| | |||||||||||
| Valda säkerhetsåtgärder | Styrdokument 1 | Styrdokument 2 | Anteckningar | Status | Progress | Datum för nästa översyn | |||||
| Benämning | Beskrivning | Styrdokument | Förvaltas av | Målgrupp(-er) | Styrdokument | Förvaltas av | Målgrupp(-er) | ||||
| 5.1 Informationssäkerhetspolicy | Ett regelverk för informationssäkerhet, som inkluderar informationssäkerhetspolicyn, bör fastställas, godkännas av ledningen, publiceras och kommuniceras till medarbetare och relevanta externa parter. Regelverket (inklusive informationssäkerhetspolicyn) för informationssäkerhet bör granskas med planerade intervall, eller om betydande förändringar sker, för att säkerställa deras fortsatta lämplighet, riktighet och verkan. | Informationssäkerhetspolicy | CISO | Alla medarbetare, Externa aktörer | Riktlinjer för infosäk | CISO | CISO | Underliggande riktlinjer och instruktioner skapas till olika målgrupper | Välj | Välj | |
| 5.2 Roller och ansvar för informationssäkerhet | Allt ansvar för informationssäkerhet bör definieras och tilldelas. | Informationssäkerhetspolicy | Välj | Välj | Välj | ||||||
| 5.3 Uppdelning av arbetsuppgifter och ansvar | Ansvar och ansvarsområden som står i konflikt med varandra bör åtskiljas för att minska möjligheterna för obehörig eller oavsiktlig ändring eller missbruk av organisationens tillgångar. | Riktlinjer för infosäk | Välj | Välj | Välj | ||||||
| 5.4 Ledningens ansvar | Ledningen bör kräva att alla anställda och leverantörer tillämpar informationssäkerhetskrav i enlighet med för organisationen fastställda regler och rutiner. | Välj | Välj | Välj | Välj | ||||||
| 5.5 Kontakt med myndigheter | Lämpliga kontakter med relevanta myndigheter bör upprätthållas. | Riktlinjer för infosäk | Välj | Välj | Välj | ||||||
| 5.6 Kontakt med särskilda intressegrupper | Lämpliga kontakter med särskilda intressegrupper eller andra forum för säkerhetsspecialister och branschorganisationer bör upprätthållas. | Riktlinjer för infosäk | Välj | Välj | Välj | ||||||
| 5.7 Hotunderrättelser | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| 5.8 Informationssäkerhet i projektledning | Informationssäkerhet bör hanteras inom projektledning, oavsett typ av projekt. Krav som rör informationssäkerhet bör inkluderas i kraven för nya informationssystem eller förbättringar av befintliga informationssystem | Välj | Välj | Välj | Välj | ||||||
| 5.9 Inventering av information och andra relaterade tillgångar | Tillgångar som är relaterade till information och informationsbehandlingsresurser ska identifieras och en förteckning över dessa tillgångar ska upprättas och underhållas. Tillgångar som återfinns i sammanställningen ska tilldelas ägare. | Välj | Välj | Välj | Välj | ||||||
| 5.10 Tillåten användning av information och andra relaterade tillgångar | Regler för tillåten användning av information, och tillgångar som är relaterade till information och informationsbehandlingsresurser, ska identifieras, dokumenteras och införas. Rutiner för hantering av tillgångar ska utvecklas och införas i enlighet med modell för informationsklassning som antagits av organisationen | Välj | Välj | Välj | Välj | ||||||
| 5.11 Återlämnande av tillgångar | Alla anställda och externa användare ska återlämna alla organisationens tillgångar som de förfogar över då deras anställning, uppdrag eller avtal upphör. | Välj | Välj | Välj | Välj | ||||||
| 5.12 Informationsklassning | Information ska klassas i termer av rättsliga krav, värde, verksamhetsbetydelse och känslighet för obehörigt röjande eller modifiering. | Välj | Välj | Välj | Välj | ||||||
| 5.13 Märkning av information | En lämplig uppsättning rutiner för märkning av information ska utvecklas och införas i enlighet med den modell för informationsklassning som antagits av organisationen. | Välj | Välj | Välj | Välj | ||||||
| 5.14 Informationsöverföring | Formella regler, rutiner och säkerhetsåtgärder bör vara införda för att skydda överföring av information genom användning av alla typer av kommunikationsmedel Säker överföring av verksamhetsinformation mellan organisationen och externa parter bör vara reglerad i överenskommelser. Information som hanteras genom elektronisk meddelandehantering bör ha tillräckligt skydd | ||||||||||
