Stöldskyddsföreningen (SSF) har tillsammans med bl.a. MSB, Polisen, Svensk Försäkring, Svensk Handel och Svenskt Näringsliv tagit fram en norm för informationssäkerhet riktad mot i första hand små och medelstora organisationer med möjlighet till certifiering.
Normen besår av två nivåer, en BAS-nivå och en PLUS-nivå. Innehållet i normen med best practice åtgärder kopplade till IT- och informationssäkerhet kommer att vara fritt tillgängliga via SSF webbplats.
BAS-nivån introduceras på Skyddsmässan i Stockholm den 23–25 oktober i år. Arbetet med PLUS-nivån kommer att påbörjas under hösten och introduceras under 2019.
Omfattning
BAS-nivån hjälper organisationen eller företaget att säkerställa en grundläggande IT-säkerhet genom åtgärder inom områden som utrustning, programvaror, nätverk, behörigheter och outsorcing av IT-driften.
BAS-nivå guidar organisationen till grundläggande IT-säkerhet genom:
1. Datorer och mobila enheter
Datorer och mobila enheter omfattar bl.a. kryptering, säkerhetskopiering, användande av företagets resurser för privat bruk och vice versa samt skydd mot skadlig kod.
2. Programvaror och applikationer
Programvaror och applikationer omfattar bl.a. säkerhetsuppdateringar, versionshantering av mjukvara och inställningar för automatisk programstart.
3. Nätverk
Nätverk omfattar bl.a. trådlös åtkomst till internt nätverk, gästnätverk, routrar och andra nätverkskomponenter, brandväggar, säker konfiguration, byte av lösenord och regler för användande av offentligt Wi-Fi.
4. Externa IT-tjänster
Externa IT-tjänster omfattar bl.a. avtalsvillkor och krav på säkerhetskopiering.
5. Behörigheter
Behörigheter omfattar bl.a. tilldelning av behörigheter, kontroll och uppföljning av administrativa konton.
6. Utbildning
Utbildning omfattar på BAS-nivån grundläggande utbildning i informationssäkerhet.
Certifiering
För de organisationer som säkerställt en grundläggande IT-säkerhet enligt BAS-nivån kommer Svensk Brand- och Säkerhetscertifiering (SBSC) att erbjuda certifiering. Certifieringen bygger på en egendeklaration utgående från kraven i normen. Certifikatet är giltigt i tre år och därefter finns möjlighet att förnya certifieringen. Efter godkänd certifiering får organisationen ett certifikat och rätt att använda SBSCs certifieringsmärke. Organisationen listas även på SBSCs och Stöldskyddsföreningens webbplatser.
PLUS-nivån kommer att omfatta krav på ledning och styrning av informationssäkerheten i organisationen. Även för PLUS-nivån kommer certifiering att erbjudas. Den certifieringen kommer att genomföras på traditionellt vis med revision på plats hos organisationen. För att bli certifierad mot PLUS-nivån krävs att BAS-nivån först är uppfylld.
En certifiering bidrar till att stärka förtroendet för organisationen, både från kunder, samarbetspartners och kravställare.
Sammantaget innebär normen att alla organisationer och företag har möjlighet att få stöd med best practice åtgärder för att säkerställa en grundläggande IT-säkerhet och en bra styrning av informationssäkerheten på en nivå som är genomförbar även utan egen omfattande IT- och informationssäkerhetskompetens. Resultatet är en ökad förmåga att möta de vanligaste cyberhoten i dagens samhälle samtidigt som organisationen visar att man tar IT- och informationssäkerheten på allvar. Genom att säkerställa att grundläggande IT-säkerhetsåtgärder är genomförda har organisationen förutsättningar att skydda personuppgifter enligt GDPR. För de organisationer och företag som genomfört åtgärder enligt BAS respektive PLUS-nivåerna finns möjligheten till certifiering som ett sista steg. Hela det arbetet som genomförts av deltagande myndigheter och organisationer har som målsättning att sammantaget höja hela samhällets förmåga avseende informationssäkerhet.