Föreläsning 2 Flashcards
Vad är en standard?
”dokument, upprättat i konsensus och fastställt av erkänt organ, som för allmän
och upprepad användning ger regler, riktlinjer eller kännetecken för aktiviteter eller
deras resultat, i syfte att nå största möjliga reda i ett visst sammanhang.” –
Svenska Institutet för Standarder (SIS)
”En standard är en gemensam lösning på ett återkommande problem. Syftet med
standarder är att skapa enhetliga och transparenta rutiner som vi kan enas kring.
Det ligger ju i allas intresse att höja kvaliteten, undvika missförstånd och slippa
uppfinna hjulet på nytt varje gång.” – Svenska Institutet för Standarder (SIS)
Varför ska vi följa en standard?
✓Undvika fallgropar
✓Allmänt beprövade metoder
✓Uppfylla en viss kravnivå
✓Förbättra samverkan mellan organisationer
✓Gemensamt språk
Vad är skillnad mellan lag och standard
● Standarder är sådana som är frivilliga
● En lag kan dock påvisa att en standard måste följas
Vad är MSB och vad har de gjort? (kopplat till informationssäkerhet)
statlig myndighet med uppgift att utveckla samhällets förmåga att
förebygga och hantera olyckor och kriser
Införde en föreskrift relaterad till informationssäkerhetsstandarder i ISO
27000 Serien
Vad innebär MSB:s föreskrift ISO 27000 serien?
- upprätta en informationssäkerhetspolicy
- utse någon som leder och samordnar arbetet
- klassificera informationen
- genomföra risk- och sårbarhetsanalyser och avgöra hur riskerna ska hanteras
- dokumentera arbetet (MSB.se)
Vad är GDPR?
GDPR är ett nytt regelverk som tog över efter PUL (personuppgiftslagen) och trädde i kraft
den 25 maj 2018. Regelverket gäller i alla EUs medlemsstater. GDPR är till för bland annat:
Att stärka enskilda personers rättigheter för hur företag, myndigheter, och
organisationer får samla in samt använda deras personuppgifter.
● GDRP särskiljer inte på strukturerad och ostrukturerad data (ex worddokument - ren
text och Excel - strukturerad i tabellform).
● Strängare krav på att företag och andra organisationer ska informera hur de hanterar
personuppgifter.
Nämn några etiska saker vid hantering av data:
● Även om viss data är laglig att spara kan det ändå anses oetiskt att lagra denna.
● En tumregel: Lagra inte mer data än nödvändigt
● Kulturella skillnader kan vara en påverkande faktor till vad som anses som etiskt.
● Ofta handlar det om integritet kontra nytta, vilket väger tyngst?
Vad är ett ledningssystem?
Ett ledningssystem är en organisations mål samt hur arbetet ska styras för att uppnå dessa
mål. Detta innefattar:
● Policys
● Rutiner
● Kontinuerligt förbättringsarbete
Nämn några fördelar med standarder för informationssäkerhet:
● Skapar förutsättningar för förbättrad informationssäkerhet
● Man arbetar med informationssäkerhet enligt beprövade metoder (som man vet
fungerar)
● Om man jobbar efter standarder, jobbar man på ett strukturerat sätt
● Uppnå allmänt accepterade krav
● Gemensamt språk för informationssäkerhet
Vad innebär en certifiering?
- Kontroll av efterlevnad av standard.
- Ett speciellt (externt) certifieringsorgan kan kontrollera att en viss
standard efterlevs av en organisation/produkt/ledningssystem eller
person. - Vid efterlevnad av standard erhålls en certifiering
Vad är certifiering bra för?
✓Utvecklingen går mot krav på certifiering inom många områden
✓Bra marknadsföring (ser bra ut utåt)
✓En slags kvalitetsstämpel
✓Bevis för ditt företag och externa aktörer att du följer konstens alla regler
Nämn några olika ramverk för informationssäkerhet:
ISO/EIC 27000 Serien - Internationell standard för
informationssäkerhetshantering
NIST SP 800 Serien - Riktlinjer och
referensmaterial för informationssäkerhet
Standard of Good Practice - Affärsinriktad, riskhantering, hjälper även att följa andra ramverk
Control Objectives for Information and related technologies (COBIT) - Ramverk för IT-styrning,
affärsinriktad, brett, även ramverk för infosäkerhet
Information Technology Infrastructure Library (ITIL) -
En samling principer för hantering av IT-tjänster