| 5.15 Åtkomstkontroll | Regler för styrning av åtkomst ska upprättas, dokumenteras och vara föremål för uppföljning utifrån verksamhets- och informationssäkerhetskrav. Användare ska endast ges tillgång till nätverk och nätverkstjänster som de specifikt beviljats tillstånd för. | Välj | Välj | Välj | Välj | ||||||
| 5.16 Identitetshantering | En formell process för registrering och avregistrering av användare ska införas för att möjliggöra tilldelning av åtkomsträttigheter. | Välj | Välj | Välj | Välj | ||||||
| 5.17 Autentiseringsinformation | Tilldelningen av konfidentiell autentiseringsinformation ska styras genom en formell hanteringsprocess. Användare ska åläggas att följa organisationens arbetssätt vid användning av konfidentiell autentiseringsinformation. System för lösenordshantering ska vara interaktiva och ska säkerställa kvalitativa lösenord. | Välj | Välj | Välj | Välj | ||||||
| 5.18 Åtkomsträttigheter | En formell process för tilldelning av användaråtkomst ska införas för tilldelning och återkallande av åtkomsträttigheter för alla typer av användare till alla system och tjänster. Ägare av tillgångar ska med jämna mellanrum granska användarnas åtkomsträttigheter. Åtkomsträttigheterna för alla anställda, och externa användare, till information och informationsbehandlingsresurser ska tas bort vid avslutande av deras anställning, avtal eller uppdrag eller justeras vid förändringar. | Välj | Välj | Välj | Välj | ||||||
| 5.19 Informationssäkerhet i leverantörsrelationer | Informationssäkerhetskrav för att reducera riskerna förknippade med leverantörers åtkomst till organisationens tillgångar bör avtalas med leverantören och dokumenteras | Välj | Välj | Välj | Välj | ||||||
| 5.20 Hantering av informationssäkerhet inom leverantörsavtal | Alla relevanta informationssäkerhetskrav bör upprättas och avtalas med varje leverantör som kan tillgå, behandla, lagra, kommunicera eller som tillhandahåller infrastrukturkomponenter för organisationens information | Välj | Välj | Välj | Välj | ||||||
| 5.21 Hantering av informationssäkerhet i IKT-leveranskedjan | Avtal med leverantörer bör innehålla krav på att hantera informationssäkerhetsriskerna förknippade med försörjningskedjan för tjänster och produkter baserade på informations- och kommunikationsteknologi | Välj | Välj | Välj | Välj | ||||||
| 5.22 Övervakning, granskning och ändringshantering av leverantörstjänster | Organisationer bör regelbundet övervaka, granska och revidera leverantörers tjänsteleverans Ändringar av tillhandahållande av tjänster från leverantörer, inklusive underhåll och förbättring av befintlig informationssäkerhetspolicy med tillhörande regelverk och befintliga rutiner bör hanteras, med beaktande av informationens, systemens och processernas kritiska betydelse för verksamheten och riskerna ska omvärderas | Välj | Välj | Välj | Välj | ||||||
| 5.23 Informationssäkerhet för användning av molntjänster | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| 5.24 Planering och förberedelser för hantering av informationssäkerhetsincidenter | Ledningsansvar och rutiner bör fastställas för att säkerställa snabb, verkningsfull och korrekt hantering av informationssäkerhetsincidenter | Välj | Välj | Välj | Välj | ||||||
| 5.25 Bedömning av och beslut om informationssäkerhetshändelser | Informationssäkerhetshändelser bör bedömas och beslut bör fattas om de klassificeras som informationssäkerhetsincidenter | Välj | Välj | Välj | Välj | ||||||
| 5.26 Hantering av informationssäkerhetsincidenter | Informationssäkerhetsincidenter bör hanteras i enlighet med dokumenterade rutiner | Välj | Välj | Välj | Välj | ||||||
| 5.27 Att lära av informationssäkerhetsincidenter | Kunskaper baserade på analyser av hanterade informationssäkerhetsincidenter bör användas för att minska sannolikheten eller påverkan av framtida incidenter | Välj | Välj | Välj | Välj | ||||||
