SecureAware Compliance Analysis Manual



Like dokumenter
SecureAware BCP Manual

SuperUser Manual. Manualen beskriver bruken av SecureAware versjon 3 Dokumentet oppdatert: November 2010

SecureAware Policy Manual

SecureAware Awareness & Education Manual

Visma Enterprise - Økonomi

Guide til Reklamehjelperen

Fortsettelses kurs i Word

ExtraWeb Brukerveiledning for søker til ExtraExpress

Opprette rekvisisjon

Brukerveiledning for PedIT - Web

Visma Flyt skole. Foresatte

BIBSYS Brage Administrasjon

Innholdsfortegnelse WEBPORTAL

UTFYLLING AV SAMHANDELSSERTIFIKAT

2008 Nokia. Alle rettigheter forbeholdt. Nokia, Nokia Connecting People og Nseries er varemerker eller registrerte varemerker for Nokia Corporation.

VEILEDNING BRUK AV NY LØSNING FOR PERIODISERING AV BUDSJETTER I MACONOMY

MEDARBEIDERSAMTALEN INNLEDNING. GJENNOMFØRING Obligatorisk. Planlegging og forberedelse. Systematisk. Godkjent August 2010 Evaluert/revidert: 06/12,

Joly. Brukerdokumentasjon for gruppelærere

Rev.: 3 Brukerveiledning Teknisk Regelverk og Adobe Acrobat Reader Side: 1 av 10

Innholdsfortegnelse. OLKWEB Brukerveiledning for ansatte

Skjermbilder og veiledning knyttet til «Årlig innrapportering for vannforsyningssystem» basert på oppdaterte skjermbilder pr mars 2016.

BRUKERVEILEDNING. Oppsett av Activesync klient for Windows Smartphone og Pocket PC mot Exchange Customer Service Center

infotorg Enkel brukermanual

Brukermanual for reservasjon av grupperom i WebReservations

Ingen investeringskostnader Ingen risiko Ingen bindinger eller forpliktelser Løpende oversikt over status Enkel håndtering av nye poster

Vektorfil og linjeskjuling... 3

Å skrive søknad i Regionalforvaltning.no en veiledning

Brukerveiledning for overvåking

Sertifiseringsordningene -en veiledning-

Mønsterblokkering finner man under menyen RESSURSER > TIDSBESTILLING > MØNSTERBLOKKERING.

Veiledning for foresatte

Kom godt i gang. Ordboksverktøyet 1.0

Informasjon og medvirkning

ITSLEARNING FOR FORESATTE VED HÅRSTAD SKOLE

Brukerveiledning for StudentWeb

BRUKERMANUAL MinGnist

Et samarbeid mellom SAFO Sør-Øst, FFO-samarbeidet i Sør-Øst og Kreftforeningen BRUKERMANUAL FOR REGISTRERING AV PERSONINFO

Labyrint Introduksjon Scratch Lærerveiledning. Steg 1: Hvordan styre figurer med piltastene

Her er noen tips som du kan bruke for å få hjelp til vanlige oppgaver. Komme i gang -serien

Veiledning for forenklet a-melding for veldedig eller allmennyttig organisasjon (A05)

Retningslinjer for vedtak og saksbehandling omkring skoleplass og bytte av skole i Oppdal kommune

Veiledning til valgadministratorene (versjon 4. februar 2009)

VEILEDER FOR EXTRANET

GAUS - Søketjeneste for godkjenning av utenlandsk utdanning

Brukerveiledning for kontaktpersoner i kommuner og fylkeskommuner

KSYS brukermanual for skole

Manusnett - brukerveiledning for forfatter

Uansett hvilken håndbok du benytter vil fremgangsmåten være den samme. I denne veiledningen benytter vi personalhåndboken som eksempel.

Repetisjon: høydepunkter fra første del av MA1301-tallteori.

