Personalens säkerhet
Uppgifter
Anställningsavtal anger medarbetarens och organisationens ansvar för informationssäkerhet.
Avtalet bör innehålla t.ex.
arbetstagarens juridiska skyldigheter och rättigheter, t.ex. ansvar som rör upphovsrätt eller dataskyddslagstiftning
arbetstagarens ansvar att följa instruktionerna, t.ex. i förhållande till användningen av hårdvara och data och klassificeringen av data
arbetstagarens eller uthyrarens ansvar vid behandling av uppgifter som erhållits från andra företag eller andra parter
åtgärder om en anställd eller vikarie bryter mot organisationens säkerhetskrav
skyldigheter som fortsätter efter anställningsförhållandets upphörande.
Användning av sekretessavtal
Alla anställda som hanterar konfidentiell information bör underteckna ett tystnads- eller konfidentialitetsavtal innan de hanterar konfidentiell information.
Tystnadsplikten bör omfatta till exempel:
tydlig definition av konfidentiell information
åtagandets antagna varaktighet
erforderliga åtgärder när åtagandet upphör
undertecknarnas ansvar och åtgärder för att undvika obehörigt röjande av information
ägande av information, affärshemligheter och immateriella tillgångar och hur detta relaterar till skyddet av konfidentiell information
tillåten användning av konfidentiell information och undertecknads rättigheter att använda informationen
rätten att inspektera och övervaka verksamhet som innefattar konfidentiell information.
Organisationen har definierat verksamhetsmetoder för att upprätthålla personalens digitala säkerhetskompetens.
Dessa kan innefatta t.ex. följande saker:
det finns instruktioner för personalen som beskriver de allmänna reglerna för digital säkerhet relaterade till arbetsrollen
personalen utbildas så att de kan arbeta säkert, känna till instruktionerna och kan följa dem
personalen visar genom tester eller liknande att de har de digitala säkerhetskunskaper och kunskaper som krävs för säker verksamhet.
Utbildningen fokuserar på det mest relevanta digitala säkerheten för varje arbetsuppgift, men innehåller också basinformation som gäller alla anställda:
den anställdes personliga ansvar (t.ex. för enheter och de uppgifter de behandlar)
rutiner som gäller alla (t.ex. rapportering av dataintrång)
regler som gäller alla (t.ex. ett rent skrivbord)
organisationens informationssäkerhetsroller (vem kontakta vid problem)
Upprätthålla en logg över organiserade digitala säkerhetsutbildningar
En logg förs över de digitala säkerhetsutbildningar som organisationen anordnar för sin personal. Loggen kan användas för att visa vilken typ av investeringar organisationen har gjort för personalens digitala säkerhetskompetens.
Varje utbildning kan dokumenteras, till exempel:
tidpunkt
ämne och varaktighet för utbildningen
hur utbildningen genomfördes och vem som utbildade
personer som deltagit i utbildningen
Informationssäkerhetsinstruktioner
Allmänna informationssäkerhetsinstruktioner för personal ska behandla t.ex. följande ämnen:
användning av mobila enheter och uppdateringar
lagring av information och säkerhetskopiering
dataskydd
användning av e-post
hantering av utskrifter, papper och filer
rapportering av störningar
förhindra bedrägerier
Ändring i anställningsförhållandet
Processen när anställningen upphör, t.ex. för att ta bort hårdvara och åtkomsträttigheter
Organisationen har definierat operativa rutiner som används för att samordna vid tidpunkten för upphörande av anställningsförhållandet, t.ex.:
Återlämning av verktyg och hårdvara
Borttagning av åtkomsträttigheter
Återställa andra informationstillgångar
Processen för att beviljas tillträde i början av anställningsförhållandet
I början av en persons anställning ges de omedelbart åtkomsträtt att använda alla informationssystem som är relaterade till deras roll.
Systemhantering
Uppgifter
Hantering av informationssystem
Instruktioner för personal om användning av informationssystem och identifieringsuppgifter
Organisationen bör ha definierade instruktioner för allmänt godtagbar användning av informationssystem och hantering av nödvändig identifieringsinformation.
Ägaren av informationssystem klassade som viktiga kan också definiera, dokumentera och implementera mer detaljerade regler för användningen av detta informationssystem. Dessa regler kan beskriva t.ex. informationssäkerhetskrav relaterade till informationen i systemet.