| 5.28 Insamling av bevis | Organisationen bör fastställa och tillämpa rutiner för identifiering, insamling, kopiering och bevarande av information som kan tjäna som bevis | Välj | Välj | Välj | Välj | ||||||
| 5.29 Informationssäkerhet vid störning | Organisationen bör fastställa sina krav på informationssäkerhet och kontinuitet för styrning av informationssäkerhet vid svåra situationer, exempelvis under en kris eller katastrof Organisationen bör fastställa, dokumentera, införa och upprätthålla processer, rutiner och säkerhetsåtgärder för att säkerställa den nivå av kontinuitet för informationssäkerhet som krävs vid en svår situation Organisationen bör verifiera de fastställda och införda säkerhetsåtgärderna för kontinuitet för informationssäkerhet med jämna mellanrum för att säkerställa att de är giltiga och verkningsfulla under störningar | Välj | Välj | Välj | Välj | ||||||
| 5.30 Kontinuitetsberedskap inom IKT | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| 5.31 Författningskrav och avtalskrav | Alla relevanta författningsenliga och avtalsmässiga krav samt organisationens tillvägagångssätt för att uppfylla dessa krav bör uttryckligen identifieras, dokumenteras och hållas uppdaterade för varje informationssystem och organisationen Kryptografiska säkerhetsåtgärder bör användas i enlighet med alla gällande avtal och författningar | Välj | Välj | Välj | Välj | ||||||
| 5.32 Immateriella rättigheter | Lämpliga rutiner bör införas för att säkerställa efterlevnad av författningsenliga och avtalsmässiga krav relaterade till immateriella rättigheter och användning av proprietära programprodukter | Välj | Välj | Välj | Välj | ||||||
| 5.33 Skydd av verksamhetsinformation | Dokumenterad information bör skyddas från förlust, förstörelse, förfalskning, obehörig åtkomst och otillåten utgivning i enlighet med författningsenliga, avtalsmässiga och verksamhetsmässiga krav | Välj | Välj | Välj | Välj | ||||||
| 5.34 Integritet och skydd av personuppgifter | I förekommande fall bör skydd av personlig integritet och personuppgifter säkerställas i enlighet med gällande författningar | Välj | Välj | Välj | Välj | ||||||
| 5.35 Oberoende granskning av informationssäkerhet | Organisationens tillvägagångssätt för att hantera informationssäkerhet och dess införande (d.v.s. mål,säkerhetsåtgärder, regler, processer och rutiner för informationssäkerhet) bör med jämna mellanrum eller när betydande förändringar sker genomgå oberoende granskning | Välj | Välj | Välj | Välj | ||||||
| 5.36 Efterlevnad av policyer, regler och standarder för informationssäkerhet | Högsta ledningen bör inom gällande ansvarsområden regelbundet granska efterlevnaden av informationssäkerhetspolicyn, gällande regler och riktlinjer, standarder och eventuella andra säkerhetskrav i förhållande till informationsbearbetning och rutiner Informationssystem bör granskas regelbundet avseende efterlevnad av organisationens informationssäkerhetspolicy, regler, riktlinjer och standarder | Välj | Välj | Välj | Välj | ||||||
| 5.37 Dokumenterade driftsrutiner | Driftsrutiner ska dokumenteras och göras tillgängliga för alla användare som behöver dem. | Välj | Välj | Välj | Välj | ||||||
| Valda säkerhetsåtgärder | Styrdokument 1 | Styrdokument 2 | Anteckningar | Status | Progress | Datum för nästa översyn | |||||
| Benämning | Beskrivning | Styrdokument | Förvaltas av | Målgrupp(-er) | Styrdokument | Förvaltas av | Målgrupp(-er) | ||||
| 6.1 Bakgrundskontroll | Bakgrundskontroll på alla sökande för anställning bör utföras i enlighet med relevanta författningar och etiska krav och bör stå i proportion till verksamhetskraven, klassificeringen av information som de ges behörighet till och de upplevda riskerna. | Välj | Välj | Välj | Välj | ||||||
| 6.2 Anställningsvillkor | Avtal med anställda och leverantörer bör ange deras och organisationens ansvar för informationssäkerhet. | Välj | Välj | Välj | Välj | ||||||
