Version 2.0 Användarhandbok för partners Uppdaterad: 20 maj

Version 2.0
Användarhandbok för partners
Uppdaterad: 20 maj, 2005
© 2005 Microsoft Corporation. Med ensamrätt.
Innehållsförteckning
Inledning ............................................................................................................................................3
Bakgrund: utvärderingsprocess och omfattning .................................................................................3
Konfiguration ......................................................................................................................................5
Partnerinstallation och registrering ...................................................................................................5
Arbeta med kundprofiler ......................................................................................................................7
Skapa ny kundprofil (FRP) ...............................................................................................................7
Hantera kundprofiler .......................................................................................................................9
Arbeta med kundutvärderingar .......................................................................................................... 11
Skapa kundutvärderingar ............................................................................................................... 11
Uppdatera utvärderingar ............................................................................................................... 12
Kopiera eller skapa nya utvärderingar (för samma företag) .............................................................. 13
Rapporter ..................................................................................................................................... 14
Bilagor ............................................................................................................................................. 16
Vanliga frågor ............................................................................................................................... 16
Tolka bilderna ............................................................................................................................... 19
© 2005 Microsoft Corporation. Med ensamrätt. Sida 2 av 21
Inledning
Microsoft® Security Assessment Tool (MSAT) har utvecklats för att hjälpa dig att identifiera och hantera
säkerhetsrisker i din datormiljö. Verktyget använder en holistisk metod vid värdering av
säkerhetsstrategin genom att täcka områden som rör personal, processer och teknik. Slutsatserna
kopplas ihop med rekommenderade åtgärder som minskar riskerna, bland annat länkar till ytterligare
information om du behöver mer hjälp. Dessa resurser kan hjälpa dig att få ökad kännedom om de
specifika verktyg och metoder som kan bidra till ökad säkerhet i miljön.
Analysen består av 172 frågor som har delats upp i tre kategorier:



Företagsinformation (ej identifierbar): 6
Företagsriskprofil: 53
Defense-in-Depth-analys: 113
Baserat på hur du besvarar vissa frågor i företagsriskprofilen och Defense-in Depth-analysen kanske
andra frågor inte visas. Det är avsiktligt och en del av den metod som krävs för att ge dig den mest
exakta utvärderingen.
Bakgrund: utvärderingsprocess och omfattning
Utvärderingen har utvecklats för att identifiera organisationens företagsrisk och de säkerhetsåtgärder
som redan används för att minska risken. Frågorna fokuseras på vanliga angelägenheter i ditt
marknadssegment och har utformats i syfte att ge en bra utvärdering av säkerhetsrisker för teknik,
processer och den personal som arbetar i organisationen.
Verktyget inleder med en rad frågor om företagets affärsmodell och bygger en företagsriskprofil (FRP)
som utvärderar företagets affärsrisk enligt den bransch och affärsmodell du väljer. Därefter följer frågor
som har som syfte att skapa en lista över vilka säkerhetsåtgärder företaget har vidtagit över tiden.
Tillsammans utgör dessa säkerhetsmått olika försvarsnivåer, vilka ger ett större skydd mot
säkerhetsrisker och särskilda sårbarheter i säkerheten. Varje lager bidrar till en kombinerad Defense-in
Depth-strategi. Denna summa kallas Defense-in-Depth-index (DiDI). FRP och DiDI jämförs sedan för att
utvärdera riskfördelningen mellan de olika analysområdena (AoA): infrastruktur, programvara, drift och
personal.
Förutom att mäta hur säkerhetsrisker och försvar är fördelade, mäter verktyget också organisationens
säkerhetsmognad. Säkerhetsmognad avser utveckling av hög säkerhet och hållbara metoder. I den lägre
änden används endast ett fåtal säkerhetsförsvar och åtgärderna är reaktioner på händelser. I andra
änden ger etablerade och beprövade processer företaget bättre framförhållning, så att företaget kan
reagera på ett effektivt och enhetligt sätt när det behövs.
Rekommendationer för riskhantering föreslås för miljön efter att den befintliga användningen av teknik,
det aktuella säkerhetsläget och Defense-in-Depth-strategier har vägts in. Förslag utformas för att föra dig
mot de erkänt bästa metoderna.
