Ragnar Nordberg, Göteborg

More documents

Recommendations

Info

Definiera granskningsområde • Ett villkor för att nå kvalité i informationsöverföringarna är att de är väl definierade. • Därför skall varje process föregås av en tydlig definition / specifikation av den informationsöverföring som granskningen avser innan metodprocessen startas. För att arbetet skall få acceptans bland de verksamhetsansvariga måste de ansvariga för informationsöverföringen utvärdera; kostnaderna för det arbete som krävs värdet av den höjda säkerheten i informationsöverföringarna värdet av att bibehålla de ackrediteringar som berörda verksamheter har uppnått mm Förarbeten Sammanställning av beslutade ITsäkerhetsregler System / Systemägare IT-drift Infrasrtuktur (nät, CFR, sjukhusliggaren mm) Revision eller Granskning p.g.a. Incidentrapporter ändrade säkerhetsregler, nyttoanalyser mm Åtgärdsplan Systemvis jämförelse av åtgärdsplaner Skapa dokumentationsmall Bilda granskningsgrupper Systemägarintern fråga? Nej Samlad åtgärdsplan Skapa kvalitetsmallar och checkpunktlista Överlämning till drift Nyttoanalys Dokumentera enl. dokumentaionsformuläret och kvalitetsmallarna Ja Hela processen Granskning enligt checkpunkterna Systemägarbeslut finansiering Prioritering Skapa avtalsmall Meddelandeutväxlingsavtal upprättas Gemensamma granskningsgruppens bedömning Beslut och finansiering Uppstart - Utbildning Introduktion i informationssäkerhet Genomgång med systemägarna Introduktion av analysmetoden Åtgärd Bedömning av ev risker Genomför nyttoanalys Nej Beslut OK? Ja Säkerhetsgranskning OK? Ja Nej Definiera granskningsområde RN 02-11-05 RN 02-11-05 RN 02-11-05 Introduktion i Informationssäkerhet Uppstart - Utbildning Introduktion av metoden Definiera granskningsområde Genomför nyttoanalys En mall för beräkningar av kostnader och nyttoeffekter måste användas för att; • underlätta analysen • spara tid Nyttoanalysmall • beräkningarna skall bli koncistenta och jämförbara Förarbete Metodens huvudkomponenter Uppstart och utbildning Processplan bestående av: Godkännandeochibruktagandeprocess Granskningsochbedömningsprocessen Åtgärdsprocess Kontinuitet Uppföljning av Informationssäkerhetsarbetet RN 02-11-05 RN 02-11-05 RN 02-11-05
1. 2 3 System Systemägare Ansvarig för IT-drift Ansvarig för Infrasrtuktur Revision eller Granskning p.g.a. Incidentrapporter ändrade säkerhetsregler, nyttoanalyser mm Åtgärdsplan Systemvis jämförelse av åtgärdsplaner Bilda granskningsgrupper Överlämning till drift Systemägarintern fråga? Nej Samlad åtgärdsplan Ja Dokumentera enl. dokumentaionsformuläret Granskning enligt checkpunkterna Meddelandeutväxlingsavtal upprättas Systemägarbeslut finansiering Prioritering Gemensamma granskningsgruppens bedömning Beslut och finansiering Genomgång med systemägarna Åtgärd Granskningslinjer Bedömning av ev risker Beslut OK? Nej Ja Nej Säkerhetsgranskning OK? Ja Varje informationsöverföringsprocess kan delas upp i tre granskningslinjer. 1. Den första är systemägarnas linje, avsändande och mottagande system 2. För den andra linjen ansvarar den/de som ansvarar för driften av systemen. 3. För den tredje linjen ansvara den/de som ansvarar för infrastrukturen, nät och allmänna servicesystem t ex CFR, sjukhusliggaren mm. Bedömning 1. Efter detta samlas de tre granskningsgrupperna och går igenom dokumentationen. Vid denna genomgång definieras eventuella risker. 2. Det samlade resultatet av granskningarna redovisas för systemägarna som gör en bedömning av de eventuella riskerna. RN 02-11-05 RN 02-11-05 RN 02-11-05 System / Systemägare Ansvarig för IT-drift Ansvaig för Infrasrtuktur Gransknings och bedömningsprocessen Bilda granskningsgrupper Dokumentera enl. dokumentaionsformuläret och kvalitetsmallarna Granskning enligt checkpunkterna Gemensamma granskningsgruppens bedömning Genomgång med systemägarna Bedömning av ev risker Dokumentationsprocessen 1. Granskningsgrupperna skall var för sig fylla i dokumentationsformuläret och besvara de frågor i checklistan som berör deras verksamhet. 2. All dokumentation skall ske i enlighet med dokumentationsmallen och frågorna besvaras med alternativen i kvalitetsmallarna. Det är mycket viktigt att dokumentationen sker på ett standardiserat sätt för att; - underlätta arbetet -spara tid - det skall vara möjligt att göra sammanställningar, jämförelser och utvärderingar av säkerheten och kvaliten i informationsöverföringarna Beslut Därefter beslutar systemägarna om informationsöverföringen kan tas i drift på grund av att det inte finns några risker med överföringen eller att riskerna anses så obetydliga att de kan åtgärdas i efterhand. I det senare fallet skall en åtgärdsplan upprättas för att komma till rätta med riskerna. Om riskerna är av sådan art att systemägarna inte anser att informationsöverföringen kan tas i drift skall en åtgärdsplan tas fram. Beslut OK? Ja Nej RN 02-11-05 RN 02-11-05 RN 02-11-05
Page 1 and 2: SU:s metod för säkerhetsgransknin
Page 3: Sammanställning av beslutade infor
Page 7: Åtgärdsplan Systemvis jämförels

Ragnar Nordberg, Göteborg

Create successful ePaper yourself

Delete template?

Save as template?