Infosäk 1

Question 1

Vad är en riskanalys?

Answer 1

En riskanalys identifierar informationssäkerhets-risker och kan användas både verksamhetsövergripande eller för ett enskilt analysobjekt.

Question 2

Vad är en gapanalys?

Answer 2

Syftet med en gapanalys är att identifiera skillnaden (gapet) mellan den informationssäkerhets-nivå som behöver uppnås och den aktuella nivån.

Question 3

Vilka tre väsentliga delar ingår i en verksamhetsanalys?

Answer 3

• Interna intressenter
• Interna förutsättningar
• Informationstillgångar

Question 4

Vad innebär interna intressenter?

Answer 4

Personer eller enheter inom en organisation som påverkar eller påverkas av hur informationssäkerheten styrs.

Question 5

Vad innebär interna förutsättningar?

Answer 5

Förhållanden inom en organisation som man behöver ha i åtanke när man utformar informationssäkerheten och dess styrning.
T.ex var verksamheten bedrivs geografiskt, om verksamheten bedrivs på flera ställen eller verksamhetens ägarförhållanden

Question 6

Vad innebär informationstillgångar?

Answer 6

Den information som verksamheten hanterar och som därmed ska skyddas, inklusive de resurser som behandlar informationen (t.ex IT-system).

Question 7

Vilka tre väsentliga delar ingår i en omvärldsanalys?

Answer 7

• Externa intressenter
• Externa förutsättningar
• Rättsliga krav

Question 8

Vad innebär externa intressenter?

Answer 8

Personer, grupper eller organisationer utanför den egna organisationen som påverkar eller påverkas av organisationens informationssäkerhet.

Question 9

Vad innebär externa förutsättningar?

Answer 9

De förhållanden i organisationens omvärld, utöver externa intressenter och rättsliga krav, som man behöver tänka på när man utformar styrningen av informationssäkerhet.

Question 10

Ge 4 exempel på vad rättsliga krav kan innebära

Answer 10

Exempelvis:
- lagar
- förordningar
- myndigheters föreskrifter
- lokal kommunal reglering

Question 11

Beskriv begreppet informationssäkerhet kortfattat

Answer 11

Informationssäkerhet är de åtgärder som vidtas för att hindra att information läcker ut, modifieras felaktigt samt säkerställer att den är tillgänglig för behöriga parter.

Question 12

Vad består CIA/KRT-triaden av?
(CIA - engelska)
(KRT - svenska)

Answer 12

CIA:
- Confidentiality
- Integrity
- Avaiability

KRT:
- Konfidentialitet
- Riktighet
- Tillgänglighet

Question 13

Ange fyra exempel på administrativa informationssäkerhetsstandader

Answer 13

• ISO27001
• NIST
• SOC2
• PCI-DSS

Question 14

Vad är NIST?

Answer 14

• En organisation som drivs av USA:s handelsdepartement
• Är snarlik ISO27001

Question 15

Vad är SOC2?

Answer 15

• Står för ”System and Organization Controls”
• Säkerhetsåtgärder enligt CIA
• Främst för Saas och tredjepartsleverantörer

Question 16

Vad är PCI-DSS?

Answer 16

• Betalkortsstandard
• Säkerhetskontroller för att minska bedrägerier

Question 17

Varför bör man följa en standard?

Answer 17

• Ger förtroende
• Systematiskt arbetssätt
• Beprövat

Question 18

Ange 7 krav som ingår i ISO27001

Answer 18

1. Informationssäkerhet
2. Organisation för informationssäkerhet
3. Ledningen engagemang
4. Panering och styrning av informationssäkerhet
5. Riskhantering
6. Uppföljning
7. Ständiga förbättringar

Question 19

Beskriv i fyra steg hur man börjar implementera informationssäkerhetsarbete

Answer 19

• Identifiera och analysera
• Utforma
• Använda
• Följa upp och förbättra

Question 20

I vilka två kategorier kan rättsliga krav gällande informationssäkerhet delas in?