Att lista informationssystem och namnge ägare
Organisationen ska föra en förteckning över de informationssystem som används och de ägare som tilldelats informationssystemen. Ägaren ansvarar för att komplettera informationen i systemet och för eventuella andra informationssäkerhetsåtgärder som har nära anknytning till systemet.
Dokumentationen relaterad till systemen omfattar bl.a. den följande informationen:
Ansvar relaterade till systemet och dess avsedda användning
Plats för systemdata (diskuteras mer i detalj i en separat uppgift)
En beskrivning av systemunderhåll och utvecklingsansvar, samt leverantörer som eventuellt relaterar till detta (behandlas närmare i en separat uppgift)
Vid behov, åtkomsträtt till informationssystem och identifieringsmetoder (kommer att diskuteras mer i detalj i en separat uppgift)
Vid behov, anslutningar till andra system (kommer att diskuteras mer i detalj i en separat uppgift)
Tillträdeskontroll och identifiering
Användning av flerstegsautentisering för system som definieras som viktiga
System som innehåller viktig information bör loggas in med flera autentiseringsmetoder, som på engelska kallas antingen "two-factor", "multi-factor" eller "dual factor" autentisering.
Till exempel, när användaren först loggar in med ett lösenord, kan användaren också få en engångskod som ett sms. I det här fallet har hen identifierats med hjälp av två faktorer (att känna till lösenordet och äganderätten till telefonen).
Biometriska identifierare (t.ex. fingeravtryck) och andra enheter kan också användas för tvåstegsidentifiering. Det är dock värt att överväga kostnaderna och effekterna på integritetsskyddet.
Undvika delade användarnamn och dokumentering
Delade användarnamn bör endast tillåtas om det är nödvändigt av affärs- eller operativa skäl och bör godkännas och dokumenteras.
Om delade användarnamn används i underhållssyfte ska lösenorden ändras så snart som möjligt efter att användaren med underhållsrättigheter lämnat sitt jobb.
Regelbunden granskning av systemåtkomsträttigheter
Den som ansvarar för informationssystemet bestämmer åtkomsträttigheterna till systemet, i förhållande till användarnas uppgifter. De faktiska användarrättigheternas likvärdighet med de planerade ska övervakas och rättigheterna ska omvärderas med jämna mellanrum.
När åtkomsträttigheter granskas måste man också beakta minimering av underhållsrättigheter samt stängning av onödiga konton.
Användning av multifaktorautentisering för huvudanvändare
De som agerar som huvudanvändare i organisationens viktigaste system måste logga in med flera olika identifieringsmetoder (på engelska multifactor authentication, MFA). Till exempel, när användaren först loggar in med ett lösenord, kan användaren också få en engångskod som ett sms. I det här fallet har han identifierats med hjälp av två faktorer (att känna till lösenordet och äganderätten till telefonen). Biometriska identifierare (t.ex. fingeravtryck) och andra enheter kan också användas för identifiering i flera steg. Det är dock värt att överväga kostnaderna och effekterna på integritetsskyddet.
Riskhantering och ledning
Hantera digital säkerhet
Personalens allmänna kompetens och medvetenhet om informationssäkerhet.
All personal som arbetar under organisationens ledning måste vara medveten om:
hur de kan bidra till att öka effektiviteten i ledningssystemet för informationssäkerhet och vilka fördelar det finns med att förbättra informationssäkerhetsnivån
vilka konsekvenser bristande efterlevnad av kraven på ledningssystemet för informationssäkerhet kan få, vilken del av personalens arbete som påverkar informationssäkerhetsnivån
dessutom har ledningen bestämt hur personalen ska hållas medveten om informationssäkerhetsinstruktioner relaterade till den egna arbetsrollen.
Resursering och uppföljning av störhanteringen
Ledningen måste definiera administreringsansvar och skapa rutiner för att garantera ett effektivt och konsekvent svar på dataintrång.
Ledningen måste säkerställa till exempel:
ansvariga för störningshanteringen
det finns en dokumenterad process för att bemöta, hantera och rapportera störningar
Processen måste säkerställa t.ex.:
personalen har en tydlig kontaktpunkt/verktyg och instruktioner för att rapportera störningar
behörig personal hanterar de rapporterade dataintrång tillräckligt omfattande
Definiera säkerhetsroller och -ansvar
Högsta ledningen måste säkerställa tydliga ansvarsområden/befogenheter inom åtminstone följande teman:
vem som i första hand ansvarar för att ledningssystemet för informationssäkerhet uppfyller kraven på informationssäkerhet
vem som agerar som ansvariga för huvudteman i ledningssystemet för informationssäkerhet
vem som har ansvaret och befogenheten att rapportera till den högsta ledningen om hur ledningssystemet för informationssäkerhet fungerar
vem som har befogenhet att utföra interna auditeringar
De personer som är ansvariga för huvudteman i ledningssystemet för datasäkerhet presenteras på skrivbordet i ledningssystemet och i rapporten Datasäkerhetspolicy.