| 6.3 Medvetenhet och utbildning om informationssäkerhet | Alla organisationens anställda och, i förekommande fall, leverantörer ska erhålla lämplig utbildning och fortbildning för ökad medvetenhet, samt regelbundna uppdateringar vad gäller organisationens policy, regelverk och rutiner i den omfattning som är relevant för deras befattning. | Välj | Välj | Välj | Välj | ||||||
| 6.4 Disciplinär process | Det ska finnas en formell och kommunicerad disciplinär process för att vidta åtgärder mot anställda som har brutit mot gällande informationssäkerhetsregler. | Välj | Välj | Välj | Välj | ||||||
| 6.5 Ansvar efter upphörande eller ändring av anställning | Ansvar för informationssäkerhet och skyldigheter som förblir gällande efter avslut eller ändring av anställning ska definieras och kommuniceras till den anställde eller leverantören samt verkställas. | Välj | Välj | Välj | Välj | ||||||
| 6.6 Avtal om konfidentialitet eller sekretess | Krav på konfidentialitet eller förbindelser rörande konfidentialitet som återspeglar organisationens behov av skydd av information bör identifieras, regelbundet granskas och dokumenteras | Välj | Välj | Välj | Välj | ||||||
| 6.7 Distansarbete | Regler och stödjande säkerhetsåtgärder bör införas för att skydda information som nås, bearbetas eller lagras på distansarbetsplatser. | Välj | Välj | Välj | Välj | ||||||
| 6.8 Rapportering av informationssäkerhetshändelser | Informationssäkerhetshändelser bör rapporteras genom lämpliga rapporteringsvägar så snabbt som möjligt Anställda och leverantörer som använder organisationens informationssystem och -tjänster bör vara skyldiga att notera och rapportera alla observerade eller misstänkta svagheter gällande informationssäkerhet i system eller tjänster | Välj | Välj | Välj | Välj | ||||||
| LÄGG TILL EGNA ÅTGÄRDER HÄR VID BEHOV | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| LÄGG TILL EGNA ÅTGÄRDER HÄR VID BEHOV | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| LÄGG TILL EGNA ÅTGÄRDER HÄR VID BEHOV | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| LÄGG TILL EGNA ÅTGÄRDER HÄR VID BEHOV | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| LÄGG TILL EGNA ÅTGÄRDER HÄR VID BEHOV | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| LÄGG TILL EGNA ÅTGÄRDER HÄR VID BEHOV | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| LÄGG TILL EGNA ÅTGÄRDER HÄR VID BEHOV | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| LÄGG TILL EGNA ÅTGÄRDER HÄR VID BEHOV | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| LÄGG TILL EGNA ÅTGÄRDER HÄR VID BEHOV | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| LÄGG TILL EGNA ÅTGÄRDER HÄR VID BEHOV | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| LÄGG TILL EGNA ÅTGÄRDER HÄR VID BEHOV | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| LÄGG TILL EGNA ÅTGÄRDER HÄR VID BEHOV | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| LÄGG TILL EGNA ÅTGÄRDER HÄR VID BEHOV | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| Valda säkerhetsåtgärder | Styrdokument 1 | Styrdokument 2 | Anteckningar | Status | Progress | Datum för nästa översyn | |||||
| Benämning | Beskrivning | Styrdokument | Förvaltas av | Målgrupp(-er) | Styrdokument | Förvaltas av | Målgrupp(-er) | ||||
| 7.1 Fysiska skalskydd | Fysiska avgränsningar ska definieras och användas för att skydda områden som innehåller antingen känslig eller kritisk information och informationsbehandlingsresurser. | Välj | Välj | Välj | Välj | ||||||
| 7.2 Fysiskt tillträde | Säkra områden ska skyddas genom lämpliga säkerhetsåtgärder för att säkerställa att endast behörig personal får tillträde. Åtkomstpunkter såsom leverans- och lastningsområden och andra punkter där obehöriga personer kan komma in i lokalerna ska styras och om möjligt isoleras från informationsbehandlingsresurser för att undvika obehörig åtkomst. | Välj | Välj | Välj | Välj | ||||||
| 7.3 Säkerställande av kontor, rum och anläggningar | Fysisk säkerhet för kontor, rum och anläggningar ska utformas och tillämpas. | Välj | Välj | Välj | Välj | ||||||
| 7.4 Fysisk säkerhetsövervakning | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| 7.5 Skydd mot fysiska och miljörelaterade hot | Fysiskt skydd mot naturkatastrofer, illvilliga angrepp eller olyckor ska utformas och införas. | Välj | Välj | Välj | Välj | ||||||
