Leita í fréttum mbl.is

11.7.2008 | 13:14

Hvaða reglur gilda á þínum vinnustað?

Þessi umfjöllun um hvað Guðmundur Þóroddsson, fyrrverandi forstjóri Orkuveitu Reykjavíkur (OR), tók eða tók ekki með sér snýr að mínu sérsviði, þ.e. stjórnun upplýsingaöryggis.  Í stöðlunum ISO 27001 og ISO 27002, sem eru kjarnastaðlar um stjórnun upplýsingaöryggis, er skilgreint hvaða reglur þurfa að vera til staðar til að taka á atvikum svipuðum þeim sem hér um ræðir.  Mér vitanlega þá hefur OR innleit stjórnkerfi upplýsingaöryggis samkvæmt ISO 27001 og því tel ég líklegast að reglurnar séu til hjá fyrirtækinu án þess að vita hvað í þeim stendur.  Það sem kemur hér fyrir neðan er því á engan hátt tilvísun til fyrirkomulags hjá OR, heldur almennar leiðbeiningar til fyrirtækja og stofnana um hvað staðlarnir segja um þetta.

Fyrir þá sem ekki vita, þá er ISO 27001 kröfustaðall og sá sem vottun fært gagnvart, meðan ISO 27002 inniheldur leiðbeinandi bestu starfsvenjur.  Ég mun því vitna í kröfur ISO 27001, eins og þær eru birtar í viðauka A í staðlinum.  Greinarnúmer í ISO 27002 eru þau sömu og í ISO 27001 að undanskyldu "A.".

A.6.1.5  Trúnaðarsamningur:  Bera [skal] kennsl á og rýna með reglubundnum hætti kröfur um samninga um trúnað eða þagnarskyldu sem spegla þarfir fyrirtækisins fyrir verndun upplýsinga.

A.7.1.1  Eignaskrá:  Bera [skal] kennsl á allar eignir með skýrum hætti og gera skrá yfir mikilvægar eignir og viðhalda henni.

A.7.1.3  Ásættanleg notkun eigna:  Setja [skal] reglur, skjalfesta þær og innleiða um ásættanlega notkun upplýsinga og eigna...

A.7.2.1  Leiðbeiningar um flokkun:  Upplýsingar [skal] flokka með tilliti til verðmætis, réttarfarsákvæða, viðkvæmni og mikilvægis fyrir fyrirtækið.

A.8.1.3  Ráðningarskilmálar:  Sem hluta af samningsbundinni skyldu sinni [skulu] starfsmenn, verktakar og notendur með stöðu þriðja aðila samþykkja og undirrita skilmálana í ráðningarsamningi sínum sem [skulu] kveða á um ábyrgð þeirra og fyrirtækisins á öryggi upplýsinga.

A.8.3.1  Ábyrgð við ráðningarlok:  Ábyrgð á framkvæmd ráðningarloka eða breytinga á ráðningu [skal]vera vel skilgreind og falin ákveðnum aðila með skýrum hætti.

A.8.3.2  Eignum skilað:  Allir starfsmenn, verktakar og notendur með stöðu þriðja aðila [skulu] skila öllum eignum fyrirtækisins sem eru í þeirra vörslu að loknum ráðningartíma þeirra eða samningi.

A.8.3.3  Niðurfelling aðgangsréttinda:  Fella [skal] niður aðgangsréttindi allra starfsmanna, verktaka og notenda með stöðu þriðja aðila að upplýsingum og upplýsingavinnslubúnaði við ráðningarlok þeirra, samnings eða samkomulags, eða aðlaga þau eftir breytingu.

A.10.7.3  Verklagsreglur um meðferð upplýsinga:  Setja [skal] verklagsreglur um meðferð og geymslu upplýsinga til þess að vernda þessar upplýsingar fyrir óheimilli uppljóstrun eða misnotkun.

A.11.1.1  Aðgangsstýringarstefna:  Aðgangsstýringarstefnu [skal] koma á, skjalfesta og rýna á grundvelli rekstrar- og öryggiskrafna um aðgang.

A.11.6.1  Takmörkun á aðgangi að upplýsingum:  Aðgang notenda og starfsmanna, sem annast stuðning, að upplýsingum og aðgerðum hugbúnaðarkerfa [skal] takmarka í samræmi við skilgreinda aðgangsstýringarstefnu.

 

Þetta er dágóð upptalning og ekki fyrir hvern sem er að útfæra þessar kröfur þannig að vel sé. Auk þess er það algengur misskilningur að staðlarnir nái eingöngu til upplýsinga á rafrænu formi, en svo er alls ekki.  Í inngangskafla ISO 27002 segir m.a.: ,,Upplýsingar geta verið á margs konar formi.  Þær geta verið prentaðar eða ritaðar á pappír, geymdar með rafrænum hætti, sendar með pósti eða á rafrænan hátt, birtar á filmu eða látnar í ljós í mæltu máli.  Á hvaða formi sem upplýsingarnar eru, og hvaða leiðir sem notaðar eru til að samnýta þær eða geyma, ætti ávallt að vernda þær á viðeigandi hátt."