Den högsta ledningen ska också se till att alla roller som är viktiga ur informationssäkerhetssynpunkt, samt därmed sammanhängande ansvar och befogenheter, definieras och kommuniceras.
Ledningens engagemang för dataskyddshantering och ledningssystemet
Organisationens ledning ska visa engagemang för dataskyddsarbetet och ledningssystemet för informationssäkerhet. Ledningen åtar sig att:
att fastställa de krav som ligger till grund för arbetet (t.ex. kundkrav, lagar och förordningar eller standarder)
för att fastställa vilka resurser som behövs för dataskyddshantering
att kommunicera vikten av dataskydd och informationssäkerhet
för att säkerställa att arbetet når önskat resultat
att främja en kontinuerlig förbättring av dataskydd
Ledningen bestämmer också omfattningen av ledningssystemet för informationssäkerhet och antecknar beslutet i beskrivningen av ledningssystemet. Det betyder till exempel om vissa delar av organisationens verksamhet eller hanterade information är undantagna från ledningssystemets omfattning, eller om det gäller all organisations information/aktiviteter.
Antal, kvalifikationer och lämplighet för nyckelpersoner inom informationssäkerhet
Organisationen har tillräckligt med utbildad, övervakad och vid behov ordentligt säkerhetsgodkänd personal som spelar nyckelroller inom informationssäkerhet och utför ledningsuppgifter relaterade till ledningssystemet för informationssäkerhet.
Organisationen har definierat:
vilka kvalifikationer denna personal måste ha
hur kvalifikationen förvärvas och verifieras (t.ex. genom lämplig utbildning och uppföljning av utbildning)
hur kompetens kan påvisas genom dokumentation
Uppgiftens ägare granskar regelbundet antalet och kompetensnivån hos säkerhetspersonalen.
Resursförsörjning och övervakning av störningshantering
Ledningen måste definiera ledningens ansvar och skapa rutiner för att garantera ett effektivt och konsekvent svar på informationssäkerhetsincidenter eller dataintrång.
Ledningen måste säkerställa till exempel:
störningshanteringen är ansvarig
det finns en dokumenterad process för att bemöta, hantera och rapportera störningar
Processen måste säkerställa t.ex.:
personalen har en tydlig kontaktpunkt/verktyg och instruktioner för att rapportera störningar
kvalificerad personal hanterar de rapporterade dataintrången tillräckligt omfattande
Personalens allmänna kunskap och medvetenhet om informationssäkerhet
All personal som arbetar under organisationens ledning måste vara medveten om:
hur de kan bidra till att öka effektiviteten i ledningssystemet för informationssäkerhet och vilka är fördelarna med att förbättra informationssäkerhetsnivån
vilka konsekvenser bristande efterlevnad av kraven på ledningssystemet för informationssäkerhet kan få, vilken del av personalens arbete som påverkar informationssäkerhetsnivån
Dessutom har ledningen bestämt hur personalen ska hållas medveten om instruktioner gällande informationssäkerhet relaterade till de egna arbetsuppgifterna.
Teknisk informationssäkerhet
Övervaka användningen och skydda data mot skadlig programvara och exploatering av sårbarheter.
Skydd mot skadlig programvara
Automatisk uppdatering och körning av skadlig programvara
Systemen som används för skydd mot skadlig programvara kontrollerar och installerar automatiskt uppdateringar med önskade intervaller och kör även de önskade kontrollerna vid vald frekvens utan användarinblandning.
Val och användning av program för att upptäcka och reparera skadlig programvara på alla enheter
Välj och installera program för upptäckt och reparation av skadlig programvara och uppdatera dem regelbundet för förebyggande eller regelbunden genomsökning av datorer och datamedia.
Program bör kontrollera åtminstone följande:
filer som tas emot via nätverket eller lagringsmediet kontrolleras för skadlig programvara före användning
e-postbilagor och nedladdade filer skannas efter skadlig programvara före användning
webbplatser skannas efter skadlig programvara
Kryptering
Laptop kryptering
De bärbara datorerna är skyddade med full-diskkryptering.
