pa|PharmInfo etablerades 1995 och har gedigen kunskap om informationshantering för hälso- och sjukvårdsområdet, främst inom läkemedelsområdet. PharmInfo har genom åren haft kunder inom myndighets- och landstingsvärlden såväl som den privata sektorn. Uppdragen har främst rört sig om utredning, projektledning och strategisk rådgivning. På senare tid har arbetet alltmer kommit att handla om informationssäkerhetsarbete. ISO-27000-standarden utgör här basen för vårt arbete och även integritetsfrågor, där Personuppgiftslagen är styrande, har kommit att bli en frekvent del av vårt arbete. h2|PharmInfo AB pa|PharmInfo etablerades 1995 och har gedigen kunskap om informationshantering för hälso- och sjukvårdsområdet, främst inom läkemedelsområdet. PharmInfo har genom åren haft kunder inom myndighets- och landstingsvärlden såväl som den privata sektorn. Uppdragen har främst rört sig om utredning, projektledning och strategisk rådgivning. På senare tid har arbetet alltmer kommit att handla om informationssäkerhetsarbete. ISO-27000-standarden utgör här basen för vårt arbete och även integritetsfrågor, där Personuppgiftslagen är styrande, har kommit att bli en frekvent del av vårt arbete. h1|Om PharmInfo Kort om PharmInfo AB pa|Här nedan finner Du länkar till några sidor som behandlar informationshantering: h1|Länkar Rekommenderade länkar införa, förvalta och genomföra revision av ledningssystem för informationssäkerhet. Certifikaten utfärdas av Swedish Standards Institute, SIS, och en förteckning över samtliga utfärdade certifikat finns Detta betyder att PharmInfo idag kan erbjuda tjänster inom informationssäkerhetsområdet på högsta tillgängliga kompetensnivå. Välkommen till PharmInfos webbplats. Här kommer du kunna läsa alla aktuella nyheter om vad som pågår just nu. Är du ute efter att informationssäkra Din verksamhet finns nu information tillgänglig om vilka tjänster PharmInfo kan erbjuda just dig inom området. Dessutom finns faktablad och länkar som leder dig i rätt riktning. Läs mer för att få veta hur vi kan hjälpa ditt företag att ligga ett steg före! sp|Postat den 2 juni, 2012 av Publicerat i | Postat den 13 oktober, 2011 av Publicerat i | pa|+ två = 8 PharmInfo AB Kålrotsgatan 14 754 49 Uppsala Tel. 0703-14 70 14 h1|Kontaktuppgifter PharmInfo når Du med kontaktformuläret nedan h2|Du kan även nå PharmInfo på följande adress sp|* * * * … h1|Månadsarkiv: sp|juni 2012 Postat den 2 juni, 2012 av → Publicerat i | pa|Välkommen till PharmInfos webbplats. Här kommer du kunna läsa alla aktuella nyheter om vad som pågår just nu. Är du ute efter att informationssäkra Din verksamhet finns nu information tillgänglig om vilka tjänster PharmInfo kan erbjuda just dig inom området. … h1|Månadsarkiv: sp|oktober 2011 Postat den 13 oktober, 2011 av → Publicerat i | pa|PharmInfo erbjuder tjänster inom följande områden: Arbetet omfattar utredningar, organisationsanalys, framtagandet av policies och riktlinjer, implementering av skyddsåtgärder, etc. Allt arbete bedrivs enligt ISO-27000-standarden. Vi utför även Gapanalyser enligt metoden ”Mät din informationssäkerhet – Gap-analys”, framtagen av Jan-Olof Andersson. PharmInfo har gedigen erfarenhet av projektledning. Vi har agerat som projektledare i större och mindre projekt, nationellt och internationellt. Vi har arbetat med strategisk rådgivning i ett flertal olika sammanhang, i Sverige och på EU-nivå. Vi har bred erfarenhet av analyser och utredningar. Vi utbildar i riskanalys och GAP-analyser enligt 27000-standarden. Vi kan även hjälpa till med tillfällig bemanning på ”högre nivå”, IT-chef/CIO, IT-strateg, etc. Vi har bred erfarenhet av management inklusive mentorsskap för chefer. Tycker du att detta låter intressant så ta gärna kontakt med oss via formuläret på . Vi skickar gärna CV för vår personal. st|Informationssäkerhet Projektledning Strategisk rådgivning Utredningsarbete Utbildning Tillfällig bemanning h1|Tjänster Tjänster vi tillhandahåller pa|Välkommen till PharmInfos webbplats. Här kommer du kunna läsa alla aktuella nyheter om vad som pågår just nu. Är du ute efter att informationssäkra Din verksamhet finns nu information tillgänglig om vilka tjänster PharmInfo kan erbjuda just dig inom området. … h1|Författararkiv: sp|Postat den 13 oktober, 2011 av → Publicerat i | … h1|Författararkiv: sp|Postat den 2 juni, 2012 av → Publicerat i | pa|Nyheter. Välkommen till PharmInfos webbplats. Här kommer du kunna läsa alla aktuella nyheter om vad som pågår just nu. Är du ute efter att informationssäkra Din verksamhet finns nu information tillgänglig om vilka tjänster PharmInfo kan erbjuda just