(mognad)
(mognad)
(mognad)
(mognad)
(mognad)
(av svarade frågor)
(mognad)
(mognad)
(mognad)
(mognad)
(mognad)
(av svarade frågor)
| Instruktioner för ifyllande: |
| 1. Under fliken "Scorecard", fyll i önskat minimivärde. Bör vara minst 3. Ändra inget annat under fliken än minimivärdet. |
| 2. Börja arbeta med fliken "Frågor" för att kontrollera kommunens efterlevnad gentemot ISO 27001/27002. |
| - Bedöm om kontrollen är tillämpbar eller ej. Om den ej är tillämpbar kan man ange varför i kolumnen "Orsak". Detta är valfritt. |
| - Bedöm nuläget (1-5) för alla tillämpbara kontroller. Om man vill hänvisa till något dokument eller bevis för kontrollen kan man göra detta i kolumnen "Hänvisning". Detta är valfritt. |
| - Gör en bedömning av verksamhetsbetydelsen (1-5) för respektive kontroll. |
| - I kolumnen "Övrigt" kan ytterligare information skrivas in. Detta är valfritt. |
| 3. De olika gula flikarna är diagram som visar efterlevnaden baserat på vad som fyllts i. Diagrammen kan användas i rapporter och presentationer efter behov. |
| 4. När bedömningen av nuläget görs gäller följande statusnivåer som vägledning (hämtade från metodstödet). |
| - 1 = "Ej påbörjad" |
| - 2 = "Klar 1-29%" |
| - 3 = "Klar 30-69%" |
| - 4 = "Klar 70-100%" |
| - 5 = "Fastställd" |
| Gapanalys 27002:2022 | |||||||||
| Frågor | Bedömning av tillämplighet | Bedömning av nuläget | Bedömning av verksamhetsbetydelse | Förbättringsförslag/Övrigt | |||||
| # | Rubrik | Säkerhetsåtgärd | Tillämpbart | Ej tillämpbart | Orsak | Ej påbörjad = 1 Klar 1-29% = 2 Klar 30-69% = 3 Klar 70-100% = 4 Fastställd = 5 | Hänvisning | Liten betydelse =1 Avgörande betydelse = 5 | Kommentar |
| 5 | Organisatoriska säkerhetsåtgärder | ||||||||
| 5.1 | Policyer för informationssäkerhet | Informationssäkerhetspolicy och ämnesspecifika policyer ska fastställas, godkännas av ledningen, publiceras, kommuniceras till och accepteras av berörd personal och berörda intressenter, samt ses över vid planerade intervall och om betydande ändringar sker. Svensk nationell anmärkning: Termen ämnesspecifik policy är ovanlig i svenskt ordbruk. I dokumentet avses ett regeldokument hierarkiskt underliggande informationssäkerhetspolicyn, såsom en riktlinje, eninstruktion, en rutin, eller liknande. | |||||||
| 5.2 | Roller och ansvar för informationssäkerhet | Roller och ansvar för informationssäkerhet ska fastställas och tilldelas utifrån organisationens behov. | |||||||
| 5.3 | Uppdelning av arbetsuppgifter och ansvar | Arbetsuppgifter och ansvarsområden som står i konflikt med varandra ska åtskiljas. | |||||||
| 5.4 | Ledningens ansvar | Ledningen ska ställa krav på att informationssäkerhet ska tillämpas av all personal i enlighet med organisationens fastställda informationssäkerhetspolicy, ämnesspecifika policyer och rutiner. | |||||||
| 5.5 | Kontakt med myndigheter | Organisationen ska upprätta och upprätthålla kontakter med relevanta myndigheter. | |||||||
| 5.6 | Kontakt med särskilda intressegrupper | Organisationen ska upprätta och upprätthålla kontakter med särskilda intressegrupper eller andra forum för säkerhetsspecialister och branschorganisationer. | |||||||
| 5.7 | Hotunderrättelser | Uppgifter om informationssäkerhetshot ska samlas in och analyseras för att ta fram hotunderrättelser. | |||||||
| 5.8 | Informationssäkerhet i projektledning | Informationssäkerhet ska integreras i projektledningen. | |||||||
| 5.9 | Förteckning över information och andra relaterade tillgångar | En förteckning över information och andra relaterade tillgångar, inklusive ägare, ska utarbetas och upprätthållas. | |||||||