Utvärderingen, inklusive frågor, mätningar och rekommendationer, är utformad för medelstora
organisationer med mellan 50 och 500 datorer i miljön. Den är avsedd att i stora drag täcka in områden
med potentiella risker i miljön, i stället för en djuplodande analys av en viss teknik eller process.
© 2005 Microsoft Corporation. Med ensamrätt. Sida 3 av 21
Det innebär att verktyget inte kan mäta hur effektiva de säkerhetsåtgärder som har vidtagits är.
Rapporten bör därför användas som en preliminär vägledning som visar vilka områden som kräver
noggrann uppmärksamhet och kan inte ersätta en riktad utvärdering som utförs av utbildade
utvärderingsgrupper från tredje part.
© 2005 Microsoft Corporation. Med ensamrätt. Sida 4 av 21
Konfiguration
Partnerinstallation och registrering
Installera tillämpningen
När du har godkänt licensavtalet anger du kampanjkoden PRT794468 (se figur 1) i textfältet.
Funktionen är bara tillgänglig för Microsoft-certifierade partners. När installationen är klar visas
registreringsformuläret för partners.
Figur 1
Kampanjkodssidan krävs inte när kunder genomför en utvärdering.
När installationen är klar stänger du installationsprogrammet genom att välja Avsluta.
Redigera partnerinställningar
För test- eller demonstrationsändamål ställer du in värdet för ID-nummer som kurt (se figur 2). Vid
faktiska utvärderingar anger du ditt MSPP ID-nummer.
© 2005 Microsoft Corporation. Med ensamrätt. Sida 5 av 21
Figur 2
Microsoft-partners måste fylla i avsnittet Partnerprofil för att kunna tillskrivas genomförande av MSAT.
© 2005 Microsoft Corporation. Med ensamrätt. Sida 6 av 21
Arbeta med kundprofiler
Genomförande av Microsoft Security Assessments kräver att kunder spåras med hjälp av FRP, eller
företagsriskprofiler. Skapandet av en kundprofil gör det enklare för en partner att skilja mellan
utvärderingsdata för flera kunder och påbörjar utvärderingsprocessen genom att fastställa företagets
affärsrisk (se FRP i ordlistan på sidan 18).
Skapa ny kundprofil (FRP)
Efter installation och inställning av partnerprofiler kan du skapa en ny kundprofil genom att välja Start
på inställningsskärmen för partnerprofiler eller välja Skapa ny profil i den vänstra navigeringsrutan i
MSAT. Ange det unika kundnamnet på skärmen Skapa ny profil (se figur 3) och välj OK.
Figur 3
Ange företagets namn på skärmen Skapa ny profil.
Fyll i företagsriskprofilen för kunden (se figur 4). I normalfall kan inmatning av en företagsbeslutsfattare
(BDM = Business Decision Maker), tjänsteman på C-nivå (CXO = C-level Officer) eller teknisk
beslutsfattare (TDM = Technical Decision Maker) krävas för att fullfölja detta avsnitt. Lägg märke till att i
företagsriskprofilens första fråga bör kundnamnet stämma överens med det du angav i textrutan Skapa
ny profil/Nytt profilnamn när du skapade profilen.
Du måste besvara alla frågorna i avsnitten Grundläggande information, Infrastruktursäkerhet,
Tillämpningssäkerhet, Driftsäkerhet, Personsäkerhet och Miljö fullständigt innan du kan påbörja den
djuplodande analysen.
© 2005 Microsoft Corporation. Med ensamrätt. Sida 7 av 21
Figur 4
Ange företagsinformation i guiden för företagsriskprofiler.
TIPS


Om du väljer det gröna frågetecknet
får du mer information och vägledning om hur du
besvarar frågan (se figur 5).
Om du väljer den orangefärgade stjärnan
får du mer vägledning om branschstandarder och
bästa metoder.
© 2005 Microsoft Corporation. Med ensamrätt. Sida 8 av 21
Figur 5
I MSAT finns det verktygstips (gröna frågetecken) som ger mer information under utvärderingen.
När företagsriskprofilen är klar får du en uppmaning om att fullfölja en ny utvärdering. Du kan antingen
påbörja denna fas (läs Arbeta med kundutvärderingar på sidan 11) eller välja Avbryt i fönstret Skapa
ny utvärdering som visas.
Hantera kundprofiler
Även om företagsriskprofiler inte är avsedda att uppdateras på regelbunden basis, kan företag då och då
ändra affärsfokus, vilket kräver en uppdatering av företagsriskprofilen (FRP).
