ISO 27000 - Fysisk och miljörelaterad informationssäkerhet

Denna guide handlar om styrning och kontroll av säkerhet och skydd för informationsresurser och relaterade objekt eller system i fysisk mening. Informationsresurser och utrustning ska skyddas på ett likvärdigt sätt.
Innehållsförteckning
      Visa mer/mindre

      Informationssäkerhet kan indelas i;

      • Organisatorisk (styrning och fysisk administration)
      • Logisk (IT, program, data och digitala uppgifter), och
      • Fysisk (fastighet, geografisk placering, material, miljö).

      Denna guide visar steg för styrning, kontroll av säkerhet och skydd för informationsresurser och relaterade objekt eller system i fysisk mening.

      Informationsresurser och utrustning ska skyddas på ett likvärdigt sätt oavsett vart den hanteras eller används.

      Verksamhetens informationsresurser och informationsbehandlingsresurser och dit hörande tillgångar, som exempelvis lokaler och den utrustning som används för informationshantering, ska skyddas på en nivå som identifierats och fastställts genom informationsklassificering.

      Fysiska och miljörelaterade aspekter på säkerhet och skydd är omfattande och innefattar;

      • Skalskydd: Byggnadstekniska omslutningsytor och beskaffenheter i konstruktion.
        Syftet är att förhindra och fördröja obehörigt tillträde. Vanligen utformas detta skydd så att det är förknippat till stor tidsåtgång i ett inbrottsförfarande och förenat till oväsen. Tekniskt skydd placeras inom skalskyddet för att komplettera med en så tidig detektering som möjligt.
      • Mekaniskt skydd (låsmekanik, beslag, galler och andra förstärkningar)
        Syftet är att förstärka eller komplettera skalskyddet till högre skyddsnivå. Vanligen kan dess klassificering baseras på försäkringsklasser och analys. Vanligen består det mekaniska skyddet av förstärkningar av gångjärn, beslag och annan materiel som tål mer stryk vid ett inbrottsförsök. Det mekaniska skyddet utgör också delar av ett brandlarmsystem, dvs. att brandceller försluts mekaniskt då brandlarm löser ut.
      • Tekniskt skydd (konventionella inbrottslarm, brandlarm, passersystem, CCTV system), och tekniskt liknande skydd för att säkerställa drift förhållanden (ventilation, temperatur).
        Syftet är att förebygga, upptäcka, bevaka eller korrigera tillstånd både utanför och innanför skalskyddet.
      • Personell bevakning räknas hit då uppgiften är att säkerställa och upprätthålla skalskydd, styra tekniska eller mekaniska skydd eller arbete inom underhåll och drift.
        Personell bevakning är till för att verifiera händelser och ombesörja skalskydd och driftsförhållanden. Bevakningen är oftast av utryckningsnatur, men kan även vara stationär eller i kombination. Den personella bevakningen är vanligen interna drifttekniker, jour eller väktare/skyddsvakter.
      • Miljörelaterad påverkan och egenskaper: Fastigheter/objekt och dess geografiska placering, djur, insekter, väderlek, slitage, närliggande verksamheter.
      • Beroenden av externa infrastrukturella strukturer eller funktioner.
        Kan vara vägar, elnät, vatten.

      Tillträde

      Verksamhetens fastighet, lokaler och ytor är inte utformade för det allmänna. Åtkomst till verksamhetens objekt eller ytor ska utformas på sätt som tydligt visar avgränsning och som möjliggör att fysiskt utestänga obehöriga personer. 

      Tillträde ska endast beviljas för personer som har rättigheter att vistas inom ett område, fastighet eller lokal. Personer som kan ha rättighet till tillträde är anställd personal, externa medarbetare och samarbetspartners.

      Verksamhetens lokaler ska utformas med behörighetssystem, för att verifiera behörighet, kunna styra åtkomsträttigheter och uppnå spårbarhet.

      Företags ID och eller accesskort

      All verksam personal ska bära företags ID under all arbetsrelaterad tid och underlåta sig behörighetskontroll inom verksamhetens områden.

      Externa medarbetare och samarbetspartners, som varaktigt befinner sig inom verksamhetens lokaler, ska bära företags ID under arbetstid i verksamhetens områden.

      Tillfälliga möten och besök ska ledsagas och där besökaren ska bära besöksbricka. 

      Utförseltillstånd

      All utförsel av material som tillhör verksamheten ska styrkas med ett utförseltillstånd som är undertecknat av attestberättigad chef.

      All utförsel skall ske genom receptionen och utförseltillståndet ska utan anmodan visas upp för personalen i receptionen.