Kryptering av smarttelefoner och surfplattor
Enheter som stöder full-disk kryptering väljs som smarttelefoner och surfplattor och kryptering är inställd på på.
Säkerhetskopiering
Dokumentera och ta ansvar för dina egna backupprocesser
I samband med informationssystemlistan beskriver vi vilka system vi ansvarar för att säkerhetskopiering görs. Processerna för säkerhetskopiering på eget ansvar i organisationen dokumenteras och en ägare definieras för var och en. Dokumentationen innehåller t.ex.:
med vilket system och hur ofta görs säkerhetskopieringarna?
hur skyddas säkerhetskopior (kryptering, fysisk plats)?
hur länge sparas säkerhetskopior?
Att klargöra ansvar för säkerhetskopiering av viktig information
Med tillräckliga säkerhetskopior kan alla viktiga data och program återställas efter en katastrof eller mediafel. Ett viktigt första steg i effektiv säkerhetskopiering är att identifiera vems ansvar det är att säkerhetskopiera. Det är de som är ansvariga för informationen som skall bestämma vem som ansvarar för säkerhetskopior (system, hårdvara).
Om säkerhetskopieringen är partnerns ansvar tar vi reda på:
hur omfattande säkerhetskopierar partnern data?
hur kan data återställas om det behövs?
hur är det överenskommet om säkerhetskopiering i kontrakten?
Om säkerhetskopieringen är vårt eget ansvar får vi reda på:
finns det en säkerhetskopieringsprocess på plats och dokumenterad?
är säkerhetskopieringen och implementeringscykeln på den nivå som krävs av datas betydelse?
Nätverkssäkerhet
Skydda ditt trådlösa nätverk
Användningen av det trådlösa nätverket skyddas med tillräckliga nycklar och anslutningstrafiken till nätverksroutern är krypterad. Det trådlösa nätverket avsett för gästanvändning är isolerat från företagets egna interna nätverk.
Skyddssystem
Virtualisering
Dataskydd
Följ kraven och föreskrifterna vid behandling av personuppgifter.
Uppgifter
Information och informationsförfrågningar
Publicering och underhåll av integritetsbeskrivning
När det gäller behandling av personuppgifter ska den information som definieras i dataskyddsförordningen lämnas till den registrerade i en kortfattad, begriplig och lättillgänglig form. Ofta görs detta antingen som registerspecifika eller på annat sätt sammanställda integritetsbeksrivningar, som publiceras till exempel på organisationens hemsida.
Den dataskyddsansvarige ser till att den information som krävs enligt dataskyddsförordningen (artikel 13) förmedlas. När personuppgifter inte har samlats in från den registrerade själv ska utöver det grundläggande innehållet i rapporterna anges:
var informationen erhållits
vilka personuppgiftsgrupper som behandlas
Process för att ta emot och behandla begäranden om dataskydd
Närhelst personuppgifter behandlas har den registrerade vissa rättigheter, t.ex. få tillgång till sina uppgifter och i vissa situationer invända mot behandlingen eller få sina uppgifter raderade.
Rutiner har planerats för dessa situationer, som kan inkludera t.ex.:
de sätt på vilka den registrerade kan skicka informationsförfrågningar
de sätt på vilka identiteten för avsändaren av informationsbegäran verifieras
personer som hjälper registrets kontaktperson vid handläggningen av begäran
de sätt på vilka informationen levereras till den registrerade på ett säkert sätt
Behandlingsprinciper och bevisskyldighet
Dokumentera syftena med användningen av personuppgifter för datareserver
Behandling av personuppgifter är laglig endast om någon av de rättsliga grunder som anges i dataskyddsförordningen är uppfyllda. Organisationen ska kunna kommunicera syftet med och rättslig grund för behandlingen till den registrerade och vid behov till tillsynsmyndigheten.
Dokumentationen ska innehålla minst:
den rättsliga grunden för behandlingen och nödvändig ytterligare information
parter till vilka behandlingen har lagts ut på entreprenad
relaterade datamaterial
Instruktioner för personal om behandling av personuppgifter
Den dataskyddsansvarige har skapat bruksanvisningar för personal som hanterar personuppgifter. Dessutom är den dataskyddsansvarige redo att ge råd till den personuppgiftsansvarige, samarbetspartners som behandlar personuppgifter eller vår egen personal gällande dataskydd, efterlevnad av dataskyddsförordningen eller andra dataskyddskrav.
