Presentation infoklass i praktiken SIGsecurity 2014-09-22

Ett lyckat informationsklassificeringsprojekt!
Agenda
•
•
Om Marginalen
•
•
•
Projektet – vägen fram till klassningen
•
•
Frågestund
Om Andreas
Bensträckare
Projektet – vad hände sen
Avslut
OM MARGINALENKONCERNEN
Bakgrund
•
Marginalen har rötter från 1979 och finns för
närvarande i Sverige, Lettland och Litauen med
cirka 620 anställda
•
VD och ägare för Marginalenkoncernen är
Ewa Glennow
Marginalen Bank
•
•
•
•
Fernando Miranda är VD
Banklicens 2010
Förvärv Citibanks svenska konsumentverksamhet
Har i Sverige ca 200.000 privatkunder och 7.000
företagskunder
Vision
•
Bidra till en bättre värld genom att skapa ekonomiskt försprång för människor som söker
en bank och partner som inte bara tittar på siffror utan lika mycket på idéer och framtid.
VÅRA PRODUKTOMRÅDEN
Marginalen Bank
Marginalen Bank
privatpersoner
företag
LÅN
KORT
SPARA
LEASING
KONSULT
INKASSO
HR
JURIDIK
MARGINALEN CORE
FINANSIERING
FÖRSÄKRING
ANDREAS ELVEBORG
VEM ÄR ANDREAS?
•
•
•
Nyfiken, analytisk med behov av att komma till avslut.
Helhetsperspektiv
Drivit bolag sedan 1992 som konsult och VD för
tjänsteföretag, anställd på Marginalen sedan 2009
•
Verksamhetsutveckling
• Informationshantering
• Struktur: design/införa/förvalta/förbättra
• Styrning & kontroll, riskbaserat angreppsätt
Design – analys av interna förmågor & omvärld →
lösningar anpassat för verksamheten
DRIVKRAFT
•
MARGINALEN
•
•
•
Uppdrag CTO lyfta plattform (infrastruktur, data
warehouse/BI, integration/BizTalk) & hantera förvärv
Uppdrag genomlysa bankens hantering av operativa
risker med fokus på informationssäkerhet
Design för både grupp och bank
(riskkontroll, kontinuitetshantering, CSO/CISO)
INFORMATIONSKLASSIFICERING
Projektdirektiv
•
Syfte & mål
– Att identifiera skyddsnivåer för bankens information
– Att säkerställa efterlevnad av regulatoriska krav
(Finansinspektionen, Datainspektionen)
– Att säkerställa förutsättningar för mer finmaskigt val av
skyddsåtgärder (spara pengar)
•
Omfattning
– Hela verksamheten
– Processperspektiv
– Mappar
– Inte system i denna fas
Projektets milstolpeplan
Etablering & förberedelser
Projektgrupp/staffning
Metodik, fastställa kriterier
Vägledning/frågebatteri
Validering
Kontrollfunktioner – godkännande metodik
Pilot - verklighetstest
Genomförande
Uppstartsworkshop
Inventering
Workshop klassning
Klassning
Validering
Projektavslut
Förvaltning
Effekthemtagning (analys &
rapportering)
December
- Januari
Februari
Mars April
Maj
Nästa steg
Etablering & förberedelser
Projektgrupp/staffning
Metodik, fastställa kriterier
Vägledning/frågebatteri
Validering
Kontrollfunktioner – godkännande metodik
Pilot - verklighetstest
Genomförande
Uppstartsworkshop
Inventering
Workshop klassning
Klassning
Validering
Projektavslut
Förvaltning
Etablering och förberedelser
Effekthemtagning (analys &
rapportering)
Nästa steg
Etablering & förberedelser
Staffning
•
•
•
Projektledare & projektassistent
Styrgrupp – 2 medlemmar ur högsta ledningen
Verksamheten
– 15-tal affärsområden ur 3 divisioner
– Stödfunktioner (ekonomi, IT, marknad, juridik, etc)
– Kontrollfunktioner (andralinjen)
– Totalt drygt 25 grupperingar
– Processägare, övriga funktionsansvariga (specialister)
– Chefer (alla nivåer)
Etablering & förberedelser
Kontext
Informationsobjektets
skyddsvärde
Verksamhetskrav,
Regulatoriska krav
Befintliga
skyddsåtgärder
Hotbild & sårbarheter
Incidenter
Riskbedömning
Etablering & förberedelser
Definitioner
Sekretess
Riktighet
Tillgänglighet
Spårbarhet
• Egenskap att
information inte får
göras tillgänglig
eller avslöjas för
obehöriga individer,
enheter eller
processer.
