Page 1

PROJEKT INFORMATIONSSÄKERHET 2012


4 § - TILLÄMPA LEDNINGSSYSTEM Organisationen skall: • upprätta, • införa, • driva, • övervaka, • granska, • underhålla och, • förbättra ett dokumenterat LIS inom ramen för organisationens totala verksamhet och de risker organisationen utsätts för. I denna standard (ISO 27001:2006) tillämpas en process som är baserad på PDCA-modellen. ”Ledningssystemet omfattar organisationsstruktur, policyer, planeringsaktiviteter, ansvar, praxis, rutiner, processer och resurser”


En kvalitetsprocess som ständigt ska utvärderas och anpassas till aktuella verksamhets- och omvärldskrav

Planera för införandet, samt genomföra införandet

Projekt

Process

A

C Att följa upp de införda säkerhetsåtgärderna Övervaka, och följa upp säkerhetsåtgärderna, samt genoföra genomgång med ledningen

Förbättra

T.ex. utforma processer för incidenthantering, eller behörighetsadministration, och styrdokument

Att införa de säkerhetsåtgärder som krävs för att uppnå kraven

Följa upp

Verksamhetsanalys, riskanalys, samt GAPanalys som baseras på ISO 27002.

D Att utforma säkerhetsåtgärder baserat på tidigare analysers resultat.

Införa

Att kartlägga Mittuniversitetets verksamhet

Utforma

Få insikt i vad ett LIS är, få stöd av ledningen, samt planera första delen av projektet att införa LIS.

Analysera

Förbereda

P Att förbereda arbetet med att införa LIS

Att utveckla LIS, och skyddet med hänsyn till uppföljningen T.ex. justera styrdokument och kommunicera förändringarna


4 § 1. POLICY & STYRANDE DOKUMENT • Säkerhetspolicy • Övriga dokument som krävs för en kontinuerlig ledning och styrning av MIUN:s informationssäkerhet, t.ex. beslut om ansvarsfördelning, riktlinjer för riskoch incidenthantering • Dokument som redan är fastställda • Dokument som skapas i ledningssystemet


4 § 2. UTSE PERSONER SOM LEDER OCH SAMORDNAR • Nu (2012): Projektledare, Carina Bengtsson • Sen: Processansvarig?


4 § 3. KLASSIFICERA INFORMATION • Klassificera information = att värdera information • …med utgångspunkt i konfidentialitet, riktighet, tillgänglighet och spårbarhet • ”Hur allvarig blir konsekvensen vid brist på konfidentialitet/riktighet/tillgänglighet/spårbarhet?”

• Syftet är att tillgångarna skall placeras i en lämplig skyddsnivå


4 § 3. KLASSIFICERA INFORMATION

VILKEN INFORMATION? Programvarutillgångar – – – –

Tillämpningsprogram Systemprogram Utvecklingsverktyg Stödprogram

Tjänster – Data och kommunikationssystem – Försörjningssystem – Ljus, elkraft och luftkonditionering

Immateriella – Rykte och profil

Fysiska tillgångar – Datorutrustning – Kommunikationsutrustning – Flyttbar datamedia och annan utrustning

Medarbetare – Kvalifikationer – Talanger – erfarenheter

Data/Information – – – – – – – – – – – –

Databaser Datafiler Avtal, överenskommelser Systemdokumentation Forskningsinformation Biologiska prover Användarmanualer Drift- och stödrutiner Kontinuitetsplaner Nödrutiner Revisionsspår Arkiverad information


4 § 4. RISKHANTERING & ÅTGÄRDER • Kontinuerligt analysera verksamhetens risker och sårbarheter • Riskanalyser, GAP-analyser och incidentrapporteringar ligger sedan till grund för de säkerhetsåtgärder som vidtas


4 § 5. DOKUMENTERA GRANSKNINGAR OCH SÄKERHETSÅTGÄRDER • T.ex. • Analyser • Internrevision, • Förbättringar och införande av omfattande säkerhetsåtgärder, • Statistik över incidenter


5 § LEDNINGENS ANSVAR FÖR INFORMATIONSSÄKERHETSARBETET • Ledningen har alltid det yttersta ansvaret • Löpande informera sig om arbetet • Minst en gång per år följa upp och utvärdera


RIKSREVISIONEN …gör granskningar av informationssäkerheten kopplat till FISK …använder MSB:s krav för att granska informationssäkerheten vid myndigheter ”För att påvisa en god intern styrning och kontroll förutsätts också en säker hantering av informationstillgångarna” Riksrevisionen


UPPDRAG • Starta upp arbete för att möjliggöra en fortsatt process • Förstudie: • Identifiera och klassificera information (ett urval) • Göra en grundlig GAP-analys för att kartlägga nuvarande skydd på de säkerhetsåtgärder MSB anser vara av störst vikt • Redogöra för hur man skulle kunna införa ett LIS på Mittuniversitetet


GAP • Resultatet visar en sammanfattning av universitetets nuvarande informationssäkerhetsnivå • Vilka säkerhetsåtgärder är införda? • Hur står sig de i förhållande till standardernas norm?

• Utgår ifrån krav i ISO 27001 och ISO 27002 • MSB:s checklista för GAP-analys • 55 av de 133 stycken säkerhetsåtgärderna som kan mätas, anses vara nödvändiga att ha implementerade för att hålla en basnivå på sin informationssäkerhet


PROJEKT  PROCESS • Att arbeta med informationssäkerhet är en löpande process, och inget som bara görs en gång • Därför kommer fokus i förarbetet att ligga på att skapa en grund för ett fortsatt arbete enligt MSB:s krav • Fokus kommer också att ligga på att skapa möjlighet att föra in denna process i befintligt ledningssystem

Presentation av projektet informationssäkerhet  

Presentation av projektet informationssäkerhet på Mittniversitetet

Read more
Read more
Similar to
Popular now
Just for you