Yfir til valmyndar
Forsíða : Þjónusta : Upplýsingaöryggi : Ábendingar : Helstu skref

Helstu skref

Skýring: ISMS stendur fyrir Information Security Management System eða kerfi sem upplýsingaöryggisstjórnun nær til.

Öryggiskröfur ákveðnar

Hverju fyrirtæki er nauðsynlegt að ákveða hvaða öryggiskröfur það þarf að uppfylla. Skipta má kröfum í þrjá flokka:

  1. Fyrsti flokknum tilheyra þau atriði sem koma fram í áhættumati. Matið finnur ógnanir við eignir, veikleika þeirra, líkur á og áhrif af atvikum.

  2. Annar flokkurinn nær til lagalegra skilyrða, opinberra fyrirmæla, reglugerða og samninga sem fyrirtækið, viðskiptavinir, samstarfsaðilar, verktakar eða þjónustuaðilar þurfa að gangast undir.

  3. Þriðji flokkurinn nær yfir hin sérstöku markmið, grundvallarreglur eða kröfur til upplýsingavinnslu sem fyrirtækið hefur ákveðið til stuðnings rekstri sínum.

 

Áhættugreining - áhættumat - GAP greining

Gott er að fylgja föstu vinnuferli við áhættugreiningu og áhættumat. Þetta ferli nýtist einnig við ákvörðun forvarna og gerð neyðaráætlunar.

Nauðsynlegt er að:

  1. Skilgreina hvað (fólk, húsnæði, aðstaða, vinnueiningar) á að skoða. Skoða verður alla þætti sem gætu, verði þeir fyrir áfalli, skaðað, truflað, dregið úr eða stöðvað starfsemi fyrirtækisins.
  2. Skilgreina alla óeðlilega atburði sem þessum þáttum stafar hætta af og gætu skaðað, truflað, dregið úr eða stöðvað starfsemina.
  3. Ákvarða/meta hvernig sérhvert tilfelli getur haft áhrif á fólk, húsnæði, aðstöðu og vinnueiningar, áhættuna sem fylgir, líkurnar á því að þessir atburðir gerist og tíðni þeirra.
  4. Tilgreina raunverulega hættu, þ.e. ákveða hvaða afleiðingar og áhrif hvert áfall getur haft á fólk, aðstæður og verkferli.
  5. Skilgreina hvaða gagnráðstafanir er hægt að grípa til til að auka mótstöðuafl hvers áhættuþáttar með það fyrir augum að draga, eins mikið og hagkvæmt er, úr áhættu, umfangi tjóns og afleiðingum og áhrifum af tjóninu eða koma áhættunni á "viðunandi" stig.
  6. Meta hættu, sem þá stendur eftir, með því að ganga úr skugga um hvar og hvernig óviðráðanlegir atburðir geta valdið skaða og meta afleiðingarnar af slíkum skaða. Nauðsynlegt er að skoða vel "hvenær" atburðir geta átt sér stað ekki síður en "hvar".
  7. Mótvægi - koma upp aðferðum og búnaði til að vega á viðunandi hátt upp á móti afleiðingunum miðað við þarfir fyrirtækisins og starfsemi þess. Gera þarf ráðstafanir til að koma reglulegri starfsemi í gang eftir að afleiðingar skaða, truflunar, samdráttar eða stöðvunar hafa minnkað eða liðið hjá.
  8. Eftir það:
    Skrá matið.
    Hrinda gagnráðstöfunum í framkvæmd.

Þessu ferli er oft lýst sem áhættustjórnun (risk management). Það byggir á því að fyrirtækið (1) stendur frammi fyrir endanlegum fjölda af skilgreindum áhættuþáttum; (2) getur metið/mælt líkurnar á hverjum áhættuþætti; (3) á mikla möguleikar á að draga úr áhættu; (4) getur séð fyrir eða áætlað fyrirfram hugsanlegan skaða af áhættuþætti; og (5) getur haft stjórn á áhættuþáttum og skaða af þeim í samræmi við þarfir fyrirtækisins.