dig inom området. … h1|Kategoriarkiv: sp|Aktuellt Postat den 13 oktober, 2011 av → Publicerat i | pa|Arbetet med informationssäkerhet handlar alltså inte om att nå upp till högsta möjliga säkerhetsnivå för sin informationshantering! Det handlar istället om följande: Informationssäkerhetsåtgärder kan verka förebyggande, detekterande och korrigereande. Självklart bör man sträva efter ett starkt förebyggande skydd, d.v.s. att ligga ”ett steg före”. Detta gör man genom att ha väl genomtänkta processer för, affärsberoendeanalyser, riskanalyser, incidenthantering, etc. Och framför allt genom att ha en fungerande säkerhetsprocess enligt konceptet ”Planera-Genomför-Kontrollera-Agera ” (”Plan-Do-Check-Act”). PharmInfo är väl förtrogen med etablerade metoder för dessa områden. PharmInfo kan mäta Er organisations säkerhetsnivånivå i förhållande till gällande ISO-standard och presentera resultatet på ett sådant sätt att nivån kan följas över tiden. Metoden vi använder är mätbar, reproducerbar och fullt etablerad. Vi hjälper Er även med att få ordning på policies, riktlinjer och instruktioner samt ger råd om tekniska och organisatoriska åtgärder. Våra säkerhetsanalyser (Gap-analyser) kan vi, efter diskussion med uppdragsgivaren, erbjuda som fastprisåtaganden. Läs mer om informationssäkerhet under sektionen . li|Att uppnå i förhållande till den enskilda organisationens krav, beroenden och risker Att kunna informationssäkerhetsnivån Att hitta rätt att relatera mätningen till Att veta vilka som är nödvändiga Att bedriva informationssäkerhetsarbetet som en och inte som ett ”engångsarbete” st|rätt nivå mäta måttstock förbättringsåtgärder process h1|Informationssäkerhet Rätt informationssäkerhet – inte högsta möjliga! em|”Det är inte den som lägger ner mest pengar på sin informationssäkerhet som vinner. Det gör istället den som har den bästa avvägningen mellan skyddsåtgärder och de beroenden & risker som finns i organisationen.” … h1|Kategoriarkiv: sp|Okategoriserade Postat den 2 juni, 2012 av → Publicerat i | pa|I det följande redogörs för arbetet kring informationssäkerhet. Beskrivningarna är helt baserade på standarden ISO/IEC 27000-serien. Säkerhetsområdet omfattar i ett större perspektiv fyra skyddsområden: Med begreppet informationssäkerhet avses åtgärder för skyddande av all slags information i en organisation, oavsett lagringssätt. Det kan röra sig om digitalt lagrad information eller papper, videofilm, ljudupptagningar, etc. Eller som ISO-27000 standarden definierar begreppet informationssäkerhet: ”Bevarande av konfidentialitet, riktighet och tillgänglighet hos information; därutöver kan begreppet innefatta egenskaper som autenticitet, spårbarhet, oavvislighet och tillförlitlighet” Följande fyra perspektiv är de som informationssäkerhetsarbetet vanligen inriktar sig mot: Med ” ” avses ”egenskapen att vara åtkomlig och användbar vid begäran av en behörig enhet”, d.v.s. det vi har att bedöma och ta ställning till är hur viktig informationen är att kunna nå och hur långa avbrott man kan acceptera. Ur detta perspektiv är frågor som prestanda, skydd mot förlust av data, fungerande kommunikationsutrustning, etc. viktigt. Med begreppet ” ” menas värdet av att informationen är korrekt eller ”egenskapen att skydda exakthetenoch fullständigheten gällande tillgångar”. Ett stavfel i en löpande text kan möjligen vara tolerabelt men kan också vara helt förödande. Den tänkbara konsekvensen av en styrke- eller doseringsangivelse för ett läkemedel som felaktigt anges i milligram (mg) istället för mikrogram (μg) behöver knappast förklaras. ” ” (eller Konfidentialitet”) är det perspektiv man vanligen förknippar med informationssäkerhet och här handlar det om hur man skyddar sin information mot otillbörlig åtkomst och/eller manipulation. Detta uttrycks i ISO-standarden som ”egenskapen att information inte tillgängliggörs eller avslöjas tilll obehöriga individer, enheter eller processer”. Det handlar bl.a. om extern åtkomst men givetvis också om hur reglerna skall se ut för åtkomsten inom organisationen. Slutligen handlar begreppet ” ” om hur man i efterhand kan se vem som har gjort vad i systemet. Normalfallet handlar om att kunna spåra förändringar men i system som hanterar t.ex. integritetskänslig information kan det vara minst lika viktigt att kunna se vem som har läst informationen för exempelvis en viss patient. Olika system kan, i en och samma organisation, ha olika skyddsvärde i förhållande till dessa perspektiv. Dessutom kan säkerhetskraven givetvis vara helt olika för olika organisationer. De skyddsåtgärder man inför är av flera av olika