| 5.10 | Tillåten användning av information och andra relaterade tillgångar | Regler för tillåten användning och rutiner för hantering av information och andra relaterade tillgångar ska identifieras, dokumenteras och tillämpas. | |||||||
| 5.11 | Återlämnande av tillgångar | Personal och andra intressenter ska utifrån vad som är lämpligt lämna tillbaka alla organisationstillgångar som de förfogar över då deras anställning, uppdrag eller avtal ändras eller upphör. | |||||||
| 5.12 | Informationsklassning | Information ska klassas i enlighet med organisationens informationssäkerhetsbehov, baserat på konfidentialitet, riktighet, tillgänglighet och krav från relevanta intressenter. | |||||||
| 5.13 | Märkning av information | En lämplig uppsättning rutiner för märkning av information ska utarbetas och implementeras i enlighet med det klassningssystem för information som organisationen har antagit. | |||||||
| 5.14 | Informationsöverföring | Regler, rutiner eller avtal avseende informationsöverföring ska finnas på plats för alla typer av överföringsresurser inom organisationen samt mellan organisationen och andra parter. | |||||||
| 5.15 | Åtkomstkontroll | Regler för att kontrollera fysisk och logisk åtkomst till information och andra relaterade tillgångar ska upprättas och genomföras, baserat på verksamhets- och informationssäkerhetskrav. | |||||||
| 5.16 | Identitetsenheter | Identiteter ska hanteras under hela deras livscykel. | |||||||
| 5.17 | Autentiseringsinformation | Tilldelning och hantering av autentiseringsinformation ska styras med hjälp av en ledningsprocess, som inbegriper att ge råd till personal om hur autentiseringsinformation bör hanteras på lämpligt sätt. | |||||||
| 5.18 | Åtkomsträttigheter | Åtkomsträttigheter för information och andra relaterade tillgångar ska tillhandahållas, ses över, ändras och tas bort i enlighet med organisationens ämnesspecifika policy för åtkomstkontroll. | |||||||
| 5.19 | Informationssäkerhet i leverantörsrelationer | Processer och rutiner ska fastställas och implementeras för att hantera de informationssäkerhetsrisker som förknippas med användningen av leverantörens produkter och tjänster. | |||||||
| 5.20 | Hantering av informationssäkerhet inom leverantörsavtal | Relevanta informationssäkerhetskrav ska upprättas och avtalas med varje leverantör, utifrån typen av leverantörsrelation. | |||||||
| 5.21 | Hantering av informationssäkerhet i IKTleveranskedjan | Processer och rutiner ska fastställas och implementeras för att hantera de informationssäkerhetsrisker som förknippas med IKTleveranskedjan för produkter och tjänster. | |||||||
| 5.22 | Övervakning, granskning och ändringshantering av leverantörstjänster | Organisationen ska regelbundet övervaka, granska, utvärdera och hantera ändringar i leverantörers informationssäkerhetspraxis och tjänsteleveranser. | |||||||
| 5.23 | Informationssäkerhet för användning av molntjänster | Processer för att införskaffa, använda, hantera och lämna molntjänster ska upprättas i enlighet med organisationens informationssäkerhetskrav. | |||||||
| 5.24 | Planering och förberedelser för hantering av informationssäkerhetsincidenter | Organisationen ska planera och förbereda hanteringen av informationssäkerhetsincidenter genom att fastställa, inrätta och informera om processer, roller och ansvarsområden för hantering av informationssäkerhetsincidenter. | |||||||