Answer 20

• Krav som gäller hur informationssäkerhetsarbetet ska utformas
• Krav på hur skydd för vissa typer av information ska utformas

Question 21

Vilka krav finns det på riskanalys för att upprätthålla ISO27001?

Answer 21

• Att informationssäkerhetsrelaterade risker analyseras
• Att riskanalysens resultat ligger till grund för val och utformning av säkerhetsåtgärder och det systematiska informationssäkerhetsarbetet

Question 22

Vilka tre väsentliga delar består en riskanalys av?

Answer 22

• Vad kan hända
• Hur sannolikt är det
• Vad blir konsekvenserna

Question 22

Ange fyra exempel på eventuella konsekvenser i en riskanalys

Answer 22

• Ekonomisk förlust
• Personskada
• Miljöskada
• Minskat förtroende

Question 23

Vad för roll har en CISO?

Answer 23

• Chief information security officer
• Den högst ansvariga för informationssäkerhet inom ett företag

Question 24

Ge 5 exempel på intern dokumentation

Answer 24

- Organisationsbeskrivningar - Befattningsbeskrivningar - Styrdokument - Arbetsordning - Delegationsbeslut

Question 25

Ge fyra exempel på vad en CISO ansvarar för

Answer 25

- Analysera omvärlden och den egna organisationen - Att utveckla informationssäkerhetsområdet - Att stödja den egna organisationen - Att kontrollera och följa upp informationssäkerheten internt

Question 26

Vad är ett styrdokument kortfattat?

Answer 26

- Ett beslutande dokument - Reglerar organisationens infosäk-relaterade aktiviteter

Question 27

Vad är en informationssäkerhetspolicy kortfattat?

Answer 27

- Det mest centrala dokumentet - Beslutas av VD, styrelse, ledningsgrupp - Kan vara del av generell säkerhetspolicy

Question 28

Beskriv skillnaden på policy, riktlinjer och instruktioner kortfattat

Answer 28

- Policy - generellt - Riktlinjer - organisationsövergripande - Instruktioner - begränsade till specifik teknisk plattform eller lokala förhållanden

Question 29

Enligt ISO27001, vad ska en policy innehålla? Ange 5 punkter

Answer 29

1. Definition 2. Strategiska mål 3. Principer 4. Ansvar och roller 5. Hantering av avvikelser

Question 30

Vad är en kontinuitetsplan, kortfattat?

Answer 30

Kontinuitetshantering handlar om att planera för att upprätthålla sin verksamhet på en tolerabel nivå, oavsett vilken störning den utsätts för.

Question 31

Ange tre exempel på varför man bör ha en kontinuitetsplan

Answer 31

- Snabbare återhämtning - Mildra konsekvenserna - Förhindra att värden går förlorade

Question 32

Vad är strukturen för incidenthantering enligt ISO27035? Ange fyra punkter

Answer 32

1. Upptäck, rapportera och bedöm incidenten 2. Agera och behandla incidenten 3. Upptäck, bedöm och behandla incidentens sårbarheter 4. Kontinuerligt förbättra säkerheten och incidenthantering

Question 33

Vad är tre saker man behöver tänka på vid incidenthantering?

Answer 33

- Interna och externa intressenter - Följ rutinerna - Tänka på sekretesser

Question 34

Beskriv ett systematiskt arbetssätt inom informationssäkerhet med 4 punkter

Answer 34

1. Identifiera och analysera 2. Utforma 3. Använda 4. Följa upp och förbättra

Question 35

Vilka analysmetoder ingår i ""Identifiera och analysera"?

Answer 35

- Omvärldsanalys - Verksamhetsanalys - Riskanalys - Gapanalys

Question 36

Vad står beståndsdelen "utforma" av?

Answer 36

- Mål - Organisation - Styrdokument - Handlingsplan

Question 37

Vad består beståndsdelen "använda" av?