Markmiðið með áhættugreiningu, áhættumati, forvörnum og neyðaráætlun er að tryggja að fyrirtækið (sem samsafn allra liða) getur haldið áfram starfsemi á þann hátt sem ákveðið hefur verið, ef fyrirtækið hefur orðið fyrir áhrifum af óeðlilegum atburðum sem hafa skaðað, truflað, dregið úr eða stöðvað starfsemi einnar eða fleiri vinnueiningar.

ÍST ISO/IEC17799 leggur til tæki fyrir þetta. Það er svo kölluð GAP - greining (GAP - analysis). (GAP stendur bara fyrir "gap", þ.e. bil eða gap og þess vegna notað eins í íslensku.) Aðferðin byggir á því að skoða hvert einasta viðmið sem ÍST ISO/IEC17799 leggur til og þau önnur sem koma frá hverjum aðila og athuga hvort það á við og ef svo er hversu vel fyrirtækið hefur náð að uppfylla þau: að öllu leiti, að hluta eða alls ekki. Þau viðmið sem eru bara uppfyllt að hluta eða alls ekki búa til gapið! Gapið er því bilið milli þess ástands sem er og sem ÍST ISO/IEC17799 krefst.

Auðvelt er að drekkja sér í þessari vinnu og leggur ÍST ISO/IEC17799 til nokkur viðmið til að byrja á. Þau eru ýmist byggð á lagalegum skilyrðum eða teljast til heilbrigðrar skynsemi þegar kemur að upplýsingaöryggi.

Þau viðmið sem eru talin nauðsynleg sérhverju fyrirtæki af lagalegum átsæðum eru m.a.:

  • eignaréttur (intellectual property rights)
  • vernd bókhaldsgagna fyrirtækisins (safeguarding of organizational records)
  • gagnavernd og leynd persónuupplýsinga (data protection and privacy of personal information)

Viðmið sem teljast til heilbrigðrar skynsemi þegar kemur að upplýsingaöryggi eru:

  • upplýsingaöryggishandbók (information security policy document)
  • útdeiling ábyrgða varðandi upplýsingaöryggi (allocation of information security responsibilities)
  • fræðsla og þjálfun í upplýsingaöryggi (information security education and training)
  • tilkynningar um öryggisbresti (reporting security incidents)
  • neyðarstjórnun (business continuity management)

Þessi viðmið eiga við flest fyrirtæki og við flestar aðstæður. Tekið skal fram að þó svo að viðmið í ÍST ISO/IEC17799 séu mikilvæg, þá skal skoða þau í samhengi við þær aðstæður sem fyrirtækið býr við.

Vænlegt til árangurs

Reynslan sýnir að eftirfarandi atriði skipta miklu máli þegar ná á góðum árangri í upplýsingaöryggismálum:

  • öryggisstefna, markmið og áherslur sem endurspegla markmið rekstursins,
  • framkvæmd öryggismála þarf að vera í anda annarra hluta hjá fyrirtækinu,
  • sýnilegur stuðningur og skuldbindingar frá yfirstjórn
    góður skilningur á öryggiskröfum, áhættumati og áhættustjórnun,
  • árangursrík kynning á öryggismálum fyrir stjórnendur og starfsfólk,
  • dreifa leiðbeiningum um upplýsingaöryggisstefnu og stöðlum til allra starfsmanna og verktaka,
  • viðeigandi þjálfun og fræðsla,
  • víðtækt eftirlitskerfi, sem tekur jafnt til allra þátta, til að meta hvernig til hefur tekist og leggur til ábendingar um það sem betur má fara.

Fyrirtækið

Þjónusta

Vörur

Lynghálsi 9, 110 Reykjavík  /  Sími: 580 9200  /  Fax: 580 9266  /  Senda póst  /  Innri vefur starfsmanna

Leit

Leitarvél
IST ISO 9001 - vottun hf
Byggir á LiSA vefumsjónarkerfi frá Eskli