SecureAware Compliance Analysis Manual



Relaterede dokumenter
SecureAware BCP Manual

SuperUser Manual. Manualen beskriver brugen af SecureAware version 3 Dokument opdateret: november 2009

SecureAware Workflow TNG

SecureAware Opfølgning Manual

Manualen beskriver brugen af SecureAware version og senere versioner Dokument opdateret: June 2015

SecureAware Risk Manual

SecureAware Brugerstyring

SecureAware Awareness & Education Manual

SecureAware Policy Manual

Beredskab TNG. Beredskab TNG er en opgradering af det "gamle" beredskabsmodul i SecureAware, og er tilgængelig fra version

ISO 27001/27002:2013 i SecureAware Policy TNG

Conventus og SFGIF Hvordan opretter jeg en ny træner?

Spørgeskemaer. Opret et nyt spørgeskema. Tilpas et spørgeskema

Kalender og Nyheder til Portalen for Aale, Hjortsvang og Hammer via Conventus

WORKCYCLUS. Administration. Vers 4.0. Juni Workcompany A/S. Amagertorvet 33, 4.sal. DK-1160 København K.

Vejledningsmateriale SIDIS

VEJLEDNING Vejledning til lokaladministartorfunktionaliteten. Sundhedsdatastyrelsens Elektroniske Indberetningssystem

I denne manual kan du finde en hurtig introduktion til hvordan du:

Dynamicweb Quickguide

ViKoSys. Virksomheds Kontakt System

Indhold 1 Om Skolekvalitet.dk Vælg evalueringsmodel før du går i gang Overblik over siderne... 5

ExtraNet. Sider beskyttet med kodeord i OLO

WordPress manual..hjerteforeningen.dk/wp-admin. Brugernavn: Password:

Inden du kan tage systemet i brug og sende spørgeskemaer, kortlægge arbejdsmiljøet, lave handlingsplaner mv. skal systemet sættes op.

KIGO-instruks til projektledere og programledere i kommunerne

TESTPORTAL: BRUGERVEJLEDNING LOG IND ADGANGSKODE

Spil og svar. Journal nr Et webbaseret værktøj udviklet af Programdatateket i Skive

Planner4You: Pixi-guide

Brug af Brobygning.NET for ungdomsuddannelser

My booking. Generelt. Forsiden. Version 9.0

Vejledningsmateriale SIDIS

Introduktion. I denne vejledning 1 finder du nogle af de muligheder, Elevintra har. Flere følger senere. Login

Vejledning til oprettelse af nye sprog i Sikker Mail Box

Vistemmernu. Et webbaseret værktøj udviklet af Programdatateket i Skive. programdatateket@viauc.dk Web:

Gå ind på forsiden til hjemmesiden. Skriv typo3 i adresselinjen og tryk på retur.

Vejledning til Formandsportalen

Administrator manual

Indhold. Evalueringsvejledning. En undersøgelse fra start til slut involverer 4 programmer: - SurveyXact - Excel - E-learn - SiteCore

Brugervejledning til AIM spørgeskemaer

Brugermanual. - For intern entreprenør

LinkGRC. Kontrol. Brugermanual

Mobile Arbejdssedler. Mobile TID. Mobile Observationer

Uddannelsesplaner i MinUddannelse

BRUGERVEJLEDNING TIL BRUG AF MC IKAST HJEMMESIDE.

Guide. Administration af FDF.dk/Nyborg. 1. Udgave Ide og layout Christoffer S. Rasmussen

WordPress manual..hjerteforeningen.dk/pco-login. Brugernavn: Password:

certificering oprettelse og anvendelse - april 2009

Vejledning. BCpro / Byggeregnskab En simpel brugerflade med avancerede funktioner. Version 1.0 August Byggecentrum

GECKO Booking Vejledning til spørgeskema-modul. Læsevejledning. Indholdsfortegnelse

En liste, hvor der kun kan angives et svar. En dropdown menu, hvori kun et svar kan vælges

Ovennævnte link & procedure kan af administratoren es til den enkelte montør (se afsnit C9).

