Hoppa över navigering, hoppa direkt till textinnehållet Hoppa till navigeringen Startsida
Använda

Använda

Innehållet här är under redaktionell bearbetning.
Denna text är publicerad 2018-02-28. Ändringar som genomförts finns i ändringsloggen.

Använda

När styrningen är utformad (Utforma) ska organisationen tillämpa den. Detta beskrivs i detta avsnitt som består av:

  • Genomföra och efterleva
  • Utbilda och kommunicera
  • Klassningsmodell

Aktiviteter som ingår i Handlingsplan ska genomföras och Styrdokument ska efterlevas enligt utpekat ansvar i respektive dokument. Oförutsedda händelser och förändringar behöver hanteras. Stöd för detta ges i Genomföra och efterleva med fokus på CISO:s roll som kan vara utförande, deltagande, stödjande och bevakande eller responderande.

Att dokumentera hur arbetet fortlöper gällande Genomföra och efterleva, Utbilda och kommunicera och Klassningsmodell är viktigt för att kunna Följa upp och förbättra.

Löpande behöver information och kunskap om informationssäkerhet kommuniceras till olika delar i verksamheten, och stöd för detta ges i Utbildning och kommunikation. Stöd för att klassa informationstillgångar utifrån organisationens Klassningsmodell ges i Informationsklassning.

Klassningsmodell

Denna vägledning ger stöd i arbetet med att klassa organisationens informations­tillgångar. Klassningen ska baseras på er organisations­ klassningsmodell, som ni skapat med stöd av metodstödets del Utforma klassnings­modell.

Kort om informationsklassning

Klassning av informationstillgångar innebär att ni klassar organisationens information och de resurser som hanterar informationen i olika nivåer utifrån den konsekvens otillräckligt skydd ger.

Genom att klassa information kan ni identifiera känslig och kritisk information, och därefter vidta åtgärder så att denna kan få tillräckligt skydd. Ni kan även undvika att information får onödigt överskydd med höga kostnader som följd.

Det är främst objektägare, till exempel informationsägare och systemägare, som ansvarar för sina objekts säkerhet. Därmed är det objektägarnas ansvar att informationstillgångarna klassas. Den informationsmängd (eller resurs) som är föremål för klassning kallas för klassningsobjekt.

Genomförda analyser är ingångsvärden till informationsklassningen

Resultaten från de analyser som ni har gjort i analysfasen är ingångsvärdena till er informationsklassning. Klassningens kvalitet är beroende av resultatet från de analyser som ni har gjort inom organi­sationen, såsom omvärldsanalys (särskilt av de rättsliga kraven), övergripande riskanalys och andra interna och externa krav som verksamheten ställs inför.

Särskilt viktiga analyser är:

  • Kritiska informationstillgångar och interna krav från Analysera Verksamhet.
  • Externa krav, inklusive rättsliga krav från Analysera Organisationens omvärld.

Andra viktiga ingångsvärden:

  • Organisationens gemensamma och beslutade klassningsmodell, som ni tagit fram i Utforma Klassningsmodell.
  • Riktlinjer eller andra styrdokument som rör informationsklassning från Utforma Styrdokument.

Skyddsbehovet varierar beroende på informationstyp och situation

Viss information är mer skyddsvärd än annan. Behovet av skydd skiljer sig därför åt mellan olika information, och varierar även beroende på situation.

Det är externa och interna krav som styr skyddsbehovet. Dessutom påverkas skyddsbehovet av konsekvenser. Till exempel vilka konsekvenser det skulle få för er organisation och dess omvärld ifall informationen skulle spridas till obehöriga, förändras utom er kontroll eller göras otillgänglig för er.

Klassa informationstillgångarna enligt klassningsmodellen

Att klassa informationstillgångar innebär att man klassar sina informationstillgångar utifrån interna och externa krav på konfidentialitet, riktighet och tillgänglighet, i enlighet med den organisationsövergripande klassningsmodellen (se Utforma Klassningsmodell).

Om ni kopplat säkerhetsåtgärder till klassningsmodellen, så avgör klassningen vilka säkerhetsåtgärder som ska finnas för respektive informationstillgång, något som skulle kunna kallas för en bruttolista av säkerhetsåtgärder.

När krav på säkerhetsåtgärd skiljer sig från klassningsmodellen

Det specifika klassningsobjektet, dess användning och den miljö som klassnings­objektet befinner sig i kan dock medföra krav på andra säkerhets­åtgärder än det ni kommit fram till i bruttolistan av säkerhetsåtgärder. För att kunna ge svar på detta kan ni behöva göra en riskanalys i anslutning till klassningen av informations­­tillgångar.

Brutto-lista

Organisationens bruttolista (skyddsnivå) på säkerhetsåtgärder (och dess nivå)

-

De säkerhetsåtgärder som bedöms vara onödiga (genom riskbedömning)

+

De säkerhetsåtgärder och hanteringsregler som tillkommer (t.ex. lagkrav)

=

Nettolista på säkerhetsåtgärder (och dess nivå) som ska appliceras

Identifierat behov av säkerhetsåtgärder utgör sedan ett viktigt underlag vid exempelvis kravställning av tjänster, som interna och externa it‑tjänster. Klassningsmodellen kan därigenom fungera som ett gemensamt ramverk och en kommunikations­modell mellan beställare och leverantörer av olika tjänster.

Skillnad mellan klassning av information och informationsresurs

Ifall informationstillgångarna som ska klassas består både av information och av de resurser som ni använder för att hantera den informationen, så är det själva informationen som är den primära tillgången och därmed det ni ska klassa i första hand.

Resurser som används för att hantera informationen, till exempel it‑system, it‑infrastruktur och fysiska tillgångar ska möta kraven som klassningen medför. De resurer som hanterar informationen behöver därför skyddas på lägst den nivå som högst klassad information har.

Varierande typer av informationstillgångar

I en organisation finns ofta varierande typer av informationstillgångar. Tänk på att information inte endast existerar i digital form, utan även pappersbaserat och muntligt. Ni behöver därför även ta hänsyn till pappersbaserad och muntlig information vid klassning.

Påbörja klassningsarbetet i er organisation med att prioritera de mest kritiska och känsliga informationstillgångarna. Ni som har följt detta metodstöd har identifierat dessa i analysfasen (se Identifiera och analysera Verksamhet).

Informationstillgångar som är bedömda som säkerhetsskyddsklassificerade uppgifter (dvs. omfattas av sekretess och är av betydelse för Sveriges säkerhet) och som ska hanteras enligt säkerhetsskydds­lagstiftningen ska också klassas enligt organisationens klassningsmodell enligt samtliga säkerhets­aspekter som andra informationstillgångar. Utöver detta ska sådana tillgångar också klassas enligt säkerhetsskyddslagstiftningens krav.  