BRUKSANVISNING. KSL-egenrevisjon på nett

Etnedal kommune. Brukerhåndbok kortversjon Websak

Medarbeidersamtalen ved Det helsevitenskapelige fakultet

Søknadsskjema for Phil Parker Lightning Process TM Trening med Inger Marie Moen Reiten

BRUKERVEILEDNING SPORTSADMIN (SA) Versjon 1.0

MAT Overføring av hele fester ved opprett ny grunneiendom eller arealoverføring Spesifikasjon:

Veiledning i bruk av Kundeundersøkelsen på nett

Spotguard. Manual for ios App Android App Spotguard webportal. GSGroup AS, Nordre Kullerød 5B, 3241 Sandefjord

Administrasjon av kataloger - Oversikt over innstillinger på kataloger

Sikker Jobbanalyse. Dokumentnr.: POP-PRO-TEN-013. Versjon Dato Versjonsbeskrivelse

Web-TA Brukermanual Schenker AS

Hvordan komme i gang

Rutine for innrapportering pass og stell av barn 2015 via Altinn

BRUKERVEILEDNING. Revidert ITBASE PROSJEKTWEB FOR PROSJEKTDELTAKERE

Saksfremlegg. Saksnr.: 08/ Arkiv: A10 &32 Sakbeh.: Per Hindenes Sakstittel: BRUKERUNDERSØKELSE I BARNEHAGEN 2010

Introduksjon til GUI. ALEPH ver

Brukerveiledning for GIRO adminstrasjon.

BRUKERVEILEDNING FOR NETTBUTIKKEN FORHÅNDSMELDING OG OPPLASTING AV POSTNUMMERFILER. Post med like formater og Aviser til abonnenter

HELSE, MILJØ OG SIKKERHET

Logg inn og introduksjon # 1. Endre passord # 2. Medlemsliste # 3. Registrere et nytt medlem/ny medarbeider # 4. Registrering av tidligere medlem # 5

Brukermanual TYPO3. (tillegg for FAQ og brukeradministrasjon, statistikk) Versjon Utarbeidet av: Erik Svendsen

SØKNAD OM GODKJENNING AV STUDIEPLAN FOR MASTERSTUDIET /AVTALE FOR MASTERSTUDIET FREM TIL AVSLUTTENDE EKSAMEN

WinTid. Nyheter versjon

Vertikal Direkte Brukerveiledning

Brukerveiledning Visma Bizweb i Visma Global

Hjelp til tjenesten Betaling for oppdrag

Legg merke til at at over de blå klossene er det flere kategorier av kommandoer i forskjellige farger, for eksempel

Medarbeidersamtale Navn: Gjennomført dato: Ca. tid for neste samtale:

Veiledning for innlevering av Årsrapport

Informasjon om søknad og opptak Barnehageplass i Tromsø. Samordnet opptak. Private og offentlige barnehager

BRUKERUNDERSØKELSE I TRONDHEIMSBARNEHAGENE 2013

UNIVERSITETET I OSLO. Rapport Guide. Purchase Management System. greteohu 10/19/2009

Brukerveiledning gjovard.com

Sakstype: Innvilgelse familieinnvandring ektefelle utl. 40

Google Chrome. Microsoft Edge. Mozilla Firefox. Internet Explorer. Opera. Safari

Visma Lønn. Nyheter og forbedringer

Brukerveiledning Partnersiden. Utdanning.nos partnersider. Versjon 4.0 Desember 2013

Ha ditt på det tørre. Bla om for en nyttig sjekkliste for deg som ønsker et optimalt våtrom.

1 Innholdsfortegnelse

WinMed3. Release Notes Allmenn Våren Release Notes Allmenn Våren 2013 Versjon Side 1

Brukerhåndbok. Programområde

HURTIGREFERANSEVEILEDNING Microsoft Surface Hub

Arbeidshefte. Er optimal selvutvikling riktig for deg? Med Trine Åldstedt juni Hvor ble det av MEG?