Om du vill uppdatera ett företags riskprofil väljer du Hantera profiler i den vänstra navigeringsrutan.
Markera tillämpligt företag bland de företag som visas och välj Redigera bland knapparna till höger på
profilskärmen (se figur 6).
© 2005 Microsoft Corporation. Med ensamrätt. Sida 9 av 21
Figur 6
Hantera flera kundprofiler med hjälp av MSAT.
Sedan kan du redigera kundprofilen på samma skärmar som används för att ställa in en ny profil. Data
sparas när du gör ändringar.
© 2005 Microsoft Corporation. Med ensamrätt. Sida 10 av 21
Arbeta med kundutvärderingar
Skapa kundutvärderingar
När du har fyllt i en företagsriskprofil visas fönstret Skapa ny utvärdering där du kan skapa en ny
utvärdering. Du kan skapa en ny utvärdering när du har fyllt i en företagsriskprofil eller vid vilken annan
tidpunkt som helst.
"Microsoft Security Assessment" visas som standardalternativ och enda alternativ i fältet Produkt. Ange
det unika kundutvärderingsnamnet i fältet Utvärderingsnamn. I exemplet nedan har utvärderingen
märkts med ett datum, en beskrivning och initialerna för den person som genomförde utvärderingen. Du
kan namnge utvärderingen med alla alfanumeriska kombinationer av standardtyp, men du bör överväga
att använda en standard som gör det möjligt att snabbt identifiera och spåra utvärderingen inom
organisationen (se figur 7).
Figur 7
Använd en anpassad kombination när du namnger kundutvärderingarna.
När utvärderingen har lästs in börjar du fylla i avsnitten.
Observera att, beroende på hur du besvarar vissa frågor under Defense-in-Depth-delen av utvärderingen
kanske vissa svar inte är tillgängliga och visas gråtonade (se figur 8). Det är avsiktligt och en del av den
metod som krävs för att ge dig den mest exakta utvärderingen.
© 2005 Microsoft Corporation. Med ensamrätt. Sida 11 av 21
Figur 8
Alla frågor kommer inte att vara tillgängliga beroende på dina svar på tidigare frågor.
Uppdatera utvärderingar
Om du vill uppdatera en utvärdering måste du först befinna dig i avsnittet Hantera utvärderingar för
ett markerat företag (eller profil). När du är i det avsnittet väljer du tillämplig utvärdering i kategorin
Utvärderingsnamn och sedan Redigera bland knapparna till höger på profilskärmen (se figur 9).
© 2005 Microsoft Corporation. Med ensamrätt. Sida 12 av 21
Figur 9
Använd skärmen Hantera utvärderingen om du vill redigera eller uppdatera kundutvärderingar.
Kopiera eller skapa nya utvärderingar (för samma företag)
Om du vill kopiera en ny utvärdering för samma företag i avsnittet Hantera utvärderingar för ett
markerat företag (eller profil) väljer du tillämplig utvärdering i kategorin Utvärderingsnamn och väljer
Kopiera bland knapparna till höger på profilskärmen. Om du vill skapa en ny utvärdering väljer du Ny
bland knapparna till höger på profilskärmen.
Sedan kan du redigera kundprofilen på samma skärmar som används för att ställa in en ny profil. Data
sparas när du gör ändringar.
Vyn Hantera utvärderingar ger dig möjlighet att skapa, redigera, byta namn på eller kopiera
utvärderingar för en viss kund. Lägg märke till att i figur 9 ovan visas namnet på företagsprofilen i den
andra rutan som visas i vänstra navigeringsrutan.
© 2005 Microsoft Corporation. Med ensamrätt. Sida 13 av 21
Rapporter
När du har fyllt i alla avsnitt kan du se tre rapporter: sammanfattningsrapport, fullständig rapport och
jämförelserapport (se figur 10). Alternativet Jämförelserapport ger dig möjlighet att jämföra en
kundutvärdering med en annan utvärdering för samma kund eller med andra företag inom en viss
bransch och av en viss storlek.
Figur 10
Tre rapporttyper är tillgängliga när utvärderingen är klar.
Sammanfattningsrapport: sammanfattningsrapporten (visas i figur 10 ovan) ger en snabbvy över
fördelningen mellan risk och försvar (se ordlistan på sidan 18).