| 5.25 | Bedömning av och beslut om informationssäkerhetshändelser | Organisationen ska bedöma informationssäkerhetshändelser och besluta om de ska kategoriseras som informationssäkerhetsincidenter. | |||||||
| 5.26 | Hantering av informationssäkerhetsincidenter | Informationssäkerhetsincidenter ska hanteras i enlighet med dokumenterade rutiner. | |||||||
| 5.27 | Att lära av informationssäkerhetsincidenter | Kunskaper som erhålls vid informationssäkerhetsincidenter ska användas för att stärka och förbättra informationssäkerhetsåtgärderna. | |||||||
| 5.28 | Insamling av bevis | Organisationen ska fastställa och införa rutiner för identifiering, insamling, anskaffande och bevarande av bevis som rör informationssäkerhetshändelser. | |||||||
| 5.29 | Informationssäkerhet vid störning | Organisationen ska planera hur informationssäkerheten ska upprätthållas på lämplig nivå vid störning. | |||||||
| 5.30 | Kontinuitetsberedskap inom IKT | IKT-beredskap ska planeras, införas, underhållas och testas utifrån målen för kontinuitetshantering och kraven på IKT-kontinuitet. | |||||||
| 5.31 | Författningskrav och avtalskrav | Författningskrav och avtalskrav som rör informationssäkerhet och organisationens strategi för att uppfylla dessa krav ska identifieras, dokumenteras och hållas uppdaterade. | |||||||
| 5.32 | Immateriella rättigheter | Organisationen bör införa lämpliga rutiner för att skydda immateriella rättigheter. | |||||||
| 5.33 | Skydd av verksamhetsinformation | Verksamhetsinformation ska skyddas mot förlust, destruktion, förfalskning, obehörig åtkomst och otillåten utgivning. | |||||||
| 5.34 | Integritet och skydd av personuppgifter | Organisationen ska identifiera och uppfylla kraven för upprätthållande av personlig integritet och skydd av personuppgifter enligt tillämpliga lagar och andra författningar samt avtalskrav. | |||||||
| 5.35 | Oberoende granskning av informationssäkerhet | Organisationens tillvägagångssätt för att hantera informationssäkerhet och dess implementering, inklusive personer, processer och teknik, ska med jämna mellanrum, eller när betydande förändringar sker, genomgå oberoende granskning. | |||||||
| 5.36 | Efterlevnad av policyer, regler och standarder för informationssäkerhet | Efterlevnaden av organisationens informationssäkerhetspolicy, ämnesspecifika policyer, övriga regler och standarder ska granskas regelbundet. | |||||||
| 5.37 | Dokumenterade driftsrutiner | Driftsrutiner för informationsbehandlingsresurser ska dokumenteras och göras tillgängliga för personal som behöver dem. | |||||||
| #DIV/0! | #DIV/0! | ||||||||
| 6 | Personrelaterade säkerhetsåtgärder | ||||||||
| 6.1 | Bakgrundskontroll | Bakgrundskontroll ska utföras för alla sökande innan de blir en del av organisationen, samt fortlöpande med beaktande av relevanta lagar, regler samt etiska krav, och stå i proportion till verksamhetskraven, klassningen av den information som de ges behörighet till och de risker som uppfattas föreligga. | |||||||
| 6.2 | Anställningsvillkor | Personalens och organisationens ansvar för informationssäkerheten ska anges i anställningsavtal. | |||||||
| 6.3 | Medvetenhet och utbildning om informationssäkerhet | Organisationens personal och relevanta intressenter ska erhålla lämplig utbildning och övning för ökad medvetenhet om informationssäkerhet samt regelbundna uppdateringar vad gäller organisationens informationssäkerhetspolicy, ämnesspecifika policyer och rutiner utifrån vad som är relevant för deras arbetsuppgifter. | |||||||