Hafi einhverjir áhuga á að fræðast meira um þetta efni, staðlana ISO 27001 og ISO 27002, innleiðingu á stjórnkerfi upplýsingaöryggis eða bara upplýsingaöryggismál almennt, þá er um að gera að senda mér tölvupóst á oryggi@internet.is eða fara inn á heimasíðu mína www.betriakvordun.is.   Þetta er það sem ég hef verið að fást við meira og minna undanfarin 16 ár, þar af sem ráðgjafi síðustu 8 ár.  Ég hef alltaf lagt áherslu á það í ráðgjöf minni að stjórnkerfi upplýsingaöryggis nái til allra upplýsinga/skjala/gagna sem viðkomandi aðila notar vegna starfsemi sinnar, því þrátt fyrir að notkun upplýsingakerfa sé orðin mjög víðtæk, þá er ennþá ótrúlega stór hluti mikilvægra upplýsinga geymdur á pappír eða býr í þekkingu fólks.

 


mbl.is Upplýsingar stangast á um eðli gagna um OR í vörslu Guðmundar
Tilkynna um óviðeigandi tengingu við frétt

Flokkur: Bloggar |

« Síðasta færsla | Næsta færsla »

Athugasemdir

1 Smámynd: María Kristjánsdóttir

Takk fyrir þessar upplýsingar. Hins vegar fer auglýsingin frá Nova að hluta yfir efri hluta bloggsins þannig að innihaldið kemst ekki alveg til skila í upphafskaflanum.

María Kristjánsdóttir, 12.7.2008 kl. 01:44

2 identicon

Takk fyrir þarfa tilvísun í ISO 27001 og ISO 27002. Held þó að ekki allir skiljir hvað þú meinar en mér finnst þetta þarft og faglegt innlegg í umræðuna. Ég hef dálitla reynslu af þessum staðli og staldra aðeins við þá staðhæfingu Guðmundar að hann hafi aðeins tekið með sér fundarboð stjórnarfunda og fundargerðir stjórnarfunda. Ég veit ekki í hvaða "kategóríu" þessi gögn hafa lent í áhættumati en ímynda mér að þar sem um er að ræða opinbert fyrirtæki þar sem bæði fundarboðum og fundargerðum er dreift í meira mæli en gerist og gengur í einkafyritækjum þá hafi þessi gögn ekki skorað hátt í áhættumati. Hugsanlega skorað hærra í einkafyrirtæki.

Guðni B. Guðnason (IP-tala skráð) 12.7.2008 kl. 02:13

3 Smámynd: Marinó G. Njálsson

María, lausnin er að stækka gluggann eins og hægt er eða auka upplausina á skjánum.  Moggabloggið sendi mér einhverja lausn á þessu fyrir löngu, en ég er bara ekki búinn að koma mér í að útfæra hana.

Guðni, ég sleppti umfjölluninni um áhættumatið viljandi, en þetta er gott innlegg hjá þér.  En það er náttúrulega heila málið.  Gögn eru flokkuð eftir niðurstöðu áhættumats, þar sem tekið er tillit til ógna við trúnað (confidentiality), réttleika (integrity) og tiltækileika/aðgengileika (availability).  (Ég veit ég þarf ekki að skýra þetta út fyrir þér Guðni.)

Marinó G. Njálsson, 12.7.2008 kl. 10:58

4 Smámynd: Guðbjörn Guðbjörnsson

Góður pistill hjá þér.

Við náum nú samt ekki að þurrka þetta út úr minni Guðmundur Þóroddssona. Ég hef lúmskan grun um að hann sé þessa stundina að afrita öll þau gögn, sem hann er með undir höndum.

Guðbjörn Guðbjörnsson, 12.7.2008 kl. 11:50

Bæta við athugasemd

Ekki er lengur hægt að skrifa athugasemdir við færsluna, þar sem tímamörk á athugasemdir eru liðin.

Höfundur

Marinó G. Njálsson
Marinó G. Njálsson
Upplýsingaöryggi og persónuvernd eru mínar ær og kýr, þó ég blaðri um allt og ekkert hér á blogginu. Er í Hagsmunasamtökum heimilanna og berst fyrir réttlæti fyrir heimili í landinu.  Loks er ég faggiltur leiðsögumaður.  Netfangið mitt er mgn@islandia.is og netfang fyrirtækisins oryggi@internet.is.

Heimsóknir

Flettingar

  • Í dag (25.4.): 3
  • Sl. sólarhring: 4
  • Sl. viku: 44
  • Frá upphafi: 1678166

Annað

  • Innlit í dag: 3
  • Innlit sl. viku: 43
  • Gestir í dag: 3
  • IP-tölur í dag: 3

Uppfært á 3 mín. fresti.
Skýringar

Apríl 2024
S M Þ M F F L
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30        

Innskráning

Ath. Vinsamlegast kveikið á Javascript til að hefja innskráningu.

Hafðu samband