Rev Brugervejledning. Webshop Sika Danmark A/S

Quick guide til BordingNet

Quick guide til BordingNet

Eksempel på hvordan arbejdet med individuelle planer kan organiseres og sættes op i Bosted

Vejledning til sms-afstemningssystem

For at påbegynde administration af brugere, skal du på ind på websiden

Center for E-lærings Test-designer Uddybende vejledning

Opsætning af SkoleIntra til Tabulex SFO Børn log in Fase Forklaring Navigation/tast

Vejledning til ansøgning om tid mm i Foreningsportalen

Tlf Fax

Indhold. Indholdsfortegnelse

Let i gang med NemRefusion for selvstændige

MANUAL TIL RESULTATINDBERETNING I DANSK TENNIS FORBUND OG UNIONERNES HOLDTURNERINGSPROGRAM (HTP)

Vejledning til online ansøgning om lokaler i Netbooking

Vejledning i brug af KLUBPORTALEN

Brugermanual til MOBI:DO Make på Internettet

Guide til brug af webdelen Afstemning Version 1.8

IT-vejledning til kompetencemodulet i HR-systemet hvis du selv opretter lokale kompetencer. 1. Sådan kommer du ind i HR-systemet Side 2

BRUGERVEJLEDNING. Til klinikker og brugere i voresklinik.info

FAGKOMPETENCER.DK Kom godt i gang som vejleder i systemet

Introduktion til brugeradministratorer i SEB v3

1.TILBUD NYT TILBUD 1.1 TRIN FORUDSÆTNINGER

Vejledningsmateriale SIDIS

Manual til Den Elektroniske Portefølje i Almen Medicin Tutorlægens udgave

I EazyProject er det muligt selv at definere hvad et projekt/projektfase skal kaldes i systemet. Dette sættes op ved systemets oprettelse.

Klik på denne knap for at komme til FaktaNet live! Forside. Siden der bl.a viser hvor mange nye/opdaterede projekter brugeren har.

Indholdsfortegnelse. Side 1 af 8

Indhold Registrering på forum... 2 Opret Indlæg... 5 Besvar Indlæg... 7 Ændringer af brugerindstillinger... 9 Tips & Tricks... 11

Indhold Indhold Introduktion Log ind MyPage Administrator: oprettelse af brugere Administrator: oprettelse af

Brugers vejledning til indtastning af Naturdata på eksisterende 3- områder

VITAS Registrering af aftale om Integrationsgrunduddannelse

Denne Introduktion til ScanPas er en generel brugermanual til Aalborg Universitets personaleadministrative system - ScanPas.

Dynamic Order Kom godt i gang

Drejebog til tractorpulling.dk

Modul 1 Adgang til det trådløse netværk, Kommunikation i Lectio og Office365 Efter gennemgangen af dette modul skal du:

Nye funktioner i Professionel Hjernetræning.

Bruger v1.0 QUICK GUIDE. Green Glass Software V/ Dan Feld-Jakobsen Lojovej Aabenraa /

OBS! Hvis du skal oprette en bruger på din kundes aftale, skal du bruge den vejledning, som du finder længere nede i dette dokument.

Indholdsfortegnelse. Workcompany A/S Jernholmen 2, 2650 Hvidovre

God it-sikkerhed i kommuner

Energistyrelsens Tilskudsportal Vejledning for brugere

Introduktion til brugeradministratorer i SEB v2

IsenTekst Indhold til Internettet. Manual til Wordpress.

Manual til Wordpress. 1. Log ind på din Wordpress-side. Indhold:

Manual til Wordpress. 1. Log ind på din Wordpress-side. Indhold: Sådan opdaterer du din hjemmeside i Wordpress.

