11.7.2008 | 13:14
Hvaða reglur gilda á þínum vinnustað?
Þessi umfjöllun um hvað Guðmundur Þóroddsson, fyrrverandi forstjóri Orkuveitu Reykjavíkur (OR), tók eða tók ekki með sér snýr að mínu sérsviði, þ.e. stjórnun upplýsingaöryggis. Í stöðlunum ISO 27001 og ISO 27002, sem eru kjarnastaðlar um stjórnun upplýsingaöryggis, er skilgreint hvaða reglur þurfa að vera til staðar til að taka á atvikum svipuðum þeim sem hér um ræðir. Mér vitanlega þá hefur OR innleit stjórnkerfi upplýsingaöryggis samkvæmt ISO 27001 og því tel ég líklegast að reglurnar séu til hjá fyrirtækinu án þess að vita hvað í þeim stendur. Það sem kemur hér fyrir neðan er því á engan hátt tilvísun til fyrirkomulags hjá OR, heldur almennar leiðbeiningar til fyrirtækja og stofnana um hvað staðlarnir segja um þetta.
Fyrir þá sem ekki vita, þá er ISO 27001 kröfustaðall og sá sem vottun fært gagnvart, meðan ISO 27002 inniheldur leiðbeinandi bestu starfsvenjur. Ég mun því vitna í kröfur ISO 27001, eins og þær eru birtar í viðauka A í staðlinum. Greinarnúmer í ISO 27002 eru þau sömu og í ISO 27001 að undanskyldu "A.".
A.6.1.5 Trúnaðarsamningur: Bera [skal] kennsl á og rýna með reglubundnum hætti kröfur um samninga um trúnað eða þagnarskyldu sem spegla þarfir fyrirtækisins fyrir verndun upplýsinga.
A.7.1.1 Eignaskrá: Bera [skal] kennsl á allar eignir með skýrum hætti og gera skrá yfir mikilvægar eignir og viðhalda henni.
A.7.1.3 Ásættanleg notkun eigna: Setja [skal] reglur, skjalfesta þær og innleiða um ásættanlega notkun upplýsinga og eigna...
A.7.2.1 Leiðbeiningar um flokkun: Upplýsingar [skal] flokka með tilliti til verðmætis, réttarfarsákvæða, viðkvæmni og mikilvægis fyrir fyrirtækið.
A.8.1.3 Ráðningarskilmálar: Sem hluta af samningsbundinni skyldu sinni [skulu] starfsmenn, verktakar og notendur með stöðu þriðja aðila samþykkja og undirrita skilmálana í ráðningarsamningi sínum sem [skulu] kveða á um ábyrgð þeirra og fyrirtækisins á öryggi upplýsinga.
A.8.3.1 Ábyrgð við ráðningarlok: Ábyrgð á framkvæmd ráðningarloka eða breytinga á ráðningu [skal]vera vel skilgreind og falin ákveðnum aðila með skýrum hætti.
A.8.3.2 Eignum skilað: Allir starfsmenn, verktakar og notendur með stöðu þriðja aðila [skulu] skila öllum eignum fyrirtækisins sem eru í þeirra vörslu að loknum ráðningartíma þeirra eða samningi.
A.8.3.3 Niðurfelling aðgangsréttinda: Fella [skal] niður aðgangsréttindi allra starfsmanna, verktaka og notenda með stöðu þriðja aðila að upplýsingum og upplýsingavinnslubúnaði við ráðningarlok þeirra, samnings eða samkomulags, eða aðlaga þau eftir breytingu.
A.10.7.3 Verklagsreglur um meðferð upplýsinga: Setja [skal] verklagsreglur um meðferð og geymslu upplýsinga til þess að vernda þessar upplýsingar fyrir óheimilli uppljóstrun eða misnotkun.
A.11.1.1 Aðgangsstýringarstefna: Aðgangsstýringarstefnu [skal] koma á, skjalfesta og rýna á grundvelli rekstrar- og öryggiskrafna um aðgang.
A.11.6.1 Takmörkun á aðgangi að upplýsingum: Aðgang notenda og starfsmanna, sem annast stuðning, að upplýsingum og aðgerðum hugbúnaðarkerfa [skal] takmarka í samræmi við skilgreinda aðgangsstýringarstefnu.
Þetta er dágóð upptalning og ekki fyrir hvern sem er að útfæra þessar kröfur þannig að vel sé. Auk þess er það algengur misskilningur að staðlarnir nái eingöngu til upplýsinga á rafrænu formi, en svo er alls ekki. Í inngangskafla ISO 27002 segir m.a.: ,,Upplýsingar geta verið á margs konar formi. Þær geta verið prentaðar eða ritaðar á pappír, geymdar með rafrænum hætti, sendar með pósti eða á rafrænan hátt, birtar á filmu eða látnar í ljós í mæltu máli. Á hvaða formi sem upplýsingarnar eru, og hvaða leiðir sem notaðar eru til að samnýta þær eða geyma, ætti ávallt að vernda þær á viðeigandi hátt."
