SECURITY RISK MANAGEMENT, GAP ANALYS
För vem och varför
Verksamheter som inte tidigare har jobbat strategiskt och metodiskt med informationssäkerhet bör genomföra en GAP analys, detta för att erhålla en god överblick för vilka krav som ställs på verksamheten i förhållande till hur Ert företags nuvarande situation ser ut. Resultatet av GAP analysen ger Ert företag en strategi för att nå och efterleva kravdelen. En GAP analys förenklar bland annat också arbetet med att implementera ett Ledningssystem för Informationssäkerhet, vilka tjänster/funktioner som bör genomgå tekniska säkerhetsrevisioner samt framtagandet av BCP och DRP.
Genomförandet
SunGards metod för genomförandet av en GAP analys inklusive granskning av den tekniska infrastrukturen kan delas upp i fem delmoment (se nedan). I de fall där organisationen saknar dokumenterade Riktlinjer för styrning av informationssäkerhet, utförs analysen mot rekommendationer i den internationell standard SS-ISO/IEC 27002:2005 (LIS) alternativt mot kravdelen SS-ISO/IEC 27001:2006 . Vid de tekniska säkerhetsanalyserna följs metodiken i enlighet med OSSTMM.
Verksamhetsanalys – Ligger till grund för bedömning av den nivå på säkerhet som är önskvärt utifrån verksamhetens art, krav och mål samt affärsmässiga och legala krav.
Sårbarhetsanalys – En övergripande teknisk säkerhetsanalys av den tekniska infrastrukturen och dess eventuella brister och sårbarheter.
Nulägesanalys – Utifrån resultatet ovan (verksamhetsana-lys) analyseras hur informationstillgångar och viktiga proces-ser i nuläget fungerar med avseende på tillgänglighet, riktig-het, sekretess och spårbarhet.
Hot – och Riskanalys – Sker på ett övergripande plan. Analysen redovisar de hot som kan identifieras mot proces-ser som är viktiga för att verksamheten skall uppnå sina mål.
Konsekvensanalys – Konsekvenserna av ett realiserat hot bedöms utifrån LIS perspektivets fyra nyckelbegrepp, sekretess, riktighet, tillgänglighet och spårbarhet och redovisas där så är möjligt i ekonomiska termer.
| Inkluderat i uppdraget | Ja | Nej |
| Planeringsmöte | X | |
| Informationssäkerhetsanalys | X | |
| Skriftlig rapport/plan | X | |
| Genomförande av certifierade konsulter | X | |
| Personliga intervjuer | X | |
| Tekniska analyser | X | |
| Certifiering | X | |
| Muntlig avrapportering | X | |
| Rådgivning och bollplank under uppdragets genomförande | X | |
| Utbildning | X | |
| Övningar | X | |
| Kodgranskning | X |
| Paket | Pris |
|---|---|
| 0-25 anställda | 145 000 SEK** |
| 26-100 anställda | 258 700 SEK** |
| 101-499 anställda | 344 500 SEK** |
| 500-19 999 anställda | 440 000 SEK*** |
| > 20 000 anställda | Offert |
** Max 80 st unikt IP adresserade enheter
*** Max 120 st unikt IP adresserade enheter
| Övrigt |
| Beräknad tidsåtgång för kund är minimum 30 timmar samt tid för intervjuer. Projektet tar beroende av omfattning max 10 veckor att genomföra i sin helhet. Kunden ansvarar själv för organisering och bokning av intervjuer. |