Genomför översyn av klassning – särskilt vid förändringar

Vid första tillfället som ni klassar ett objekt behöver det förstås göras mer grundligt än de nästkommande klassningarna, som snarare kan fokusera på eventuella förändringar i eller kring objektet. Även om inte någon större känd förändring har skett, så bör ni göra en översyn eftersom förändringar, till exempel i lagrum, på förhand kan vara okända.

Vissa situationer och förändringar motiverar att ni genomför en mer genom­gripande klassning. Några exempel på sådana situationer:

  • Förändringar av rättsliga krav.
  • Nytillkommen information i verksamheten.
  • Anskaffning, nyutveckling eller förändring av organisationens it‑system eller infrastruktur.

Verksamhetsansvariga och objektägare ansvarar för klassningen

Verksamhetsansvariga (som exempelvis linjechef och projektägare) och objektägare (till exempel informationsägare och systemägare) ansvarar för säkerheten i sina respektive verksamheter och objekt. Därmed ansvarar de även för att informationstillgångarna klassas, och att säkerhetsåtgärder införs så att informationen får rätt nivå av skydd.

Definiera klassningsobjektet

Innan ni påbörjar klassningen behöver ni ha definierat och avgränsat omfattningen av vad ni ska klassa, det vill säga själva klassningsobjektet. Det kan vara exempelvis:

  • Samtliga eller delar av informationstillgångar i en verksamhet (till exempel en enhet, process eller ett projekt).
  • Ett eller flera it‑system, med ingående information och eventuell relaterad manuell hantering.

Olika kompetenser som behövs vid klassning

Vilka som ska medverka vid klassning beror på vad som ska klassas. Det finns dock fyra typer av specifika kompetenser som behövs vid själva klassningen, och som därmed behöver finnas representerade:

  1. Kompetens om klassningsobjektet – personer som har god kunskap om de informationstillgångar som ska klassas och, som förstår dessas värde, interna krav och så vidare.
  2. Kompetens om externa krav – till exempel rättsliga krav (t. ex. jurister) eller andra krav på informations­tillgångarna.
  3. Kompetens om klassningsmodellen – En person med kompetens i hur klassningsmodellen används, en analysledare.
  4. Kompetens om it – både gällande it‑system, infrastruktur, integrationer och liknande.

Genomför klassningen på en workshop

Ni kan med fördel genomföra klassningen på en workshop (se stegen för en sådan nedan). Se till att ni har en utsedd analysledare och eventuellt även en person som för anteckningar. Analysledaren behöver vara väl förtrogen med metodiken för klassning, och dessutom ha goda kunskaper om informationssäkerhet.

Det bästa är om CISO initialt leder och genomför ett antal klassningar. Efterhand kan ni ta fram ett arbetssätt i organisationen som ni successivt kan forma till en intern vägledning så att fler medarbetare kan genomföra och leda klassningar.

Glöm inte att bjuda in deltagarna till workshop i god tid! De som har bjudits in behöver få möjlighet att förbereda sig. De kan behöva ta del av, läsa på eller leta rätt på dokumentation av tidigare klassningar eller analyser, informationsinventeringar, processbeskrivningar, rättsliga krav, system­dokumentationer och liknande. Den som äger objektet som ska klassas bör stå som avsändere av inbjudan.

Så här genomför ni en informationsklassning

Informationsklassningen utförs vanligen i ett arbetsflöde.

 Klassningsprofil

Figur A1:1: Informationsklassningen i ett arbetsflöde med fem steg

Steg 1. Definiera klassningsobjektens information

1.1.  Det första steget handlar om att inventera klassningsobjektets information, och om att dela upp informationen i meningsfulla mängder. Ibland kan det vara svårt att veta vilken detaljeringsgrad man behöver ha när man definierar informationsmängder. Grundregeln är då att det som ska utgöra en informationsmängd är den minsta sammansatta grupperingen av information som hanteras i klassningsobjektet.

Exempel: Om ett system skapar en pdf‑fil med ett visst innehåll, som aldrig delas upp i mindre informationsmängder, så kan pdf‑filen betraktas som en informationsmängd.

1.2.  För att underlätta inventeringen kan man också tänka i termer av var organisationens, verksamhetens eller ett it-systems information hanteras – tänk – input, bearbetning, lagring och output.

1.3.  De deltagande verksamhetsexperterna bör tillsammans besitta kunskap om vilken information som finns i klassningsobjektet. För detta kan ni använda tidigare kartläggningar. Det går även att använda skriftligt stöd under workshoppen. Till exempel ”Vägledning för processorienterad informationskartläggning”, som Myndigheten för samhällsskydd och beredskap (MSB) publicerat tillsammans med Riksarkivet.

1.4.  Skriv in den inventerade informationen i kolumnerna Informationsmängd och Beskrivning/innehåll i metodstödets tillhörande Verktyg Använda informationsklassning.

Steg 2. Klassa information

Att klassa informationsmängder innebär att man gör en konsekvensbedömning för  vad som kan hända om informationens konfidentialitet, riktighet och tillgänglighet inte upprätthålls i den utsträckning verksamheten behöver.

Exempel på frågor ni kan ställa er:

  • Konfidentialitet: Vad kan konsekvenserna bli ifall informationen läcker ut till obehöriga?
  • Riktighet: Vad kan konsekvenserna bli ifall informationen är felaktig eller inaktuell?

Tillgänglighet: Vad kan konsekvenserna bli ifall någon (som är behörig) inte får tillgång till informationen?

2.1.     Använd er specifikation av de olika konsekvensnivåerna som ni angivit i er klassningsmodell som stöd vid konsekvensbedömningen. Se utifrån samtliga konsekvenskategorier ni beslutat att använda er av.

2.2.     Inventera nu externa och interna krav för varje inventerad informations­mängd. Ibland kan man härleda en del av konsekvens­bedömningen till specifika interna eller externa krav. Det kan vara exempelvis lagar, föreskrifter, avtal, kund­krav, krav i produktionskedjan och liknande. Kraven kan gälla både för hela klassningsobjektet, och för hela organisationen. Därför är det vanligt att ett och samma krav återkommer för olika informationsmängder.

Skriv in de interna och externa kraven under respektive kolumn för varje informationsmängd. För detta kan ni med fördel använda metodstödets tillhörande Verktyg Använda Informationsklassning.

2.3.     När ni klassar informationsmängder får de en viss klassningsprofil. En viss informationsmängd kan exempelvis vara mycket kritisk när det gäller tillgänglighet och konfidentialitet, men mindre känslig när det gäller riktighet. En sådan informationsmängd kan då få klassningsprofilen K2‑R1‑T3.

