pa|Den 11/2 2020 publicerade CEN CENELEC JTC 13 (Cybersecurity & Data protection) resultatet från omröstningen av att göra ISO/IEC 27701 “Extension of ISO/IEC 27001 and 27002 for privacy information management – Requirements and guidelines” till europeisk standard (EN). Standarden bygger på att man som organisation har ett ledningssystem i enlighet med ISO/IEC 27001 i botten och adderar ytterligare krav och säkerhetsåtgärder rörande privacy. Det kommer att gå att certifiera sig mot denna standard inom en nära framtid när reglerna för hur certifiering ska gå till blir färdiga. Den 6 juli 2018 presenterade Regeringen sin digitaliseringsstrategi. Vid denna uttalade civilminister Ardalan Shekarabi att Sverige skulle ”återta sin världsledande position rörande digitalisering”. När Sverige tidigare varit världsledande är för mig oklart och förklaras inte. Uttalandet visar tydligt hur dåligt ställt det är med förståelsen för vad digitalisering innebär och kräver. En grundförutsättning för att överhuvudtaget kunna digitalisera viktiga samhällstjänster är att berörda aktörer håller en relevant nivå av informationssäkerhet, eller cybersäkerhet som det numera är populärt att kalla det (ett begrepp som ingen har lyckats definiera än så länge). Men hur är det då ställt med informationssäkerheten i Sverige i slutet av 2018? Här kommer några iakttagelser från vad jag ser på marknaden. -Jag ser organisationer inom både offentlig förvaltning och näringsliv där man inte har kontroll över sin information. I ett informationssamhälle är det en veritabel härdsmälta. -Jag ser en statsmakt som fortfarande är extremt fragmentiserad där det är allt fler ”kockar som ska röra om i sin lilla del av grytan”. Fortfarande saknas det ett tydligt mandat för en central aktör att koordinera olika aktiviteter inom informationssäkerhetsområdet. Många kockar genomför splittrade insatser med varierande framgång. Visst görs det enstaka insatser som är bra och vällovliga men i det stora hela är den sammantagna effekten fullständigt otillräcklig. -Jag ser föreskrifter som är urvattnade då dom egentligen inte sätter ner foten med vad som krävs utan nöjer sig med att formulera krav som t.ex. man ska ha ett ledningssystem för informationssäkerhet med stöd av ISO/IEC 27001. Alltså inte att man ska ha ett LIS som uppfyller ISO/IEC 27001 utan med stöd av. Vad betyder med stöd av kan man undra? Kanske det räcker om en medarbetare för 10 år sedan tittade i standarden? -Jag ser nya regleringar som t.ex. NIS-direktivet där tillhörande föreskrifter innebär att ett flertal myndigheter behöver bygga upp egna organisationer för tillsyn, vilket kräver specialkompetens som är svår att hitta på marknaden och ändå svårare att behålla. Detta samtidigt som det finns ett statligt system för tillsyn under ledning av SWEDAC som är till för detta. -Jag konstaterar att MSB i sin konsekvensutredning rörande föreskrift för NIS-direktivet argumenterade för och emot att ställa ett hårt krav på att man ska vara certifierad i enlighet med ISO/IEC 27001. Det enda argumentet mot detta var att det var kostnadskrävande. Ni kan ju gissa om det blev ett hårt krav i föreskriften eller inte? Jag antar att det innebär att informationssäkerhet i samhällskritisk verksamhet inte får kosta något? -Jag ser att Sverige halkat efter i statistiken över certifierade organisationer. I statistiken framgår ju tydligt att det finns länder som Bulgarien och Rumänien som kommit betydligt längre. Jämför vi Sverige med till exempel Nederländerna som är hyfsat liknande i storlek så finns det 4 gånger fler certifierade organisationer i Nederländerna jämfört med Sverige. Följaktligen så är affärskravet att man är certifierad avseende informationssäkerhet väldigt vanligt när man ser krav från holländska företag eller myndigheter men inte särskilt vanliga i Sverige. -Jag ser ointresse från regeringen och statsmakten att använda internationella standarder trots att det finns minst två statliga utredningar som har konstaterat att Sverige som litet land i hög omfattning måste förlita sig på internationella standarder. -Jag ser att Polisen och MSB aktivt stöttar att det sätts upp ett system för certifiering baserat på