Modul 1 Adgang til det trådløse netværk, Kommunikation i Lectio, Office

Vejledning til Elevplan for virksomheder

Manual til at redigere på stafetforlivet.dk for holdkaptajner

1. Log ind Glemt adgangskode? Ændre sprog Dashboard = Forsiden... 7

Transkript:

SecureAware Compliance Analysis Manual Manualen beskriver brugen af SecureAware version 3 Dokument opdateret: november 2009 Om dette dokument Dette dokument er en vejledning i, hvordan du opretter compliance-checks. Manualen beskriver samtidig, hvordan disse checks udføres.

Indholdsfortegnelse Compliance...3 Start et compliance-check...5 Rapporter...6 Valg af kapitler...6 Respondenter...7 Besvarelse af et compliance-check...8 Brug af underspørgsmål...9 Efterleves it-sikkerhedspolitikken?...11 Spørgeskemaer fra bunden...12 Administration af svarmuligheder...13 Kontaktinformation...15 2

Compliance Compliance-modulet i SecureAware er et arbejdsværktøj, der kan benyttes i forbindelse med en eventuel certificering eller efterlevelse af DS 484:2005. Har virksomheden licens til Compliance Analysis, kan modulet ligeledes benyttes til at checke efterlevelse af regler, procedurer eller andre politikdele, som er beskrevet i politikmodulet. Det er desuden også muligt at oprette egne spørgeskemaer. Har virksomheden ikke føromtalte licens, vil ikke alle funktionaliteter, beskrevet i denn manual, være tilgængelige. Ved et DS484-check, kan compliance-modulet holder styr på, og være en checkliste for, om der kan svares positivt opfyldende til de sikringsforanstaltninger, der er nødvendige for at efterleve DS 484:2005 standarden. Standarden indeholder i alt 135 sikringsforanstaltninger fordelt på 39 sikringsområder. Disse er beskrevet i standardens kapitel 5 til 15. Størstedelen af de overordnede sikringsforanstaltninger indeholder også en række implementeringsretningslinier, som er detaljerede krav, der i princippet også skal opfyldes for at efterleve den overordnede sikringsforanstaltning, og derved standarden. De overordnede sikringsforanstaltninger samt implementeringsretningslinier er i SecureAware Compliance omformuleret til en række checkspørgsmål, som organisationen skal tage stilling til om den opfylder. Vær opmærksom på, at et compliance-check i SecureAware ikke kan stå i stedet for en DS484:2005- certificering. Kun standarden kan danne grundlag for certificering. SecureAware Compliance er udarbejdet i overensstemmelse med DS 484:2005, og der henvises til denne standard for uddybende bemærkninger til de enkelte checkspørgsmål og implementeringsretningslinier. ISO/IEC 17799:2005 og ISO/IEC 27001 indeholder samme kontroller, eller checkspørgsmål, med samme nummerering som DS484:2005. SecureAware Compliance giver derfor ligeledes svar på hvorvidt ISO/IEC 17799 og ISO/IEC 27001 er efterlevet. 3

SecureAware indholder desuden fire spørgeskemaer, der svarer til de fire self assessment questionnaires udarbejdet af PCI Standards Security Council. Spørgeskemaerne er relevante for firmaer, der opbevarer, behandler eller transmitterer kortholderdata. Du kan se, om I skal efterleve kravene i PCI DSS her: https://www.pcisecuritystandards.org/saq/instructions_dss.shtml 4

Start et compliance-check Compliance-hovedsiden finder du ved at vælge Compliance-ikonet øverst i skærmbilledet til højre eller fanebladet Genveje på Min SecureAware. For at oprette et compliance-check skal du vælge Nyt compliance-check. Du skal nu angive et navn og en beskrivelse til compliancechecket og vælge, hvilke af dine spørgeskemaer, du vil bruge som basis for checket. I eksemplet er valgt ISO27002 i dropdown-menuen Spørgeskema-ID. I feltet Indledende spørgsmål kan du skrive den tekst, som de personer, der skal besvare spørgeskeamerne, vil blive præsenteret for som start-tekst. Dette kunne være: Angiv venligst, om vi efterlever dette krav/denne regel. Klik herefter på Opret. Hvis dette er det første compliance-check du opretter, vil du, som udgangspunkt, selv blive sat som ansvarlig for at udføre check på samtlige afsnit i DS484. Har du tidligere oprettet compliance-checks, vil du, i rullemenuen Brug opsætning fra, få mulighed for at vælge en allerede oprettet brugerkonfiguration. Vælger du Jeg vil selv besvare hele compliance checket, vil du selv blive oprettet som compliance-ansvarlig for samtlige afsnit i checket. Tildelingen af ansvar for udfyldelse 5

