Styring og ledelse Flashcards
Hva er ansvarsområdet for toppledelsen?
Foretaksstyring
- Definere strategiske målsetninger
- Vurdere i hvilken grad målsetninger oppnåes
- Sette krav til, og vurdere håndtering av risiko
- Sørge for at virksomheten forvaltes på lovlig og etisk måte
Hva er styring av informasjonssikkerhet?
Toppen av hierarkiet
Å definere strategiske målsetninger, sørge for at disse blir oppnådd, styre sikkerhetsrisiko, påse at ledelsessytem for informasjonssikkhet fungerer hensiktmessig.
Hvordan oversette NSM:
- IS Management
- IS Governance
- Styring av informasjonssikkerhet
- Ledelse av informasjonssikkerhet
- Som er inkonsistent med blandt annet ISACA sin definisjon.
Hvilken mål definerer ISACA for styring av informasjonssikkerhet?
- Strategisk tilpasning av sikkerhetsprogrammet.
- Risikohåndtering.
- Verdiskapning.
- Ressursbruk.
- Målbarhet.
- Integrering av sikkerhetsområder.
Hvem er ansvarlig (plikt) og må stå til regnskap for informasjonssikkerhet?
Toppledelsen har både ansvar og står til regnskap for infromasjonssikkehet.
- Styret, Adm.Dir., CSO, CISO, CIO
Kan man delegere ansvar for informasjonssikkerhet?
Man kan delegere ansvar i form av oppgaver, men en kan ikke delegere ansvar i form av regnskapelighet for informasjonssikkerhet (toppledelsen står til regnskap).
Hva er ISO 27001?
Standard for ISMS - Information Security Management System
Beskriver organisering av sikkerhetsarbeid, hvordan man skal lede implementeringen av sikkerhetstiltak.
Spesifiserer krav til etablering, implementering, vedlikehold, og kontinuerlig forbedring av ledelsessystem for informasjonssikkerhet (ISMS).
- En kan sertifisere seg etter ISO 27001
Hva er ISO 27002?
Standard for Information Security Controls
- En tiltaksbank, oversikt over anbefalte sikkerhetstiltak.
Definerer et sett med styringsmålsettinger og tiltak for informasjonssikkerhet.
- En kan ikke sertifisere seg etter ISO 27002
Hva er historien bak ISO 27001 og 27002?
ISO 27002 ble egentlig publisert før 27001, men i 2005 så bytte de rekkefølge - fordi de viktigste var å ha god organisering av sikkerhetsarbeidet.
Hva er NSM sin Grunnprinsipper for IKT-sikkerhet?
En forenkling av ISO 27002, altså tiltaker for informasjonssikkerhet.
- Lignende tilnærming som NIST sin Cyber Security Framework