• Dvs att rätt person
kommer åt rätt
uppgifter,
exempelvis med
behörighetssystem.
• Egenskap hos
tillgång som
innebär att
tillgångens
exakthet och
fullständighet
skyddas.
• Dvs att information
innehåller rätt
datakvalité och
skyddas mot
förvanskning,
exempelvis med
arkivering eller
brandväggar.
• Egenskapen att
vara tillgänglig och
användbar på
begäran av en
behörig enhet.
• Dvs att information
är tillgänglig och
användbar för rätt
person, exempelvis
med SLA-nivåer
eller teknisk
redundans.
• Möjlighet att
entydigt kunna
härleda dels
utförda aktiviteter
och dels vilken
person eller
systemfunktion
som har utfört
dessa
• Exempelvis genom
loggning och
”tolkningsverktyg”
(SIEM)
• Definitionerna är baserade på ISO 27001:2006 (sv)
• Gallringsfrist
Etablering & förberedelser
Skyddsvärde
Klassningskategori
Konsekvensanalys
• Kategorier vid
bedömning av
konsekvens vid brister
i informationens:
•Sekretess,
•Riktighet,
•Tillgänglighet,
•Spårbarhet
Klassning/skyddsnivå
• Bedömning av
konsekvens för
banken och dess
kunder
• Konsekvensnivåer:
•Ingen/Försumbar
•Måttlig/Betydande
•Allvarlig/Kritisk
• Resulterar i
klassningsnivå:
•1 = Låg (publik)
•2 = Medel (intern)
•3 = Hög
(konfidentiell)
• Konsekvensnivå vs klassningsnivå/skyddsnivå
• Undantaget tillgänglighet
0 - y tim
Konsekvens → försumbar
Konsekvens försumbar → måttlig
Konsekvens måttlig → kritisk
y - x tim
minst x tim
Klass
1 - brons
2 - silver
3 - guld
Etablering & förberedelser
Konsekvensnivåer
Konsekvensnivå
2 - Måttlig/Betydande
Med måttlig till betydande negativ påverkan avses
Med ingen eller försumbar negativ påverkan avses förlust av sekretess, riktighet eller tillgänglighet som
förlust av sekretess, riktighet eller tillgänglighet
för egen eller annan verksamhet kan:
som för egen eller annan verksamhet utan eller
* orsaka en minskning i förmågan att lösa
med försumbar påverkan på:
verksamhetsuppgifterna i en utsträckning och
* förmågan att lösa verksamhetsuppgifterna i
varaktighet innebärande att verksamhetens
en utsträckning och varaktighet innebärande att
primära uppgifter kan fullföljas, men att
verksamhetens primära uppgifter kan fullföljas effektiviteten är påvisbart/påtagligt reducerad
3 - Allvarlig/Kritisk
Med allvarlig till kritisk negativ påverkan avses
förlust av sekretess, riktighet eller tillgänglighet
som för egen eller annan verksamhet kan:
* orsaka en allvarlig till kritisk begränsning i
förmågan att lösa verksamhetsuppgifterna i en
utsträckning och varaktighet innebärande att
verksamheten inte kan fullgöra en eller flera
av sina primära uppgifter
Med måttlig till betydande negativ påverkan avses
förlust av sekretess, riktighet eller tillgänglighet som
för egen eller annan verksamhet kan:
* resultera i måttliga till betydande skador på
verksamhetens tillgångar
Med måttlig till betydande negativ påverkan avses
förlust av sekretess, riktighet eller tillgänglighet som
för egen eller annan verksamhet kan:
* resultera i måttliga till betydande ekonomiska
förluster
Med allvarlig till kritisk negativ påverkan avses
förlust av sekretess, riktighet eller tillgänglighet
som för egen eller annan verksamhet kan:
* resultera i omfattande skador på
verksamhetens tillgångar
Ekonomi
(kvalitativ)
Med ingen eller försumbar negativ påverkan avses
förlust av sekretess, riktighet eller tillgänglighet
som för egen eller annan verksamhet utan eller
med försumbar påverkan på:
* resultat i skador på verksamhetens tillgångar
Med ingen eller försumbar negativ påverkan avses
förlust av sekretess, riktighet eller tillgänglighet
som för egen eller annan verksamhet utan eller
med försumbar påverkan på:
* resultat i ekonomiska förluster.