kan ændres senere. Klik på Opdater for at gemme dine ændringer. Du kan nu vælge at starte compliance-checket ved at klikke på Start. Det vil dog være en god idé, først at gennemgå de resterende punkter i opsætningen. Rapporter Du kan nu, ved at vælge fanebladet Rapporttekst, indtaste indledning og konklusion på den rapport, der kan udskrives efter checket er blevet udført. Valg af kapitler Under fanebladet Valg af kapitler, kan du fravælge de kapitler, som du ikke vil benytte i compliance checket. 6

Respondenter I fanebladet Respondenter kan du uddelegere ansvaret for udførelsen af compliance-checket til de relevante personer. Du kan tildele forskellige personer ansvar for hvert enkelt afsnit af compliancechecket. Når disse ansvarlige logger på, vil de kun blive præsenteret for den del, de har ansvaret for. Klikker du på Tilføj, kan du vælge at finde en bruger ved at søge på bruger-id, navn eller e-mail. For at vælge brugeren blandt søgeresultaterne, klikker du på ud for brugernavnet. Når du har valgt respondenter til afsnittene klikker du på retur. Dine ændringer gemmes herved, og du vender tilbage til compliance-hovedmenuen. Du kan nu, ved at klikke på dit compliance-checks navn, komme til at starte checket ved at klikke på Start. Checket afsluttes også herfra, ved at klikke på Slut. Du kan løbende følge med i dit compliancecheck, ved at udskrive en rapport på dette. Fra hovedsiden kan du tilgå rapporten ved at klikke på compliance-checkets navn under menuen Rapporter. Denne vil vises som en.pdf-fil, der indeholder den information, der er blevet indsamlet omkring det enkelte compliancecheck. 7

Besvarelse af et compliance-check Når et compliance-check er startet, kan respondenterne begynde at besvare spørgeskemaet. Når vedkommende er logget ind i SecureAware, vil complianceopgaver vises på Min SecureAware under fanebladet Ansvar og Opgaver (alternativt kan de øverste faneblade benyttes. Her skal brugeren klikke på Compliance). Herfra får brugeren mulighed for at starte eller fortsætte gennemgangen af de områder, de har fået tildelt. Når et område vælges, kommer brugeren til checkspørgsmålene og skal nu benytte rullemenuen for at angive, om et krav er opfyldt eller ej. Benyttes standard-svarmulighederne, kan der svares følgende: Opfyldt: Organisationen kan svare positivt opfyldende til dette checkspørgsmål. Ikke opfyldt: Organisationen kan ikke svare positivt opfyldende på checkspørgsmålet. 8