Fullständig rapport:
den fullständiga rapporten ger en komplett vy över slutsatserna av
Microsoft Security Assessment, inklusive en sammanfattning, utförlig
utvärdering, vägledning och prioriterad åtgärdslista.
Jämförelserapport:
jämförelserapporten ger ett företag möjlighet att jämföra en utvärdering
med en annan utvärdering för samma företag. Den innehåller även en
branschjämförelse (se figur 11) med andra företag av olika storlek inom
diverse branschgrupper. Partners och kunder måste överföra sina data
(FRP och DiDI) till Microsoft via MSAT innan det går att visa, skriva ut eller
spara någon av jämförelserapporterna.
© 2005 Microsoft Corporation. Med ensamrätt. Sida 14 av 21
Figur 11
Jämförelserapporten i MSAT möjliggör en branschjämförelse.
Alla rapporter och data går att skriva ut från utvärderingsverktyget, sparas lokalt som ett MHTMLdokument och formateras för presentation i Microsoft Word eller en liknande tillämpning.
© 2005 Microsoft Corporation. Med ensamrätt. Sida 15 av 21
Bilagor
Vanliga frågor
1. Vad är Microsoft Security Assessment?
Microsoft Security Assessment har utvecklats för att hjälpa Microsoft-certifierade partners att få en
bättre kunskap om kundernas säkerhetsluckor och risker. En Microsoft Security Assessment - med
hjälp av Microsoft Security Assessment Tool (MSAT) - är en interaktiv session där ett frågeformulär
ingår. Sessionerna backas upp av partners och kan pågå från en till två timmar.
Utvärderingen ger kunden en bred översikt över företaget och IT-organisationen och resulterar i en
tydligt definierad plan för att höja säkerheten genom prioriterade aktiviteter, lösningar och
vägledning. MSAT är ett upprepningsbart och skalbart verktyg för förutsägelser som inriktas på
kärnlösningar och -tjänster som drar nytta av partnerkunskaper och demonstrerar mervärde för
kunderna.
Partners som deltar förses med Microsoft Security Assessment Tool. Verktyget ger partnern möjlighet
att analysera kundens företags- och IT-organisation. När det är klart levererar partnern en
kostnadsfri rapport med slutsatser och rekommendationer som rör de företagsfrågor som
diskuterades under sessionen. Dokumentet har tagits fram för att hjälpa kunden att förstå den
grundläggande baslinjesäkerheten och prioritera de steg som krävs för att minska identifierade risker
med hjälp av Microsoft-produkter och partnerlösningar.
2. Vilka är målen med Microsoft Security Assessment?
MSAT fokuserar på att ge partners ett gemensamt ramverk inom vilket man diskuterar
säkerhetsfrågor med kunder. Microsoft utvecklade MSAT för att hjälpa partners att få en holistisk
förståelse för kundernas säkerhetsrisker och -luckor, utveckla en färdplan för höjd säkerhet och
utveckla återkommande möjligheter att erbjuda relevanta Microsoft-produkter och partnerlösningar.
3. Vilka deltog i utvecklingen av verktyget?
MSAT-utvecklingsteamet bestod av Microsoft, Symantec och Ziff Davis.
4. Är MSAT bara ytterligare ett försök att sälja enbart Microsoft-produkter?
Nej. Målet med MSAT är att hjälpa kunder att inse den risk som verksamheten är utsatt för på grund
av datorinfrastrukturen och de åtgärder de kan vidta för att minska risken.
5. Vilken typ av vägledning ger MSAT?
MSAT-rapportering ger vägledning som baseras på bransch- och säkerhetsstandarder. Föreslagna
säkerhetsresurser är Microsoft, Symantec, CERT, Cisco och liknande företag.
6. Söker MSAT igenom min kunds system?
Nej. MSAT är ett undersökningsbaserat säkerhetsfrågeformulär. MSAT utvärderar tekniken, men även
personal och processer vilket kräver mänsklig medverkan. MSAT har inte möjlighet att samla in
information om lokala system eller nätverk.
© 2005 Microsoft Corporation. Med ensamrätt. Sida 16 av 21
7. Vilken information samlar verktyget in om min kund?
MSAT samlar bara in allmän, ej identifierbar information: företagets storlek och bransch tillsammans
med FRP- och DiDI-resultat. Dessa data används för att jämföra kunderna med alla andra deltagare
eller med deltagare inom samma bransch. Data används även som referenspunkt för jämförelser av
en kunds resultat under tidens gång. Data samlas emellertid inte in om du inte tillhandahåller de
undersökningsbaserade svaren. Du kan använda verktyget för att avbilda kundens miljö eller
förutsäga hur vissa förbättringar skulle påverka kundens totalresultat eller säkerhetsläge.