egenkontroll och som inte är ackrediterad av SWEDAC och som aldrig kommer att kunna användas som bevis för att uppfylla affärskrav. -Jag ser ett lågt intresse från statens sida att säkerställa ett starkt och aktivt deltagande i utvecklingen av internationella standarder trots att ett fåtal personer inom berörda myndigheter gör vad dom kan. Men totalt sett blir det ändå otillräckligt. Som exempel kan nämnas att Sverige under de senaste 10 åren inte haft någon som helst representation inom ISO/IEC JTC1 SC27 WG2 som arbetar med standarder rörande krypteringsalgoritmer. Just nu håller dom på och utvecklar ”post-quantum algorithms”. Men detta kanske är ett helt ointressant område för Sverige? -Jag ser myndigheter som har varit medvetna om vad dom behöver göra sedan 2005 men som trots det ännu inte har kommit in i ett systematiskt förbättringsarbete. All energi går åt till akuta reaktiva insatser. -Jag ser myndigheter som helt saknar kontinuitetshantering. -Jag ser kommuner som inte har tagit sitt ansvar för informationssäkerheten eftersom ”dom inte fått några särskilda medel för det”. -Jag ser statliga upphandlingar som innebär omfattande hantering av personuppgifter där det enda kravet på informationssäkerhet är att man ska ha en informationssäkerhetspolicy. -Jag ser svenska företag som tappar affärer till utländska konkurrenter eftersom dom inte är certifierade gentemot ISO/IEC 27001. -Jag ser svenska företag som är certifierade i enlighet med ISO/IEC 27001 men som vid offentliga upphandlingar inte har någon som helst fördel av det då upphandlande organisation inte ställde några krav överhuvudtaget runt informationssäkerhet trots att upphandlingen omfattade hantering av personregister. -Jag ser både företag och offentlig förvaltning som gladeligen utkontrakterar sin informationshantering och system till leverantörer och molntjänster utan att man har ställt relevanta krav och utan att det genomförts någon som helst riskbedömning. Enligt min mening så är situationen långt ifrån bra och ska vi som land bli värdsledande i digitalisering behöver vi bli världsledande när det gäller informationssäkerhet. Och det är vi väldigt långt ifrån i nuläget. Den nuvarande situationen innebär att Sverige som land drabbas av onödiga och mer eller mindre allvarliga incidenter dagligen som kunnat förhindras med ett systematiskt arbete. Frågan är hur många år till det ska ta innan regeringen och statsmakten tar detta på fullt allvar och sätter ner foten en gång för alla. Vi har just nu nått en nivå då Sveriges konkurrenskraft som land påverkas negativt. Frågan är om någon bryr sig? Vad säger du, civilminister Ardalan Shekarabi? UPPSEC AB deltar under denna vecka (Vecka 16 2018) i ISO/IEC SC27 konferens i Wuhan, Kina. SC27 ansvarar för att ta fram globala ISO/IEC-standarder inom områdena informationssäökerhet, cybersäkerhet och privacy. 300 experter från hela världen deltar under en veckas arbete med att utveckla standarder för hela området. Totalt pågår ett 90-tal olika projekt för närvarande. SC27 har publicerat cirka 150 standarder inom området. Bl.a. har denna grupp tagit fram ISO/IEC 27000-serien där bland annat ISO/IEC 27001 och ISO/IEC 27002 ingår. Standarderna används av alla tusentals organisationer, små såväl som stora, privata såväl som offentlig över hela världen UPPSEC är ett företag som tillhandahåller tjänster inom informationssäkerhet och cybersäkerhet. UPPSEC utför konsultuppdrag, revisioner och utbildningar inom området. UPPSEC AB ägs och drivs av Lars Söderlund. Lars är senior informationssäkerhetsexpert med 20 års erfarenhet inom området. Lars är certifierad CISM (certified information security manager) och ISMP (information security professional). Genom den långa erfarenhet och aktivt deltagande vid utvecklingen av svenska och globala standarder kan UPPSEC stödja organisationer på ett unikt sätt och införa ett systematiskt arbetssätt på ett verksamhetsanpassat sätt. UPPSEC AB stödjer både små och stora organisationer, både privata och offentliga när det gäller arbetet med informationssäkerhet, cybersäkerhet och dataskydd. UPPSEC AB är aktiv medlem inom den svenska och internationella standardiseringen. UPPSEC AB är