| 6.4 | Disciplinär process | Det ska finnas en formell och kommunicerad disciplinär process för att vidta åtgärder mot personal och andra relevanta intressenter som har brutit mot en informationssäkerhetspolicy. | |||||||
| 6.5 | Ansvar efter upphörande eller ändring av anställning | Ansvar och skyldigheter för informationssäkerhet som fortsätter att gälla efter att en anställning upphör eller ändras ska definieras, tillämpas och kommuniceras till relevant personal och andra intressenter. | |||||||
| 6.6 | Avtal om konfidentialitet eller sekretess | Konfidentialitets- och sekretessavtal som speglar organisationens behov av skydd av information ska identifieras, dokumenteras, regelbundet ses över och undertecknas av personal och andra relevanta intressenter. | |||||||
| 6.7 | Distansarbete | När personal arbetar på distans ska säkerhetsåtgärder genomföras för att skydda information som nås, bearbetas eller lagras utanför organisationens lokaler. | |||||||
| 6.8 | Rapportering av informationssäkerhetshändelser | Organisationen ska tillhandahålla en mekanism så att personalen kan rapportera observerade eller misstänkta informationssäkerhetshändelser i tid via lämpliga kanaler. | |||||||
| #DIV/0! | #DIV/0! | ||||||||
| 7 | Fysiska säkerhetsåtgärder | ||||||||
| 7.1 | Fysiska skalskydd | Säkerhetsperimetrar ska vara utformade och användas för att skydda områden som innehåller information och andra relaterade tillgångar. | |||||||
| 7.2 | Fysiskt tillträde | Säkrade områden ska skyddas genom lämpliga tillträdesbegränsningar och åtkomstpunkter. | |||||||
| 7.3 | Säkerställande av kontor, rum och anläggningar | Fysisk säkerhet för kontor, utrymmen och anläggningar ska utformas och införas. | |||||||
| 7.4 | Fysisk säkerhetsövervakning | Lokaler ska övervakas löpande för att upptäcka otillåten fysisk åtkomst. | |||||||
| 7.5 | Skydd mot fysiska och miljörelaterade hot | Skydd mot fysiska och miljömässiga hot, t.ex. naturkatastrofer och andra avsiktliga eller oavsiktliga fysiska hot mot infrastruktur ska utformas och införas. | |||||||
| 7.6 | Arbete i säkrade utrymmen | Säkerhetsåtgärder för arbete i säkrade utrymmen ska utformas och införas. | |||||||
| 7.7 | Rent skrivbord och tom skärm | Regler om rent skrivbord avseende papper och flyttbara lagringsmedier respektive tom skärm avseende informationsbehandlingsresurser ska fastställas samt tillämpas på lämpligt sätt. | |||||||
| 7.8 | Placering och skydd av utrustning | Utrustning ska placeras på ett säkert sätt och skyddas. | |||||||
| 7.9 | Säkerhet för tillgångar utanför organisationens lokaler | Tillgångar utanför organisationens lokaler ska skyddas. | |||||||
| 7.10 | Lagringsmedier | Lagringsmedier ska hanteras under hela sin livscykel från inköp, användning, transport och avveckling i enlighet med organisationens klassningssystem och hanteringskrav. | |||||||
| 7.11 | Tekniska försörjningssystem | Informationsbehandlingsresurser ska skyddas från elavbrott och andra störningar som orsakas av fel i tekniska försörjningssystem. | |||||||
| 7.12 | Kablagesäkerhet | Kablar för strömförsörjning, data eller stödjande informationstjänster ska skyddas från avlyssning, störningar och skada. | |||||||
| 7.13 | Underhåll av utrustning | Utrustning ska underhållas korrekt för att säkerställa informationens tillgänglighet, riktighet och konfidentialitet. | |||||||
| 7.14 | Säker avveckling eller återanvändning av utrustning | Utrustning som innehåller lagringsmedier ska granskas för att säkerställa att alla känsliga uppgifter och licensierade program har avlägsnats eller överskrivits på ett säkert sätt före avveckling eller återanvändning. | |||||||