Delvist opfyldt: Organisationen kan til dels svare positivt opfyldende på checkspørgsmålet. Det kan f.eks. være enkelte sikringsforanstaltninger mangler at blive implementeret for at kunne efterleve kravet fuldt ud. Ikke relevant: Dette svar kan vælges hvis organisationen ikke mener at det enkelte checkspørgsmål er relevant for dem. Dokumentation: Dette punkt kan bruges til at indtaste kommentarer til det enkelte checkspørgsmål. Der kan angives hvilke handlinger, der skal gennemføres for at opfylde et krav, Samt beskrives hvad der er blevet gennemført. Referencer: Punktet referencer kan benyttes til at referere til dokumentation der ligger på organisationens intranet eller filservere. Der kan indtastes en URL til dette. Ekstra: Dette punkt indeholder mulighed for at godkende sikringsforanstaltningen til pre-audit og audit. Derudover kan følgende punkter udfyldes: Gennemføres senest (hvornår efterlevelsen senest skal være gennemført), Prioritet (prioritet for implementering og efterlevelse af kravet) samt Estimeret budget i kr. (En vurdering over hvad det vil koste at kunne efterleve kravet). Brug af underspørgsmål Udover de enkelte overordnede checkspørgsmål, kan et spørgeskema også indeholde en række detaljerede underspørgsmål. Brugeren skal trykke på for at folde de detaljerede spørgsmål ud. Hvis de detaljerede spørgsmål benyttes, vil svarene på disse have indflydelse på det overordnede svar. Benyttes ISO27002/DS484-spørgeskemaet hedder de detaljerede spørgsmål implementeringsretningslinier, og generelt skal alle disse efterleves for, at den overordnede sikringsforanstaltning (checkspørgsmål) kan være opfyldt. Enkelte af de detaljerede spørgsmål er markeret med et *. Dette betyder at dette er et skærpet krav. Det er op til organisationen og en gennemgående risikovurdering at fastslå om disse skærpede krav også skal efterleves. Da SecureAware hele tiden gemmer de valg som brugeren har gjort er det muligt for vedkommende at stoppe Compliance gennemgangen, og genoptage denne på et senere tidspunkt. 9

Brugernes besvarelser vil, efterhånden som de bliver registreret, kunne ses i rapporten, som vist her. 10

Efterleves it-sikkerhedspolitikken? Ønsker du at checke efterlevelsen af it-sikkerhedspolitikkens regler, procedurer mv., skal du, på Compliance-modulets forside, klikke på Spørgeskemaer > Nyt spørgeskema baseret på politikken. Nedenfor ses, at spørgeskemaet vil blive baseret på den aktive politik Sikkerhedshåndbog. spørgeskemaets ID og navn har, som udgangspunkt, politikkens navn samt datoen for oprettelse af spørgeskemaet. I dropdown-menuen Vælg svarmuligheder vælges, hvilken svarmuligheder respondenterne får at vælge imellem. Som udgangspunkt kan kun Compliance niveau vælges, hvilket giver svarmulighederne: Opfyldt, Ikke opfyldt, Delvist opfyldt og Ikke relevant. Det er muligt at ændre disse svarmuligheder, eller lave helt nye (se afsnittet Administration af svarmuligheder). Herefter vælges hvilke dele af politikken, spørgeskemaet skal indeholde. Som udgangspunkt er alle regler, procedurer m.m. medtaget i spørgeskemaet. Du kan dog fravælge regler, som er tilknyttet bestemte emner eller målgrupper ved at klikke på de røde krydser. Klik på Opret, og du har nu et spørgeskema, som kan benyttes i et compliance-check. 11

Spørgeskemaer fra bunden For at oprette dine egne spørgeskemaer, skal du, på Compliance-modulets forside, klikke på Spørgeskemaer > Nyt spørgeskema. Indtast et ID, navn, og evt. en beskrivelse. Du kan også vælge svarmuligheder i dropdown-menuen (læs om svarmuligheder i næste kapitel). Klik Opret. Du kan nu begynde at tilføje kapitler og underkapitler til dit spørgeskema. Når du har oprettet et kapitel, kan du indtaste ét eller flere spørgsmål til dette. Hver gang du har oprettet et kapitel eller et spørgsmål, skal du huske at vælge hvilket kapitel eller spørgsmål, det skal ligge i/under. I dropdown-menuen Tilhører afsnit vælger du, hvilket afsnit afsnittet/spørgsmålet skal ligge (forælder- afsnit/spørgsmål). I menuen Indsæt kapitlet/spørgsmålet efter, vælger du, hvilket afsnit/spørgsmål, det skal efterfølge. Husk at klikke på for at gemme dit valg. 12