PGS - EKSAMEN BRUKERVEILEDNING FOR SKOLEN

Veiledning brukere Visma.net. Expense

BRUKERVEILEDNING FO R

Tema: Fravær, karakterer, anmerkninger

Jobb smartere i Journal

Teknisk veiledning for internettløsningen av «Tempolex bedre læring».

ABAX MOBIL. Veileder for privatbil

Brukerveiledning Altinn

Transkript:

SecureAware Compliance Analysis Manual Manualen beskriver bruken av SecureAware versjon 3 Dokumentet oppdatert: November 2010 Om dette dokumentet Dette dokumentet er en veiledning i hvordan du oppretter compliance-sjekker. Manualen beskriver samtidig hvordan disse sjekkene utføres.

Innholdsfortegnelse Compliance...3 Start en compliance-sjekk...4 Rapporttekst...5 Valg av kapitler...5 Respondenter...6 Besvaring av en compliance-sjekk...7 Bruk av underspørsmål...8 Respekteres IT-sikkerhetspolicyen?...10 Spørreskjemaer laget fra bunnen av...11 Administrasjon av svaralternativer...12 Kontaktinformasjon...14 2

Compliance Compliance-modulen i SecureAware er et arbeidsverktøy som kan benyttes i forbindelse med en eventuell sertifisering eller verifisering av samsvar etter en standard. Dersom bedriften har lisens til compliance-analyse, kan modulen også benyttes til å kontrollere samsvar av regler, prosedyrer eller andre typer policy, som er beskrevet i policymodulen. Det er dessuten også mulig å opprette egne spørreskjemaer. Dersom ikke bedriften har den nevnte lisensen, vil ikke alle funksjoner som er beskrevet i denne manualen være tilgjengelige. Ved en compliance-sjekk kan compliance-modulen holde styr på, samt fungere som sjekkliste for, om det kan gis positivt svar til de sikkerhetstiltakene som er nødvendige for å være i samsvar med standarden. Flesteparten av de overordnede sikkerhetstiltakene inneholder også en rekke retningslinjer for implementering. Dette er detaljerte krav som i prinsippet også skal være oppfylt for å være i samsvar med det overordnede sikkerhetstiltaket, og dermed standarden. De overordnede sikkerhetstiltakene og retningslinjene for implementering er i SecureAware Compliance omformulert til en rekke kontrollspørsmål som organisasjonen skal ta stilling til om den oppfyller. Vær oppmerksom på at en compliance-sjekk i SecureAware ikke kan erstatte en sertifisering. Kun standarden kan danne grunnlag for sertifisering. SecureAware inneholder dessuten fire spørreskjemaer, disse tilsvarer de fire evalueringsspørreskjemaene som er utarbeidet av PCI Standards Security Council. Spørreskjemaene er relevante for bedrifter som oppbevarer, behandler eller overfører kortholderdata. Her kan du se om dere må være i samsvar med kravene i PCI DSS: https://www.pcisecuritystandards.org/saq/instructions_dss.shtml 3

Start en compliance-sjekk Compliance-hovedsiden finner du ved å velge compliance-ikonet øverst i skjermbildet til høyre eller på fanen Snarveier på Min SecureAware. For å opprette en compliance-sjekk må du velge Opprett ny compliance-sjekk. Du må deretter angi et navn og en beskrivelse til compliance-sjekken og velge hvilke av dine spørreskjemaer du ønsker å bruke som grunnlag for sjekken. I eksemplet er ISO27002 valgt i nedtrekksmenyen Navn. I feltet Innledende spørsmål kan du skrive den teksten respondentene av spørreskjemaene vil få se som en innledende tekst. Dette kan f.eks. være: Vennligst angi om vi er i samsvar med dette kravet / denne regelen. Klikk deretter på Opprett. Dersom dette er den første compliance-sjekken du oppretter, vil du som utgangspunkt selv bli satt som ansvarlig for å utføre sjekk på samtlige avsnitt i DS484. Har du tidligere opprettet compliancesjekker, vil du i nedtrekksmenyen Bruk konfigurasjon fra kunne velge en brukerkonfigurasjon som allerede er opprettet. Hvis du velger Tildel ansvar til denne brukeren for alle avsnitt, vil du selv bli opprettet som compliance-ansvarlig for samtlige avsnitt i sjekken. Ansvarstildelingen for utfyllingen 4