| #DIV/0! | #DIV/0! | ||||||||
| 8 | Tekniska säkerhetsåtgärder | ||||||||
| 8.1 | Användarklienter | Information som lagras på, behandlas av eller är tillgänglig via användarklienter ska skyddas | |||||||
| 8.2 | Privilegierade åtkomsträttigheter | Tilldelning och användning av privilegierade åtkomsträttigheter ska begränsas och hanteras. | |||||||
| 8.3 | Begränsning av åtkomst till information | Åtkomsten till information och andra relaterade tillgångar ska begränsas i enlighet med den fastställda ämnesspecifika policyn för åtkomstkontroll. | |||||||
| 8.4 | Tillgång till källkod | Läs- och skrivåtkomst till källkod, utvecklingsverktyg och programbibliotek ska hanteras på lämpligt sätt. | |||||||
| 8.5 | Säker autentisering | Säker autentiseringsteknik och säkra autentiseringsrutiner ska användas vad gäller begränsningar för informationsåtkomsten och den ämnesspecifika policyn för åtkomstkontroll. | |||||||
| 8.6 | Kapacitetshantering | Resursanvändningen ska övervakas samt justeras i enlighet med aktuella och väntade kapacitetskrav. | |||||||
| 8.7 | Skydd mot skadlig kod | Skydd mot skadlig kod ska införas, med stöd av en lämplig medvetenhetsnivå bland användarna. | |||||||
| 8.8 | Hantering av tekniska sårbarheter | Information om tekniska sårbarheter i de informationssystem som används ska inhämtas, organisationens exponering för sådana sårbarheter granskas och lämpliga åtgärder vidtas. | |||||||
| 8.9 | Konfigurationshantering | Konfigurationer, inklusive säkerhetskonfigurationer, av hårdvara, programvara, tjänster och nätverk ska fastställas, dokumenteras, implementeras, övervakas och granskas. | |||||||
| 8.10 | Radering av information | Information som lagras i informationssystem, enheter eller andra lagringsmedier ska raderas när den inte längre behövs. | |||||||
| 8.11 | Datamaskning | Datamaskning ska användas i enlighet med organisationens ämnesspecifika policy för åtkomstkontroll och andra relaterade ämnesspecifika policyer och verksamhetskrav, med beaktande av tillämplig lagstiftning. | |||||||
| 8.12 | Förhindrande av dataläckage | Åtgärder för att förhindra dataläckage ska tillämpas på system, nätverk och andra enheter som behandlar, lagrar eller överför känslig information. | |||||||
| 8.13 | Säkerhetskopiering av information | Säkerhetskopior av information, programvara och system ska tas och testas regelbundet i enlighet med den överenskomna ämnesspecifika policyn för säkerhetskopiering. | |||||||
| 8.14 | Redundans för informationsbehandlingsresurser | Informationsbehandlingsresurser ska vid införande ha tillräcklig redundans för att uppfylla krav på tillgänglighet. | |||||||
| 8.15 | Loggning | Loggar som registrerar aktiviteter, avvikelser, fel och andra relevanta händelser ska skapas, bevaras, skyddas och analyseras. | |||||||
| 8.16 | Övervakning | Nätverk, system och applikationer ska övervakas i fråga om onormalt beteende och lämpliga åtgärder vidtas för att utvärdera potentiella informationssäkerhetsincidenter. | |||||||
| 8.17 | Synkronisering av tid | Klockor i de informationsbehandlingssystem som organisationen använder ska synkroniseras mot godkända tidkällor. | |||||||
| 8.18 | Användning av privilegierade verktygsprogram | Användning av verktygsprogram som kan ha förmåga att kringgå säkerhetsåtgärder i system och applikationer ska begränsas och styras strikt. | |||||||
| 8.19 | Installation av program i driftsatta system | Rutiner och åtgärder ska införas för att på ett säkert sätt styra installation av programvara i driftsatta system. | |||||||
