LIS
Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2
LIS
Ledningssystem för informationssäkerhet (LIS)
Informationssäkerhet Informationssäkerhet Informationssäkerhet
LIS
Administrativ Administrativ säkerhet säkerhet
IT-säkerhet IT-säkerhet
ADB-säkerhet ADB-säkerhet
Kommunikationssäkerhet Kommunikationssäkerhet
Vad är informationssäkerhet?
LIS
Tillgänglighet
Vad är informationssäkerhet?
LIS
Riktighet
Vad är informationssäkerhet?
Sekretess
LIS
Varför är det viktigt? ”15 000 sjukhusjournaler försvunna vid datorhaveri”
”30 000 lösenord till Internetkonton frisläppta på Internet”
LIS
”25 personer på utvecklingsavdelningen hoppade av till konkurrent”
Vad är ledningssystem? Ett system för att på ett strukturerat och systematiskt sätt styra informationssäkerhetsarbetet i verksamheten
LIS
Skapa ett ledningssystem
LIS
Steg 1
Skriv ett policydokument
Steg 2
Skapa en säkerhetsorganisation
Steg 3
Gör en riskbedömning
Skapa ett ledningssystem Steg 4
Steg 5
LIS
Styr säkerheten
Gör en kontinuitetsplan
Steg 6
Utbilda personalen
Steg 7
Kontrollera efterlevnaden
Policy
LIS
✔ Ange inriktning ✔ Visa engagemang
Säkerhetspolicy ✔ Definition av informationssäkerhet ✔ Ledningens uttalande rörande informationssäkerhet ✔ Förklaring av speciella riktlinjer, principer, standarder och legala krav ✔ Ansvarsfördelning ✔ Incidenthantering LIS
Säkerhetsorganisation ✔ Säkerhetsforum ✔ Ansvarsfördelning ✔ Oberoende kontroll
LIS
Ansvar och befogenheter ✔ Verksamhetsledning ✔ Verksamhetsansvariga chefer ✔ Informationssäkerhetschef — verksamhetsledningens representant ✔ Användare
LIS
Säkerhetsorganisation — extern part Säkerställa säkerheten i informationssystem som extern part har tillgång till
LIS
Riskhantering Hög påverkan
Flytta
Undvik
Sällan
Ofta Acceptera
Minska
Låg påverkan LIS
Säkerhetsnivå
Kostnader LIS
Risker
Klassificering och kontroll av tillgångar
✔ Register över tillgångar, t.ex. information, program och fysiska tillgångar ✔ Informationsklassificering LIS
Fysisk säkerhet ✔ Skalskydd ●
fysisk säkerhet såsom lås och passerkontroll
✔ Skydd av utrustning ●
LIS
elförsörjning, kablage, kassation och mobil utrustning
Systemdrift och kommunikation ✔ Dokumentera drifthandledning ✔ Systemplanering ✔ Skydd mot skadliga program ✔ Databackup, loggning ✔ Nätverksadministration ✔ Mediahantering ✔ Utbyte av data och program LIS
Åtkomstkontroll ✔ Verksamhetens krav på systemåtkomst, t.ex. en policy för åtkomstkontroll ✔ Administration av användarens åtkomst ✔ Användaransvar ✔ Åtkomst till nätverk ✔ Åtkomst till system ✔ Åtkomst till data ✔ Åtkomst till tillämpningar ✔ Övervakning av systemanvändning
LIS
Systemutveckling och underhåll ✔ Systemsäkerhetskrav ✔ Säkerhet i tillämpningssystem ✔ Säkerhet rörande systemfiler i tillämpningar ✔ Säkerhet i utvecklings- och underhållsmiljöer
LIS
Avbrottsplanering ✔ Process ✔ Planer ✔ Testning ✔ Uppdatering
LIS
Personal och säkerhet Säkerhet och arbetsbeskrivning Säkerhet vid rekrytering Sekretessförbindelse Användarutbildning Incidenthantering
LIS
Efterlevnad ✔ Överensstämmelse med lagkrav ✔ Säkerhetskontroll av informationssystem ✔ Kontroll av systemloggar
LIS
Standardens uppbyggnad Standarder med riktlinjer SS ISO/IEC 17799 del 1 Riktlinjer
Översikt för ledningsnivå
SS 627799-2 Specifikation
Index för underliggande nivå - webb med länkar
LIS
Standarder för certifiering
Underliggande standarder
Riktlinjer för certifiering
Certifiering ✔ Oberoende bedömning av säkerhetsnivå ✔ Ständig förbättring
LIS
Vägen till certifiering Förstudie Förgranskning Certifieringsrevision i två steg
Uppföljning
LIS
Harmonisering med andra ledningssystem Informationssäkerhet Miljö
ISO 14000
Kvalitet
ISO 9000
Ekonomi
LIS
SS ISO/IEC 17799 och SS 62 77 99-2
Mer information Bengt Rydstedt SIS, Swedish Standards Institute Tel: 08-555 520 28 E-post:
[email protected] Webbplats: www.sis.se/projekt/lis
LIS