Frågor NIS-verktyget – JAMSEC – Säkerhetskultur, Informationssäkerhet och Säkerhetsskydd

Frågeområde: Kartläggning

Fråga 1: Har ni kartlagt och analyserat era kritiska resurser (nätverk & system samt beroenden mellan dessa resurser) som är nödvändiga för att tillhandahålla er samhällsviktiga tjänst?

0: Inte alls (kartläggning ej utförd och ej planerad)

1: Planerat (kartläggning ej utförd, men planerad)

2: Påbörjat (kartläggning är påbörjad)

3: Pågående (kartläggning pågår med genomförd progress över 50%)

4: Slutfört (kartläggning klart med dokumenterat resultat)

5: Kontinuerligt (kartläggning sker kontinuerligt med dokumenterad metod)

Fråga 2: Har ni en uppdaterad nätverkskarta över er IT- och OT-miljö och en inventeringslista av aktuell hård- och mjukvara?

0: Icke-existerande (nätverkskarta och inventeringslista finns ej och ej planerad)

1: Planerad (nätverkskarta och inventeringslista finns ej, men planerad)

2: Påbörjad (nätverkskarta och inventeringslista är under framtagning)

3: Pågående (framtagning av nätverkskarta och inventeringslista pågår med genomförd progress över 50%)

4: Slutförd (nätverkskarta och inventeringslista är färdigställda)

5: Kontinuerlig (nätverkskarta och inventeringslista uppdateras kontinuerligt och rutin är dokumenterad)

Frågeområde: Riskanalys

Fråga 3: Genomför ni riskanalyser och riskbedömningar på kartlagda kritiska resurser (nätverk & system) som resulterar i en handlingsplan med relevanta säkerhetsåtgärder?

0: Inte alls (riskanalys ej utförd och ej planerad)

1: Planerat (riskanalys ej utförd, men planerad)

2: Påbörjat (riskanalys är påbörjad)

3: Pågående (riskanalys pågår med handlingsplan med genomförd progress över 50%)

4: Slutfört (riskanalys genomförd med dokumenterad handlinsplan)

5: Kontinuerligt (riskanalys sker kontinuerligt där handlingsplan är dokumenterad)

Frågeområde: Skyddsåtgärder

Fråga 4: Har ni en formell och dokumenterad behörighetshanteringsrutin som minimerar höga behörigheter samt tydliga regler för fjärråtkomst till kritiska system?

0: Icke-existerande (rutiner och regler ej utformade, ej planerade)

1: Planerat (rutiner och regler ej utformade, men planerade)

2: Påbörjad (framtagning av rutiner och regler påbörjad)

3: Pågående (framtagning av rutiner och regler pågår med genomförd progress över 50%)

4: Slutförd (färdigställda rutiner och regler)

5: Kontinuerlig (färdigställda rutiner och regler tillämpas i verksamheten)

Fråga 5: Har ni formella och dokumenterade rutiner för förändringshantering och säkerhetsuppdateringar för er IT/OT-miljö som minimerar risk för störningar, sårbarheter eller säkerhetsincidenter?

0: Icke-existerande (rutiner ej utformade, ej planerade)

1: Planerat (rutiner ej utformade, men planerade)

2: Påbörjad (framtagning av rutiner påbörjad)

3: Pågående (framtagning av rutiner pågår med genomförd progress över 50%)

4: Slutförd (färdigställda rutiner)

5: Kontinuerlig (färdigställda rutiner tillämpas i verksamheten)

Fråga 6: Tillämpar ni övervakning och loggning som möjliggör upptäckt och hantering av sårbarheter och incidenter i era system?

0: Inte alls (övervakning och loggning utförs ej och är ej planerad)

1: Planerat (övervakning och loggning utförs ej, men är planerad)

2: Påbörjat (införande av övervakning och loggning är påbörjad)

3: Pågående (övervakning och loggning håller på att införas med genomförd progress över 50%)

4: Slutfört (övervakning och loggning är infört, men oklar tillämpning)

5: Kontinuerligt (övervakning och loggning är införd, dokumenterad och tillämpas)

Fråga 7: Tillämpar ni följande säkerhetsåtgärder för att skydda era system och nätverk såsom; segmentering av nätverk, stark autentisering, antivirus samt härdning av nya system?

0: Inte alls (åtgärder ej implementerade och ej planerade)

1: Planerat (åtgärder ej implementerade, men planerade)

2: Påbörjat (påbörjad implementering av åtgärder)

3: Pågående (pågående implementering av åtgärder med genomförd progress över 50%)

4: Slutfört (färdigställd implementering av åtgärder, oklar tillämpning)

5: Kontinuerligt (implementerade åtgärder tillämpas och följs kontinuerligt upp)

Fråga 8: Begränsar ni fysisk tillgång till er IT och OT?

0: Inte alls (inga fysiska begränsningar finns på plats)

1: Planerat (vi har planerat att definierat vilka fysiska säkerhetsåtgärder som vi behöver, utifrån interna och externa krav)

2: Påbörjat (vi har definierat fysiska säkerhetsåtgärder och börjat implementerat dessa)

3: Pågående (vi har definierat fysiska säkerhetsåtgärder och implementerat dessa till över 50%)

4: Slutfört (vi har rätt fysiska säkerhetsåtgärder enligt våra interna och externa krav och implementerat dessa till 100%)

5: Kontinuerligt (vi utvärderar utefter ett fördefinierad tidsintervall om nya interna och externa krav uppstår och justerar vid behov våra fysiska säkerhetsåtgärder. Vi utvärderar även hur väl våra befintliga säkerhetsåtgärder uppfyller tänkt funktionalitet)

Frågeområde: Incidenthantering

Fråga 9: Tillämpar ni en dokumenterad rutin som innefattar mottagning, hantering och rapportering av incidenter?