kan endres senere. Klikk på Oppdater for å lagre dine endringer. Du kan nå velge å starte compliance-sjekken ved å klikke på Start. Det er likevel en god idé først å gjennomgå de resterende punktene i konfigureringen. Rapporttekst Ved å velge fanen Rapporttekst, kan du nå skrive inn innledning og konklusjon for den rapporten som kan skrives ut etter at sjekken har blitt utført. Valg av kapitler Under fanen Valg av kapitler kan du velge bort de kapitlene som du ikke ønsker å benytte i compliancesjekken. 5

Respondenter På fanen Respondenter kan du delegere ut ansvaret for utførelsen av compliance-sjekken til relevante personer. Du kan tildele forskjellige personer ansvar for hvert enkelt avsnitt av compliance-sjekken. Når disse ansvarlige logger på, vil de kun få presentert den delen de har fått ansvaret for. Klikker du på Legg til, kan du velge å finne en bruker ved å søke på bruker-id, navn eller e-post. For å velge brukeren blant søkeresultatene, klikker du på ved siden av brukernavnet. Når du har valgt brukeradministratorer til avsnittene, klikker du på Tilbake. Dine endringer blir da lagret, og du kommer tilbake til compliance-hovedmenyen. Ved å klikke på navnet for din compliance-sjekk, kan du så starte sjekken ved å klikke på Start. Sjekken avsluttes også herfra, ved å klikke på Avslutt. Du kan hele tiden følge med på din compliance-sjekk ved å skrive ut en rapport. Fra hovedsiden kan du gå til rapporten ved å klikke på compliancesjekkens navn i menyen Rapporter. Rapporten vil vises som en pdf-fil, og den inneholder informasjon som har blitt samlet inn om den enkelte compliancesjekken. 6

Besvaring av en compliance-sjekk Når en compliance-sjekk har startet, kan brukeradministratorene begynne å besvare spørreskjemaet. Når vedkommende er logget inn i SecureAware, vil compliance-oppgaver vises på Min SecureAware under fanen Oppgaver og ansvarsområder (alternativt kan de øverste fanene benyttes. Her må brukeren klikke på Compliance). Derfra får brukeren mulighet til å starte eller fortsette gjennomgangen av de områdene vedkommende har fått tildelt. Når et område velges, kommer brukeren til kontrollspørsmålene og må da velge nedtrekksmenyen for å angi om et krav er oppfylt eller ikke. Hvis standard-svaralternativene benyttes, kan følgende svares: Oppfylt: Organisasjonen kan svare positivt på dette kontrollspørsmålet. Ikke oppfylt: Organisasjonen kan ikke svare positivt på kontrollspørsmålet. Delvis oppfylt: Organisasjonen kan delvis svare positivt på kontrollspørsmålet. Det kan f.eks. være enkelte sikkerhetstiltak som mangler implementering for å kunne tilfredsstille kravet fullstendig. 7

