top of page

Personalens säkerhet


Uppgifter

Anställningsavtal anger medarbetarens och organisationens ansvar för informationssäkerhet.

 

Avtalet bör innehålla t.ex.

  • arbetstagarens juridiska skyldigheter och rättigheter, t.ex. ansvar som rör upphovsrätt eller dataskyddslagstiftning

  • arbetstagarens ansvar att följa instruktionerna, t.ex. i förhållande till användningen av hårdvara och data och klassificeringen av data

  • arbetstagarens eller uthyrarens ansvar vid behandling av uppgifter som erhållits från andra företag eller andra parter

  • åtgärder om en anställd eller vikarie bryter mot organisationens säkerhetskrav

  • skyldigheter som fortsätter efter anställningsförhållandets upphörande.



Användning av sekretessavtal

Alla anställda som hanterar konfidentiell information bör underteckna ett tystnads- eller konfidentialitetsavtal innan de hanterar konfidentiell information.

 

Tystnadsplikten bör omfatta till exempel:

  • tydlig definition av konfidentiell information

  • åtagandets antagna varaktighet

  • erforderliga åtgärder när åtagandet upphör

  • undertecknarnas ansvar och åtgärder för att undvika obehörigt röjande av information

  • ägande av information, affärshemligheter och immateriella tillgångar och hur detta relaterar till skyddet av konfidentiell information

  • tillåten användning av konfidentiell information och undertecknads rättigheter att använda informationen

  • rätten att inspektera och övervaka verksamhet som innefattar konfidentiell information.

Organisationen har definierat verksamhetsmetoder för att upprätthålla personalens digitala säkerhetskompetens.

Dessa kan innefatta t.ex. följande saker:

  • det finns instruktioner för personalen som beskriver de allmänna reglerna för digital säkerhet relaterade till arbetsrollen

  • personalen utbildas så att de kan arbeta säkert, känna till instruktionerna och kan följa dem

  • personalen visar genom tester eller liknande att de har de digitala säkerhetskunskaper och kunskaper som krävs för säker verksamhet.

Utbildningen fokuserar på det mest relevanta digitala säkerheten för varje arbetsuppgift, men innehåller också basinformation som gäller alla anställda:

  • den anställdes personliga ansvar (t.ex. för enheter och de uppgifter de behandlar)

  • rutiner som gäller alla (t.ex. rapportering av dataintrång)

  • regler som gäller alla (t.ex. ett rent skrivbord)

  • organisationens informationssäkerhetsroller (vem kontakta vid problem)

  

Upprätthålla en logg över organiserade digitala säkerhetsutbildningar

En logg förs över de digitala säkerhetsutbildningar som organisationen anordnar för sin personal. Loggen kan användas för att visa vilken typ av investeringar organisationen har gjort för personalens digitala säkerhetskompetens.

Varje utbildning kan dokumenteras, till exempel:

  • tidpunkt

  • ämne och varaktighet för utbildningen

  • hur utbildningen genomfördes och vem som utbildade

  • personer som deltagit i utbildningen

Informationssäkerhetsinstruktioner

Allmänna informationssäkerhetsinstruktioner för personal ska behandla t.ex. följande ämnen:

  • användning av mobila enheter och uppdateringar

  • lagring av information och säkerhetskopiering

  • dataskydd

  • användning av e-post

  • hantering av utskrifter, papper och filer

  • rapportering av störningar

  • förhindra bedrägerier

  

Ändring i anställningsförhållandet

Processen när anställningen upphör, t.ex. för att ta bort hårdvara och åtkomsträttigheter

Organisationen har definierat operativa rutiner som används för att samordna vid tidpunkten för upphörande av anställningsförhållandet, t.ex.:

  • Återlämning av verktyg och hårdvara

  • Borttagning av åtkomsträttigheter

  • Återställa andra informationstillgångar

Processen för att beviljas tillträde i början av anställningsförhållandet

I början av en persons anställning ges de omedelbart åtkomsträtt att använda alla informationssystem som är relaterade till deras roll.


 

Systemhantering


Uppgifter

Hantering av informationssystem

Instruktioner för personal om användning av informationssystem och identifieringsuppgifter

Organisationen bör ha definierade instruktioner för allmänt godtagbar användning av informationssystem och hantering av nödvändig identifieringsinformation.

Ägaren av informationssystem klassade som viktiga kan också definiera, dokumentera och implementera mer detaljerade regler för användningen av detta informationssystem. Dessa regler kan beskriva t.ex. informationssäkerhetskrav relaterade till informationen i systemet.