Answer 37

- Klassa information - Granskning - Övervakning - Utbildning av personal

Question 38

Vad består beståndsdelen "Följa upp och förbättra" av?

Answer 38

- Utvärdering - Ledningens genomgång - Åtgärdsplan

Question 39

I vilka situationer kan det vara lämpligt för en organisation att göra en riskanalys?

Answer 39

- Vid anskaffning av nya varor eller tjänster - I samband med andra riskanalyser - När drift ska läggas ut - Vid organisationsförändringar - Vid nya uppdrag/tjänster

Question 40

I en riskanalys är en riskmatris ett vanligt verktyg som består av två skalor. Vilka är dessa?

Answer 40

Sannolikhet och konsekvenser

Question 41

Det finns i huvudsak 4 olika sätt att riskhantera/riskbehandla. Vilka är dessa 4 sätt?

Answer 41

- Riskeliminering - Riskminimering - Risköverföring - Riskacceptans

Question 42

Vad är informationsklassning?

Answer 42

Det innebär att man på ett enhetligt sätt värderar organisationens information utifrån vilka konsekvenser ett otillräckligt skydd skulle kunna få.

Question 43

Säkerhetsåtgärder finns i olika former. Vad är några olika former av säkerhetsåtgärder?

Answer 43

Exempelvis: Organisatoriska, administrativa, fysiska och tekniska.

Question 44

Vad ska en handlingsplan innehålla?

Answer 44

Den ska innehålla detaljerad information om varje aktivitet, till exempel vem som är ansvarig för själva genomförandet, samt resurser och tidplan för aktiviteten.

Question 45

MSB har en checklista för vad en fullständig informationssäkerhetspolicy bör innehålla. Vad är de 8 punkterna i denna?

Answer 45

1. ledningens viljeinriktning och stöd för informationssäkerhetsarbetet 2. Visa målet, omfattningen och vikten av informationssäkerhet 3. Policy fastställd av ledning 4. Definierat ansvar för informationssäkerhet 5. Ägare av policyn 6. Beskrivning om hur policyn ska underhållas 7. Definition av informationssäkerhet 8. Spridning och rutiner för spridning av policy

Question 46

Vilka två komponenter används för att räkna ut risk?

Answer 46

Sannolikhet och konsekven­s.

Question 47

Vad är en informationssäkerhetincident?

Answer 47

En eller flera hän­delser som kan tänkas få allvarliga konsekvenser för verksamheten och hota informationssäkerheten.

Question 48

En populär målformulering är SMART. Vad står SMART för?

Answer 48

- Specifikt - Mätbart - Accepterat - Realistiskt - Tidsatt

Question 49

Vad fyller en handlingsplan för roll i informationssäkerhetsarbetet?

Answer 49

Handlingsplanen är ett viktigt instrument för att styra så att prioriterade behov leder till faktiska aktiviteter som genomförs och följs upp. Handlingsplanen bör innehålla konkreta aktiviteter kopplade till mål.

Question 50

Vad är en vanlig tidsrymd för kortsiktiga respektive strategiska informationssäkerhetsmål?

Answer 50

Kortsiktiga informationssäkerhetsmål (1–2 år) Strategiska informationssäkerhetsmål (3–5 år)

Question 51

Vem är det som beslutar om fastställandet av en informationssäkerhetspolicy?

Answer 51

Vanligtvis VD, styrelse eller ledningsgruppen.

Question 52

Vad är en kontinuitetsplan?

Answer 52

En kontinuitetsplan innehåller information som hjälper personalen att veta vad den ska göra vid en störning i en kritisk aktivitet eller resurs. Syftet är att kunna upprätthålla verksamheten på en tolerabel nivå och att kunna återställa resursen så fort som möjligt

Question 53

Vad är syftet med att ha en klassningsmodell?

Answer 53

Syftet är att värdera organisationens informationstillgångar. Dels bedöma om informationen är känslig och i så fall vilken skyddsnivå den bör ha