Ikke relevant: Dette svaret kan velges hvis organisasjonen ikke mener at det enkelte kontrollspørsmålet er relevant for dem. Dokumentasjon: Dette punktet kan brukes til å skrive inn kommentarer til hvert enkelt kontrollspørsmål. Det kan angis hvilke handlinger som må gjennomføres for å tilfredsstille et krav, samt en beskrivelse av hva som har blitt gjennomført. Referanser: Referanser kan benyttes til å henvise til dokumentasjon som ligger på organisasjonens intranett eller på filservere. En URL-referanse kan da skrives inn. Ekstra: Dette punktet gir muligheten til å godkjenne sikkerhetstiltaket til pre-audit og audit. Utover dette kan følge punkter utfylles: Gjennomføres senest (når samsvar senest skal være gjennomført), Prioritet (prioritet for implementering og samsvar med kravet) samt Estimert budsjett i kr. (En vurdering av hva det vil koste å være i samsvar med kravet.) Bruk av underspørsmål Utover hvert enkelt overordnet kontrollspørsmål, kan et spørreskjema også inneholde en rekke detaljerte underspørsmål. Brukeren må trykke på for å brette ut de detaljerte spørsmålene. Hvis de detaljerte spørsmålene benyttes, vil svarene på disse ha innflytelse på det overordnede svaret. Hvis ISO27002/DS484-spørreskjemaet benyttes, kalles de detaljerte spørsmålene "implementeringsretningslinjer", og generelt må det være samsvar med alle disse for at det overordnede sikkerhetstiltaket (kontrollspørsmål) kan være oppfylt. Noen av de detaljerte spørsmålene er merket med en *. Det betyr at dette er et skjerpet krav. Det er opp til organisasjonen og en gjennomgående risikovurdering å fastslå om disse skjerpede kravene også må overholdes. Da SecureAware hele tiden lagrer de valgene som brukeren har foretatt, er det mulig for vedkommende å stoppe compliance-gjennomgangen og gjenoppta denne på et senere tidspunkt. 8

Brukernes besvarelser vil, etterhvert som de blir registrert, kunne ses i rapporten som vist her. 9

Respekteres IT-sikkerhetspolicyen? Hvis du ønsker å kontrollere at IT-sikkerhetspolicyens regler, prosedyrer osv. respekteres, går du til compliance-modulens forside og klikker på Spørreskjemaer> Nytt spørreskjema basert på policyen. Nedenfor kan man se at spørreskjemaet vil bli basert på den aktive policy "Policy for Virksomhet ABC". Spørreskjemaets ID og navn bruker policyens navn som utgangspunkt, samt datoen for opprettelse av spørreskjemaet. I nedtrekksmenyen Velg svaralternativsett velges hvilke svaralternativer brukerne får velge fra. Som utgangspunkt kan kun compliance-nivå velges, noe som gir svarmulighetene: Oppfylt, Ikke oppfylt, Delvis oppfylt og Ikke relevant. Det er mulig å endre disse svaralternativene eller lage helt nye (se avsnittet Administrasjon av svaralternativer). Deretter velges hvilke deler av policyen spørreskjemaet skal inneholde. I utgangspunktet er alle regler, prosedyrer osv. tatt med i spørreskjemaet. Du kan imidlertid velge bort regler som er tilknyttet bestemte områder eller målgrupper ved å klikke på de røde kryssene. Klikk på Opprett, så har du et spørreskjema som kan benyttes i en compliance-sjekk. 10

Spørreskjemaer laget fra bunnen av For å opprette dine egne spørreskjemaer, må du på compliance-modulens forside klikke på Spørreskjemaer > Nytt spørreskjema. Tast inn ID, navn og evt. en beskrivelse. Du kan også velge svaralternativer i nedtrekksmenyen (les om svaralternativer i neste kapittel). Klikk Opprett. Du kan nå begynne å legge til kapitler og underkapitler til ditt spørreskjema. Når du har opprettet et kapittel, kan du skrive inn ett eller flere spørsmål til dette. Hver gang du har opprettet et kapittel eller et spørsmål, må du huske å velge hvilket kapittel eller spørsmål det skal ligge under. I nedtrekksmenyen Foreldredel velger du hvilket avsnitt spørsmålet/avsnittet skal ligge under (foreldreavsnitt/-spørsmål). I menyen Plasser del etter velger du hvilket avsnitt/spørsmål det skal etterfølge. Husk å klikke på for å lagre ditt valg. 11