medlem i SIS TK 318 och bemannar där rollen som ordförande i AG 11 som utgör den svenska spegelgruppen till ISO/IEC jTC 1 SC 27 WG 1 som hanterar managementstandarder inom informationssäkerhetsområdet inom ISO/IEC 27000-serien. Arbetet med standardiseringen innebär att UPPSEC AB deltar inom det internationella standardiseringsarbetet i följande grupper: Förutom standardiseringen är UPPSEC AB medlem i SIG Security och ISACA Sweden chapter. di|WEN Business av h3|Senaste inläggen Meta sp|, , , , , , pa|Iduns Väg 8B 754 40 Uppsala Organisationsnummer: 556942-4053 Tfn: 0702-986531 di|WEN Business av h1|UPPSEC AB Kontakt h3|Senaste inläggen Meta sp| di|WEN Business av Etikett: h3|Senaste inläggen Meta sp|ISO , , , , , , pa|UPPSEC genomför revisionsuppdrag i form av interna revisioner, externa revisioner och certifieringsrevisioner. UPPSEC AB personal är godkänd som revisor och revisionsledare för ackrediterat certifieringsorgan (RISE) rörande ISO/IEC 27001 och ISO 9001, UPPSEC bistår även med etablering av revisionsprogram samt utbildar inom revisionsområdet. di|WEN Business av Revision h3|Senaste inläggen Meta sp| di|WEN Business av Etikett: h3|Senaste inläggen Meta sp|GDPR , , , , , , pa|UPPSEC är ett företag som tillhandahåller tjänster inom informationssäkerhet och cybersäkerhet. UPPSEC utför konsultuppdrag, revisioner och utbildningar inom området. UPPSEC AB ägs och drivs av Lars Söderlund. Lars är senior informationssäkerhetsexpert med 20 års erfarenhet inom området. Lars är certifierad CISM (certified information security manager) och ISMP (information security professional). Genom den långa erfarenhet och aktivt deltagande vid utvecklingen av svenska och globala standarder kan UPPSEC stödja organisationer på ett unikt sätt och införa ett systematiskt arbetssätt på ett verksamhetsanpassat sätt. UPPSEC AB stödjer både små och stora organisationer, både privata och offentliga när det gäller arbetet med informationssäkerhet, cybersäkerhet och dataskydd. UPPSEC arbetar med att hjälpa organisationer med praktisk implementering baserat på verkliga erfarenheter från många organisationer. UPPSEC har också tillgång till ett omfattande svenskt och internationellt nätverk av olika experter inom olika områden inom informationssäkerhet, cybersäkerhet och privacy. UPPSEC personal är certifierad och . UPPSEC AB är aktiva medlemmar inom den svenska och internationella standardiseringen. UPPSEC AB är medlem i SIS TK 318 och bemannar där rollen som ordförande i AG 11 som utgör den svenska spegelgruppen till ISO/IEC jTC 1 SC 27 WG 1 som hanterar managementstandarder inom informationssäkerhetsområdet inom ISO/IEC 27000-serien. Arbetet med standardiseringen innebär att UPPSEC AB deltar inom det internationella standardiseringsarbetet i följande grupper: Förutom standardiseringen är UPPSEC AB medlem I SIG Security och ISACA Sweden chapter. di|WEN Business av Välkommen till UPPSEC h3|Senaste inläggen Meta sp| pa|UPPSEC har sedan mer än 10 år tillbaka utvecklat och genomfört interna och externa utbildningar inom informationssäkerhet och cybersäkerhet. UPPSEC är initiativtagare och lärare inom SIS informationssäkerhetsakademi (SIS ISA). Inom ramen för ISA har UPPSEC genomfört utbildningar av mer än 500 personer inom informationssäkerhet och cybersäkerhet. UPPSEC genomför även interna utbildningar för företag och myndigheter. UPPSEC hjälper även organisationer med etablering av utbildningsprogram och program för medvetande inom informationssäkerhetsområdet. di|WEN Business av Utbildning h3|Senaste inläggen Meta sp| pa|UPPSEC erbjuder konsultstöd inom informationssäkerhet, cybersäkerhet och hantering av personuppgifter (dataskydd). Exempel på uppdrag: di|WEN Business av li|Stöd vid införande av ledningssystem för informationssäkerhet ISO/IEC 27001 Stöd vid införande av ledningssystem för kontinuitetshantering ISO 22301 Hantering av personuppgifter och dataskydd med stöd av ISO/IEC 29100, ISO/IEC 29134, ISO/IEC 29134, ISO/IEC 27552 Införande av riskhantering för cyber- informationssäkerhet och hantering av personuppgifter. Etablering av rapportering och hantering av incidenter för cyber- informationssäkerhet och hantering av