Ekonomi
(kvantitativ)
Motsvarar konsekvensnivå 1-3 i Bankens
riskmodell
Motsvarar konsekvensnivå 7-9 i Bankens
Motsvarar konsekvensnivå 4-6 i Bankens riskmodell riskmodell
Individ och
hälsa
Med ingen eller försumbar negativ påverkan avses
förlust av sekretess, riktighet eller tillgänglighet
som för egen eller annan verksamhet utan eller
med försumbar påverkan på:
* möjlighet att förorsaka negativ påverkan på
enskild individs rättigheter eller hälsa
Med måttlig till betydande negativ påverkan avses
förlust av sekretess, riktighet eller tillgänglighet som
för egen eller annan verksamhet kan:
* förorsakar måttliga till betydande negativ påverkan
på enskild individs rättigheter eller hälsa
Verksamhetsförmåga
Tillgångar
1 - Ingen eller försumbar
Med allvarlig till kritisk negativ påverkan avses
förlust av sekretess, riktighet eller tillgänglighet
som för egen eller annan verksamhet kan:
* resultera i stora ekonomiska förluster
Med allvarlig till kritisk negativ påverkan avses
förlust av sekretess, riktighet eller tillgänglighet
som för egen eller annan verksamhet kan:
* förorsakar allvarligt negativ påverkan på
enskild individs rättigheter eller liv och hälsa
Etablering & förberedelser
Operativ risk
•
Riskmodell för operativ risk
– Synergi BIA och befintliga konsekvensnivåer
Vänta med sannolikhet till riskbedömningen…
Sannolikhet
•
9
8
7
6
5
4
3
2
1
9
8
7
6
5
4
3
2
1
1
18
16
14
12
10
8
6
4
2
2
27
24
21
18
15
12
9
6
3
3
36
32
28
24
20
16
12
8
4
4
45
40
35
30
25
20
15
10
5
5
Ingen/
Måttlig/
Konsekvens
Försumbar
Betydande
54
48
42
36
30
24
18
12
6
6
63
56
49
42
35
28
21
14
7
7
72
64
56
48
40
32
24
16
8
8
Allvarlig/
Kritisk
81
72
63
54
45
36
27
18
9
9
Etablering & förberedelser
Klassningsnivå
Sekretess
Riktighet
Tillgänglighet
Spårbarhet
Skyddsnivå
1 - Låg
Skyddsnivå
1 - Låg
Skyddsnivå
1 - Låg
Skyddsnivå
1 - Låg
Skyddsnivå
2 - Medel
Skyddsnivå
2 - Medel
Skyddsnivå
2 - Medel
Skyddsnivå
2 - Medel
Skyddsnivå
3 - Hög
Skyddsnivå
3 - Hög
Skyddsnivå
3 - Hög
Skyddsnivå
3 - Hög
Etablering & förberedelser
Klassningsnivå - exempel
Sekretess
Riktighet
Tillgänglighet
Spårbarhet
Skyddsnivå 1 Låg/publik
Information som är avsedd för allmänheten och
kan komma till allmänhetens kännedom utan att
någon person eller organisation lider skada.
Spridning av information bedöms inte ge någon
negativ effekt på verksamheten, dess tillgångar,
enskilda individer eller annan part. Exempel:
- Information som publiceras på Bankens publika
hemsida
- Den publicerade årsredovisningen,
- Olika produktblad, marknadsinformation och
tjänstebeskrivningar.
Skyddsnivå 1 Låg
Information som, på grund av otillräcklig
riktighet, bedöms innebära en ej negativ eller
försumbar negativ effekt på verksamheten och
dess tillgångar eller på enskilda individer eller
annan part. Exempel:
- Mindre felaktigheter i informationen på
intranätet
- Arbetsdokument som inte utgör interna regler
Skyddsnivå 2 Medel/intern
Information som endast är avsedd för anställd
och inhyrd personal vid Banken samt för behöriga
externa intressenter.
Information som, om den sprids utanför avsedd
grupp, kan resultera i en måttlig eller betydande
negativ effekt på verksamheten, dess tillgångar,
enskilda individer eller annan part. Exempel:
- Kunduppgifter (privat och företag) inklusive
personuppgifter
- Information om vilka vi samarbetar med
(uppdragstagare, samarbetspartners,
leverantörer)
- Intern analysinformation som scoringmodeller,
volymer trender men även kommande kampanjer
och andra marknadsaktiviteter
Skyddsnivå 3 Hög/konfidentiell
Information som endast är avsedd för vissa
medarbetare vid Banken och i undantagsfall för
behöriga externa intressenter. Medarbetaren eller
intressenten ska, för att få behörighet till denna
information, ha ett uttalat behov av åtkomst för att
kunna utföra sina arbetsuppgifter eller
åtaganden.