| 7.6 Arbete i säkrade utrymmen | Rutiner för att arbeta i säkra utrymmen ska utformas och tillämpas. | Välj | Välj | Välj | Välj | ||||||
| 7.7 Rent skrivbord och tom skärm | En regel ska antas för rent skrivbord med avseende på papper och flyttbara lagringsmedia och en regel för tom skärm på informationsbehandlingsresurser ska antas. | Välj | Välj | Välj | Välj | ||||||
| 7.8 Placering och skydd av utrustning | Utrustning ska placeras och skyddas för att minska riskerna för miljörelaterade hot och faror och möjligheter för obehörig åtkoms | Välj | Välj | Välj | Välj | ||||||
| 7.9 Säkerhet för tillgångar utanför organisationens lokaler | Säkerhet ska tillämpas på tillgångar utanför organisationens lokaler med hänsyn tagen till de särskilda risker som är förknippade med att arbeta utanför organisationens lokaler. | Välj | Välj | Välj | Välj | ||||||
| 7.10 Lagringsmedier | Rutiner ska införas för hantering av flyttbara lagringsmedia i enlighet med modell för informationsklassning som antagits av organisationen. Lagringsmedia ska avvecklas på ett säkert sätt när det inte längre behövs med stöd av formella rutiner. Lagringsmedia som innehåller information ska skyddas mot obehörig åtkomst, missbruk eller förvanskning under transport. Utrustning, information eller program ska inte avlägsnas utanför organisationens lokaler utan tillstånd. | Välj | Välj | Välj | Välj | ||||||
| 7.11 Tekniska försörjningssystem | Utrustning ska skyddas från elavbrott och andra störningar som orsakas av fel i tekniska försörjningssystem. | Välj | Välj | Välj | Välj | ||||||
| 7.12 Kablagesäkerhet | Kablage för ström och telekommunikation för data eller stödjande informationstjänster ska skyddas från avlyssning, störningar och skada. | Välj | Välj | Välj | Välj | ||||||
| 7.13 Underhåll av utrustning | Utrustning ska underhållas korrekt för att säkerställa fortsatt tillgänglighet och riktighet. | Välj | Välj | Välj | Välj | ||||||
| 7.14 Säker avveckling eller återanvändning av utrustning | All utrustning som innehåller lagringsmedia ska granskas för att säkerställa att all känslig data och licensierade program har avlägsnats eller säkert överskrivits före kassering eller återanvändning. | Välj | Välj | Välj | Välj | ||||||
| LÄGG TILL EGNA ÅTGÄRDER HÄR VID BEHOV | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| LÄGG TILL EGNA ÅTGÄRDER HÄR VID BEHOV | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| LÄGG TILL EGNA ÅTGÄRDER HÄR VID BEHOV | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| LÄGG TILL EGNA ÅTGÄRDER HÄR VID BEHOV | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| LÄGG TILL EGNA ÅTGÄRDER HÄR VID BEHOV | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| LÄGG TILL EGNA ÅTGÄRDER HÄR VID BEHOV | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| LÄGG TILL EGNA ÅTGÄRDER HÄR VID BEHOV | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| LÄGG TILL EGNA ÅTGÄRDER HÄR VID BEHOV | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| LÄGG TILL EGNA ÅTGÄRDER HÄR VID BEHOV | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| Valda säkerhetsåtgärder | Styrdokument 1 | Styrdokument 2 | Anteckningar | Status | Progress | Datum för nästa översyn | |||||
| Benämning | Beskrivning | Styrdokument | Förvaltas av | Målgrupp(-er) | Styrdokument | Förvaltas av | Målgrupp(-er) | ||||
| 8.1 Användarklienter | Regler och stödjande säkerhetsåtgärder bör antas för att hantera de risker som användning av mobila enheter medför. Användare ska säkerställa att obevakad utrustning har lämpligt skydd. | Välj | Välj | Välj | Välj | ||||||
| 8.2 Privilegierade åtkomsträttigheter | Tilldelning och användning av privilegierade åtkomsträttigheter ska begränsas och styras. | Välj | Välj | Välj | Välj | ||||||
| 8.3 Begränsning av åtkomst till information | Tillgång till information och systemfunktioner ska begränsas i enlighet med regler för styrning av åtkomst. | Välj | Välj | Välj | Välj | ||||||