Ni kan göra klassningen av varje informationsmängd för varje aspekt i respektive kolumn direkt i Verktyget Använda Informationsklassning)

2.4.     Varje delmängd ska klassas. Konceptet här är ”högst vinner”, det vill säga för en informationsmängd som består av flera delmängder där varje delmängd blir olika klassad så ska det värde som är högst vara det som är beslutande. Exempel med delmängderna personuppgifter, mätdata och fastighetsuppgifter skulle kunna vara

Informationstyp

K

R

T

Personuppgifter

2

1

1

Mätdata

1

1

3

Fastighetsuppgifter

1

1

1

TOTALT

2

1

3

Observera följande:

  • Konsekvensnivån ”0” för konfidentialitet innebär att informationen inte kan förorsaka skada oavsett vem som får åtkomst. Denna nivå ska dock inte förstås som att informationen kan publiceras offentligt eller att en sekretessprövnig för utlämnande inte behöver göras. Klassningen kan ge vägledning men organisationens rutiner för publicering och utlämning av offentlig handling ska följas.  
  • Det är sällan som förlust av aspekterna riktighet och tillgänglighet inte medför några konsekvenser, det vill säga klassas som ”0”.
  • Man kan i organisationen låta en nivå vara förvald för de informations­tillgångar som (ännu) inte är klassade, förslagsvis K1‑R1‑T1. Ifall ni gör så krävs det en aktiv klassning för att inte erhålla ett grundskydd.

Steg 3. Få fram en bruttolista på säkerhetsåtgärder

Resultatet ska bli en bruttolista på säkerhetsåtgärder som ska vara införda för att den klassade informationstillgången ska ha rätt skydd utifrån vald konsekvensnivå. Detta steg ska vara baserat på den koppling som ni gjort i Utforma Klassningsmodell. 

Steg 4. Utför kompletterande riskanalyser

Bruttolistan av säkerhetsåtgärder behöver justeras utifrån ett antal perspektiv som av olika anledningar inte kan omhändertas i, eller utläsas från, organisa­tionens mer övergripande analyser (verksamhetsanalys, riskanalys, omvärldsanalys och gap-analys).

4.1.     Varje klassningsobjekt kan ha specifika förutsättningar för det sammanhang som just den informationen eller det systemet används i. Då kan ni behöva göra en precisering. Det gör ni genom en lokal riskanalys, där ni avgör om de säkerhets­åtgärder ni har valt är lämpliga för klassningsobjektet i fråga.

4.2.     Specifik lagstiftning kan ställa höga krav eller skyddet av informations­tillgången behöver höjas eftersom informationen är

  • ackumulerad (att flera förekomster av samma informationstyper eller informationsmängder samlas och lagras på samma ställe, t.ex. i ett arkiv eller databas, vilket ofta leder till ökat skyddsbehov) och/eller
  • aggregerad (att olika informationstyper förs samman och tillsammans bildar en informationsmängd (t.ex. ett dokument eller viss handling) och att konsekvenser och skyddsbehov kan bli större än de ingående informationstyperna var för sig) information vilket resulterat i en ny (högre) klassning.

4.3.     Förhållanden kan göra att utvalda säkerhetsåtgärder är otillräckliga, överskyddande, eller på annat sätt olämpliga. Ibland kan man upptäcka att föreslagna säkerhetsåtgärder är onödiga. För att avgöra det behöver ni genomföra en riskanalys för att hitta den lösning som passar.

Steg 5. Fastställ nettolista

Den justering som gjorts av skyddsnivån, utifrån hänsyn till de lokala risker som informationstillgången utsätts för och andra interna och externa krav, så skapas en nettolista som beskriver skyddsnivån för den specifika informationstillgången.

5.1.     Nettolistan är ett underlag för hur organisationen ska hantera informationstillgången sett till förmåga och effekt i säkerhets­åtgärderna och andra specifika hanteringsregler.

5.2.     De säkerhetsåtgärder som inte finns på plats, eller som inte motsvarar den nivå som krävs ska skrivas in i handlingsplanen för att åtgärdas.

Säkerhetsåtgärder och ökad medvetenhet

Informationsklassningen resulterar i krav på säkerhetsåtgärder för de informationstillgångar som har klassats. Kraven kan riktas internt (t.ex. till it‑avdelning eller lokalförsörjningsavdelning) eller externt (t.ex. till en extern systemleverantör).

Att klassa informationstillgångar är ofta en medvetandehöjande aktivitet. De som medverkar vid klassningen  får ökad insikt om informationstillgångars värde, samt om vilka konsekvenser det innebär ifall informationen i fråga skulle läcka ut till obehöriga, förändras utom kontroll eller vara otillgängliga.

Målgruppsanpassa styrdokumenten

De säkerhetsåtgärder som är beslutade för varje skyddsnivå ger bra underlag när olika delar av organisationen ska hantera information och upphandla produkter/tjänster. Genom att klassa informationen och få fram en skyddsnivå behöver inte olika verksamheter identifiera egna regler och säkerställa att de är tillräckliga.

Om styrdokumenten är målgruppsanpassade (se Utforma styrdokument), så finns det goda möjligheter att kommunicera säkerhetsåtgärder till respektive målgrupp. Några exempel på detta:

  • Målgrupp: medarbetare. För medarbetare är hanteringsreglerna vanligen kopplade till konfidentialitet. Sådana regler bör variera beroende på hur informationen är klassad, till exempel genom att man upprättar särskilda rutiner och regler för hantering av information som tillhör K2 och K3.
  • Målgrupp: verksamheten eller objektägare. Vissa av säkerhetsåtgärderna åligger verksamhetenoch/ellerobjektägaren av verksamhetssystemet, till exempel behörighets­styrning, användar­­instruktioner, övervakning och loggkontroll, incident­­hantering och kontinuitets­­hantering.
  • Målgrupp: den interna it-driften. Vissa säkerhetsåtgärder kan riktas mot den interna it‑driften, till exempel särskilda säkerhetsåtgärder för hur arkitekturen är byggd, nätverk används och hur väl funktioner är testade för att verifiera att de har rätt nivå av skydd för it-system med höga skyddskrav.

Samla informationstillgångarna i en tabell eller databas

Ni kan dokumentera de informationstillgångar som ni har klassat i en tabell eller databas. Detta gäller till exempel information som personuppgifter, ekonomiuppgifter, produktinformation eller patientjournaluppgifter och de it-system där dessa uppgifter hanteras. Genom att göra så underlättar ni för en enhetlig klassning i organisationen. Tänk på att även informationen i tabellen eller databasen ska klassas.

Styr kraven mot externa leverantörer

Krav mot externa leverantörer bör ni styra genom att koppla säkerhetsåtgärder till upphandlingar och krav som ställs vid samverkan av olika slag till exempel gemensamma projekt.