Information som, om den sprids utanför avsedd
grupp, kan resultera i en allvarlig eller kritisk
Skyddsnivå 2 Medel
Information som, på grund av otillräcklig
riktighet, bedöms innebära en måttlig eller
betydande negativ effekt på verksamheten
och dess tillgångar eller på enskilda individer
eller annan part. Exempel:
- Bankens medarbetares löneuppgifter,
personalakt
- Kunduppgifter offline (avier,
kundengagemang, brev)
- Interna regler (policys, instruktioner,
processbeskrivningar)
Skyddsnivå 1 Låg
Information som, på grund av otillräcklig
tillgänglighet, bedöms innebära en liten eller
försumbar negativ effekt på verksamheten
och dess tillgångar eller på enskilda individer
eller annan part.
• När konsekvensen vid otillgänglighet blir
måttlig eller kritisk efter x timmar anses nivån
som 1 (låg). Exempel:
- Informationen på intranätet,
ledningssystemet eller fysiskt lagrad
information (pärmar)
- Bankens medarbetares löneuppgifter
Skyddsnivå 2 Medel
Information som, på grund av otillräcklig
tillgänglighet, bedöms innebära en måttligt
negativ eller betydande negativ effekt på
verksamheten och dess tillgångar eller på
enskilda individer eller annan part.
• När konsekvensen vid otillgänglighet går
från försumbar till måttlig inom 0-x timmar
och går från måttlig till kritisk inom y-x
timmar anses nivån som 2 (medel).
Exempel:
- Dokument på gemensamma kataloger.
- Information som behövs för att de
vardagliga processerna ska fungera
- Rapporter till myndigheter
Skyddsnivå 1 Låg
Brister i spårbarheten bedöms innebära
en ej negativ eller måttlig negativ effekt
på verksamheten och dess tillgångar
eller på enskilda individer eller annan
part.
Avseende att exempelvis kunna:
• Se vem som genomfört en viss aktivitet
• Följa en transaktion
• Se vem som loggat in och ut med
angivande av tidpunkter. Exempel:
- Information av tillfällig karaktär på
intranätet.
Skyddsnivå 2 Medel
Brister i spårbarheten bedöms innebära
en måttlig eller betydande negativ effekt
på verksamheten och dess tillgångar
eller på enskilda individer eller annan
part.
Avseende att exempelvis kunna:
• Se vem som genomfört en viss aktivitet
• Följa en transaktion
• Se vem som loggat in och ut med
angivande av tidpunkter. Exempel:
- Dokument på gemensamma kataloger
- Information på intranätet som inte är av
tillfällig karaktär.
Skyddsnivå 3 Hög
Information som, på grund av otillräcklig
tillgänglighet, bedöms innebära en allvarlig
eller kritisk negativ effekt på verksamheten
och dess tillgångar eller på enskilda individer
eller annan part.
• När konsekvensen vid otillgänglighet blir
kritisk inom y timmar är nivån 3 (hög).
Exempel:
- Kunders åtkomst till Bankens digitala
Skyddsnivå 3 Hög
Brister i spårbarheten bedöms innebära
en allvarlig eller kritisk negativ effekt på
verksamheten och dess tillgångar eller
på enskilda individer eller annan part.
Avseende att exempelvis kunna:
• Se vem som genomfört en viss aktivitet
• Följa en transaktion
• Se vem som loggat in och ut med
angivande av tidpunkter. Exempel:
Skyddsnivå 3 Hög
Information som, på grund av otillräcklig
riktighet, bedöms innebära ett krisläge eller en
allvarlig negativ effekt på verksamheten och
dess tillgångar eller på enskilda individer eller
annan part. Exempel:
- Rapporter till Myndigheter
- Pressmeddelanden och övrig information till
media
- Kunduppgifter för bearbetning såsom de
Etablering & förberedelser
Stöd för verksamheten
•
•
Mall för informationsklassning
•
•
•
Processperspektiv
Vägledning för informationsklassning
Standardnivå för klassning = 2
Fokus på avvikelser
Etablering & förberedelser
Sammanfattning:
Etablering & förberedelser
•
•
Att fastslå är viktigare än vad
Anpassa nivå efter förmåga
– 3 nivåer även om det skulle finnas behov av fler
•
Återanvänd kriterier som finns i verksamheten
– Riskanalyser, operativ risk, riskaptit
– Kontinuitetshantering – BIA
•
Skapa förutsättningar för verksamheten att göra
jobbet själv!