Att lista informationssystem och namnge ägare

Organisationen ska föra en förteckning över de informationssystem som används och de ägare som tilldelats informationssystemen. Ägaren ansvarar för att komplettera informationen i systemet och för eventuella andra informationssäkerhetsåtgärder som har nära anknytning till systemet.

Dokumentationen relaterad till systemen omfattar bl.a. den följande informationen:

  • Ansvar relaterade till systemet och dess avsedda användning

  • Plats för systemdata (diskuteras mer i detalj i en separat uppgift)

  • En beskrivning av systemunderhåll och utvecklingsansvar, samt leverantörer som eventuellt relaterar till detta (behandlas närmare i en separat uppgift)

  • Vid behov, åtkomsträtt till informationssystem och identifieringsmetoder (kommer att diskuteras mer i detalj i en separat uppgift)

  • Vid behov, anslutningar till andra system (kommer att diskuteras mer i detalj i en separat uppgift)

Tillträdeskontroll och identifiering

Användning av flerstegsautentisering för system som definieras som viktiga

System som innehåller viktig information bör loggas in med flera autentiseringsmetoder, som på engelska kallas antingen "two-factor", "multi-factor" eller "dual factor" autentisering.

Till exempel, när användaren först loggar in med ett lösenord, kan användaren också få en engångskod som ett sms. I det här fallet har hen identifierats med hjälp av två faktorer (att känna till lösenordet och äganderätten till telefonen).

Biometriska identifierare (t.ex. fingeravtryck) och andra enheter kan också användas för tvåstegsidentifiering. Det är dock värt att överväga kostnaderna och effekterna på integritetsskyddet.

Undvika delade användarnamn och dokumentering

Delade användarnamn bör endast tillåtas om det är nödvändigt av affärs- eller operativa skäl och bör godkännas och dokumenteras.

Om delade användarnamn används i underhållssyfte ska lösenorden ändras så snart som möjligt efter att användaren med underhållsrättigheter lämnat sitt jobb.

Regelbunden granskning av systemåtkomsträttigheter

Den som ansvarar för informationssystemet bestämmer åtkomsträttigheterna till systemet, i förhållande till användarnas uppgifter. De faktiska användarrättigheternas likvärdighet med de planerade ska övervakas och rättigheterna ska omvärderas med jämna mellanrum.

När åtkomsträttigheter granskas måste man också beakta minimering av underhållsrättigheter samt stängning av onödiga konton.

  

Användning av multifaktorautentisering för huvudanvändare

De som agerar som huvudanvändare i organisationens viktigaste system måste logga in med flera olika identifieringsmetoder (på engelska multifactor authentication, MFA). Till exempel, när användaren först loggar in med ett lösenord, kan användaren också få en engångskod som ett sms. I det här fallet har han identifierats med hjälp av två faktorer (att känna till lösenordet och äganderätten till telefonen). Biometriska identifierare (t.ex. fingeravtryck) och andra enheter kan också användas för identifiering i flera steg. Det är dock värt att överväga kostnaderna och effekterna på integritetsskyddet.


 

Riskhantering och ledning


Hantera digital säkerhet

Personalens allmänna kompetens och medvetenhet om informationssäkerhet.

All personal som arbetar under organisationens ledning måste vara medveten om:

  • hur de kan bidra till att öka effektiviteten i ledningssystemet för informationssäkerhet och vilka fördelar det finns med att förbättra informationssäkerhetsnivån

  • vilka konsekvenser bristande efterlevnad av kraven på ledningssystemet för informationssäkerhet kan få, vilken del av personalens arbete som påverkar informationssäkerhetsnivån

  • dessutom har ledningen bestämt hur personalen ska hållas medveten om informationssäkerhetsinstruktioner relaterade till den egna arbetsrollen.

Resursering och uppföljning av störhanteringen

Ledningen måste definiera administreringsansvar och skapa rutiner för att garantera ett effektivt och konsekvent svar på dataintrång.

Ledningen måste säkerställa till exempel:

  • ansvariga för störningshanteringen

  • det finns en dokumenterad process för att bemöta, hantera och rapportera störningar

Processen måste säkerställa t.ex.:

  • personalen har en tydlig kontaktpunkt/verktyg och instruktioner för att rapportera störningar

  • behörig personal hanterar de rapporterade dataintrång tillräckligt omfattande

Definiera säkerhetsroller och -ansvar

Högsta ledningen måste säkerställa tydliga ansvarsområden/befogenheter inom åtminstone följande teman:

  • vem som i första hand ansvarar för att ledningssystemet för informationssäkerhet uppfyller kraven på informationssäkerhet

  • vem som agerar som ansvariga för huvudteman i ledningssystemet för informationssäkerhet

  • vem som har ansvaret och befogenheten att rapportera till den högsta ledningen om hur ledningssystemet för informationssäkerhet fungerar

  • vem som har befogenhet att utföra interna auditeringar

De personer som är ansvariga för huvudteman i ledningssystemet för datasäkerhet presenteras på skrivbordet i ledningssystemet och i rapporten Datasäkerhetspolicy.