Ni kan med fördel skapa en kravkatalog där ni samlar de säkerhetskrav som på motsvarande sätt är kopplade till klassningsmodellen. Denna kan ni sedan använda vid upphandling och/eller inköp av it‑relaterade produkter och tjänster.

Referens till ISO‑standarder i 27000‑serien:

  • SS‑EN ISO/IEC 27002:2017 (avsnitt 8.2).

Genomföra och efterleva

Denna vägledning ger en översikt över aktiviteter för att tillämpa de styrningar ni har utformat. Den kan därför ses som ett övergripande samlingsdokument för metodsteget Använda. Mer specifikt stöd finns i vägledningarna Använda informationsklassning samt Använda utbildning och kommunikation. 

Vanliga svenska titlar på den som samordnar informationssäkerhetsarbetet är informationssäkerhetssamordnare, informationssäkerhetsstrateg eller informationssäkerhets­koordinator. I MSB:s metodstöd för systematiskt informationssäkerhetsarbete har vi kallat den person som är ansvarig för samordningen av informations­säkerheten för CISO, en förkortning efter den engelska titeln chief information security officer. Vi har valt att använda CISO eftersom det är kort, koncist och gör texten lättare att läsa.

Implementera informationssäkerhetens styrning

I metodstödets del Använda får ni stöd i hur organisationen ska tillämpa den styrning av informationssäkerhet som ni tagit fram med stöd av delen Utforma. Vilka aktiviteter som er organisation ska genomföra och efterleva har ni angett i er handlingsplan och i era styrdokument.

Om man liknar arbetet i förra delen (Utforma) med ett ritbord, så är den här delen (Använda) själva verkstaden.

Tänk på att du i praktiken inte befinner dig i ett metodsteg utan använder de olika metodstegen vid behov; du kan ha behov av att både utforma, använda, göra nya inventeringar och analyser samt följa upp verksamheten samtidigt. Vi vill därför här betona att när oförutsedda händelser och förändringar inträffar så ska ni givetvis hantera dessa löpande.

Resultaten från samtliga delar i Utforma är ingångsvärden till Använda.

Särskilt viktiga är:

  • Årlig handlingsplan för informationssäkerhet (från Utforma Handlingsplan).
  • Styrdokument i form av informationssäkerhetspolicy, riktlinjer, instruktioner eller andra styrdokument (från Utforma Styrdokument).

När kan arbetet med att genomföra och efterleva starta?

Vad som ska göras har ni redan fastställt – dels i den årliga handlingsplanen, dels i era styrdokument för informationssäkerhet.

Om ni har gjort följande, så kan arbetet sättas ingång av utsedda aktörer:

  1. Valt lämpliga säkerhetsåtgärder som omfattas av beslutade styrdokument.
  2. Beslutat en handlingsplan för det första året.

Vem ansvarar för att genomföra?

Det är ett ständigt arbete att genomföra aktiviteter i handlingsplanen och att arbeta i enlighet med styrdokumenten. Arbetet pågår hela tiden i organisationen, av en mängd olika roller.

Vissa aktiviteter kan den som är CISO ansvara för och genomföra. Huvudansvaret för de flesta aktiviteter bör dock ligga hos andra aktörer i organisationen. Det är viktigt att ansvaret är fastställt i handlingsplanen respektive i styrdokumenten.

En omvärld i ständig förändring kräver bevakning och förberedelse

Organisationer och deras omvärld är i ständig förändring, och det kommer alltid att inträffa mer eller mindre oförutsedda händelser. Det kan exempelvis vara nya hot som uppkommer, nya rättsliga krav som införs, säkerhetsåtgärder som inte får förväntad effekt och så vidare.

Mycket av arbetet handlar därför om att bevaka händelseutvecklingen, och om att förbereda sig inför denna.

Vägledningen innehåller följande fem delar:

  1. Genomföra handlingsplanens aktiviteter
  2. Efterleva styrdokument
  3. Hantera större händelser och förändringar
  4. CISO:s roll och arbetsuppgifter
  5. Dokumentera

1. Genomföra handlingsplanens aktiviteter

Genomförandet av aktiviteterna i den årliga handlingsplanen löper i bästa fall på som planerat. Ett antal olika orsaker kan dock medföra att genomförandet av en aktivitet inte går enligt plan. Aktiviteten kanske till och med äventyras på grund av exempelvis resurs­förändringar, frånvaro, omprioriteringar eller tekniska problem.

Förändringar eller oplanerade händelser kan leda till att enskilda aktiviteter behöver ändras, att de avstannar eller att de förskjuts till nästkommande års handlingsplan.

Handlingsplanens aktiviteter kan förändras – så följ upp regelbundet!

Aktiviteterna i handlingsplanen är olika. De kan vara av olika art och storlek, ha olika personer som är ansvariga, ingå i andra handlingsplaner och så vidare. Det är dock ändå bra att ha en sammanhållen bevakning och uppföljning av alla informations­säkerhets­relaterade aktiviteter i organisationen.

Ni bör därför följa upp status för de olika aktiviteterna regelbundet, med fördel en gång i kvartalet. För att underlätta detta arbete kan ni skapa nya kolumner för aktiviteternas status med lämpliga tidsintervall i Verktyg Utforma Handlingsplan.

2. Efterleva styrdokument

I era styrdokument ska de säkerhetsåtgärder som ni har valt finnas med (se Utforma Styrdokument). Syftet är förstås att uppnå efterlevnad av styrdokumenten, det vill säga att styrdokumentens målgrupper agerar som det är tänkt.

Styrdokumenten bör dock inte återspegla den aktuella situationen, om inte denna är den önskade nivån, vilket vi poängterade i vägledningen Utforma Styrdokument. Utan i stället bör reglerna (åtminstone delar av) vara framåtriktade och uttrycka ett önskat läge. Detta innebär förstås att delar av reglerna kan vara svåra eller omöjliga att efterleva innan förutsättningar för efterlevnad finns.

Varför efterlevs inte reglerna?

Att reglerna inte efterlevs kan bero på olika saker, till exempel kan reglerna innebära större utmaningar än man tänkt, resurser kan vara otillräckliga och prioriteringar kan ändras. När man börjar implementera säkerhetsåtgärder praktiskt så kan det helt enkelt visa sig att de till exempel inte har förväntad effekt, att de inte täcker säkerhetsbehovet, att de är överflödiga eller att de behöver justeras.

Brist på efterlevnad kan också bero på okunskap, eller brist på kommunikation. I dessa fall behöver man stödja berörda aktörer på lämpligt sätt, till exempel i form av genomgångar, praktiskt deltagande, utbildning eller kompletterande skriftligt material (som instruktioner och vägledningar).

Att inte styrdokument efterlevs kan också bero på själva reglerna, till exempel för att de har orealistiska krav eller inte är anpassade efter organisationen. I dessa fall behöver ni ändra och anpassa reglerna. Detta bör ni dock inte göra löpande, eftersom styrdokumenten beslutas vid vissa bestämda tillfällen.