0: Inte alls (incidenthanteringsrutin ej införd, ej planerad)

1: Planerat (incidenthanteringsrutin ej införd, men planerad)

2: Påbörjat (framtagning av incidenthanteringsrutin påbörjad)

3: Pågående (incidenthanteringsförmåga håller på att införas med genomförd progress över 50%)

4: Slutfört (incidenthanteringsrutin dokumenterad och färdigställd, oklar tillämpning)

5: Kontinuerligt (incidenthanteringsrutin är införd, dokumenterad och tillämpas)

Frågeområde: Återställning

Fråga 10: Har ni återställningsrutin för era system vid incidenter?

0: Inte alls (återställningsrutiner saknas, ej planerad)

1: Planerat (återställningsrutin saknas, men planerad)

2: Påbörjat (framtagning av återställningrutin är påbörjad)

3: Pågående (återställningsrutin håller på att införas med genomförd progress över 50%)

4: Slutfört (återställningsrutin dokumenterad och färdigställd, oklar tillämpning)

5: Kontinuerligt (återställningsrutin är införd, dokumenterad och tillämpas)

Fråga 11: Har ni dokumenterad säkerhetskopieringsrutin för era kritiska system med regelbundna återställningstester?

0: Inte alls (säkerhetskopieringsrutin saknas, ej planerat)

1: Planerat (säkerhetskopieringsrutin saknas, men planeras)

2: Påbörjat (framtagning av säkerhetskopieringsrutin har påbörjats)

3: Pågående (införande av säkerhetskopieringrutin pågår med genomförd progress över 50%)

4: Slutfört (säkerhetskopieringsrutin med återställningstester är framtagen, ej tillämpad)

5: Kontinuerligt (säkerhetskopieringsrutin med återställningstester är framtagen och tillämpas)

Frågeområde: Upprätthållande

Fråga 12: Följer ni upp era säkerhetsåtgärder och rutiner kontinuerligt genom ett systematiskt informationssäkerhetsarbete?

0: Inte alls (uppföljning av säkerhetsåtgärder saknas, ej planerat)

1: Planerat (uppföljning av säkerhetsåtgärder saknas, men planeras)

2: Påbörjat (framtagning av metod för uppföljning av säkerhetsåtgärder är påbörjats)

3: Pågående (framtagning av metod för uppföljning av säkerhetsåtgärder håller på att införas med genomförd progress över 50%)

4: Slutfört (metod för uppföljning av säkerhetsåtgärder är framtagen, ej tillämpad)

5: Kontinuerligt (uppföljning av säkerhetsåtgärder tillämpas)

Fråga 13: Har ni i er organisation tillräckligt med personal med rätt kompetens för att upprätthålla säkerheten i er IT- och nätverksmiljö, samt har ni ett utbildningsprogram för dessa personer som säkerställer rätt kompetens över tid?

0: Inte alls (begränsat med resurser/kompetens, ej planerad resursförstärkning/kompetensutveckling)

1: Planerat (begränsat med resurser/kompetens, planerad resursförstärkning/kompetensutveckling)

2: Påbörjat (påbörjat resursförstärkning/kompetensutveckling)

3: Pågående (resursförstärkning/kompetensutveckling pågår med genomförd progress över 50%)

4: Slutfört (resursförstärkning/kompetensutveckling är genomfört)

5: Kontinuerligt (resursförstärkning/kompetensutveckling sker kontinuerligt)

Fråga 14: Finns det en medvetenhet hos er ledning kring riskhantering för cybersäkerhet samt godkänner och övervakar de riskhanteringsåtgärder för cybersäkerhet?

0: Inte alls (medvetenhet om och styrning av riskhanteringsåtgärder för cybersäkerhet saknas hos ledningen)

1: Planerat (medvetenhet om och styrning av riskhanteringsåtgärder för cybersäkerhet saknas hos ledningen, men planeras att förbättras)

2: Påbörjat (förbättringsåtgärder avseende medvetenhet om och styrning av riskhanteringsåtgärder för cybersäkerhet hos ledningen har påbörjats)

3: Pågående (förbättringsåtgärder avseende medvetenhet om och styrning av riskhanteringsåtgärder för cybersäkerhet hos ledningen pågår med genomförd progress över 50%)

4: Slutfört (förbättringsåtgärder avseende medvetenhet om och styrning av riskhanteringsåtgärder för cybersäkerhet hos ledningen är genomförda)

5: Kontinuerligt (förbättringsåtgärder avseende medvetenhet om och styrning av riskhanteringsåtgärder för cybersäkerhet hos ledningen genomförs kontinuerligt)

Fråga 15: Har ni en process för att upprätthålla säkerheten i leverantörskedjan som inkluderar både kravställning och uppföljning mot tredjeparter?

0: Inte alls (process ej implementerad och ej planerad)

1: Planerat (process ej implementerad, men planerad)

2: Påbörjat (påbörjad implementering av process med kravställning och uppföljning)

3: Pågående (pågående implementering av process med kravställning och uppföljning med genomförd progress över 50%)

4: Slutfört (färdigställd implementering av process med kravställning och uppföljning, oklar tillämpning)

5: Kontinuerligt (implementerad process med kravställning och uppföljning tillämpas och följs kontinuerligt upp)

Namn (obligatoriskt)

E-post (obligatoriskt)

Företag (obligatoriskt)

Telefon (valfritt)

Jag godkänner personuppgiftsbehandlingen (obligatoriskt).