Hafi einhverjir áhuga á að fræðast meira um þetta efni, staðlana ISO 27001 og ISO 27002, innleiðingu á stjórnkerfi upplýsingaöryggis eða bara upplýsingaöryggismál almennt, þá er um að gera að senda mér tölvupóst á oryggi@internet.is eða fara inn á heimasíðu mína www.betriakvordun.is. Þetta er það sem ég hef verið að fást við meira og minna undanfarin 16 ár, þar af sem ráðgjafi síðustu 8 ár. Ég hef alltaf lagt áherslu á það í ráðgjöf minni að stjórnkerfi upplýsingaöryggis nái til allra upplýsinga/skjala/gagna sem viðkomandi aðila notar vegna starfsemi sinnar, því þrátt fyrir að notkun upplýsingakerfa sé orðin mjög víðtæk, þá er ennþá ótrúlega stór hluti mikilvægra upplýsinga geymdur á pappír eða býr í þekkingu fólks.
Upplýsingar stangast á um eðli gagna um OR í vörslu Guðmundar | |
Tilkynna um óviðeigandi tengingu við frétt |
Heimsóknir
Flettingar
- Í dag (21.11.): 4
- Sl. sólarhring: 4
- Sl. viku: 38
- Frá upphafi: 1680019
Annað
- Innlit í dag: 4
- Innlit sl. viku: 34
- Gestir í dag: 4
- IP-tölur í dag: 4
Uppfært á 3 mín. fresti.
Skýringar
Eldri færslur
2018
2017
2016
2015
2014
2013
2012
2011
2010
2009
2008
2007
Tenglar
Upplýsingaöryggi og persónuvernd
- Betri ákvörðun ráðgjafarþjónusta Marinós G. Njálssonar
- CISA, CISM, COBIT, Val IT
- Staðlaráð Íslands
- Heimasíða Persónuverndar
Hagsmunabarátta
- Hagsmunasamtök heimilanna
- Hugmyndir að úrræðum fyrir almenning
- Færa þarf höfuðstól lánanna niður
- Fólk þarf leið út úr fjárhagsvandanum
- Innlegg í naflaskoðun og endurreisn
- Er raunhæft að afnema verðtrygginguna eða setja henni skorður?
- Aðgerðaráætlun fyrir Ísland
- Hinn almenni borgari á að blæða
- Leið ríkisstjórnarinnar er röng
- Innantómar aðgerðir til stuðnings heimilunum
- Tillögur talsmanns neytenda
- Á hverju munu Íslendingar lifa?
- Verðbólga sem hefði geta orðið
- Aðgerða þörf strax - Tillaga að aðgerðahópum
- Mikilvægast að varðveita störfin
- Hvar setjum við varnarlínuna?
- 385 milljarða til bankanna og reikningurinn til heimilanna
- 2009 gengið í garð, ár endurreisnar, en hvernig endurreisn viljum við?
- Jöklabréf, erlend lán og vaxtaskiptasamningar
Færsluflokkar
- Áhættustjórnun
- Bloggar
- Dægurmál
- Efnahagsmál
- Endurreisn
- Ferðalög
- Ferðaþjónusta
- Heimspeki
- HRUNIÐ
- Icesave
- Íbúðalánasjóður
- Íþróttir
- Lánamál
- Leiðsögn
- Lífeyrissjóðir
- Lífspeki
- Menning og listir
- Menntun og skóli
- Neytendavernd
- Persónuvernd
- Skuldamál heimilanna
- Snjóhengjur
- Stjórnmál og samfélag
- Trúmál og siðferði
- Tölvur og tækni
- Umhverfismál
- Upplýsingaöryggi
- Utanríkismál/alþjóðamál
- Viðskipti og fjármál
- Vinir og fjölskylda
- Vísindi og fræði
Athugasemdir
Takk fyrir þessar upplýsingar. Hins vegar fer auglýsingin frá Nova að hluta yfir efri hluta bloggsins þannig að innihaldið kemst ekki alveg til skila í upphafskaflanum.
María Kristjánsdóttir, 12.7.2008 kl. 01:44
Guðni B. Guðnason (IP-tala skráð) 12.7.2008 kl. 02:13
María, lausnin er að stækka gluggann eins og hægt er eða auka upplausina á skjánum. Moggabloggið sendi mér einhverja lausn á þessu fyrir löngu, en ég er bara ekki búinn að koma mér í að útfæra hana.
Guðni, ég sleppti umfjölluninni um áhættumatið viljandi, en þetta er gott innlegg hjá þér. En það er náttúrulega heila málið. Gögn eru flokkuð eftir niðurstöðu áhættumats, þar sem tekið er tillit til ógna við trúnað (confidentiality), réttleika (integrity) og tiltækileika/aðgengileika (availability). (Ég veit ég þarf ekki að skýra þetta út fyrir þér Guðni.)
Marinó G. Njálsson, 12.7.2008 kl. 10:58
Góður pistill hjá þér.
Við náum nú samt ekki að þurrka þetta út úr minni Guðmundur Þóroddssona. Ég hef lúmskan grun um að hann sé þessa stundina að afrita öll þau gögn, sem hann er með undir höndum.
Guðbjörn Guðbjörnsson, 12.7.2008 kl. 11:50
Bæta við athugasemd [Innskráning]
Ekki er lengur hægt að skrifa athugasemdir við færsluna, þar sem tímamörk á athugasemdir eru liðin.