Därför bör ni i stället dokumentera eventuella behov av att förändra regler eller säkerhetsåtgärder. Dokumentera behoven i era styrdokument löpande (eller så fort de uppstår), så att ni kan göra förändringarna inför nästa revidering.

Tydliga ansvarsområden och målgruppsanpassade styrdokument

Ansvaret för de olika säkerhetsåtgärderna behöver vara tydligt uppdelat, och styrdokumenten som reglerar detta ansvar bör vara målgruppsanpassade.

Det är också viktigt att ni ger rätt form av utbildning och kommunikation till respektive roll, så att dessa i sin tur kan ta ansvar för att uppnå efterlevnad (för mer utförlig information om detta, se vägledningen Använda Utbildning och kommunikation).

Hur era styrdokument efterlevs och hur väl era säkerhetsåtgärder fungerar bör ni dokumentera noggrant, då det är en viktig input till den kommande utvärderingen (Utvärdering (Följa upp och förbättra) är den sista delen av detta metodstöd).

3. Hantera större händelser och förändringar

Informationssäkerhetsarbetet kan dessvärre påverkas av oförutsedda händelser eller förändringar i organisationen och dess omvärld. Detta innebär att de interna och externa förutsättningar som ni har identifierat i analysfasen till vissa delar förändrats eller inte längre gäller.

Exempel på större händelser och förändringar som kan påverka informations­säkerhets­arbetet:

  • Omorganisation
  • Uppköp, ombildningar eller fusioner av bolag
  • Personförändringar på viktiga positioner (till exempel byte av VD eller GD)
  • Förändringar i rättsliga krav
  • Förändringar av krav hos kunder eller andra intressenter
  • Större förändringar i hotbild
  • Allvarliga incidenter
  • Anskaffning av större it­‑system
  • Outsourcing av it‑drift (eller andra kritiska delar)
  • Politiska förändringar
  • Förändringar i den nationella säkerheten.

Förändringar motiverar riskanalyser

Ofta motiverar större förändringar behovet av en eller flera riskanalyser, för att kunna förstå de nya förutsättningarna. Om förändringar eller händelser är organisations­övergripande så kan man behöva göra en ny övergripande riskanalys som baseras på de nya förutsättningarna. Därmed kan man behöva initiera en ny analysfas tidigare än planerat.

Gäller förändringen endast en begränsad del av organisationen, som en delverksamhet eller ett system, så motiverar detta endast en begränsad riskanalys och/eller klassning av eventuellt tillkommande informationstillgångar.

Riskanalys kan leda till reviderade säkerhetsåtgärder

Analyser av förändrade förutsättningar kan i sin tur innebära en revidering av såväl utvalda säkerhetsåtgärder som pågående handlingsplan. Man kan behöva omfördela resurser för att kunna möta de nya förutsättningarnas krav.

Vissa förändringar kan påverka förutsättningarna för informations­säkerhets­arbetet drastiskt, till exempel ifall ledningsgruppen eller andra nyckelpersoner inte förstår sig på eller slutar att prioritera informationssäkerhetsfrågorna. I dessa fall kan man tyvärr behöva lägga mycket energi på att försöka få ledningens eller nyckel­personernas engagemang och förståelse.

4. CISO:s roll och arbetsuppgifter

Aktiviteter i handlingsplanen kan ha CISO som utförare eller ansvarig. CISO är utförare av de typer av aktiviteter och säkerhets­åtgärder som utgör delar av det systematiska arbetet med informations­säkerhet, det vill säga ledningssystemet.

CISO bör dock inte belasta sin arbetstid med för mycket arbetsuppgifter av operativ karaktär som kan genomföras av andra. I stället behöver CISO merparten av sin tid åt att koordinera och styra det löpande arbetet med organisationens informations­säkerhet.

Detta arbete innebär att kommunicera med andra, särskilt i syfte att förklara och inspirera för att lyckas få hela organisationen att arbeta i samma riktning. Om CISO lägger ned för mycket av sin arbetstid i ett eller ett fåtal projekt, så blir rollen tyvärr osynlig för den övriga organisationen vilket är kontraproduktivt.

CISO:s olika funktioner

Nedan listar vi ett antal löpande funktioner som en CISO kan – och bör – ha. Funktionerna kan även gälla gentemot externa aktörer i relevanta fall, till exempel gentemot leverantörer.

Några vanliga funktioner hos en CISO:

  • Bevakande
  • Stödjande
  • Deltagande
  • Kontrollerande
  • Responderande
  • Dokumenterande
  • Rapporterande

För samtliga av dessa funktioner är det viktigt att ha lämpliga kommunikations­kanaler som CISO kan använda för att kommunicera med olika roller. Kommunikation är viktigt och en ständigt återkommande uppgift för CISO (se vägledningen Använda Utbilda och kommunicera för mer information om kommunikation).

Att skapa råd eller forum för informationssäkerhet är ett bra sätt att ha en regelbunden kommunikation med olika roller. I råd och forum ges tillfälle att ta upp aktuella frågor och diskutera strategiska val. (se vägledningen Utforma Organisation för att få mer information om skapandet av råd och forum).

Tabell A2:1: Beskrivning av CISO:s funktioner

CISO:s funktion:

Beskrivning:

Utförande

Aktiviteter i handlingsplanen och styrdokument med CISO som utförare. Vanligen delar av det systematiska informations­säkerhets­arbetet (som att genomföra analyser, ta fram styrdokument eller genomföra utbildning).

Deltagande

Deltagande i praktiskt arbete. Viktigt att prioritera:

  • kritiska och aktuella projekt (som t.ex. GDPR)
  • arbete som görs för första gången (som t.ex. piloter)
  • arbete som kan ha strategisk och långsiktig betydelse (som t.ex informations­klassning).

Stödjande

Att löpande stödja roller, projekt och liknande är viktigt för att underlätta genomförande och efterlevnad. Detta kan ske på många olika sätt, till exempel genom muntliga eller fysiska möten, ge tips på webbresurser, utbildningar, kontakter, skriftliga vägledningar med mera. Särskilt viktigt är det att ge stöd till personer som är nya i sina roller (läs mer om detta i metodstödet Utbilda och kommunicera).

Bevakande

Det är mycket viktigt att CISO kontinuerligt bevakar händelse­utvecklingen, både internt och externt. Det handlar om att följa hur det går med genomförande och efterlevnad av handlingsplan och styrdokument, men också annat som kan påverka informations­säkerheten. Till exempel:

  • Förändringar och händelser i omvärlden, såsom hot, incidenter, rättsliga krav, ny teknik och så vidare.
  • Interna förändringar och händelser, till exempel i organisationen, styrdokument, prioriteringar, incidenter och liknande.