Etablering & förberedelser
Projektgrupp/staffning
Metodik, fastställa kriterier
Vägledning/frågebatteri
Validering
Kontrollfunktioner – godkännande metodik
Pilot - verklighetstest
Genomförande
Uppstartsworkshop
Inventering
Workshop klassning
Klassning
Validering
Projektavslut
Förvaltning
VALIDERING
Effekthemtagning (analys &
rapportering)
Nästa steg
Validering
Pilot
•
Urval pilot
– Många dokumenttyper
– Tillgång till kompetent personal
•
Delaktig i metodik och vägledning
– Vad funkar i praktiken, test av metodik och vägledning
– Direkt återföring av feedback i projektet (ingen prestige)
– Framtagning av workshopmaterial
Validering
Kontrollfunktioner
•
•
•
•
Nålsöga – test på de ”bråkigaste” först
•
Resultat:
Granskning av regelefterlevnad
Granskning riskmetodik (operativ risk)
Granskning ”kompabilitet” ledningssystem
– Ytterligare förenkling
– Accept → styrgrupp
Etablering & förberedelser
Projektgrupp/staffning
Metodik, fastställa kriterier
Vägledning/frågebatteri
Validering
Kontrollfunktioner – godkännande metodik
Pilot - verklighetstest
Genomförande
Uppstartsworkshop
Inventering
Workshop klassning
Klassning
Validering
Projektavslut
Förvaltning
GENOMFÖRANDE
Effekthemtagning (analys &
rapportering)
Nästa steg
Genomförande
Upplägg med verksamheten
WS1
• Första presentation
• Inventering -> ifyllnad mall
• Uppdrag att genomföra inventeringen (1 vecka)
WS2
• Klassning – exempel från ifylld mall
• Vägledning (utbildning)
• Uppdrag att genomföra klassningen (2 veckor)
WS3
• Fysiskt möte för uppföljning
• Stickprovskontroll validera verksamhetens svar
• Extra stöd vid behov
Genomförande
Upplägg med verksamheten
WS1
• Första presentation
• Inventering & klassning -> ifyllnad mall, stöd av vägledning
• Uppdrag att genomföra inventeringen & klassning (3 veckor)
• Behövdes inte
WS2
• Stickprovskontroll validera verksamhetens svar elektroniskt
Validering • Anpassat stöd vid behov: telefon, mejl, möte
Etablering & förberedelser
Projektgrupp/staffning
Metodik, fastställa kriterier
Vägledning/frågebatteri
Validering
Kontrollfunktioner – godkännande metodik
Pilot - verklighetstest
Genomförande
Uppstartsworkshop
Inventering
Workshop klassning
Klassning
Validering
Projektavslut
Förvaltning
PROJEKTAVSLUT
Effekthemtagning (analys &
rapportering)
Nästa steg
Projektavslut
Förvaltning
•
Intranätet och ledningssystemet kanaler för
kommunikation
– Tydligt projektavslut och överlämning
– Mallar, styrdokument, vägledningar lättillgängliga
•
•
Ansvar för förvaltning – chefer
I praktiken delegerat till funktionsansvariga
– Främst processägare och systemägare
Projektavslut
Key Success Factors
•
Projektets bemanning
– Diametrala motsatser!
– Kommunikation och kontakt med verksamheten
•
•
•
•
•
Ledningens godkännande & engagemang
Vägledningen – verktyg för verksamheten
Fastställande av kriterier
Buy-in kontrollfunktioner
Piloten
Projektavslut
Nästa steg
•
Klassningen gjord – och?
– http://www.youtube.com/watch?v=PATapIobiso – 1:14
NOW WHAT?
BENSTRÄCKARE!
PRINCIPER!
Verksamhetsnytta
•
Klassningen är gjord – hur ska vi använda den?