| 8.4 Tillgång till källkod | Tillgången till källkod för program ska begränsas. | Välj | Välj | Välj | Välj | ||||||
| 8.5 Säker autentisering | Där regler för styrning av åtkomst så kräver, ska tillgång till system och tillämpningar styras genom säkra inloggningsrutiner. | Välj | Välj | Välj | Välj | ||||||
| 8.6 Kapacitetshantering | Användningen av resurser ska övervakas samt justeras och prognoser av framtida kapacitetskrav ska göras för att säkerställa nödvändig systemprestanda. | Välj | Välj | Välj | Välj | ||||||
| 8.7 Skydd mot skadlig kod | Upptäckande, förebyggande och återställande säkerhetsåtgärder för att skydda mot skadlig kod ska införas i kombination med säkerställande av en lämplig nivå av medvetenhet hos användarna. | Välj | Välj | Välj | Välj | ||||||
| 8.8 Hantering av tekniska sårbarheter | Information om tekniska sårbarheter i de informationssystem som används bör erhållas i tid, organisationens exponering för sådana sårbarheter analyseras och lämpliga åtgärder vidtas för att behandla den tillhörande risken Informationssystem bör granskas regelbundet avseende efterlevnad av organisationens informationssäkerhetspolicy, regler, riktlinjer och standarder | Välj | Välj | Välj | Välj | ||||||
| 8.9 Konfigurationshantering | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| 8.10 Radering av information | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| 8.11 Datamaskning | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| 8.12 Förhindrande av dataläckage | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| 8.13 Säkerhetskopiering av information | Säkerhetskopior av information, program och speglingar av system ska tas och testas regelbundet i enlighet med en överenskomna regler för säkerhetskopiering. | Välj | Välj | Välj | Välj | ||||||
| 8.14 Redundans för informationsbehandlingsresurser | Informationsbehandlingsresurser bör vid införande ha tillräcklig redundans för att uppfylla krav på tillgänglighet | Välj | Välj | Välj | Välj | ||||||
| 8.15 Loggning | Händelseloggar som registrerar användaraktiviteter, avvikelser, fel och informationssäkerhetshändelser bör skapas, bevaras och granskas regelbundet Loggningsverktyg och logginformation bör skyddas mot manipulation och obehörig åtkomst Systemadministratörers och systemoperatörers aktiviteter bör loggas och loggarna bör skyddas och granskas regelbundet | Välj | Välj | Välj | Välj | ||||||
| 8.16 Övervakning | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| 8.17 Synkronisering av tid | Systemklockorna i alla relevanta informationsbehandlingssystem inom en organisation eller säkerhetsdomän bör synkroniseras mot en och samma referenskälla för tid | Välj | Välj | Välj | Välj | ||||||
| 8.18 Användning av privilegierade verktygsprogram | Användning av verktygsprogram som kan ha förmåga att kringgå säkerhetsåtgärder i system och tillämpningar ska begränsas och styras strikt. | Välj | Välj | Välj | Välj | ||||||
| 8.19 Installation av program på driftsatta system | Rutiner bör införas för att styra installation av program på driftsystem Regler för programinstallationer som utförs av användare bör upprättas och införas | Välj | Välj | Välj | Välj | ||||||
| 8.20 Nätverkssäkerhet | Nätverk bör hanteras och styras för att skydda information i system och tillämpningar | Välj | Välj | Välj | Välj | ||||||
| 8.21 Säkerhet i nätverkstjänster | Säkerhetsmekanismer, tjänstenivåer och ledningskrav vad gäller alla nätverkstjänster bör identifieras och inkluderas i avtal för nätverkstjänster, oavsett om dessa tjänster tillhandahålls internt eller som outsourcade tjänster | Välj | Välj | Välj | Välj | ||||||
| 8.22 Separation av nätverk | Grupper av informationstjänster, användare och informationssystem bör separeras i nätverk | Välj | Välj | Välj | Välj | ||||||
| 8.23 Webbfiltrering | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| 8.24 Användning av kryptering | Regler för användning av kryptografiska säkerhetsåtgärder för skydd av information ska utvecklas och införas. Regler för användning, skydd och giltighetstid för kryptografiska nycklar för deras hela livscykel ska utvecklas och införas. | Välj | Välj | Välj | Välj | ||||||