Internt bör ni utnyttja de kontakter som ni har och begära regelbundna statusrapporter, till exempel muntlig rapportering vid möten i råd och forum för informationssäkerhet. Det är självklart viktigt att ni nätverkar, vidareutbildar er, deltar på konferenser och dylikt för att hålla er uppdaterade med eventuella nyheter inom området.

CISO kan inte i detalj bevaka teknisk händelseutveckling och status, men det går att begära in rapporter och sammanställningar av exempelvis revisioner, loggar, incidenter, tester med mera (både internt och ofta även från leverantörer eller partner). Mer information om övervakning finns i delen Följa upp och förbättra.

Responderande

Händelser, förändringar, avvikelser och brister som ni upptäcker efterhand behöver ni dokumentera så att de hanteras i nästa årscykel. Detta ska ske via Utvärdering, se avsnitt 5. Dokumentera (nedan).

Vissa händelser kräver respons och medverkan av CISO. Förutom det som vi tog upp i avsnitt 3. Hantera större händelser och förändringar (ovan) så kan även mindre händelser vara kritiska och brådskande. Brådskande händelser måste ni i så fall hantera omedelbart eller åtminstone under periodens gång.

CISO kan ha en aktiv roll i detta arbete, både i lärande och stödjande syfte. Ni behöver särskilda säkerhetsåtgärder för att hantera kritiska incidenter eller kriser – och verkliga händelser är ett bra tillfälle att testa dessa i skarpt läge.

5. Dokumentera

Det är viktigt att ni löpande dokumenterar händelser, förändringar och iakttagelser. Detta för att ni ska kunna hantera händelsen och senare kunna lära av erfarenheten (se Följa upp och förbättra) samt ha underlag för att ta fram kompletterande regler på områden där sådana saknats. På sikt kan detta arbetssätt leda till både bättre informationssäkerhet och ett bättre systematiskt informationssäkerhets­arbete.

All dokumentation som ni tar fram under året bör ingå i underlaget för er kommande utvärdering (se Följa upp och förbättra). Utvärderingen genererar troligen lämpliga aktiviteter för nästkommande årscykel.

Det finns inget särskilt verktyg framtaget för att dokumentera händelser, förbättringsförslag och så vidare. Vi rekommenderar att ni gör dokumentationen i respektive verktyg, vilka vi listat i tabell 2.

Kritiska eller brådskande händelser måste ni hantera, eventuellt omedelbart, och dokumentera (listas i tabellen ovan, se kategorin Responderande). Andra, okritiska händelser behöver ni endast dokumentera, så att ni kan ta hand om dessa vid ett senare tillfälle.

Tabell A2:2: Guide: Hitta rätt verktyg för att dokumentera förändring

Typ av förändring:

Namn på metodstödets verktyg:

Interna förändringar

Analysera organisationen

Omvärldsförändringar

Analysera organisationens omvärld

Förändringar i hotbild och risker

Analysera risker

Förändringar i behov av säkerhetsåtgärder

Analysera gap

Avvikelser i efterlevnad

Utforma styrdokument

Förändringsbehov i styrdokument

Utforma styrdokument

(Behov av) förändringar i organisationen

Utforma organisationen

Status på aktiviteter i handlingsplan

Utforma handlingsplan

Förändringsbehov mål

Utforma informationssäkerhetsmål

Förändringsbehov i klassningsmodell

Utforma klassningsmodell

Referens till standarder i 27000-serien:

  • SS-EN ISO/IEC 27001:2017: Kapitel 8 (Verksamhet)
  • SS-EN ISO/IEC 27002:2017: Hela (säkerhetsåtgärder som är valda av organisationen).

Utbilda och kommunicera

Den här vägledningen ger stöd i att utbilda och kommunicera informations­säker­hets­relaterade frågor i organisationen. Både utbildning och kommunikation behöver ske kontinuerligt och på olika sätt och är en grundpelare i ett systematiskt informations­säkerhetsarbete.

Vanliga svenska titlar på den som samordnar informationssäkerhetsarbetet är informationssäkerhetssamordnare, informationssäkerhetsstrateg eller informationssäkerhets­koordinator. I MSB:s metodstöd för systematiskt informationssäkerhetsarbete har vi kallat den person som är ansvarig för samordningen av informations­säkerheten för CISO, en förkortning efter den engelska titeln chief information security officer. Vi har valt att använda CISO eftersom det är kort, koncist och gör texten lättare att läsa.

Syftet med att utbilda och kommunicera

För att kunna öka medvetenhet och kunskap om informations­säkerhet så behöver ni både hålla utbildningar och kommunicera internt. På detta sätt kan ni minska riskerna med informations­säkerhet, och dessutom uppnå en bättre efterlevnad av de regler och mål som ni har satt upp.

Utbildning och kommunikation kan också öka acceptansen av och förståelsen för de säkerhetsåtgärder som ni har valt att implementera – och för informationssäkerhet i stort.

Det är viktigt att ni kommunicerar om informationssäkerhet. Det är bra om kommunikationen sker såväl formellt och planerat (till exempel genom utbildningar), som informellt och spontant (till exempel genom samtal vid kaffe­automat­en).

Till denna vägledning finns ett tillhörande verktyg, som kan hjälpa er att skapa en utbildnings- och kommunikationsplan för informationssäkerhet (Verktyg Använda Utbildning och kommunikation).

Ingångsvärden till utbildning och kommunikation

Det finns viktiga ingångsvärden i era analyser från tidigare vägledningar. Några exempel på sådana:

  • Organisation, roller och ansvar kopplade till informationssäkerhet, från Utforma Organisation.
  • Årlig handlingsplan för informationssäkerhet, från Utforma Handlingsplan.
  • Styrdokument i form av informationssäkerhetspolicy, riktlinjer, instruktioner eller andra styrdokument, från Utforma Styrdokument.
  • Interna behov av utbildning och kommunikation som framkommit i andra delar av metodstödet, exempelvis från Identifiera och analysera Verksamhet.

Andra viktiga ingångsvärden är organisationens mognad inom informationssäkerhet och hur styrning av kompetensförsörjning och kommunikation sker i organisationen, både formellt och informellt.

Behovet av utbildning och kommunikation internt

Att sprida kunskap om informationssäkerhet, och att kommunicera kring dessa frågor, är ett ständigt pågående arbete som är nödvändigt för att kunna skapa ett systematiskt informations­säkerhets­arbete.

Det är därför viktigt att ni strävar efter att upprätthålla medarbetarnas engagemang och intresse för informations­säkerhets­frågorna. Denna arbetsuppgift ligger inte enbart på den som är CISO utan på samtliga personer eller roller som arbetar med informationssäkerheten.