Informationsobjektets
skyddsvärde
Verksamhetskrav,
Regulatoriska krav
Befintliga
skyddsåtgärder
Klassningsprofil
Skyddsvärde
Säkerhetsprinciper
Skyddsåtgärd
Hotbild & sårbarheter
Incidenter
Riskbedömning
Riskbedömning
Entitetsrisk
Info obj
Doktyp
Filarea
Sekretess
Riktighet
Tillgänglighet
Skyddsnivå 1
Skyddsnivå 2
Skyddsnivå 3
Princip 1
Princip 5
Princip 7
Vidtagen
åtgärd
Spårbarhet
Sekretess
Riktighet
Planerad
åtgärd
Åtgärd 2
Åtgärd 3
Hotbild
Sårbarhet
Hotbild 1
Hotbild 2
Hotbild 3
Sannolikhet H
Sannolikhet M
Sannolikhet L
Konsekvens H
Konsekvens M
Entitetsrisk x
Konsekvens L
System
Tillgänglighet
Spårbarhet
Klassningsprofil
Klassningsprofil
•
Summering
– Drygt 800 dokumenttyper
– 32 unika mönster av 81 möjliga
•
•
•
(3 skyddsnivåer ^ 4 säkerhetskategorier)
Kodifiering & reducering
Resultat:
– 7 unika mönster = klassningsprofiler
– 12 standardiserade dokumenttyper
Informationsobjektets
identitet och innehåll
Inkommande
/utgående/icke
applicerbart
Behöriga
Utgående
Förvaring/
lagring av
dokument
System A
Känsligt och kvalitetskritiskt
rapport till myndighet
Känsligt och kvalitetskritiskt
dokument från kund
Sekretess
Riktighetsnivå Tillgänglighets- Spårbarhetsnivå
nivå
Avgränsad
grupp intern
Nivå 3
Konfidentiell
Nivå 3 Hög
Nivå 2 Medel
Nivå 2 Medel
Inkommande
System A
Avgränsad
grupp intern
Nivå 3
Konfidentiell
Nivå 3 Hög
Nivå 2 Medel
Nivå 2 Medel
Säkerhetsprinciper
Skyddsåtgärder & säkerhetsprinciper
•
Skyddsåtgärder
– Varierar med informationsobjektets art
– En åtgärd kan påverka allt från hantering av fysiska dokument till
enskilda system till verksamhetsförändringar
•
Säkerhetsprinciper
– Förenkla och staka ut ”staketet”
– How-to för efterlevnad av externa och interna regelverk
– Utgångspunkt i branschpraxis
– Anpassat för banken
Säkerhetsprinciper
Säkerhetsprinciper
•
Säkerhetsprinciper
Princip 1
• Säkerhetsområde: Styrning av åtkomst
• Säkerhetskategori: Sekretess
• Skyddsnivå: 3 (konfidentiell information)
• Innehåll: Extern åtkomst förutsätter stark autentisering
Princip 2
• Säkerhetsområde: Drifts- och kommunikationssäkerhet
• Säkerhetskategori: Riktighet
• Skyddsnivå: 1
• Innehåll: Trådlöst internt nät endast för kontrollerade enheter
Princip 3
• Säkerhetsområde: Drifts- och kommunikationssäkerhet
• Säkerhetskategori: Tillgänglighet
• Skyddsnivå: 3 (guld)
• Innehåll: Jour 24/7/365
Princip 4
• Säkerhetsområde: Drifts- och kommunikationssäkerhet
• Säkerhetskategori: Spårbarhet
• Skyddsnivå: 1
• Innehåll: Alla system ska tidssynkronieras mot extern källa
– Totalt: 62
– Prioriterade: 25
•
ISO 27002:2014
– 14 områden
– 35 mål
– 114 kontroller (drygt)
– Analysunderlaget
Sammanfattning
•
Skyddsvärde vs skyddsåtgärder
•
Riskbedömning
– Oacceptabel risk
Klassningsprofil
Skyddsvärde
Säkerhetsprinciper
Skyddsåtgärd
Riskbedömning
– Förhöjd risk
– Acceptabel risk
Nästa steg
Initial
•
Samverka med verksamhet (inkl IT)
– Förståelse för principer
Managed
– Identifiera gap
– Lösningar för ändamålsenliga åtgärder
•
•
•
Defined
Standardiserade dokumenttyper
Gallringsfrister
Mäta – KRI/KPI
Quantitatively
Managed
Optimizing
FRÅGOR?
TACK FÖR IDAG!
Kontaktuppgifter:
Andreas Elveborg
andreas.elveborg@marginalen.se
010-495 16 60 / 070-572 53 20
Finns på linked-in