personuppgifter. Etablering och genomförande av utbildningsprogram Etablering och genomförande av internt revisionsprogram Etableringar av lämpliga mätningar för informations- och cybersäkerhet Genomförande av GAP-analyser Inventering av legala krav Arbete med säkerhetsåtgärder inom följande områden Outsourcing och molntjänster Hantering av mobila enheter Styrning av åtkomst Kryptering Fysisk säkerhet IT-drift Nätverkssäkerhet Loggning Säkerhet i samband med utveckling Leverantörskedjor Kontinuitets Efterlevnad av legala krav, externa krav och interna krav Konsultstöd h3|Senaste inläggen Meta sp| di|WEN Business av Etikett: h3|Senaste inläggen Meta sp|Privacy , , , , , , pa|Den 11/2 2020 publicerade CEN CENELEC JTC 13 (Cybersecurity & Data protection) resultatet från omröstningen av att göra ISO/IEC 27701 “Extension of ISO/IEC 27001 and 27002 for privacy information management – Requirements and guidelines” till europeisk standard (EN). Standarden bygger på att man som organisation har ett ledningssystem i enlighet med ISO/IEC 27001 i botten och adderar ytterligare krav och säkerhetsåtgärder rörande privacy. Det kommer att gå att certifiera sig mot denna standard inom en nära framtid när reglerna för hur certifiering ska gå till blir färdiga. Den 6 juli 2018 presenterade Regeringen sin digitaliseringsstrategi. Vid denna uttalade civilminister Ardalan Shekarabi att Sverige skulle ”återta sin världsledande position rörande digitalisering”. När Sverige tidigare varit världsledande är för mig oklart och förklaras inte. Uttalandet visar tydligt hur dåligt ställt det är med förståelsen för vad digitalisering innebär och kräver. En grundförutsättning för att överhuvudtaget kunna digitalisera viktiga samhällstjänster är att berörda aktörer håller en relevant nivå av informationssäkerhet, eller cybersäkerhet som det numera är populärt att kalla det (ett begrepp som ingen har lyckats definiera än så länge). Men hur är det då ställt med informationssäkerheten i Sverige i slutet av 2018? Här kommer några iakttagelser från vad jag ser på marknaden. -Jag ser organisationer inom både offentlig förvaltning och näringsliv där man inte har kontroll över sin information. I ett informationssamhälle är det en veritabel härdsmälta. -Jag ser en statsmakt som fortfarande är extremt fragmentiserad där det är allt fler ”kockar som ska röra om i sin lilla del av grytan”. Fortfarande saknas det ett tydligt mandat för en central aktör att koordinera olika aktiviteter inom informationssäkerhetsområdet. Många kockar genomför splittrade insatser med varierande framgång. Visst görs det enstaka insatser som är bra och vällovliga men i det stora hela är den sammantagna effekten fullständigt otillräcklig. -Jag ser föreskrifter som är urvattnade då dom egentligen inte sätter ner foten med vad som krävs utan nöjer sig med att formulera krav som t.ex. man ska ha ett ledningssystem för informationssäkerhet med stöd av ISO/IEC 27001. Alltså inte att man ska ha ett LIS som uppfyller ISO/IEC 27001 utan med stöd av. Vad betyder med stöd av kan man undra? Kanske det räcker om en medarbetare för 10 år sedan tittade i standarden? -Jag ser nya regleringar som t.ex. NIS-direktivet där tillhörande föreskrifter innebär att ett flertal myndigheter behöver bygga upp egna organisationer för tillsyn, vilket kräver specialkompetens som är svår att hitta på marknaden och ändå svårare att behålla. Detta samtidigt som det finns ett statligt system för tillsyn under ledning av SWEDAC som är till för detta. -Jag konstaterar att MSB i sin konsekvensutredning rörande föreskrift för NIS-direktivet argumenterade för och emot att ställa ett hårt krav på att man ska vara certifierad i enlighet med ISO/IEC 27001. Det enda argumentet mot detta var att det var kostnadskrävande. Ni kan ju gissa om det blev ett hårt krav i föreskriften eller inte? Jag antar att det innebär att informationssäkerhet i samhällskritisk verksamhet inte får kosta något? -Jag ser att Sverige halkat efter i statistiken över certifierade organisationer. I statistiken framgår ju tydligt att det finns länder som Bulgarien och Rumänien som kommit betydligt längre. Jämför vi Sverige med till exempel Nederländerna som är hyfsat liknande i storlek så finns det 4 gånger fler certifierade organisationer i Nederländerna jämfört med Sverige. Följaktligen så är affärskravet att man är certifierad avseende informationssäkerhet väldigt vanligt när man ser krav från holländska företag eller myndigheter men inte särskilt vanliga i Sverige. -Jag ser ointresse från regeringen och statsmakten att använda internationella standarder trots att det finns minst två statliga utredningar som har konstaterat att Sverige som litet land i hög omfattning måste förlita sig på internationella standarder. -Jag ser att Polisen och MSB aktivt stöttar att det sätts upp ett system för certifiering baserat på egenkontroll och som inte är ackrediterad av SWEDAC och som aldrig kommer att kunna användas som bevis för att uppfylla affärskrav. -Jag ser ett lågt intresse från statens sida att säkerställa ett starkt och aktivt deltagande i utvecklingen av internationella standarder trots att ett fåtal personer inom berörda myndigheter gör vad dom kan. Men totalt sett blir det ändå otillräckligt. Som exempel kan nämnas att Sverige under de senaste 10 åren inte haft någon som helst representation inom ISO/IEC JTC1 SC27 WG2 som arbetar med standarder rörande krypteringsalgoritmer. Just nu håller dom på och utvecklar ”post-quantum algorithms”. Men detta kanske är ett helt ointressant område för Sverige? -Jag ser myndigheter som har varit medvetna om vad dom behöver göra sedan 2005 men som trots det ännu inte har kommit in i ett systematiskt förbättringsarbete. All energi går åt till akuta reaktiva insatser. -Jag ser myndigheter som helt saknar kontinuitetshantering. -Jag ser kommuner som inte har tagit sitt ansvar för informationssäkerheten eftersom ”dom inte fått några särskilda medel för det”. -Jag ser statliga upphandlingar som innebär omfattande hantering av personuppgifter där det enda kravet på informationssäkerhet är att man ska ha en informationssäkerhetspolicy. -Jag ser svenska företag som tappar affärer till utländska konkurrenter eftersom dom inte är certifierade gentemot ISO/IEC 27001. -Jag ser svenska företag som är certifierade i enlighet med ISO/IEC 27001 men som vid offentliga upphandlingar inte har någon som helst fördel av det då upphandlande organisation inte ställde några krav överhuvudtaget runt informationssäkerhet trots att upphandlingen omfattade hantering av personregister. -Jag ser både företag och offentlig förvaltning som gladeligen utkontrakterar sin informationshantering och system till leverantörer och molntjänster utan att man har ställt relevanta krav och utan att det genomförts någon som helst riskbedömning. Enligt min mening så är situationen långt ifrån bra och ska vi som land bli värdsledande i digitalisering behöver vi bli världsledande när det gäller informationssäkerhet. Och det är vi väldigt långt ifrån i nuläget. Den nuvarande situationen innebär att Sverige som land drabbas av onödiga och mer eller mindre allvarliga incidenter dagligen som kunnat förhindras med ett systematiskt arbete. Frågan är hur många år till det ska ta innan regeringen och statsmakten tar detta på fullt allvar och sätter ner foten en gång för alla. Vi har just nu nått en nivå då Sveriges konkurrenskraft som land påverkas negativt. Frågan är om någon bryr sig? Vad säger du, civilminister Ardalan Shekarabi? UPPSEC AB deltar under denna vecka (Vecka 16 2018) i ISO/IEC SC27 konferens i Wuhan, Kina. SC27 ansvarar för att ta fram globala ISO/IEC-standarder inom områdena informationssäökerhet, cybersäkerhet och privacy. 300 experter från hela världen deltar under en veckas arbete med att utveckla standarder för hela området. Totalt pågår ett 90-tal olika projekt för närvarande. SC27 har publicerat cirka 150 standarder inom området. Bl.a. har denna grupp tagit fram ISO/IEC 27000-serien där bland annat ISO/IEC 27001 och ISO/IEC 27002 ingår. Standarderna används av alla tusentals organisationer, små såväl som stora, privata såväl som offentlig över hela världen UPPSEC är ett företag som tillhandahåller tjänster inom informationssäkerhet och cybersäkerhet. UPPSEC utför konsultuppdrag, revisioner och utbildningar inom området. UPPSEC AB ägs och drivs av Lars Söderlund. Lars är senior informationssäkerhetsexpert med 20 års erfarenhet inom området. Lars är certifierad CISM (certified information security manager) och ISMP (information security professional). Genom den långa erfarenhet och aktivt deltagande vid utvecklingen av svenska och globala standarder kan UPPSEC stödja organisationer på ett unikt sätt och införa ett systematiskt arbetssätt på ett verksamhetsanpassat sätt. UPPSEC AB stödjer både små och stora organisationer, både privata och offentliga när det gäller arbetet med informationssäkerhet, cybersäkerhet och dataskydd. UPPSEC AB är aktiv medlem inom den svenska och internationella standardiseringen. UPPSEC AB är medlem i SIS TK 318 och bemannar där rollen som ordförande i AG 11 som utgör den svenska spegelgruppen till ISO/IEC jTC 1 SC 27 WG 1 som hanterar managementstandarder inom informationssäkerhetsområdet inom ISO/IEC 27000-serien. Arbetet med standardiseringen innebär att UPPSEC AB deltar inom det internationella standardiseringsarbetet i följande grupper: Förutom standardiseringen är UPPSEC AB medlem i SIG Security och ISACA Sweden chapter. di|WEN Business av Författare: h3|Senaste inläggen Meta sp|LS , , , , , , di|WEN Business av Etikett: h3|Senaste inläggen Meta sp|Standarder , , , , , , pa|UPPSEC is a company that provides information security and cyber security services. UPPSEC performs consultancy assignments, audits and education in the field. UPPSEC AB is owned and operated by Lars Söderlund. Lars is a senior information security expert with 20 years of experience in the field. Lars is a Certified Information Security Manager (CISM) and ISMP (Information Security Professional). Through its long experience and active participation in the development of Swedish and global standards, UPPSEC can support organizations in a unique way and introduce a systematic way of working in an operational manner. UPPSEC AB supports both small and large organizations, both private and public in terms of information security, cyber security and data protection. UPPSEC AB are active members of the Swedish and international standardization. UPPSEC AB is a member of the SIS TK 318 and employs the role of chairman of AG 11, which is the Swedish mirror group of ISO / IEC jTC 1 SC 27 WG 1, which manages management standards in the information security area within the ISO / IEC 27000 series. Work on standardization means UPPSEC AB participates in international standardization work in the following groups: ISO / IEC JTC 1 SC 27 WG1, WG 4 and WG 5 CEN CENELEC JTC 13 ISO TMB JTCG In addition to the standardization, UPPSEC AB member is in SIG Security and ISACA Sweden chapter. di|WEN Business av UPPSEC -In English h3|Senaste inläggen Meta sp| di|WEN Business av Etikett: h3|Senaste inläggen Meta sp|ISO/IEC 29134 , , , , , , di|WEN Business av Etikett: h3|Senaste inläggen Meta sp|ISO/IEC 29151 , , , , , , di|WEN Business av Etikett: h3|Senaste inläggen Meta sp|Dataskyddslagen , , , , , , pa|UPPSEC är ett företag som tillhandahåller tjänster inom informationssäkerhet och cybersäkerhet. UPPSEC utför konsultuppdrag, revisioner och utbildningar inom området. UPPSEC AB ägs och drivs av Lars Söderlund. Lars är senior informationssäkerhetsexpert med 20 års erfarenhet inom området. Lars är certifierad CISM (certified information security manager) och ISMP (information security professional). Genom den långa erfarenhet och aktivt deltagande vid utvecklingen av svenska och globala standarder kan UPPSEC stödja organisationer på ett unikt sätt och införa ett systematiskt arbetssätt på ett verksamhetsanpassat sätt. UPPSEC AB stödjer både små och stora organisationer, både privata och offentliga när det gäller arbetet med informationssäkerhet, cybersäkerhet och dataskydd. UPPSEC AB är aktiv medlem inom den svenska och internationella standardiseringen. UPPSEC AB är medlem i SIS TK 318 och bemannar där rollen som ordförande i AG 11 som utgör den svenska spegelgruppen till ISO/IEC jTC 1 SC 27 WG 1 som hanterar managementstandarder inom informationssäkerhetsområdet inom ISO/IEC 27000-serien. Arbetet med standardiseringen innebär att UPPSEC AB deltar inom det internationella standardiseringsarbetet i följande grupper: Förutom standardiseringen är UPPSEC AB medlem i SIG Security och ISACA Sweden chapter. Du måste vara för att skriva en kommentar. di|WEN Business av Välkommen till UPPSEC Inläggsnavigering h3|Lämna ett svar Senaste inläggen Meta sp| pa|Ange ditt användarnamn eller din e-postadress. Du kommer att få ett e-postmeddelande med instruktioner om hur du återställer ditt lösenord. pa|UPPSEC AB deltar under denna vecka (Vecka 16 2018) i ISO/IEC SC27 konferens i Wuhan, Kina. SC27 ansvarar för att ta fram globala ISO/IEC-standarder inom områdena informationssäökerhet, cybersäkerhet och privacy. 