- Metoder, vägledningar, utbildningar
Vad ingår i begreppet uppföljning?
Granskningar, revisioner, tester
Vad är ett styrdokument?
Ett dokument som styr hur organisationen hanterar informationssäkerhet. Det kan förekomma på många olika nivåer och med olika terminologi i olika standarder. I huvudsak innefattar det policy, riktlinjer och anvisningar/instruktioner
Vad är en informationssäkerhetspolicy?
Det är ledningens yttran för hur informationsäkerhet ska garanteras/skötas. Den utgår ifrån verksamhetens behov, författningar och lagar, samt en bedömning av hotbilder.
Informationssäkerhetspolicyn är övergripande, och ger därför inte några detaljerade anvisningar.
Ge två exempel på informationssäkerhetspolicys
- Strong password policy (alla anställda måste använda starka lösenord och lösenorden måste bytas med tre månaders mellanrum)
- Clean desk policy (konfidentiella dokument och flyttbara media får inte ligga kvar på anställdas arbetsbord efter arbetsdagensslut)
Vad kräver en effektiv och en juridisk bindande informationssäkerhetspolicy?
- Distrubition (gjort tillgänglig för alla)
- Granskning (alla förstår policyn)
- Förståelse (organsationen måste kunna visa att de anställda har förstått innehållet)
- Samtycke (De anställda har uppgett ett samtycke till policyn)
- Enhetlig tillämpning (organisationen måste kunna visa att policyn tillämpats lika på alla anställda)
Vad gör en riktlinje?
Specificerar hur en policy ska implementeras i praktiken; “Vad krävs för att uppfylla policyn?”
Vilka är de tre typer av informationssäkerhetspolicys enligt NIST?
- Allmän informationssäkerhetspolicy (General Information Security Policy, EISP/GISP)
- Specifik informationssäkerhetspolicy (Issue-specifik Security Policy, ISSP)
- Systemspecifik informationssäkerhetspolicy (System-Specific Security Policy, SysSP)
Vad innefattas av den Specifika informationssäkerhetspolicyn, ISSP
Regler som berör specifika tillgånger eller verktyg, t.ex:
- E-post
- Datoranvändning
- BYOD
- Kopierings- och skanningsutrustning
- Nätverkssäkerhet
- Virusskydd