Det strategiska arbetet med informationssäkerhet utgår från verksamhetens behov och mål. Rätt nivå på säkerheten måste identifieras så kvarvarande risk accepteras av verksamheten. I kursen besvaras frågorna varför vi ska ha denna nivå av säkerhet och vad som ska göras.

Investeringar i säkerhetsåtgärder måste också kunna motiveras ekonomiskt, nyttan dessa ger måste överstiga kostnaderna de medför. Inom säkerhetsområdet är detta extra komplicerat då investeringar ofta inte ger någon direkt avkastning och det finns en viss osäkerhet om åtgärder har önskad effekt.

Att kunna kommunicera nyttan med att investera i informationssäkerhet till beslutsfattare är en viktig förutsättning för att rätt mängd resurser ska allokeras till detta område.

Kursen använder standarden ISO/IEC 27000 som röd tråd, eftersom denna idag utgör det dominerande ramverket för informationssäkerhet. Den omfattar tre dagar.

Utbildningsmål

Efter utbildningen har du förståelse för informationssäkerhetens strategiska betydelse för organisationer och kan kommunicera denna till verksamhetsrepresentanter och ledning. Du kan leda och driva aktiviteter i arbetet med syfte att skapa en informationssäkerhetsarkitektur.

Målgrupp

Kursen vänder sig till dig som är verksam som till exempel:

• Säkerhetschef/-ansvarig
• Informationssäkerhetschef/-ansvarig
• Företagsledning
• IT-chef/-ansvarig
• IT-strateg
• Verksamhetschef
• Konsult
• IT-arkitekt
• Riskansvarig

Förkunskaper

Strategisk informationssäkerhet behandlar säkerhet på ledningsnivå och lämpar sig bland annat för den som är ny i en säkerhetsroll. Kursen har inga formella förkunskapskrav men det är en fördel om du som deltagare har erfarenhet av ledningsarbete (t.ex. som chef) eller säkerhetsfrågor (t.ex. som utvecklare).

Nästa steg

Strategisk informationssäkerhet är en av Dataföreningen Kompetens kurser i informationssäkerhet. Vår uppdelning på tre fristående tredagarskurser gör att du kan välja de kurser som passar dig och i den ordning som passar dig.
Du som har gått alla tre kurserna kan välja att gå den fjärde kursen för att certifiera dig som Certifierad Informationssäkerhetsarkitekt.

Innehåll

Grundläggande begrepp inom informationssäkerhet

• Vi börjar med att gå igenom begrepp och terminologi inom informationssäkerhet för att ge en gemensam grund att stå på. Begrepp så som sekretess, autentisering, auktorisering, risk och hot förklaras.

Processer för informationssäkerhet

• I detta avsnitt tar vi upp de processer som behövs för att kunna leda informationssäkerhetsarbetet. Syftet med processerna är att utifrån verksamhetens mål och krav skapa förutsättningar för en effektiv informationshantering.

Säkerhetsorganisationen

• Detta avsnitt tar upp hur man organiserar informationssäkerhetsarbetet. Hur fördelar man ansvaret för informationssäkerheten inom organisationen? Vilka roller bör man ha? Vilka roller bör man inte sammanföra hos samma person?

Informationssäkerhet och juridik

• Att mycket av informationshanteringen styrs av lagar och förordningar är nog uppenbart för de flesta, den svåra frågan är på vilket sätt. Vilka rättsregler som gäller för informationshantering och vilka krav ställs? Vad gäller för tystnadsplikt/sekretess? Vilken information får behandlas?

Riskhantering och riskanalys

• Med hjälp av riskanalysen kan vi avgöra var hoten mot verksamheten finns och gradera dessa från ringa till allvarliga. Med det resultatet kan vi sedan göra en prioritering vilka åtgärder som är nödvändiga för att reducera riskerna.

Informationssäkerhet och media

• Att säkerhetsincidenter ofta tas upp i massmedia har vi sett allt oftare i dagens samhälle. Den första kontakten med massmedia kan vara skrämmande och inte sällan blir man förvånad av resultatet. Detta avsnitt ger en inblick i journalisters arbetsmetoder och ger tips om man får fram sitt budskap utan att det förvanskas.

Investeringar i informationssäkerhet

• • Att motivera för företagsledningen att det behövs investeringar för att förbättra säkerheten är inte alltid lätt. Detta avsnitt presenterar ett antal metoder för att beräkna värdet investeringar i informationssäkerhet.