Administration af svarmuligheder For at tilrette svarmuligheder i SecureAware, skal du, fra Compliancehovedsiden klikke på Spørgeskemaer > Svarmuligheder og herefter vælge den svargruppe, du vil redigere. Klik på blyanten ud for en af svarmulighederne for at redigere svar, farve og procentvis vægtning (0-100) for hver svarmulighed. Farver skal angives med den hexadecimale farveværdi, eksempelvis ##FFFFFF for farven hvid. Farven benyttes både i dropdown-menuer og i rapporter. Har du brug for hjælp til hexadecimale farveværdier, kan du med fordel besøge http://kuler.adobe.com/. Her er et par eksempler på farver: Du kan skrive en forklaring til svarmulighederne i Beskrivelse -feltet. Forklaringen vil optræde i slutbrugerens hjælpetekst. Det er også muligt at oprette helt nye svargrupper. Fra hovedsiden skal du til Administration af spørgeskemaer > Administration af svarmuligheder > Opret nye svarmuligheder, og indtast svargruppens navn. Herefter kan du tilføje og tilrette svarmulighederne. Vægtning af svarmuligheder Svarmulighedernes vægtning gør, at der kan udregnes et gennemsnit for et afsnit i et spørgeskema, når der bliver svaret forskelligt på spørgsmålene. Ønsker du, at et spørgsmål/kapitel kun skal kunne være positivt opfyldt, hvis samtlige underspørgsmål også er opfyldt, skal denne svarmulighed sættes 13

til 100. Skal en svarmulighed ikke tælles med i den samtlige udregning (f.eks. hvis der svares Ikke relevant ), skal denne svarmulighed sættes til -1. For alle andre værdier (0-99) vil vægtningens interval udregnes som løbende fra halvdelen af intervallet fra nærmeste mindre vægtning (medmindre denne er -1) til halvdelen af intervallet til nærmeste højere vægtning (medmindre denne er 100). Oprettes svarmulighederne Ja / Delvist / Nej / Ikke relevant, kunne vægtningen se således ud: Vægtning Interval Ja: 100 (100) Delvist: 50 (25-99) Nej: 0 (0-24) Ikke relevant: -1 (Ingen) Du behøver kun selv indtaste vægtningen. SecureAware beregner intervallet. 14

Kontaktinformation - For yderligere information, kontakt Neuparts kontorer: Europa Neupart A/S Hollandsvej 12 2800 Lyngby Danmark Tel +45 7025 8030 Fax +45 7025 8031 Nordamerika United States Neupart Inc. 2553 Crescent St Ferndale, WA 98248 Tel. 360-820-2545 Fax 360-392-6078 Neupart GmbH Kaiserwerther Strasse 115 40880 Ratingen/Düsseldorf Germany: Tel. +49 (0) 2102/4209-26 Fax +49 (0) 2102/42062 Copyright 2006 Neupart A/S. Alle rettigheder forbeholdes. Dette dokuments forfatter er Neupart A/S. Alt indhold, inkl. tekst og grafik tilhører, medmindre andet er angivet, Neupart A/S og er ophavsretligt beskyttet i henhold til dansk og international lovgivning. Gengivelse af dokumentet eller dele heraf, tillades kun i det omfang, at dette sker i uændret form, og at Neupart A/S udtrykkeligt angives som kilde på samtlige kopier. Kopiering og distribuering må ikke foregå uden forudgående og udtrykkelig tilladelse fra NeupartA/S. Neupart A/S forbeholder sig ret til, på ethvert tidspunkt og uden varsel, at foretage ændringer og/eller forbedringer af de nævnte produkter. Andre virksomheders produkter, samt disses varemærker kan være registrerede eller ophavsretlige beskyttede. Logoerne for Neupart, SecureAware samt navnet SecureAware er varemærker, som tilhører Neupart A/S. Dokumentet leveres som det er og foreligger uden nogen form for garanti. Dokumentet samt tilhørende grafiske fremstillinger kan muligvis indeholde fejl eller mangler. Der gives ingen garantier for opnåelsen af resultater ved brug af denne dokumentation. Neupart A/S forbeholder sig ligeledes alle, ikke udtrykkeligt nævnte, rettigheder. 15

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback