För alla verksamheter som inte tidigare har jobbat strategiskt och metodiskt med informationssäkerhet bör genomföra en GAP analys, detta för att erhålla en god överblick för vilka krav som ställs på verksamheten i förhållande till hur Ert företags nuvarande situation ser ut . Resultatet av GAP analysen ger Ert företag en strategi för att nå och efterleva kravdelen. En GAP analys förenklar bland annat också arbetet med att implementera ett Ledningssystem för Informationssäkerhet, vilka tjänster/funktioner som bör genomgå tekniska säkerhetsrevisioner samt framtagandet av BCP och DRP.
GENOMFÖRANDET AV EN GAP ANALYS
SunGards metod för genomförandet av en GAP analys av administrativ säkerhet kan delas upp i fyra delmoment (se nedan). I de fall där organisationen saknar dokumenterade Riktlinjer för styrning av informationssäkerhet, utförs analysen mot rekommendationer i den internationell standard SS-ISO/IEC 27002:2005 (LIS) alternativt mot kravdelen SS-ISO/IEC 27001:2006.
Verksamhetsanalys – ligger till grund för bedömning av den nivå på säkerhet som är önskvärt utifrån verksamhetens art, krav och mål samt affärsmässiga och legala krav.
Hot – och Riskanalys – sker på ett övergripande plan. Analysen redovisar de hot som kan identifieras mot processer som är viktiga för att verksamheten skall uppnå sina mål.
Nulägesanalys – Utifrån resultatet ovan (verksamhetsanalys) analyseras hur informationstillgångar och viktiga processer i nuläget fungerar med avseende på tillgänglighet, riktighet, sekretess och spårbarhet.
Konsekvensanalys – Konsekvenserna av ett realiserat hot bedöms utifrån LIS perspektivets fyra nyckelbegrepp, sekretess, riktighet, tillgänglighet och spårbarhet och redovisas där så är möjligt i ekonomiska termer.
| Inkluderat i uppdraget |
Ja |
Nej |
| Planeringsmöte |
|
|
| Informationssäkerhetsanalys |
|
|
| Skriftlig rapport/plan |
|
|
| Genomförande av certifierade konsulter |
|
|
| Personliga intervjuer |
|
|
| Tekniska analyser |
|
|
| Certifiering |
|
|
| Muntlig avrapportering |
|
|
| Rådgivning och bollplank under uppdragets genomförande |
|
|
| Utbildning |
|
|
| Övningar |
|
|
| Kodgranskning |
|
|
| Paket |
Pris |
| 0-25 anställda |
105 000 SEK |
| 26-100 anställda |
199 000 SEK |
| 101-499 anställda |
265 000 SEK |
| 500-19 999 anställda |
343 000 SEK |
| > 20 000 anställda |
Offert |
| Övrigt |
| Beräknad tidsåtgång för kund är minimum 30 timmar samt tid för intervjuer. Projektet tar beroende av omfattning max 8 veckor att genomföra i sin helhet. Kunden ansvarar själv för organisering och bokning av intervjuer. |