300 experter från hela världen deltar under en veckas arbete med att utveckla standarder för hela området. Totalt pågår ett 90-tal olika projekt för närvarande. SC27 har publicerat cirka 150 standarder inom området. Bl.a. har denna grupp tagit fram ISO/IEC 27000-serien där bland annat ISO/IEC 27001 och ISO/IEC 27002 ingår. Standarderna används av alla tusentals organisationer, små såväl som stora, privata såväl som offentlig över hela världen di|WEN Business av ISO/IEC JTC 1 SC 27 möte i Wuhan, Kina Inläggsnavigering h3|Senaste inläggen Meta sp| pa|Den 6 juli 2018 presenterade Regeringen sin digitaliseringsstrategi. Vid denna uttalade civilminister Ardalan Shekarabi att Sverige skulle ”återta sin världsledande position rörande digitalisering”. När Sverige tidigare varit världsledande är för mig oklart och förklaras inte. Uttalandet visar tydligt hur dåligt ställt det är med förståelsen för vad digitalisering innebär och kräver. En grundförutsättning för att överhuvudtaget kunna digitalisera viktiga samhällstjänster är att berörda aktörer håller en relevant nivå av informationssäkerhet, eller cybersäkerhet som det numera är populärt att kalla det (ett begrepp som ingen har lyckats definiera än så länge). Men hur är det då ställt med informationssäkerheten i Sverige i slutet av 2018? Här kommer några iakttagelser från vad jag ser på marknaden. -Jag ser organisationer inom både offentlig förvaltning och näringsliv där man inte har kontroll över sin information. I ett informationssamhälle är det en veritabel härdsmälta. -Jag ser en statsmakt som fortfarande är extremt fragmentiserad där det är allt fler ”kockar som ska röra om i sin lilla del av grytan”. Fortfarande saknas det ett tydligt mandat för en central aktör att koordinera olika aktiviteter inom informationssäkerhetsområdet. Många kockar genomför splittrade insatser med varierande framgång. Visst görs det enstaka insatser som är bra och vällovliga men i det stora hela är den sammantagna effekten fullständigt otillräcklig. -Jag ser föreskrifter som är urvattnade då dom egentligen inte sätter ner foten med vad som krävs utan nöjer sig med att formulera krav som t.ex. man ska ha ett ledningssystem för informationssäkerhet med stöd av ISO/IEC 27001. Alltså inte att man ska ha ett LIS som uppfyller ISO/IEC 27001 utan med stöd av. Vad betyder med stöd av kan man undra? Kanske det räcker om en medarbetare för 10 år sedan tittade i standarden? -Jag ser nya regleringar som t.ex. NIS-direktivet där tillhörande föreskrifter innebär att ett flertal myndigheter behöver bygga upp egna organisationer för tillsyn, vilket kräver specialkompetens som är svår att hitta på marknaden och ändå svårare att behålla. Detta samtidigt som det finns ett statligt system för tillsyn under ledning av SWEDAC som är till för detta. -Jag konstaterar att MSB i sin konsekvensutredning rörande föreskrift för NIS-direktivet argumenterade för och emot att ställa ett hårt krav på att man ska vara certifierad i enlighet med ISO/IEC 27001. Det enda argumentet mot detta var att det var kostnadskrävande. Ni kan ju gissa om det blev ett hårt krav i föreskriften eller inte? Jag antar att det innebär att informationssäkerhet i samhällskritisk verksamhet inte får kosta något? -Jag ser att Sverige halkat efter i statistiken över certifierade organisationer. I statistiken framgår ju tydligt att det finns länder som Bulgarien och Rumänien som kommit betydligt längre. Jämför vi Sverige med till exempel Nederländerna som är hyfsat liknande i storlek så finns det 4 gånger fler certifierade organisationer i Nederländerna