8. Vad vet Symantec och Ziff Davis om säkerhet?
Symantec ansvarade för att ta fram verktygets frågor, svar och poängsättning. Ziff Davis
programmerade verktyget och är värd för det på Securityguidance.com. Symantec är mycket mer än
företaget bakom Norton AntiVirus. Symantec-personalen som arbetade med MSAT var tidigare
anställda hos @stake och anslöt sig till Symantec genom ett förvärv. @stake som anses vara en av
världens främsta konsultfirmor inom säkerhetsområdet förde med sig omfattande erfarenhet och
kunskap om mellanmarknadsföretag till MSAT.
9. Varför kan jag lita på verktyget?
Även om MSAT inte ersätter en utbildad konsult som känner till dina kunders verksamhet, har
verktyget utvecklats för att leda företag på vägen mot säkerhetstänkande. Frågorna som utgör
verktygets undersökningsdel och tillhörande svar kommer från allmänt godtagna bästa metoder inom
säkerhet, både allmänna och specifika. Frågorna och rekommendationerna som verktyget erbjuder
har baserats på standarder som ISO 17799 och NIST-800.x, såväl som på rekommendationer och
vägledning från både Microsoft och externa säkerhetskällor.
10. Vad innebär det att ha en hög företagsriskprofil (FRP)?
I normala fall fattar kunderna regelbundet olika beslut som rör tekniska och affärsmässiga frågor.
Sådana beslut kan ibland medföra säkerhetsrisker som bör minskas. Riskprofilen (FRP) för
verksamheten hjälper dig att identifiera dessa risker och ger en baslinje mot vilken du kan jämföra
Defense-in-Depth-poängen.
FRP är ett mått på hur stor risk som är förbunden med det sätt på vilket kunden bedriver verksamhet
eller samspelar med andra verksamheter eller kunder. Den fokuseras primärt på tekniska risker och
driftsrisker. Om en kund har en hög FRP visar det att man bedriver verksamhet i en riskintensiv miljö,
har betydande konkurrens eller hotas av både direkta och indirekta attacker genom de system,
verktyg eller processer som används.
11. Min kund har många skydd för att minska risken. Varför är FRP fortfarande hög?
FRP påverkas inte av de metoder som används för att minska risken. Den bör betraktas som ett mått
på den risk organisationen skulle utsätta sig för utan några skydd. Den bör användas för att
identifiera nyckelområden där kunden kan löpa högre risk baserat på den typ av verksamhet som
bedrivs.
12. Vad kommer Microsoft att göra med utvärderingsinformationen om data överförs?
När utvärderingen är slutförd kommer du att kunna se diagrammet över fördelning mellan risk och
försvar där FRP-resultatet jämförs med DiD-indexresultatet. Om du vill se den fullständiga rapporten
måste data överföras till den säkra MSAT-webbservern. Överföringen sker på ett helt anonymt sätt.
Förutom att kunna se hela rapporten får du även tillgång till jämförelsefunktionen.
© 2005 Microsoft Corporation. Med ensamrätt. Sida 17 av 21
Jämförelsefunktionen ger dig möjlighet att jämföra två kunders utvärderingar, vilket hjälper kunderna
att spåra framsteg under tidens gång. Du kan också jämföra kundens resultat med andra som har
deltagit i programmet.
13. Måste en partner hjälpa till när kunderna använder MSAT?
Nej. En partner behöver inte medverka vid användning av MSAT. Verktyget är tillgängligt för alla som
vill använda det. Det kan dock vara önskvärt att ta hjälp av en säkerhetspartner för att genomföra
utvärderingen eller granska resultaten av utvärderingen. De partners som är knutna till Microsoft
Security Assessment Program har fått särskild utbildning om användning av MSAT och avsikten med
Defense-in-Depth och minskade risker. Dessa partners har även tillgång till andra program och
information direkt från Microsoft som kan vara till stor nytta för säkerhetsarbetet i ditt företag.
14. Vad finns i uppdateringen?
MSAT.EXE är den uppdatering som är knuten till utvärderingsverktyget. Mer detaljer förväntas...
Ordlista
I ordlistan förklaras olika standardtermer och koncept för säkerhet som är med i denna rapport. Även
termer som inte finns med i rapporten kan finnas med.
Term
Förklaring
Antivirus (AV)
Programvaru- och maskinvarubaserade tekniker som skyddar datormiljön
från skadliga program.
Brandvägg
Maskinvara eller programvara som skyddar värdar från obehörig åtkomst
via nätverket.
DiDI (Defense-in-Depth
Index)
Ett mått på de säkerhetsmekanismer som används av personal, processer
och teknik för att de identifierade riskerna för en viss verksamhet ska
kunna minskas.
DMZ (Demilitariserad Zon)
En del av nätverket som är avgränsat från det interna nätverket av en
brandvägg och som är anslutet till Internet via en annan brandvägg.
Drift
De regler, processer, procedurer och tillvägagångssätt som rör
organisationens skydd och underhåll.
Flerfaktorsautentisering
Autentisering som kräver en kombination av minst två av följande: något
du vet, något du har eller något du är. Kreditkortet från banken är ett
exempel på en tvåfaktorsautentisering: den kräver något du har (kortet)
och något du vet (PIN-koden). Att kräva att någon skriver flera lösenord
för autentisering är endast en enfaktorsautentisering, eftersom det endast
handlar om något personen vet. Ju fler faktorer, desto säkrare
autentisering. Ett system som därför kräver ett ID-kort (något du har), en
PIN-kod (något du känner till) och ett fingeravtryck (något du är) är
säkrare än ett system som endast kräver ett användarnamn/lösenord (en
faktor) eller ett ID-kort och en PIN-kod.
© 2005 Microsoft Corporation. Med ensamrätt. Sida 18 av 21
Term
Förklaring
Fördelning av risk och
försvar:
Fördelningen av risk och försvar är en indikator på skillnaden mellan
företagsriskprofilens (FRP) och Defense-in-Depth-indexets (DiDI) resultat.
Den används för att belysa de huvudsakliga områdena med skillnader
mellan risker och vidtagna försvarsåtgärder. Generellt sett bör DiDIresultatet överensstämma med resultatet från företagsriskprofilen inom
samma kategori. En obalans antingen inom en kategori eller tvärs över
kategorier - i någon riktning - kan peka på ett behov av att justera
resurser för informationssäkerhet för att på ett bättre sätt hantera den risk
din verksamhet står inför.
Säkerhetsmognad
Säkerhetsmognad innefattar kontroller (både fysiska och tekniska), ITpersonalens tekniska kunskap, regler, processer och hållbara metoder.
Säkerhetsmognad kan endast mätas via organisationens möjlighet att på
ett effektivt sätt använda de tillgängliga verktygen för att skapa en hållbar
säkerhetsnivå för många discipliner. En baslinje för säkerhetsmognad bör
upprättas och användas för att viktiga områden i organisationens
säkerhetsprogram ska identifieras. Alla organisationer måste inte sträva
efter att nå den optimala nivån, men alla bör ta reda på var de står och
var de borde stå, när det gäller vilka risker organisationen kan utsättas för.
Företagsriskprofil (FRP)
Ett mått på hur stor risken är för att en organisation ska drabbas av
intrång. Detta mått baseras på verksamhetsmiljön och branschen som den
konkurrerar i.
Offentlig nyckelinfrastruktur En integrerad teknikuppsättning som krävs för att ge PK-kryptering och
digitala signaturer. En kombination av offentlig och privat nyckelkryptering
(PKI = Public Key
ger nyckelhantering, dataintegritet och datasekretess.
Infrastructure)
Personal
Medlemmarna i organisationen och de regler, processer, procedurer och
tillvägagångssätt som handlar om att skydda dem och organisationen.
Process
En dokumenterad serie åtgärder som utgör en funktion.
Tillämpning
Ett eller flera program som förser slutanvändaren med olika funktioner.
Kräver ett operativsystem. Exempel på programvara är
ordbehandlingsprogram, kalkylblad och databasprogram.
