När du tar datasäkerhetsfrågor på allvar






 Startsida
 Tjänster
 Kunder
 Kontakt
 Utbildning
-------------------

ODIT

E-mail: posta@odit.se

Tel:
08-449 72 29


Mobil:
070 521 69 25

 

Säkerhetspolicyn är nyckel till framgång ...och trygghet

Säkerhetspolicyn är nödvändig för att säkerställa att riskhanteringsprocessens utfall är adekvata och effektiva. Ledningen har ett ansvar för utveckling och effektivt tillämpning av policyn
- Vi hjälper dig att utveckla en strategisk informationssäkerhetspolicy som är anpassad till din verksamhet och organisationskultur och -miljö
- Vi hjälper dig att utveckla och utforma säkerhetspolicy för specifika system
- Vi hjälper dig att utveckla och utforma säkerhetspolicy för ert nätverk

Säkerhetspolicy
- Generella krav på säkerhetsåtgärder eller handlingsregler för en organisation eller verksamhet (ITS6).

- är ett dokument som kapslar in säkerhetskraven av en organisation och beskriver de nödvändiga stegen för att uppnå önskad säkerhet.

Säkerhetspolicy är ledningens uttalande som dikterar vilken typ av roll säkerheten spelar. Procedurer en komplett mängd av instruktioner, dvs. detaljerade steg för steg åtgärder. Riktlinjer är rekommendationer. Standarder är regler och normer för att verkställa säkerhetspolicys direktiven.

Säkerhetspolicyns grundkomponenter är omfattning (scope), ansvar, syfte och mål samt uppfyllelse och upprätthållande (genomdrivande).


- Informations- och kommunikationssäkerhetspolicyns dokumentet skall innehålla regler, direktiv och praxis som fastställer hur tillgångar, inklusive känslig information hanteras, skyddas och distribueras inom organisationen samt informations- och kommunikationssystemen

Vid utveckling av informations- och kommunikationssäkerhetspolicyn, representanter/ansvarige från dessa funktioner bör deltaga:
- Revison
- Juridik
- Ekonomi
- Informationssystem (användare och tekniker)
- Personal
- Säkerhet
- Verksamhetsledning.

Organisationens säkerhetspolicysdokumentet bör innehålla följande rubriker:

1. Introduktion
2. Verksamhetens huvuduppgift
3. Organisationens infrastruktur och ansvarstilldelning
4. Anledning till/vikten av säkerhetspolicy
5. Definitioner
6. Redogörelse av ledningens intentioner
7. Förklaring av säkerhetspolicy, principer och krav på efterlevnad av regler/policyer och redogörelsen som är av särskilt vikt för organisationen.
8. Säkerhet i nätverk och Internet
9. Brandväggspolicy: säkerhetskrav

10. Lösenordspolicy
11. Allmänna och specifika ansvar för informationssäkerhet
12. Incidenthantering
13. Verksamhetens kontinuitetsplan
14. Säkerhetsutbildning
15. Referenses till:
    a . systemssäkerhetspolicyns dokumenten
    a . andra policydokument



                            Hierarkiska policyer

  • Mål: vad ska uppnås, Strategi: hur uppnå målet, Policyer: regler att beakta vid tillämpning av strategier och Procedurer: metoder för att implementera policyer. Dessa skall definieras och hierarkiskt utvecklas. Direktiva dokumenten skall ta i beaktande de organisationella kraven och begränsningar.

  • Säkerhetspolicy: innehåller organisationens säkerhetsprinciper -och direktiv. Säkerhetspolicyn skall spegla organisationens övergripande policyer inklusive mänskliga rättigheter och legala krav.

  • IKT-säkerhet (informations- och kommunikationsteknik): alla relaterade aspekter som definierar, uppnår och upprätthåller sekretess (konfidentialitet), riktighet, tillgänglighet, oavvislighet (icke-förnekande), spårbarhet, autenticitet samt tillförlitlighet av informations- och kommunikationsteknik (MICTS).

  • Informationssäkerhet: alla relaterade aspekter som definierar, uppnår och upprätthåller sekretess (konfidentialitet), riktighet, tillgänglighet, oavvislighet (icke-förnekande), spårbarhet, autenticitet och tillförlitlighet av information eller informationsbehandlingsresurser.

  • IKT-policy: beskriver vikten av säkerhet angående informations- och kommunikationsteknik. Beskriver även regler och metoder för att säkra informations- och kommunikationsresurser och innehåller tekniska och ledningsmässiga policyer.

  • Systemsäkerhetspolicy är en säkerhetspolicy som är specifik för ett enskilt system. Den innehåller detaljerad säkerhetskraven och skydd som skall implementeras samt metoder för hur korrekt genomföra skydden. Policyn skall spegla organisationens övergripande informations- och kommunikationssäkerhetspolicyns principer och direktiven.