      Stöld

      Stöld av verksamhetens egendom kan leda till uppsägning.
      Vid misstanke om brott har verksamheten, inom egna lokaler, rätt att öppna den anställdes samtliga arbetsrelaterade persedlar och informationsresurser eller informationsbehandlingsresurser. Detta får endast göras av behörig person från säkerhetsavdelningen tillsammans med behörig chef/arbetsledare. Som verksam är det en skyldighet att rapportera till närmaste chef eller säkerhetsavdelningen om man ser eller erhåller uppgifter om att någon begår stöld.

      Incidenter

      Incidenter ska alltid rapporteras till närmaste chef samt säkerhetsavdelningen. Rapportering kan göras via blankett Incidentrapport, telefon eller mail. En incident är en händelse som har skadat eller kan skada verksamhetens informationsresurser eller informationsbehandlingsresurser och relaterade tillgångar.

      Exempel på incidenter som ska rapporteras är:

      • Brott eller misstanke om brott
      • Datavirus, intrång
      • Uppfattade driftfel eller störningar
      • Borttappat ID-kort eller nycklar
      • Felaktiga eller bristfälliga rutiner

      Strategiska platser

      I verksamhetens lokaler och utrymmen hanteras informations- och informationsbehandlingsresurser och andra relaterade tillgångar med olika nivå av skyddsbehov. Skyddsbehovet ska motsvara skyddsnivåerna genom informationsklassificeringen.

      Strategiska och eller skyddsvärda områden kan vara:

      • Korskopplingsrum
      • Kablage
      • Driftutrymmen
      • Arbetsrum – öppna kontorsytor
      • Sammanträdesrum
      • Vägar till och från strategiska platser

      Behörighet och åtkomstmöjligheter till dessa platser/till dess omedelbara närhet ska minimeras. Här menas även att minimera insynsmöjligheter.

      Strategiska platser och vägar dit ska vara belagda med behörighetssystem.

      Placering

      Inredning av fastighet, lokaler och utrymmen ska ske på ett sådant sätt, att informations- och informationsbehandlingsresurser och annan utrustning är skyddad. Redskap och övrig interiör ska vara fasta installationer.

      Informationsbehandlingsresurser, dess lokal eller utrymme och korskopplingar ska vara skyddade mot avlyssning och eller överhörning.

      Informationssäkerhet

      Verksamhetens identifierade informationsresurser ska genomgå klassificering och bli märkt på rätt sätt. Den som hanterar informationsresurser ska kunna se till klassificering om hur informationsresursen får användas eller hanteras.

      Kommunikationssystem, informationsbehandlingssystem och fysiska dokument ska hanteras i enlighet med klassificering och märkning.

      Den som är verksam får inte sitta i allmänutrymmen och samtala om informationsresurser så att obehöriga personer kan tillkännages information genom överhörning eller avlyssning.

      För att skydda verksamhetens informationsresurser och informationsbehandlingsresurser finns regler framtagna som vi ska iaktta vid möten, konferenser, mässor mm.

      Vid externa möten skall följande särskilt iakttas:

      • Undvik att exponera företagsnamnet.
      • Lämna inte möteslokalen olåst eller utan uppsikt.
      • Lämna inte datorer, konferensmaterial o dyl. i lokalen under natten. 
      • Om känslig information ska diskuteras under mötet skall särskild försiktighet iakttas. 
      • Efter sammankomsten skall allt material och information tillhörande verksamheten städas bort.

      Mail, telefax, memo och liknande

      Vid överföring av konfidentiellt klassificerad information får inte rubricerade medier användas såvida inte överföringen är krypterad.

      Vid tjänsteresor är det viktigt att man hanterar verksamhetens informationsresurser på ett sätt som minimerar risken att obehöriga kan ta del av informationen:

      • Undvik att ta med dig dokument som innehåller information som är klassificerat som konfidentiellt. Om du har med dig sådan information får detta inte lämnas obevakat. 
      • Har du konfidentiella informationsresurser lagrad i en bärbar dator måste informationen vara krypterad. 
      • Lämna aldrig en bärbar dator utan uppsikt i bilen, på flygplatsen eller på hotellrummet etc.

      Inför en tjänsteresa i Sverige eller utomlands bör resenären informera sig om de regler som finns att iaktta vid tjänsteresor. Bl a skall följande beaktas:

      • Före resan skall en resplan upprättas, krav på visum och vaccinering kontrolleras samt information om lokala risker och kulturella skillnader inhämtas.
      • Ta kopior på ditt pass samt ta med 4 st extra passfoton.
      • Välj inte utsatta flygbolag och flygplatser. 
      • Under resan skall du tänka på att undvika exponering, använd inte väskor eller kläder med företagets logotype. Vidare skall man respektera lokala lagar och regler.
      • Försäkringstäckning ska finnas klara innan avresa sker.
      • Kopia av resplanen ska finnas hos närmsta chef.

      Fotograferings- och eller filmningstillstånd

      Det är förbjudet att fotografera eller filma i verksamhetens lokaler utan giltigt tillstånd. Tillstånd att fotografera eller filma får utfärdas av verksamhetsansvarig chef på berörd enhet eller av säkerhetsavdelningen. Verksamhetsansvarig chef har endast rätt att utfärda tillstånd för lokaler inom det egna verksamhetsområdet.

      Tillståndet, som är personligt, ska bäras av fotografen vid fototillfället och visas upp vid anmodan. Externa fotografer ska alltid ledsagas av besöksmottagaren.

      Kontakt med massmedia

      Anställd får inte göra uttalanden till massmedia i exempelvis politiska eller religiösa frågor på ett sätt att det kan uppfattas såsom verksamhetens uttalande eller ställningstagande.

      Kontakt med massmedia om verksamheten ska ske via informationsavdelningen.

      Verksamhetens namn får inte användas i privata ärenden, t ex när vi skriver till ett företag eller myndighet i egenskap av privatperson. För privata ändamål får ej verksamhetens fysiska eller logiska signaturer användas.

      Enkäter

      Inga externa enkäter om verksamheten får besvaras utan godkännande från ansvarig chef. Vid tveksamhet ska informationsavdelningen eller säkerhetsavdelningen kontaktas.

      Interna enkäter får endast genomföras om det godkänts av berörd verksamhetschef. Av enkäten måste klart framgå vem som är ansvarig för enkäten samt syftet med enkäten.

      Verksamheten ska bedriva systematiskt brandskyddsarbete. Brandcentral och släcksystem skall finnas inom alla delar av verksamhetens fastigheter och lokaler, dessa ska vara av konventionell typ/sektionsindelning och vara kopplat till räddningstjänst.
      Brandsystem ska vara utformat för att generera larm, upptäcka rök och släcka brand. Utsedda utrymningsledare ska finnas på varje avdelning.

      Varje anställd är skyldig att ta del av informationen på utrymningstavlorna som innehåller information om:

      • Utrymningsvägar och andra nödutgångar
      • Återsamlingsplatser
      • Placering av släckutrustning och larmknappar

      Alla brandposter ska innehålla:

      • Ritning och sektionsförteckning (om brandcentral finns inom denna brandcell) över brandlarmssystem
      • Släckutrustning,
      • Filt,
      • Första hjälpen och förbandsmaterial
      • Hjärtstartare
      • Bår
      • Anteckningsblock
      • Penna
      • Utrymningsledare väst

      Utöver detta så ska det på tavla, vid brandposten finnas information om och till: 

      • Säkerhetsavdelningen
      • Fastighets- och driftavdelningen
      • Verksamhetsområdets chef
      • IT säkerhetsavdelning
      • Larmnummer till:
        - Räddningstjänst
        - Polis
        - Vårdupplysning samt till
        - Företagshälsovård.

      Ingen får blockera eller göra ändringar i brandskyddsinstallationer, undantaget är godkänd installatör. Och handhavande för rapportering görs av berättigade personer från driftavdelningen.

      Räddningstjänst

      Räddningstjänsten ska vid betydande omställning i verksamheten bjudas in för att delta i planering för oönskade händelser och för att ge effekt vid insatser. Planeringen ska resultera i att Räddningstjänsten har goda kunskaper om hur verksamheten utrymmer fastigheten, andra rutiner, eller kännedom om områden med förhöjd skyddsnivå för snabb och effektiv räddningsinsats.

      Brandbelastning i verksamheten ska skyndsamt avlägsnas.

      Anställd personal ska genomgå ABC utbildning.

      Heta arbeten

      Fastighetsavdelningen/driftavdelningen utfärdar tillstånd vid allt arbete som räknas till heta arbeten. Finns inget tillstånd får arbete ej påbörjas.

      Fastighet, lokaler och utrymmen

      Alla fastigheter, lokaler och utrymmen ska leva upp till gällande byggnormer.

      Drift, installationer och underhåll

      Säkerhets- och eller skyddsanordningar ska periodiskt vara föremål för underhåll och service och detta ska vara avtalsstyrt.

      Anordningar ska återkommande prövas för att säkerställa funktionalitet.

      Underhåll av drift och installationer ska periodiskt planeras och följas upp.

      Utrymmen och vägar till drift och underhållsutrymmen ska vara belagt med behörighetssystem.

      Ledningssystem för informationssäkerhet
      Guide

      Specifikation

      • ISO 27000 - Fysisk och miljörelaterad informationssäkerhet
      • 17
      • Guide
      • 0
      Välj din plan

      Med vårt abonnemang får du obegränsad tillgång till alla våra dokument och guider