| 8.20 | Nätverkssäkerhet | Nätverk och nätverksenheter ska skyddas, hanteras och styras för att skydda information i system och applikationer. | |||||||
| 8.21 | Säkerhet i nätverkstjänster | Säkerhetsmekanismer, tjänstenivåer och krav för nätverkstjänster ska identifieras, införas och övervakas. | |||||||
| 8.22 | Separation av nätverk | Grupper av informationstjänster, användare och informationssystem ska separeras i organisationens nätverk. | |||||||
| 8.23 | Webbfiltrering | Åtkomsten till externa webbplatser ska hanteras för att minska exponering för skadligt innehåll. | |||||||
| 8.24 | Användning av kryptering | Regler för effektiv användning av kryptering, inklusive hantering av krypteringsnycklar, ska definieras och införas. | |||||||
| 8.25 | Säker utvecklingscykel | Regler för säker utveckling av programvara och system ska fastställas | |||||||
| 8.26 | Säkerhetskrav för applikationer | Informationssäkerhetskrav ska identifieras, specificeras och godkännas då applikationer utvecklas eller anskaffas. | |||||||
| 8.27 | Säker systemarkitektur och tekniska principer | Tekniska principer för att säkra system ska fastställas, dokumenteras, underhållas och tillämpas vid all utveckling av informationssystem. | |||||||
| 8.28 | Säker kodning | Principer för säker kodning ska tillämpas på programvaruutveckling. | |||||||
| 8.29 | Säkerhetstestning i utveckling och acceptans | Processer för säkerhetstestning ska fastställas och implementeras i livscykeln för utveckling. | |||||||
| 8.30 | Utkontrakterad utveckling | Organisationen ska styra, övervaka och granska aktiviteter som rör utkontrakterad systemutveckling. | |||||||
| 8.31 | Separation av utvecklings-, testoch produktionsmiljöer | Miljöer för utveckling, testning och produktion ska skiljas åt och säkras. | |||||||
| 8.32 | Ändringshantering | Förändringar i informationsbehandlingsresurser och informationssystem ska omfattas av rutiner för ändringshantering. | |||||||
| 8.33 | Testinformation | Testinformation ska väljas, skyddas och hanteras på lämpligt sätt. | |||||||
| 8.34 | Skydd av informationssystem vid revisionstestning | Testare och lämplig ledningsnivå ska planera och komma överens om revisionstester och andra assuransaktiviteter som inbegriper bedömning av driftsatta system. | |||||||
| #DIV/0! | #DIV/0! | ||||||||
| Gapanalys 27002:2022 | ||||||||||||||||||
| Frågor | Bedömning av tillämplighet | Bedömning av nuläget | Önskat minimivärde | Bedömning av verksamhetsbetydelse | ||||||||||||||
| Avsnitt | Område | # Frågor | Tillämpbart | Motsvarighet finns | Ej tillämpbart | # 1 (mognad) | # 2 (mognad) | # 3 (mognad) | # 4 (mognad) | # 5 (mognad) | Medel (av svarade frågor) | # 1 (mognad) | # 2 (mognad) | # 3 (mognad) | # 4 (mognad) | # 5 (mognad) | Medel (av svarade frågor) | |
| 5 | Organisatoriska säkerhetsåtgärder | 37 | 0 | Err:508 | 0 | 0 | 0 | 0 | 0 | 0 | #DIV/0! | 4 | 0 | 0 | 0 | 0 | 0 | #DIV/0! |
| 6 | Personrelaterade säkerhetsåtgärder | 8 | 0 | Err:508 | 0 | 0 | 0 | 0 | 0 | 0 | #DIV/0! | 4 | 0 | 0 | 0 | 0 | 0 | #DIV/0! |
| 7 | Fysiska säkerhetsåtgärder | 14 | 0 | Err:508 | 0 | 0 | 0 | 0 | 0 | 0 | #DIV/0! | 4 | 0 | 0 | 0 | 0 | 0 | #DIV/0! |
| 8 | Tekniska säkerhetsåtgärder | 34 | 0 | Err:508 | 0 | 0 | 0 | 0 | 0 | 0 | #DIV/0! | 4 | 0 | 0 | 0 | 0 | 0 | #DIV/0! |
| | ||||||||||||||||||
| Fyll i organisationens önskade värde | ||||||||||||||||||
 | ||||||||||||||
 | ||||||||||||||
 | ||||||||||||||
 | ||||||||||||||