 

E-postpolicy

Innan du utformar en säkerhetspolicy för e-post, börja med att studera och kontrollera redan för organisationen existerande policydokumenten sådana som lagar och föreskrifter, riktlinjer, tillgång till konfidentiell information, dokument för användning av telefonsystem, dokument med en policy och en beredskapsplan mot sexuella trakasserier eller olika slag av diskriminering. Du behöver också veta ifall din organisation tillåter personlig användning av e-postsystem och i så fall i vilken grad.

Vad ska E-postpolicydokumentet innehålla?

För att policyn ska bli effektiv, ska dokumentet vara enkelt och lättläst och inte vara längre än 3-4 sidor. Följande områden bör ingå i dokumentet

1. Verksamhet/affärsmässigt: riktlinjer för hur skriva ett effektivt brev

  • framställningssätt : riktlinjer för hur hälsningsfras och slutet skrivs

  • vad för slags signatur ska användas ex. skall signaturen innehålla organisationens namn, befattning, telefon- och faxnr. adressen, hemsidan och/eller organisationens loggo.

  • grundregler om hur skriva e-postmeddelanden (se. E-post etikett regler)

  • förväntade tid på brevsvar. Kan tex. ha allmänt regel att att varje e-brev skall besvaras inom 8 timmar men minst hälften skall besvaras inom 4 timmar

  • hur fastställa vilka e-brev som skall prioriteras

  • när ska cc, bcc breven sändas och vad göra när de tas emot

  • hur och när vidarebefordra samt hur hantera vidarebefordrade meddelanden

2. Produktivitet: regler för användning av e-mailsystem

  • huruvida personliga e-post är acceptabla och i så fall i vilken grad. Tex du kan begränsa antal personliga brev per dag eller du kan kräva att personliga brev sparas i en separat folder. Du kan också begränsa eller eliminera vissa bifogade dokument (skickade eller mottagna) samt ha en regel angående sändning av kedjebrev. Inkludera disciplinära åtgärder på brott mot reglerna

  • använd nyhetsbrev

  • varna användare att de inte skall  engagera sig i icke verksamhetsanknutna aktiviteter. Detta kan onödigt belasta nätverkstrafiken.

3. Lagar och föreskrifter: förbjud olämpliga e-post och varna för risker

  • inkludera en lista på "e-postrisker" för att medvetandegöra användare för de skadliga effekter av deras handlingar. Tala om för användare att skicka e-post är samma sak som att skicka ett vykort

  • policyn skall explicit redogöra att e-postsystemet inte ska användas för att skapa, eller distribuera aggressiva eller störande meddelanden; meddelanden som innehålla aggressiva kommentarer om hudfärg, kön, ålder, sexuelläggning, pornografi, religiösa eller politiska övertygelse, nationell identitet eller handikapp. Redogör att anställda som får brev med dessa innehåll, skall omedelbart rapportera detta till sin närmaste chef. Vidare, tala om för användare att de inte skall använda sig av e-post för att diskutera och kommentera andra organisationer. Olagliga meddelanden sådana som överträdelse av upphovsrätt skall också förbjudas. Dokumentet skall även innehålla klara åtgärder mot brott mot reglerna.

  • Om du ska övervaka anställdas e-post, ska detta nämnas i e-postpolicyn. Varna anställda att innehållet i deras e-post inte är av privat natur, att deras post kan läsas utan förvarning.

4. Publicera e-postpolicyn

När du har utformat en e-postpolicy, ska du försäkra dig att alla anställda är medvetna om den. Detta görs genom att dela ut kopior och publicera den på intranätet.

Det är bra om man inkluderar de mest viktiga punkterna tex. personlig användning av e-post, eventuell e-postövervakning samt förbud ang. förolämpning, sexuella eller rasistiska yttrande, och även de disciplinära åtgärder, i anställningskontraktet så att anställda måste skriva under att de hade läst och förstått innebörden av policyn.

5. Uppdatera policyn

eftersom utveckling av e-post och internet förändras snabbt är det viktigt att kontinuerligt revidera e-postpolicyn ett par gånger per år. Tänk på att nya lagar och förordningar om användning av e-post och internet tillkommer med jämna mellanrum

6. Vidmakthålla e-postpolicyn

Slutligen, se till att användarna följer reglerna, tex. via e-post övervakningsverktyg.

E-postetikett

  1. var koncis

  2. svara alla frågor och svara snabbt

  3. stava rätt

  4. gör brevet personligt

  5. överdriv inte med "hög prioritet"

  6. använd inte STORA BOKSTÄVER

  7. läs brevet innan du skickar det

  8. var försiktig med förkortningar ,

  9. vidarebefordra inte kedjebrev

  10. fråga inte att återkalla medellandet

  11. kopiera inte meddelandet eller det som bifogas utan tillstånd

  12. använd inte e-post för att diskutera konfidentiell information

  13. använd meningsfullt ämne

  14. använd aktiv form istället för passiv

  15. undvik BRÅDSKANDE och VIKTIGT

  16. undvik långa meningar

  17. skicka inte eller befordra inte e-post som innehåller förolämpning, sexuella eller rasistiska yttrande

  18. befordra inte virus, hoax eller kedjebrev

  19. använd ett neutralt språk

  20. svar inte på spam

  21. använd cc: fältet sparsamt