Den högsta ledningen ska också se till att alla roller som är viktiga ur informationssäkerhetssynpunkt, samt därmed sammanhängande ansvar och befogenheter, definieras och kommuniceras.

Ledningens engagemang för dataskyddshantering och ledningssystemet

Organisationens ledning ska visa engagemang för dataskyddsarbetet och ledningssystemet för informationssäkerhet. Ledningen åtar sig att:

  • att fastställa de krav som ligger till grund för arbetet (t.ex. kundkrav, lagar och förordningar eller standarder)

  • för att fastställa vilka resurser som behövs för dataskyddshantering

  • att kommunicera vikten av dataskydd och informationssäkerhet

  • för att säkerställa att arbetet når önskat resultat

  • att främja en kontinuerlig förbättring av dataskydd

Ledningen bestämmer också omfattningen av ledningssystemet för informationssäkerhet och antecknar beslutet i beskrivningen av ledningssystemet. Det betyder till exempel om vissa delar av organisationens verksamhet eller hanterade information är undantagna från ledningssystemets omfattning, eller om det gäller all organisations information/aktiviteter.

Antal, kvalifikationer och lämplighet för nyckelpersoner inom informationssäkerhet

Organisationen har tillräckligt med utbildad, övervakad och vid behov ordentligt säkerhetsgodkänd personal som spelar nyckelroller inom informationssäkerhet och utför ledningsuppgifter relaterade till ledningssystemet för informationssäkerhet.

Organisationen har definierat:

  • vilka kvalifikationer denna personal måste ha

  • hur kvalifikationen förvärvas och verifieras (t.ex. genom lämplig utbildning och uppföljning av utbildning)

  • hur kompetens kan påvisas genom dokumentation

Uppgiftens ägare granskar regelbundet antalet och kompetensnivån hos säkerhetspersonalen.

Resursförsörjning och övervakning av störningshantering

Ledningen måste definiera ledningens ansvar och skapa rutiner för att garantera ett effektivt och konsekvent svar på informationssäkerhetsincidenter eller dataintrång.

Ledningen måste säkerställa till exempel:

  • störningshanteringen är ansvarig

  • det finns en dokumenterad process för att bemöta, hantera och rapportera störningar

Processen måste säkerställa t.ex.:

  • personalen har en tydlig kontaktpunkt/verktyg och instruktioner för att rapportera störningar

  • kvalificerad personal hanterar de rapporterade dataintrången tillräckligt omfattande

Personalens allmänna kunskap och medvetenhet om informationssäkerhet

All personal som arbetar under organisationens ledning måste vara medveten om:

  • hur de kan bidra till att öka effektiviteten i ledningssystemet för informationssäkerhet och vilka är fördelarna med att förbättra informationssäkerhetsnivån

  • vilka konsekvenser bristande efterlevnad av kraven på ledningssystemet för informationssäkerhet kan få, vilken del av personalens arbete som påverkar informationssäkerhetsnivån

Dessutom har ledningen bestämt hur personalen ska hållas medveten om instruktioner gällande informationssäkerhet relaterade till de egna arbetsuppgifterna.


 

Teknisk informationssäkerhet


Övervaka användningen och skydda data mot skadlig programvara och exploatering av sårbarheter.

   

Skydd mot skadlig programvara

Automatisk uppdatering och körning av skadlig programvara

Systemen som används för skydd mot skadlig programvara kontrollerar och installerar automatiskt uppdateringar med önskade intervaller och kör även de önskade kontrollerna vid vald frekvens utan användarinblandning.

Val och användning av program för att upptäcka och reparera skadlig programvara på alla enheter

Välj och installera program för upptäckt och reparation av skadlig programvara och uppdatera dem regelbundet för förebyggande eller regelbunden genomsökning av datorer och datamedia.

Program bör kontrollera åtminstone följande:

  • filer som tas emot via nätverket eller lagringsmediet kontrolleras för skadlig programvara före användning

  • e-postbilagor och nedladdade filer skannas efter skadlig programvara före användning

  • webbplatser skannas efter skadlig programvara

   

Kryptering

Laptop kryptering

De bärbara datorerna är skyddade med full-diskkryptering.