Det behöver ni göra genom hela årscykeln – vilket detta metodstöd kan hjälpa er med (från delen Identifiera och analysera via Utforma och Använda, och slutligen till Följa upp och förbättra).

Argumentera för informationssäkerhet – ett nytt område

Informationssäkerhet är ett relativt nytt område, särskilt om man jämför med äldre, mer etablerade områden som ekonomi eller brandskydd. Eftersom det är så pass nytt, så är området fortfarande okänt för många. Med andra ord: alla förstår inte nyttan eller syftet med informationssäkerhet ännu.

Dessutom konkurrerar ämnet med en mängd andra frågor i en organisation. Detta kan göra att man återkommande behöver förklara, beskriva – och även försvara –varför det är viktigt med informationssäkerhet.

En grundläggande argumentation är att informationssäkerhet förbättrar organisationens kvalitet och effektivitet samt ofta är en förutsättning för många nödvändiga företeelser, som exempelvis digitalisering och mobilitet.

Utbildning och kunskap ger ökad acceptans och förståelse

Utbildning i och kommunikation kring informationssäkerhet, både formell och informell, bör förekomma löpande, till och med dagligen.

Att utbilda olika interna roller är ett sätt att öka acceptansen för informationssäkerhet. Detta genom att dina medarbetare får en förståelse för varför informationssäkerhet behövs, och varför ni behöver avsätta särskilda resurser för att lyckas.

För att kunna uppnå och hålla den nivå på informationssäkerhet som ni vill och behöver ha är det lika viktigt att satsa på kompetens- och medvetandehöjande åtgärder som på tekniska åtgärder. Kunskap är en förutsättning för informations­säkerhet. Även dessa satsningar är att se som investeringar i organisationens informationssäkerhet.

Driv frågorna i olika sammanhang

Den som är CISO behöver ta upp och driva informationssäkerhets­frågorna – i så många olika sammanhang och forum som möjligt. Informations­säkerhets­aspekter finns inom så gott som alla områden i en organisation, inom olika verksamheter, förändringsarbete, nya satsningar, projekt och liknande.

Ledningens engagemang avgörande

Ledningens förståelse, engagemang och syn på informationssäkerhet är grundläggande. Utan detta är det svårt att skapa en tillräcklig informationssäkerhet. Med andra ord är det ledningen som behöver utbildas, och vid behov övertygas, först av alla i organisationen eftersom deras stöd är viktigt för att ni ska få acceptans och ett engagemang från andra roller i organisationen.

Är ledningen ombord? Be dem uttrycka sitt stöd – både formellt och informellt

Ledningen behöver uttrycka sitt stöd för det interna informations­säkerhets­arbetet. Detta kan ske dels formellt genom informationssäkerhetspolicyn, dels informellt – genom sitt beteende och hur de agerar (uttalanden, resurstilldelning, beslut om aktiviteter, osv.).

Ifall ledningen inte tycker att informationssäkerhet är så viktigt, eller att det är något som inte behöver prioriteras, så har de med största sannolikhet inte rätt kunskap och behöver därmed få mer information. Upplever ni att ni inte får ledningens förståelse och stöd kommer ni sannolikt att arbeta i motvind.

För att få med ledningen behöver ni kommunicera och rapportera löpande till dem. Ibland kan det vara bra att försöka få till särskilda dragningar med ledningen i utbildande (och vid behov övertygande) syfte. Ledningen behöver få information för att förbli motiverade – både om interna händelser och om områdets aktualitet.

Ofta begränsad tid med ledningen

När man ska kommunicera med ledningen så får man ofta väldigt begränsat med tid. Det gäller därför att planera föredragets innehåll och form extra noga, samt vara tydlig och bestämd med vilket budskap som man vill lyfta fram.

Att ledningen förstår nyttan med informationssäkerhet – en nyckel

En grundregel är att ledningen behöver förstå själva nyttan med informations­säkerhet. Vi beskriver en del nyttor i metodstödets Att arbeta systematiskt med informationssäkerhet, samt i vägledningen för Kostnadsnyttoanalys (KNA). Här följer en sammanfattning för att förenkla.

Lista över information som ledningen behöver, för att bättre förstå nyttan med informationssäkerhet:

  • Övergripande information om informationssäkerhet och systematiskt informationssäkerhetsarbete med fokus på dess nytta.
  • Hur konkurrenter arbetar, och hur andra organisationer i branschen/sektorn arbetar eller planerar att arbeta med dessa frågor.
  • Aktuella hot och incidenter, med fokus på vilka konsekvenser det kan få för organisationen.
  • Rättsliga krav, både nuvarande och kommande.
  • Uttalanden från politiker och andra ledande personer.

Löpande kommunikation och marknadsföring till andra medarbetare

Som CISO har man ofta ett kunskapsöverläge i organisationen i dessa frågor, och får ofta nyheter inom området först. CISO fungerar ofta som ambassadör, och bör kontinuerligt sprida information vidare i organisationen och regelbundet informera om nyheter, ge tips och liknande. Detta höjer ofta engagemanget hos mottagarna. Att sprida kunskap utifrån de olika rollernas behov av kunskap är en viktig uppgift för CISO.

För dig som arbetar inom området så kan det vara bra att ”missionera” lite genom att marknadsföra frågorna i informella sammanhang.

Så här kan du göra ifall du på kort tid ska berätta om informationssäkerhet:

  1. Förklara vad informationssäkerhet är.
  2. Motivera varför informationssäkerhet är viktigt (referera gärna till aktuella händelser som rapporterats i media eller annat som de flesta känner till).
  3. Beskriv kortfattat vad som pågår i er organisation, vad ni planerar och vilka som är inblandade i planering och utförande.

Synliggör vad som är på gång

Det är effektivt att synliggöra vad som är på gång i organisationens olika kommunikations­kanaler. Det kan ske till exempel via intranätet, en personaltidning, ert nyhetsbrev eller via olika e‑postlistor till medarbetare och chefer. Det viktigaste är att arbetet sker löpande.

Kontakta gärna personerna som är redaktörer för era kommunikations­kanaler – gör ett försök att sälja in informationssäkerhet och få dem att göra ett reportage! Eller be dem om hjälp att informera organisationen genom att belysa mindre händelser och nyheter inom området med en kort notis på intranätets förstasida eller liknande. Notiserna kan gälla till exempel informations­säkerhets­relaterade tjänster som blivit tillsatta, eller nya styrdokument och/eller lagar som börjat gälla.

Skapa en särskild sida för informationssäkerhet på intranätet

Det är både smart och praktiskt att skapa en särskild sida för informationssäkerhet på intranätet. Där kan ni samla all väsentlig information: styrdokument, organisation, utbildningar, nyhetsbrev, externa länkar, diskussionsforum med mera. Hänvisa sedan till denna sida så ofta ni kan, i olika sammanhang.