typer vilket kan illustreras av nedanstående bild. Som nämnts tidigare så finns en ISO-standard för området, ISO/IEC 27000. I själva verket är det en hel serie av standarder som tar upp områden. Standarden är omfattande och generaliserad för att kunna användas i alla typer av organisationer oavsett verksamhetsinriktning. Det kan tyckas som ambitiöst att tillämpa ett så omfattande ”regelverk” men man får inte glömma att standarden innehåller ett moment där ett ”uttalande om tillämplighet” (Statement of applicability) upprättas. Detta innehåller ett ”dokumenterat uttalande som anger de åtgärdsmål och säkerhetsåtgärder som är relevanta och tillämpliga för organisationens LIS (Ledningssystem för InformationsSäkerhet)”. Alltså, allt i standarden är inte tillämpligt för alla organisationer. Några mycket viktiga punkter om hur informationssäkerhetsarbetet bedrivs är följande: Arbetet med informationssäkerhet är alltså inte ett ”engångsarbete”, vilket givetvis är fullständigt logiskt. Omvärlden, hotbilden, verksamheten förändras ständigt och därmed också riskexponeringen. Arbetet bedrivs enligt principen ”Planera – Genomför – Följ upp – Förbättra” (Plan – Do – Check -Act) Risker och riskhantering är ett helt centralt begrepp i informationssäkerhetsarbetet. Skall vi skapa ett kostnadseffektivt skydd för våra informationstillgångar så måste vi självklart veta vad det är vi skall skydda oss emot. Och hur får vi reda på det? Jo, genom bl.a. följande: Allt detta skall också ställas i relation till skyddsvärdet för våra tillgångar. Det är alltså inte meningen att vi skall ha ett 100%-igt skydd mot allt, vi skall ha ”rätt” skyddsnivå, en nivå där skyddsåtgärderna bedöms som rimliga i förhållande till kostnaden. Detta är ett stort område och behandlas separat i ISO-27005. Mer att läsa om riskhantering finns under rubriken ”Riskhantering”. Lika lite som det går att kontrollera fram god kvalitet går det att kontrollera fram god informationssäkerhet. Informationssäkerheten skall byggas in i organisationens verksamhet så att eventuella hot inte verkställs och blir en incident, eller i värsta fall en kris. Vad som sagt under föregående rubrik hanteras genom ett Ledningssystem för informationssäkerhet, LIS. Det är ett verktyg för en organisation att hantera informationssäkerhetsarbetet på ett samlat sätt. Det är helt analogt med ett miljöledningssystem eller ett kvalitetsledningssystem. Ett LIS består av alla de delar som bedöms att sammantaget bidra till att skydda identifierade informationstillgångar. Detta innefattar policies, riktlinjer, anvisningar, instruktioner, processer, procedurer, organisationsstruktur, hård- och mjukvara. Låt oss konkretisera detta med några exempel på frågor som adresseras: li|Personskydd Egendomsskydd Informationsskydd Kontinuitetsskydd Tillgänglighet Riktighet Sekretess Spårbarhet Hotbildsanalyser Riskanalyser Sårbarhetsanalyser Dokumenterade brister från ett incidenthanteringssystem Omvärldsanalyser Finns nödvändiga regelverk på plats och efterlevs? Har rätt organisatoriska åtgärder vidtagits och är ett tydligt ansvar för frågorna utpekat? Har systemen ”rätt” tekniskt skydd inbyggt? Har rent ”fysiska” skyddsåtgärder (t.ex. skalskydd) vidtagits? Är personalen är riskmedveten och har tillräcklig utbildning? st|tillgänglighet riktighet Sekretess spårbarhet Informationssäkerhetsarbetet är processorienterat Informationssäkerhetsarbetet är riskbaserat Informationssäkerhet byggs in i verksamhetsprocesserna h1|Fakta informationssäkerhet h2|Informationssäkerhet, vad är det? Hur bör informationssäkerhetsarbetet bedrivas? LIS, Ledningssystem för informationssäkerhet pa|Välkommen till PharmInfos webbplats. Här kommer du kunna läsa alla aktuella nyheter om vad som pågår just nu. Är du ute efter att informationssäkra Din verksamhet finns nu information tillgänglig om vilka tjänster PharmInfo kan erbjuda just dig inom området. Dessutom finns faktablad och länkar som leder dig i rätt riktning. Läs mer för att få veta hur vi kan hjälpa ditt företag att ligga ett steg före! di|Det här inlägget postades i . Bokmärk . h1|Ny webbplats lanserad sp|→ Postat den 13 oktober, 2011 av → införa, förvalta och genomföra revision av ledningssystem för informationssäkerhet. Certifikaten utfärdas av Swedish Standards Institute, SIS, och en förteckning över samtliga utfärdade certifikat finns Detta betyder att PharmInfo idag kan erbjuda tjänster inom informationssäkerhetsområdet på högsta tillgängliga kompetensnivå. di|Det här inlägget postades i . Bokmärk . h1|PharmInfo erbjuder ISO-certifierad personal sp|← Postat den 2 juni, 2012 av ←