Kryptering av smarttelefoner och surfplattor

Enheter som stöder full-disk kryptering väljs som smarttelefoner och surfplattor och kryptering är inställd på på.

  

Säkerhetskopiering

Dokumentera och ta ansvar för dina egna backupprocesser

I samband med informationssystemlistan beskriver vi vilka system vi ansvarar för att säkerhetskopiering görs. Processerna för säkerhetskopiering på eget ansvar i organisationen dokumenteras och en ägare definieras för var och en. Dokumentationen innehåller t.ex.:

  • med vilket system och hur ofta görs säkerhetskopieringarna?

  • hur skyddas säkerhetskopior (kryptering, fysisk plats)?

  • hur länge sparas säkerhetskopior?

   

Att klargöra ansvar för säkerhetskopiering av viktig information

Med tillräckliga säkerhetskopior kan alla viktiga data och program återställas efter en katastrof eller mediafel. Ett viktigt första steg i effektiv säkerhetskopiering är att identifiera vems ansvar det är att säkerhetskopiera. Det är de som är ansvariga för informationen som skall bestämma vem som ansvarar för säkerhetskopior (system, hårdvara).

Om säkerhetskopieringen är partnerns ansvar tar vi reda på:

  • hur omfattande säkerhetskopierar partnern data?

  • hur kan data återställas om det behövs?

  • hur är det överenskommet om säkerhetskopiering i kontrakten?

Om säkerhetskopieringen är vårt eget ansvar får vi reda på:

  • finns det en säkerhetskopieringsprocess på plats och dokumenterad?

  • är säkerhetskopieringen och implementeringscykeln på den nivå som krävs av datas betydelse?

Nätverkssäkerhet

Skydda ditt trådlösa nätverk

Användningen av det trådlösa nätverket skyddas med tillräckliga nycklar och anslutningstrafiken till nätverksroutern är krypterad. Det trådlösa nätverket avsett för gästanvändning är isolerat från företagets egna interna nätverk.

Skyddssystem

Virtualisering

Dataskydd

Följ kraven och föreskrifterna vid behandling av personuppgifter.

Uppgifter

Information och informationsförfrågningar

Publicering och underhåll av integritetsbeskrivning

När det gäller behandling av personuppgifter ska den information som definieras i dataskyddsförordningen lämnas till den registrerade i en kortfattad, begriplig och lättillgänglig form. Ofta görs detta antingen som registerspecifika eller på annat sätt sammanställda integritetsbeksrivningar, som publiceras till exempel på organisationens hemsida.

Den dataskyddsansvarige ser till att den information som krävs enligt dataskyddsförordningen (artikel 13) förmedlas. När personuppgifter inte har samlats in från den registrerade själv ska utöver det grundläggande innehållet i rapporterna anges:

  • var informationen erhållits

  • vilka personuppgiftsgrupper som behandlas

Process för att ta emot och behandla begäranden om dataskydd

Närhelst personuppgifter behandlas har den registrerade vissa rättigheter, t.ex. få tillgång till sina uppgifter och i vissa situationer invända mot behandlingen eller få sina uppgifter raderade.

Rutiner har planerats för dessa situationer, som kan inkludera t.ex.:

  • de sätt på vilka den registrerade kan skicka informationsförfrågningar

  • de sätt på vilka identiteten för avsändaren av informationsbegäran verifieras

  • personer som hjälper registrets kontaktperson vid handläggningen av begäran

  • de sätt på vilka informationen levereras till den registrerade på ett säkert sätt

Behandlingsprinciper och bevisskyldighet

Dokumentera syftena med användningen av personuppgifter för datareserver

Behandling av personuppgifter är laglig endast om någon av de rättsliga grunder som anges i dataskyddsförordningen är uppfyllda. Organisationen ska kunna kommunicera syftet med och rättslig grund för behandlingen till den registrerade och vid behov till tillsynsmyndigheten.

Dokumentationen ska innehålla minst:

  • den rättsliga grunden för behandlingen och nödvändig ytterligare information

  • parter till vilka behandlingen har lagts ut på entreprenad

  • relaterade datamaterial

  

Instruktioner för personal om behandling av personuppgifter

Den dataskyddsansvarige har skapat bruksanvisningar för personal som hanterar personuppgifter. Dessutom är den dataskyddsansvarige redo att ge råd till den personuppgiftsansvarige, samarbetspartners som behandlar personuppgifter eller vår egen personal gällande dataskydd, efterlevnad av dataskyddsförordningen eller andra dataskyddskrav.