Tolka bilderna
Företagsriskprofil jämfört med DiDI

Resultatet för FRP sträcker sig från 0 till 100, där ett högre resultat innebär en större potentiell
verksamhetsrisk för det aktuella analysområdet (AoA). Det är viktigt att notera att resultatet noll
inte är möjligt här. Att bedriva verksamhet medför i sig själv en viss risk. Det är också viktigt att
© 2005 Microsoft Corporation. Med ensamrätt. Sida 19 av 21
förstå att det finns vissa aspekter på att bedriva verksamhet för vilka det inte finns några
lindrande strategier.

DiDI sträcker sig också från 0 till 100. Ett högt resultat anger en miljö där ett större antal
åtgärder har vidtagits för att få till stånd Defense-in-Depth-strategier inom ett visst
analysområde. DiDI-resultatet återspeglar inte den övergripande säkerheten eller ens de resurser
som lagts ned på säkerhet. I stället är det en återspegling av den övergripande strategi som
används för att försvara miljön.

Intuitivt kan det verka som om en låg poäng för riskprofil och en hög DiDI-poäng är ett bra
resultat, men så är inte alltid fallet. Omfattningen av den här självutvärderingen tar inte hänsyn
till alla faktorer. Stora skillnader mellan poäng för riskprofil och DiDI för ett visst analysområde
antyder att ytterligare studier av analysområdet är lämpligt. Vid analys av resultaten är det viktigt
att ta hänsyn till de individuella resultaten, både företagsriskprofil och DiDI, i förhållande till
varandra. En stabil miljö representeras troligen av relativt enhetliga resultat för alla områden.
Skillnader mellan DiDI-resultat är en stark indikation på att den övergripande säkerhetsstrategin
är fokuserad på en enstaka riskminskningsteknik. Om säkerhetsstrategin inte balanserar aspekter
som personal, processer och teknik, löper miljön troligen större risk att utsättas för attacker.
Säkerhetsmognad

Säkerhetsmognad för varje analysområde sträcker sig från 0 till 100, där ett högre resultat
innebär att organisationen har en högre säkerhetsmognad. Säkerhetsmognad är dock ett
holistiskt koncept och i resultatet sammanför poängen från alla områden för att en övergripande
placering ska kunna fastställas (baslinje, standard och optimerad). Denna övergripande poäng
sträcker sig från 0 till 400. Det är viktigt att notera att ett nollresultat eller ett resultat på 100 i
alla områden är högst osannolikt. De flesta organisationer använder någon form av skydd, som
antagligen är på minst baslinjenivå. Få organisationer har så stora risknivåer att de måste
investera stora summor i säkerhetsstrategier och säkerhetsprogram.

Säkerhetsmognad innefattar kontroller (både fysiska och tekniska), IT-personalens tekniska
kunskap, regler, processer och hållbara metoder. Säkerhetsmognad kan endast mätas via
organisationens möjlighet att på ett effektivt sätt använda de tillgängliga verktygen för att skapa
en hållbar säkerhetsnivå för många discipliner. En baslinje för säkerhetsmognad bör upprättas
och användas för att viktiga områden i organisationens säkerhetsprogram ska identifieras. Alla
organisationer måste inte sträva efter att nå den optimala nivån, men alla bör ta reda på var de
står och var de borde stå i förhållande till företagsrisken.

Stapeldiagrammet visar den ackumulerade mognadspoängen baserat på fyra områden:
infrastruktur, tillämpningar, drift och personal. Poängsumman från dessa områden visar om
resultatet är Baslinje, Standard eller Optimerad. För att en organisation ska få högsta poäng
måste den ha en balanserad inställning till säkerhetsprogram, som omfattar säkerhet på flera
plan och god framförhållning när det gäller säkerhetsåtgärder. Genom att jämföra den relativa
storleken på de fyra analyserade områdena, kan du se om företagets säkerhetskontroller är mer
mogna i ett område än ett annat och i så fall planera för minskade risker.
© 2005 Microsoft Corporation. Med ensamrätt. Sida 20 av 21
Versionsfakta
Gäller: Version 36 och senare
1. Kodning
Programvaran använder Unicode (UTF-8) för merparten av filerna. Du bör ange automatiskt val av
kodning i webbläsaren för att kunna se vissa delar av programmet på rätt sätt (Verktyg | Ordlista,
Hjälp | Hjälp och Hjälp | Metoder). I webbläsaren Internet Explorer kan du ange automatiskt val av
kodning genom att välja Visa | Kodning | Auto-Select.
© 2005 Microsoft Corporation. Med ensamrätt. Sida 21 av 21