Administrasjon av svaralternativer For å arbeide med svaralternativene i SecureAware, må du fra Compliancehovedsiden klikke på Spørreskjemaer > Svaralternativsett og deretter velge det settet du vil redigere. Klikk på blyanten ved siden av et av svaralternativene for å redigere svar, farge og prosentvis vekt (0-100) for hvert svaralternativ. Farger skal angis med hexadesimal fargeverdi, for eksempel ##FFFFFF for fargen hvit. Fargen benyttes både i nedtrekksmenyer og i rapporter. Hvis du trenger hjelp til hexadesimale fargeverdier, kan det være nyttig å se på http://kuler.adobe.com/. Her er et par eksempler på farger: Du kan skrive en forklaring til svaralternativene i Beskrivelse -feltet. Forklaringen vil vises i sluttbrukerens hjelpetekst. Det er også mulig å opprette helt nye svaralternativsett. Fra hovedsiden går du til Administrasjon av spørreskjemaer > Administrasjon av svaralternativsett > Opprett nye svaralternativsett og skriv inn navnet på svaralternativsettet. Deretter kan du legge til og redigere svaralternativsettene. Vekting av svaralternativsett Vektingen av svaralternativsettene gjør at det kan regnes ut et gjennomsnitt 12

for et avsnitt i et spørreskjema når det blir svart ulikt på spørsmålene Ønsker du at et spørsmål/kapittel kun skal kunne være positivt oppfylt, hvis samtlige underspørsmål også er oppfylt, må dette svaralternativet settes til 100. Skal et svaralternativ ikke regnes med i den totale utregningen (f.eks. hvis det svares "Ikke relevant"), skal dette svaralternativet settes til -1. For alle andre verdier (0-99) vil vektingens intervall regnes ut som fortløpende fra halvdelen av intervallet fra nærmeste mindre vekting (såfremt ikke denne er -1) til halvdelen av intervallet til nærmeste høyere vekting (såfremt ikke denne er 100). Opprettes svaralternativene Ja / Delvis / Nei / Ikke relevant, vil vektingen kunne se slik ut: Vekting Intervall Ja: 100 (100) Delvis: 50 (25-99) Nei: 0 (0-24) Ikke relevant: -1 (Ingen) Alt du trenger å gjøre, er å taste inn vektingen. SecureAware beregner intervallet. 13

Kontaktinformasjon - For mer informasjon, kontakt Neuparts kontorer: Europa Neupart A/S Hollandsvej 12 2800 Lyngby Danmark Tlf. +45 7025 8030 Faks +45 7025 8031 Nord-Amerika United States Neupart Inc. 2553 Crescent St Ferndale, WA 98248 Tlf. 360-820-2545 Faks 360-392-6078 Neupart GmbH Kaiserwerther Strasse 115 40880 Ratingen/Düsseldorf Tyskland: Tlf. +49 (0) 2102/4209-26 Faks +49 (0) 2102/42062 Copyright 2006 Neupart A/S. Alle rettigheter forbeholdt. Dette dokumentets forfatter er Neupart A/S. Alt innhold, inkludert tekst og grafikk tilhører, med mindre annet er angitt, Neupart A/S og er beskyttet av opphavsretten i henhold til dansk og internasjonal lovgivning. Gjengivelse av dokumentet eller deler av dette er kun tillatt i den grad det skjer i uendret form, og ved at Neupart A/S uttrykkelig angis som kilde på samtlige kopier. Kopiering og distribuering må ikke foregå uten en på forhånd innhentet tillatelse, med uttrykkelig samtykke fra Neupart A/S. Neupart A/S forbeholder seg retten til på ethvert tidspunkt og uten forvarsel å kunne foreta endringer og/eller forbedringer av nevnte produkter. Produktene fra andre virksomheter, samt disses varemerker, kan være registrerte eller opphavsrettslig beskyttet. Logoene for Neupart, SecureAware samt navnet SecureAware er varemerker som tilhører Neupart A/S. Dokumentet leveres slik det foreligger", uten noen form for garanti. Dokumentet samt tilhørende grafiske fremstillinger kan inneholde feil eller mangler. Det gis ingen garanti for at resultater oppnås ved bruk av denne dokumentasjonen. Neupart A/S forbeholder seg også alle, ikke uttrykkelig nevnte rettigheter. 14

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding