Infosäk

Question 1

Vilka är de fyra delar som ingår i ett systematiskt informationssäkerhetsarbete?

Answer 1

Identifiera & analysera
Utforma
Använda
Följ upp & förbättra

Question 2

Vilka delar ingår i Identifiera & analysera?

Answer 2

Verksamhet
Omvärld
Risk
Gap

Question 3

Vilka delar ingår i Utforma?

Answer 3

Organisation
Mål
Styrdokument
Handlingsplan
Klassningsmodell

Question 4

Vilka delar ingår i Använda?

Answer 4

Utbildning & kommunikation
Klassa information
Genomföra & efterleva
Granska
Övervaka

Question 5

Vilka styrdokument kan det finnas?

Answer 5

Policy
Riktlinjer/föreskrifter
Anvisningar
Instruktioner/rutinbeskrivningar

Question 6

Vad är målet med policyn?

Answer 6

• uttrycker ledningens övergripande viljeinriktning
• ger auktoritet åt informationssäkerhetsarbetet
• kort, övergripande, lättförståelig

Question 7

Vad är föreskrifter?

Answer 7

• styrdokument under policyn som innehåller bindande regler
• ska-krav
• organisationsövergripande

Question 8

Vad är riktlinjer?

Answer 8

• styrdokument under policyn som även tillåter alternativa handlingssätt
• bör-krav
• organisationsövergripande

Question 9

Vad är Anvisningar?

Answer 9

• står emellan riktlinjer/föreskrifter och instruktioner/rutinbeskrivningar
• mer detaljerad än riktlinjer/föreskrifter
• mindre detaljerad än instruktioner/rutinbeskrivningar

Question 10

Vad är instruktioner/rutinbeskrivningar?

Answer 10

• anger hur arbetet ska bedrivas på detaljnivå
• begränsat till specifik teknisk plattform eller lokala förhållanden
• t.ex.: hur och när man ska göra säkerhetskopior

Question 11

Vad bör en policy innehålla för att räknas som fullständig (checklista)?

Answer 11

• anger policyn ledningens viljeinriktning och stödjer informationssäkerhetsarbetet?
• visar policyn målet med samt omfattningen och vikten av informationssäkerhetsarbetet?
• har ledningen fastställt policyn?
• är ansvaret av informationssäkerhet definierat?
• står det klart och tydligt vem som äger policyn?
• är det beskrivet hur policyn ska underhållas?
• finns det en definition av informationssäkerhetsbegreppet?
• är policyn spridd i organisationen och finns det rutiner för detta?

Question 12

Vad ska en policy innehålla enligt ISO27001?

Answer 12

• Definition av informationssäkerhet
• Strategiska mål med informationssäkerhet
• Principer för informationssäkerhetsarbetet
• Ansvar och roller för informationssäkerhetsarbetet
• Hantering av avvikelser och undantag

Question 13

Vad är informationssäkerhet?

Answer 13

• De åtgärder som vidtas för att hindra att information läcker ut, förvanskas eller förstörs och för att informationen ska vara tillgänglig när den behövs.
• För en organisation kan det handla om att:
  – skydda information mot en uppsättning hot för att säkerställa verksamhetens kontinuitet (exempelvis genom att säkerställa tillgång till källkod till verksamhetskritisk programvara)
  – minimera verksamhetsrisken
  – maximera avkastningen på investeringar och affärsmöjligheter.
• Informationen som ska skyddas kan vara tryckt på papper, vara lagrad elektroniskt, överföras med post eller med elektroniska hjälpmedel, visas på film eller yttras i en konversation.
• Möjliga säkerhetsåtgärder är att införa en viss policy, rutin, process, organisationsstruktur eller olika mjuk- och hårdvarufunktioner.
• Säkerhetsarbetet kan också innefatta att utforma, införa, övervaka, granska och förbättra dessa åtgärder för att säkerställa att organisationens säkerhets- och verksamhetsmål uppnås.

Question 14

Varför ska man följa en standard?

Answer 14

● Ger förtroende
● Systematiskt arbetssätt
● Beprövat

Question 15

Vad ingår i ett systematiskt arbetssätt?

Answer 15

->Plan->Do->Check->Act->

Question 16

Nämn några exempel på standarder inom informationssäkerhet

Answer 16

• ISO 2700-serien
• NIST
• SOC2
• PCI-DSS

Question 17

Varför ska man följa en standard?