| 8.25 Säker utvecklingsnyckel | Regler för utveckling av program och system bör upprättas och tillämpas vid systemutveckling inom organisationen | Välj | Välj | Välj | Välj | ||||||
| 8.26 Säkerhetskrav för applikationer | Information i programtjänster på publika nätverk bör skyddas från bedräglig aktivitet, avtalstvist och obehörigt röjande och modifiering Information hanterad som del i programtjänsters transaktioner bör skyddas för att förhindra ofullständig överföring, felaktig styrning av nätverkstrafik, obehörig ändring av meddelanden, obehörigt röjande, obehörig duplicering av meddelanden eller återuppspelning | Välj | Välj | Välj | Välj | ||||||
| 8.27 Säker systemarkitektur och tekniska principer | Riktlinjer för utveckling av säkra system bör upprättas, dokumenteras, underhållas och tillämpas vid alla införanden av informationssystem | Välj | Välj | Välj | Välj | ||||||
| 8.28 Säker kodning | LÄGG TILL EGNA BESKRIVNINGAR HÄR VID BEHOV | Välj | Välj | Välj | Välj | ||||||
| 8.29 Säkerhetstestning i utveckling och acceptans | Säkerhetsfunktionalitet bör testas vid utveckling Program för acceptanstester och relaterade kriterier bör fastställas för nya informationssystem, uppgraderingar och nya versioner | Välj | Välj | Välj | Välj | ||||||
| 8.30 Utkontrakterad utveckling | Organisationen bör övervaka och styra outsoursad systemutveckling | Välj | Välj | Välj | Välj | ||||||
| 8.31 Separation av utvecklings-, test- och produktionsmiljöer | Utvecklings-, test- och driftmiljöer ska vara separerade för att minska risken för obehörig åtkomst eller ändringar i driftmiljön. För systemutvecklings- och integrationsåtgärder bör organisationen upprätta och på lämpligt sätt skydda säkra utvecklingsmiljöer som sträcker sig över systemets hela livscykel | Välj | Välj | Välj | Välj | ||||||
| 8.32 Ändringshantering | Förändringar i organisationen, verksamhetsprocesser eller informationsbehandlingsresurser och system som påverkar informationssäkerheten ska styras. Systemförändringar inom utvecklingscykeln bör styras genom användning av formella riktlinjer för ändringshantering Systemförändringar inom utvecklingscykeln bör styras genom användning av formella riktlinjer för ändringshantering Ändringar av programpaket bör förhindras eller begränsas till nödvändiga ändringar och alla ändringar bör styras noggrant | Välj | Välj | Välj | Välj | ||||||
| 8.33 Testinformation | Testdata bör noggrant väljas ut, skyddas och styras | Välj | Välj | Välj | Välj | ||||||
| 8.34 Skydd av informationssystem under revisionstestning | Revisionskrav och revisionsaktiviteter som omfattar verifiering av status på driftsystem bör planeras noggrant och godkännas för att minimera störningar i verksamhetsprocesser | Välj | Välj | Välj | Välj | ||||||
| Välj | Välj | Välj | Välj | ||||||||
| Välj | Välj | Välj | Välj | ||||||||
| Välj | Välj | Välj | Välj | ||||||||
| Välj | Välj | Välj | Välj | ||||||||
| Välj | Välj | Välj | Välj | ||||||||
| Välj | Välj | Välj | Välj | ||||||||
| Välj | Välj | Välj | Välj | ||||||||
| Välj | Välj | Välj | Välj | ||||||||
| Välj | Välj | Välj | Välj | ||||||||
| Detta ark används av Excel för att hämta uppgifter som används i de andra kalkylarken. Styrdokument och målgrupper anpassade till exempelraderna. Flera styrdokument och målgrupper kan behöva läggas till. | |||||||||||
| Titel styrdokument | Målgrupper | Status | Progress | ||||||||
| Välj | Välj | Välj | Välj | ||||||||
| Informationssäkerhetspolicy | Alla medarbetare | Ej påbörjad | ↑ | ||||||||
| Riktlinjer för infosäk | Objektägare | Klar 1-29% | → | ||||||||
| Riktlinjer för it | It-avdelningen | Klar 30-69% | ↓ | ||||||||
| Instruktion för anställning | CISO | Klar 70-100% | Nivå 4 | ||||||||
| Instruktion för fastighetsskötsel | Internrevision | Fastställd | Nivå 5 | ||||||||
| Instruktion för upphandling | HR - personal | ||||||||||
| Annant styrdokument 1 | Inköp | ||||||||||
| Annant styrdokument 2 | Externa aktörer | ||||||||||
| Annant styrdokument 3 | |||||||||||
| Annant styrdokument 4 |