Tjänster / Informationssäkerhet

Tjänster för informationssäkerhet

När vi arbetar med företag inom området informationssäkerhet utgår vi alltid ifrån organisationens krav på lönsamhet och funktionalitet – rätt nivå på säkerheten utifrån verksamhetens krav. Vi arbetar utifrån vedertagna standarder i kombination med egen metodik.

Informationssäkerhetspolicy

Det bästa sättet att uppnå bra informationssäkerhet är att använda ett strukturerat angreppssätt som tar hänsyn till företagets särskilda säkerhetskrav. På så sätt kan du koncentrera dig på det som är viktigast. Informationssäkerhetspolicyn är företagsledningens instrument för att klart ange inriktningen och visa sitt engagemang för informationssäkerheten. Policyn bör ses som ett komplement till företagets affärsplan och ge uttryck för företagets önskan att arbeta på ett välkontrollerat och säkert sätt.

Vi hjälper er med att ta fram en policy och med att bestämma dess omfattning och innehåll, t ex:
  • Upprätta mål för säkerhetsarbetet - hur mycket säkerhet behöver jag
  • Kopplingar till underliggande riktlinjer och regelverk som e-post, fysisk säkerhet m m
  • Organisation för säkerhetsarbete och ansvarsfördelning
I arbetet med att ta fram en informationssäkerhetspolicy lägger vi också stor vikt vid att utarbeta en plan för hur policyn förankras i verksamheten och underhålls i organisationen. Vi kan också hjälpa er att granska eventuell befintlig policy för att göra en bedömning av dess aktualitet, det är nödvändigt att regelbundet kontrollera att policyn efterlevs.

Hot-/riskanalys

Otillräckliga säkerhetsåtgärder och rutiner kan leda till incidenter medan överdriven säkerhet blir onödigt dyr och tidskrävande. Hot- och riskanalyser syftar till att bedöma sannolikheterna att något inträffar som skadar verksamheten och att reducera de eventuella konsekvenserna av sådana skadliga händelser.

Affärsrisker är en del av företagsledares dagliga liv. Att ta affärsrisker syftar ytterst till att skydda företaget och dess tillgångar. Informationssäkerhetsrisker kan bedömas på motsvarande sätt med syfte att skydda mot oönskade händelser. En riskanalys möjliggör kloka investeringsbeslut och garanterar att affärsverksamhetens krav tillgodoses.

Vid en hot-/riskanalys hjälper vi er att identifiera, för verksamheten, kritiska tillgångar. Det kan röra sig om information, servrar och personal. Nästa steg är att identifiera hoten mot tillgångarna och utarbeta en plan för att hantera riskerna. Här är också viktigt att hitta balansen mellan verksamhet och skyddsåtgärder, dvs att balansera kostnaderna för att införa en åtgärd mot kostnaderna om något skulle inträffa. En väl genomförd riskanalys tjänar som grund vid prioriteringen av var resurserna ska läggas och vid utformningen av skyddsåtgärder.

Ledningssystem för Informationssäkerhet - LIS (ISO 17799)

Det övergripande syftet med att införa ett ledningssystem för informationssäkerhet är att styra informationssäkerheten i verksamheten. Vi hjälper er att införa LIS, eller delar av LIS, utifrån er organisations verksamhetsbehov, säkerhetskrav, processer, storlek och struktur.

Vi kan bland annat hjälpa er att:
  • Planera för införandet av LIS
  • Definiera omfattningen av ett LIS-projekt, hur stor och vilken del av organisationen som ska omfattas
  • Genomföra riskanalys
  • Öka säkerhetsmedvetandet i organisationen
  • Säkerhetsklassificera tillgångar
  • Styra kommunikation och åtkomst
Kontinuitetsplanering

Syftet med en kontinuitetsplan är att säkerställa att verksamheten kan fortgå som vanligt även om någon incident inträffar. Denna typ av planering avser reservförfaranden samt återställande åtgärder. Kritiska processer ska inte påverkas och följderna ska minimeras.

Vi hjälper er att:
  • Införa processer för verksamhetens kontinuitetsplanering
  • Analysera följderna om någon katastrof, incident eller avbrott inträffar
  • Utvärdera, testa och underhålla befintliga kontinuitetsplaner
  • Införa rutiner för incidenthantering