Lista över informationsresurser och namnge ägarna

Organisationen måste föra en lista över de datareserver den hanterar och de namngivna ägarna. Ägaren ansvarar för att komplettera uppgifterna i databasen och för eventuella andra digitala säkerhetsåtgärder som har nära anknytning till informationsdatabasen.

Dokumentationen relaterad till databaserna omfattar bl.a. följande information:

  • Ansvar relaterade till databasen

  • Syften med dataanvändning (diskuteras mer i detalj i en separat uppgift)

  • Datamaterialet som utgör databasen (kommer att diskuteras mer i detalj i en separat uppgift)

  • Regelbundna överföringar av data (behandlas mer i detalj i en separat uppgift)

  • Vid behov, information om anslutningen av databasen till driftprocesserna



 

Distansarbete och mobila enheter


Säkerställ säkerheten när personal arbetar på mobila enheter och utanför de egna lokalerna.

   

Hantering av mobila enheter

Instruktioner för personal angående användning av mobila enheter

För användning av mobila enheter har separata instruktioner skapats för personalen. Instruktionerna omfattar:

  • begränsningar för att installera programvara och använda olika tjänster på organisationens enheter

  • rutiner för att registrera nya enheter

  • krav på fysiskt skydd av enheter och installation av uppdateringar

  • krav på tillträdeskontroll

  • skydd av organisationens data genom kryptering, skydd mot skadlig kod och säkerhetskopiering

  • organisationens möjligheter till fjärrhantering av enheten

Process i händelse av borttappade eller stulna mobila enheter

Rutiner har utarbetats för stöld eller förlust av mobila enheter.

Användaren kan vara skyldig att:

  • ändra användarkoder till nätverk

  • att informera IT-avdelningen om situationen (och vid behov polisen eller mobilabonnemangsleverantören)

  • att ändra andra nödvändiga lösenord som kan ha äventyrats


Organisationens process när en enhet tappas bort kan innefatta t.ex. tömma enheten (åtminstone organisationens innehåll) på distans.

PIN-skydd och automatisk låsning av enheter

Enheterna bör skyddas på ett sådant sätt att den information som lagras eller behandlas i dem inte kan användas eller lämnas ut utan tillstånd. Obligatoriskt skydd av enheter med t.ex. en 5-siffrig PIN-kod före varje användning och automatisk låsning av enheter efter t.ex. 5 minuters inaktivitet.

  

Distansarbete

Instruktioner för personal om säkert distansarbete

För personal som arbetar på distans har egna bruksanvisningar skapats, vars efterlevnad följs upp. Dessutom anordnas regelbunden utbildning för personalen som förklarar hoten mot informationssäkerheten som orsakas av användningen av mobila enheter och distansarbete och upprepar verksamhetsinstruktioner.


 

E-post och nätfiske


Förbättra noggrannheten med e-post och skydda mot nätfiske.

E-post och webbläsare

Instruktioner för personal angående nätfiske

Organisationen har tagit fram anvisningar för personalen som definierar acceptabel användning av olika kommunikationstjänster och som syftar till att förhindra att konfidentiell information lämnas ut till exempelvis nätfiskare eller andra utomstående.

E-postautentisering: DKIM

DKIM lägger till en digital signatur i rubriken på ett utgående e-postmeddelande. Det utgående e-posten krypteras med den privata nyckeln och den publika nyckeln läggs till i domänens DNS-information så att den mottagande servern kan dekryptera informationen. Med hjälp av nyckeln säkerställs därför att meddelandena verkligen kommer från ditt eget domännamn och inte från en avsändare som utger sig för att vara dig.

  

E-postautentisering: DMARC

DMARC arbetar tillsammans med SPF och DKIM. Den används för att specificera för den mottagande e-postservern hur man ska hantera meddelanden som inte klarar SPF- eller DKIM-kontroller.

  

E-postautentisering: SPF

Att använda SPF hjälper till att bekräfta äktheten av e-postmeddelanden som skickas från din domän. SPF läggs till som en TXT-post i din domäns DNS-information för att tala om vilka e-postservrar som får skicka e-post på din domäns vägnar. Den mottagande e-postservern hänvisar till denna post när man avgör om e-postmeddelandet är från rätt part.


 

Uppdaterad den 9 april 2024

Skapad av


Informationssäkerhet och cybersäkerhet

Text

Text

Text

Text

Text

Text

Text

Text

bottom of page