Lista över informationsresurser och namnge ägarna
Organisationen måste föra en lista över de datareserver den hanterar och de namngivna ägarna. Ägaren ansvarar för att komplettera uppgifterna i databasen och för eventuella andra digitala säkerhetsåtgärder som har nära anknytning till informationsdatabasen.
Dokumentationen relaterad till databaserna omfattar bl.a. följande information:
Ansvar relaterade till databasen
Syften med dataanvändning (diskuteras mer i detalj i en separat uppgift)
Datamaterialet som utgör databasen (kommer att diskuteras mer i detalj i en separat uppgift)
Regelbundna överföringar av data (behandlas mer i detalj i en separat uppgift)
Vid behov, information om anslutningen av databasen till driftprocesserna
Distansarbete och mobila enheter
Säkerställ säkerheten när personal arbetar på mobila enheter och utanför de egna lokalerna.
Hantering av mobila enheter
Instruktioner för personal angående användning av mobila enheter
För användning av mobila enheter har separata instruktioner skapats för personalen. Instruktionerna omfattar:
begränsningar för att installera programvara och använda olika tjänster på organisationens enheter
rutiner för att registrera nya enheter
krav på fysiskt skydd av enheter och installation av uppdateringar
krav på tillträdeskontroll
skydd av organisationens data genom kryptering, skydd mot skadlig kod och säkerhetskopiering
organisationens möjligheter till fjärrhantering av enheten
Process i händelse av borttappade eller stulna mobila enheter
Rutiner har utarbetats för stöld eller förlust av mobila enheter.
Användaren kan vara skyldig att:
ändra användarkoder till nätverk
att informera IT-avdelningen om situationen (och vid behov polisen eller mobilabonnemangsleverantören)
att ändra andra nödvändiga lösenord som kan ha äventyrats
Organisationens process när en enhet tappas bort kan innefatta t.ex. tömma enheten (åtminstone organisationens innehåll) på distans.
PIN-skydd och automatisk låsning av enheter
Enheterna bör skyddas på ett sådant sätt att den information som lagras eller behandlas i dem inte kan användas eller lämnas ut utan tillstånd. Obligatoriskt skydd av enheter med t.ex. en 5-siffrig PIN-kod före varje användning och automatisk låsning av enheter efter t.ex. 5 minuters inaktivitet.
Distansarbete
Instruktioner för personal om säkert distansarbete
För personal som arbetar på distans har egna bruksanvisningar skapats, vars efterlevnad följs upp. Dessutom anordnas regelbunden utbildning för personalen som förklarar hoten mot informationssäkerheten som orsakas av användningen av mobila enheter och distansarbete och upprepar verksamhetsinstruktioner.
E-post och nätfiske
Förbättra noggrannheten med e-post och skydda mot nätfiske.
E-post och webbläsare
Instruktioner för personal angående nätfiske
Organisationen har tagit fram anvisningar för personalen som definierar acceptabel användning av olika kommunikationstjänster och som syftar till att förhindra att konfidentiell information lämnas ut till exempelvis nätfiskare eller andra utomstående.
E-postautentisering: DKIM
DKIM lägger till en digital signatur i rubriken på ett utgående e-postmeddelande. Det utgående e-posten krypteras med den privata nyckeln och den publika nyckeln läggs till i domänens DNS-information så att den mottagande servern kan dekryptera informationen. Med hjälp av nyckeln säkerställs därför att meddelandena verkligen kommer från ditt eget domännamn och inte från en avsändare som utger sig för att vara dig.
E-postautentisering: DMARC
DMARC arbetar tillsammans med SPF och DKIM. Den används för att specificera för den mottagande e-postservern hur man ska hantera meddelanden som inte klarar SPF- eller DKIM-kontroller.
E-postautentisering: SPF
Att använda SPF hjälper till att bekräfta äktheten av e-postmeddelanden som skickas från din domän. SPF läggs till som en TXT-post i din domäns DNS-information för att tala om vilka e-postservrar som får skicka e-post på din domäns vägnar. Den mottagande e-postservern hänvisar till denna post när man avgör om e-postmeddelandet är från rätt part.
Uppdaterad den 9 april 2024
Skapad av
Informationssäkerhet och cybersäkerhet
Text
Text
Text
Text
Text
Text
Text
Text