jämfört med Sverige. Följaktligen så är affärskravet att man är certifierad avseende informationssäkerhet väldigt vanligt när man ser krav från holländska företag eller myndigheter men inte särskilt vanliga i Sverige. -Jag ser ointresse från regeringen och statsmakten att använda internationella standarder trots att det finns minst två statliga utredningar som har konstaterat att Sverige som litet land i hög omfattning måste förlita sig på internationella standarder. -Jag ser att Polisen och MSB aktivt stöttar att det sätts upp ett system för certifiering baserat på egenkontroll och som inte är ackrediterad av SWEDAC och som aldrig kommer att kunna användas som bevis för att uppfylla affärskrav. -Jag ser ett lågt intresse från statens sida att säkerställa ett starkt och aktivt deltagande i utvecklingen av internationella standarder trots att ett fåtal personer inom berörda myndigheter gör vad dom kan. Men totalt sett blir det ändå otillräckligt. Som exempel kan nämnas att Sverige under de senaste 10 åren inte haft någon som helst representation inom ISO/IEC JTC1 SC27 WG2 som arbetar med standarder rörande krypteringsalgoritmer. Just nu håller dom på och utvecklar ”post-quantum algorithms”. Men detta kanske är ett helt ointressant område för Sverige? -Jag ser myndigheter som har varit medvetna om vad dom behöver göra sedan 2005 men som trots det ännu inte har kommit in i ett systematiskt förbättringsarbete. All energi går åt till akuta reaktiva insatser. -Jag ser myndigheter som helt saknar kontinuitetshantering. -Jag ser kommuner som inte har tagit sitt ansvar för informationssäkerheten eftersom ”dom inte fått några särskilda medel för det”. -Jag ser statliga upphandlingar som innebär omfattande hantering av personuppgifter där det enda kravet på informationssäkerhet är att man ska ha en informationssäkerhetspolicy. -Jag ser svenska företag som tappar affärer till utländska konkurrenter eftersom dom inte är certifierade gentemot ISO/IEC 27001. -Jag ser svenska företag som är certifierade i enlighet med ISO/IEC 27001 men som vid offentliga upphandlingar inte har någon som helst fördel av det då upphandlande organisation inte ställde några krav överhuvudtaget runt informationssäkerhet trots att upphandlingen omfattade hantering av personregister. -Jag ser både företag och offentlig förvaltning som gladeligen utkontrakterar sin informationshantering och system till leverantörer och molntjänster utan att man har ställt relevanta krav och utan att det genomförts någon som helst riskbedömning. Enligt min mening så är situationen långt ifrån bra och ska vi som land bli värdsledande i digitalisering behöver vi bli världsledande när det gäller informationssäkerhet. Och det är vi väldigt långt ifrån i nuläget. Den nuvarande situationen innebär att Sverige som land drabbas av onödiga och mer eller mindre allvarliga incidenter dagligen som kunnat förhindras med ett systematiskt arbete. Frågan är hur många år till det ska ta innan regeringen och statsmakten tar detta på fullt allvar och sätter ner foten en gång för alla. Vi har just nu nått en nivå då Sveriges konkurrenskraft som land påverkas negativt. Frågan är om någon bryr sig? Vad säger du, civilminister Ardalan Shekarabi? di|WEN Business av Ett brev till civilminister Ardalan Shekarabi Inläggsnavigering h3|Senaste inläggen Meta sp| pa|Den 11/2 2020 publicerade CEN CENELEC JTC 13 (Cybersecurity & Data protection) resultatet från omröstningen av att göra ISO/IEC 27701 “Extension of ISO/IEC 27001 and 27002 for privacy information management – Requirements and guidelines” till europeisk standard (EN). Standarden bygger på att man som organisation har ett ledningssystem i enlighet med ISO/IEC 27001 i botten och adderar ytterligare krav och säkerhetsåtgärder rörande privacy. Det kommer att gå att certifiera sig mot denna standard inom en nära framtid när reglerna för hur certifiering ska gå till blir färdiga. di|WEN Business av ISO/IEC 27701 nu antagen som europeisk standard Inläggsnavigering h3|Senaste inläggen Meta sp| di|WEN Business av Använd LIS och nya ISO/IEC 29151 samt ISO/IEC 29134 för att hantera GDPR Inläggsnavigering h3|Senaste inläggen Meta sp|, , , , , ,