Answer 17

• ger förtroende
• systematiskt arbetssätt
• beprövat

Question 18

Vad ingår i omvärldsanalys?

Answer 18

• externa intressenter
• externa förutsättningar
• rättsliga krav

Question 19

Vad ingår i verksamhetsanalys?

Answer 19

• interna intressenter
• interna förutsättningar
• informationstillgångar

Question 20

Vilka punkter ingår i riskanalys?

Answer 20

• händelse
• sannolikhet
• konsekvens

Question 21

När ska en riskanalys göras?

Answer 21

• organisationsförändringar
• inköp av nya system
• outsourcing
• nya rutiner

Question 22

Hur kan man hantera risker?

Answer 22

• minimera
• acceptera

Question 23

Vad är resultatet av riskanalyser?

Answer 23

• dokumenterad lista över risker
• tillhörande riskbedömning
• vem som är ansvarig för risken
• kan vara skyddsvärd information!

Question 24

Vad är en gapanalys?

Answer 24

• skillnaden mellan den nivå man vill uppnå och faktiska nivån vid analystillfället

Question 25

Vad ingår i CISO-rollen?

Answer 25

- analysera omvärlden och den egna organisationen - utveckla informationssäkerhetsområdet - stödja den egna organisationen - kontrollera och följa upp informationssäkerheten internt

Question 26

Vilka mandat har CISO:n?

Answer 26

- kravställa vid utvecklingsprojekt - bedriva tillsyn att styrdokument efterlevs - rapportera interna brister i efterlevnaden av styrdokument - godkänna vid eventuella undantag från styrdokument - godkänna specifika informationssäkerhetslösningar - stoppa aktiviteter som strider mot styrdokument

Question 27

Vad är SMARTa mål?

Answer 27

- Specifikt - Mätbart - Accepterat - Realistiskt - Tidsatt

Question 28

Vad bör man tänka på angående informationssäkerhetsmål?

Answer 28

- kortsiktigt och långsiktigt (startegiskt) - effektmål och resultatmål - undvik uppdateringar av målen - inte alltid mätbara

Question 29

Vad ska ingå i en handlingsplan?

Answer 29

- konkreta aktiviteter - ska kopplas till mål - målen ska kopplas till strategin - bör följas upp årligen

Question 30

Var bör de olika mål finnas?

Answer 30

- strategiska mål i policyn - årliga mål i handlingsplanen - informationssäkerhetsmål i en målgraf

Question 31

Vad är styrdokument och vad innehåller de?

Answer 31

- beslutande dokument - reglerar organisationens infosäksrelaterade aktiviteter: --- var --- hur --- när --- av vem - innehåller både obligatoriska och rekommenderade krav - viktigaste hörnstenarna i lyckat infosäkarbete - reglerar på olika nivåer - har en tydlig avsändare och målgrupp - bör tydlig bevakas och följas upp

Question 32

Vad är kontinuitetsplanering?

Answer 32

- planera för att upprätthålla verksamhet på en tolerabel nivå oavsett vilken störning den utsätts för

Question 33

Varför har man en kontinuitetsplan?

Answer 33

- snabbare återhämtning - mildare konsekvenser - förhindra att värden gå förlorade

Question 34

Vad ingår i incidenthantering?

Answer 34

- säkerställa att säkerhetsincidenter upptäcks och identifieras - utbilda användare om riskerna som kann innebära en incident - ta hand om incidenter på bästa möjliga sätt - minimera risken och sannolikheten för framtida incidenter - förbättra säkerhetskontroller

Question 35

Vad är en klassningsmodell (förenklad)?

Answer 35

- värdera informationstillgånger - består av IT-system, Infrastruktur, Fysiska tillgånger, Informationen

Question 36

Vad ska en klassnigsmodell innehålla?

Answer 36

- matris som inkludera CIA/KRT - beskrivning av de olika klasserna - koppling mellan klasser och skyddsnivå

Question 37

Hur går klassningen till?

Answer 37

- definiera klassningsobjektens information - klassa information - få fram en bruttolista på åtgärder - utför kompletterande riskanalyser - fastställ nettolista

Question 38

Hur går stegat Utbilda & kommunicera till?

Answer 38

- öka medvetenheten - ska ske kontinuerligt - formellt och planerat - informellt & spontant

Question 39

Vilka exempel finns det på utbildning?

Answer 39

- utbildningar - kampanjer - nyhetsbrev - deltagande - sida på intranät