Roller i organisationen av vikt för informationssäkerhetsarbetet

Ni bör ge lämplig kommunikation och stöd löpande till personer som:

  • har ett uttryckt informationssäkerhetsansvar
  • är inblandade i aktiviteter i handlingsplanen
  • är ålagda att efterleva styrdokument

Om ni har skapat ett råd eller forum för informationssäkerhet (se Utforma Organisation) där representanter från organisationens olika delar är representerade, så utgör detta en bra plattform för kommunikation.

Skapa en utbildnings- och kommunikationsplan för informationssäkerhet

Ni behöver även en strukturerad planering vid sidan av den informella kommunikationen. Planering är viktigt för att alla roller ska få rätt information och kunskap över tid. En utbildnings- och kommunikationsplan för informationssäkerhet behöver möta de olika rollernas ansvar och arbetsuppgifter.

En utbildnings- och kommunikationsplan är en strukturerad plan över tid som innehåller utbildningar och olika aktiviteter. Vissa aktiviteter pågår under en begränsad tidsperiod (som en kampanj), medan andra aktiviteter är löpande (som ett nyhetsbrev).

Planera in aktiviteterna långt i förväg, så att ni kan informera medarbetarna om dem i god tid. Tänk på att olika målgrupper har olika kunskapsbehov – var noga med att målgruppsanpassa innehållet.

Ni kan använda Verktyg Utbildning och kommunikation för att skapa ett program för säkerhetsmedvetande innehållande roller, kunskapsbehov och aktiviteter.

Olika roller – olika kunskapsbehov

Alla i en organisation har någon form av kunskapsbehov när det gäller informations­säkerhet – från ledning ner till enskild medarbetare. Vilket kunskapsbehov man har beror på vilken roll man har. Det är med andra ord stor skillnad på kunskapsbehovet hos exempelvis en receptionist, en nätverkstekniker och en VD.

Det är också viktigt att koppla kunskapsbehovet till rollernas informations­säkerhets­ansvar, deras uppgifter enligt handlingsplanen, deras förväntade beteende, eller deras vilja att efterleva styrdokument. Se vägledningarna Utforma Organisation, Utforma Handlingsplan och Utforma Styrdokument för mer information om detta.

Gör en målgruppsindelning som baseras på kunskapsbehovet

Den information som ni förmedlar behöver vara både relevant och begriplig för mottagaren. Dessutom ska mottagaren kunna koppla informationen till sitt eget ansvar och sin egen arbetssituation.

För att säkerställa att ni riktar era utbildnings- och kommunikationsinsatser till rätt roller kan ni behöva göra en målgruppsindelning.

Exempel på målgruppsindelning:

  • Alla medarbetare
  • Ledning
  • Informationssäkerhetssamordnare
  • It‑avdelning
  • Projektledare och förvaltningsledare
  • Avdelningschefer och objektägare

Till listan kan även läggas kompetensutveckling av CISO-rollen och it-säkerhetsansvarig (el. motsv.).

Målgruppsindelningen behöver baseras på rollernas kunskaps- och informations­­behov för att rätt målgrupp ska få rätt typ av insats. För att få reda på vilket behov målgruppen har inför en intern kompetensutveckling, så är det bra att samverka med:

  • cheferna för respektive målgrupp
  • intern personalfunktion (hr)
  • olika kommunikationsfunktioner (till exempel redaktörer för olika kommunikationskanaler).

Använd externa resurser för kompetensutveckling

Det finns externa resurser som stödjer kunskapsutveckling och medvetandehöjning inom informations­säkerhet. En del tillhandahålls av myndigheter och intresse­organisationer, andra av den kommersiella marknaden. Här är exempel på sådana resurser:

  • ”Datorstödd informationssäkerhetsutbildning för användare” (DISA), från MSB.
  • ”Securing the Human”, från SANS
  • ”European Cyber Security Month” (ECSM), från ENISA (Europeiska unionens byrå för nät- och informationssäkerhet)

Aktiviteter

I tabellen nedan beskriver vi några vanliga aktiviteter relaterade till informations­säkerhet, som ni kan använda för att höja kunskapen och medvetenheten internt. Aktiviteterna kan utföras både var för sig, eller i kombination.

Aktiviteterna kan antingen vara specifika för informationssäkerhet, eller ingå som en del av aktiviteter inom andra områden (som digitalisering, generell säkerhet eller kvalitets­utveckling).

Det finns många olika åtgärder för att öka kunskap och sprida information. Se därför nedanstående aktiviteter som exempel – inte som en fullständig lista.

 

Tabell A3:1: Beskrivning av aktiviteter

Aktivitet

Beskrivning

Utbildningar

Ni kan antingen köpa utbildningar inom informationssäkerhet externt eller ta fram dem internt och skräddarsy dem efter er organisation. Ni kan även varva externa lärare med interna. Om det är en stor användar­grupp så är e‑utbildningar kostnadseffektiva, och kan dessutom användas för självstudier i egen takt.

Kampanjer

En organisationsövergripande kampanj, som en ”informations­säkerhets­dag”, skapar ofta uppmärksamhet kring frågorna. Dagen kan innehålla en mängd aktiviteter, föreläsningar och seminarier. Profilera gärna dagen med en slogan eller en symbol som ni kan exponera på trycksaker och webben, samt för att påminna om kampanjen i efterhand. Det finns färdiga, kända kampanjer som ni kan använda, till exempel European Cyber Security Month (ECSM) som anordnas av ENISA.

Nyhetsbrev

Ta upp aktuella händelser i ett nyhetsbrev om informationssäkerhet. som ni skickar ut via e-post. Det kan gälla nya rättsliga krav, incidenter eller tips och rön. Rikta er till alla medarbetare, eller ha en mer avgränsad målgrupp (till exempel de som aktivt arbetar med informations­säkerhet. Utforma nyhetsbrevet på egen hand, eller utgå från en färdig mall (till exempel OUCH! från Securing the Human (SANS)).

Deltagande

Det är ofta mycket effektivt att låta medarbetare medverka vid riskanalyser eller informationsklassningar och dylikt. Det påvisar förhållanden som är direkt kopplade till er organisation.

Referenser till ISO-standarder i 27000‑serien:

  • SS‑EN ISO/IEC 27001:2017 (avsnitt 5.1 och 7.2–7.4)
  • SS‑EN ISO/IEC 27002:2017 (avsnitt 7.2.2).

Licens

Du får använda metodstödet på det sätt som passar dig med villkor som följer licensen ”Creative Commons Erkännande 4.0 Internationella Publika Licens” (CC BY 4.0), https://creativecommons.org/licenses/by/4.0/legalcode.sv.


Logotype för Creative Commons licens CC-BY-4.0