Hoppa över navigering, hoppa direkt till textinnehållet Hoppa till navigeringen Startsida
Följa upp och förbättra

Följa upp och förbättra

Innehållet här är under redaktionell bearbetning.
Denna text är publicerad 2018-02-28. Ändringar som genomförts finns i ändringsloggen.

Följa upp och förbättra

Avsnittet består av två delar:

  • Utvärdera och följa upp
  • Ledningens genomgång

Detta metodsteg vägleder om utformning av arbetssätt för uppföljning och förbättring av informationssäkerhetsarbetet och dess styrning.

Genom övervakning, mätning och måluppföljning erhålls uppgifter som stödjer utvärdering av ifall informations­säkerheten i stort är ändamålsenligt utformad, har avsedd verkan, samt att säkerhets­åtgärder existerar och fungerar tillfredsställande. Resultatet från utvärderingen ligger bland annat till grund för intern revision, ledningens genomgång samt som ingångsvärde till Identifiera och Analysera för nästa omtag i det systematiska informationssäkerhetsarbetet.

Med ledningens genomgång avses att ledningen ser över verksamhetens systematiska informationssäkerhetsarbete och dess styrning för att säkerställa dess fortsatta lämplighet, tillräcklighet och verkan. Genomgången sker oftast i form av ett möte, där informationssäkerhetsläget i verksamheten beskrivs av CISO, diskuteras av ledningen med utgångspunkt från specifika frågeställningar, samt där beslut tas i fråga om arbetets inriktning och resurser. Besluten kan gälla; förbättringar av informationssäkerheten, förändringar i sättet att styra informationssäkerheten och hur det beskrivs i policyer och riktlinjer för informationssäkerhet, samt beslut om resurstilldelning. Besluten ger sammantaget ledningens inriktning för det fortsatta systematiska informationssäkerhetsarbetet.

Det som beslutas av ledningen efter ledningens genomgång ska sedan hanteras i Handlingsplan, eventuellt uppdaterade Styrdokument och som övrig input till Utforma.

Utvärdera och följa upp

Den här vägledningen ger stöd vid utvärderingen av organisationens systematiska informationssäkerhetsarbete och dess styrning, särskilt gällande arbetets och styrningens lämplighet, tillräcklighet och verkan. Resultatet i detta steg ger ett underlag till ledningens genomgång, samt påvisar er utveckling inom området.

Definition av lämplighet, tillräcklighet och verkan

Lämplighet innebär att informationssäkerheten och dess styrning står i samklang med er organisations övergripande mål.

Tillräcklighet innebär att den styrning som ni tidigare beslutat om och ger uttryck för i era styrdokument (till exempel policyer, riktlinjer och handlingsplaner), fortfarande räcker till för att hantera era informationssäkerhetsrisker.

Verkan innebär att beslutade säkerhetsåtgärder har trätt i kraft, det vill säga att de existerar, och fungerar tillfredsställande och därmed minskar riskerna kring er informationssäkerhet.

Övervaka och mäta

Syftet med att övervaka (även kallat ”monitorera”) och mäta är att få reda på om ert systematiska informationssäkerhetsarbete, riskhanteringsarbete samt alla beslutade säkerhetsåtgärder är:

  • ändamålsenligt utformade
  • har avsedd verkan
  • existerar och fungerar tillfredsställande.

Genom löpande övervakning och mätning kan ni få bättre kunskap om ert informationssäkerhetsläge. Dessutom får ni möjlighet att upptäcka brister där säkerhetsåtgärder kan behöva korrigeras. Informationen från övervakning och mätning ligger också till grund för granskningar, och för ledningens genomgång.

Skillnaden mellan övervakning och mätning

Skillnaden mellan övervakning och mätning är följande:

  • Övervakning anger status för ett system, en process eller en aktivitet. Övervakning sker ofta kontinuerligt genom till exempel att loggar i ett it-system övervakas och avvikelser automatiskt rapporteras
  • Mätning anger ett värde. Till exempel kan man mäta nyckeltal för att se progress eller brist på progress. Mätning sker ofta i planerade intervaller.

Ni bör separera ansvaret för mätning och övervakning från själva analysen och utvärderingen, eftersom det krävs olika typer av kompetens vid genomförandet.

Övervakning – olika nivåer och typer

Övervakning av informationssäkerheten kan ske på flera olika nivåer, och kan dessutom ske med olika tidsperspektiv. Övervakningen kan även vara en del av er incidenthantering och händelser som noteras i någon form av logg bör hanteras enligt uppsatta rutiner.

Några exempel på övervakningsnivåer:

Operativ nivå – en typ av övervakning som ofta är automatiserad, och i huvudsak bygger på loggning av händelser i era it‑system.

Taktisk nivå – övervakning av att era beslutade säkerhetsåtgärder existerar, och att de fungerar tillfredsställande. Varje enskild beslutad säkerhetsåtgärd innehåller inslag av sådant som ni kan övervaka, så genom manuell eller automatiserad övervakning kan ni se ifall en åtgärd existerar och fungerar tillfredsställande i olika delar av er organisation.

Strategisk nivå – utöver säkerhetsåtgärderna behöver man övervaka olika delar i själva ledningssystemet. Här handlar det om att övervaka de övergripande, styrande mekanismerna.

Olika typer av övervakning

Några exempel på typer av övervakning:

Driftövervakning – används för att övervaka era it‑system, främst gällande drift och tillgänglighet. Driftövervakningen ska till exempel larma ifall en hårddisk går sönder, om temperaturen i en server stiger onormalt eller när en viss webbplats slutar fungera.

Loggning – kan innebära att en fil (oftast en textfil) lagrar uppgifter om en viss händelse, registrerar tidpunkt och agerande resurser. Loggning kan man nästan alltid skräddarsy och anpassa efter sina behov. Loggning gör det möjligt att övervaka aktiviteter i operativsystem, databashanterare, applikationsservrar och applikationer. Denna typ av loggning kan med fördel även inkludera era användares aktiviteter i de olika systemen.

Manuell övervakning – avser all övervakning som utförs av personer, men gäller främst på taktisk och strategisk nivå. Övervakningen ska se till så att alla säkerhetsåtgärder finns på plats, och att det systematiska informations­säkerhets­arbetet ger avsedd verkan. Man kan även kontrollera att underlag och beslut för en viss typ av behörighet är korrekta, eller att man hanterar nya risker mot en specifik verksamhet eller informationstillgång (genom en riskanalys, till exempel).

Mognadsmätning och benchmarking

När det gäller mätning bör ni noga överväga vad ni vill mäta, eftersom det är ineffektivt, missvisande och kostsamt att mäta antingen för mycket eller fel saker. Innan ni påbörjar en mätning behöver ni säkerställa att det finns resurser, så att ni kan ta hand om resultatet från mätningen.

För att nå fram till gångbara resultat behöver ni därför definiera:

  • Vad som ska mätas.
  • Vem som ska mäta.
  • Vilken metod ni ska använda.

Ni kan till exempel använda mätning för att utvärdera det systematiska informationssäkerhetsarbetet, eller för att kunna redovisa den ökade förmågan inom området för ledning och medarbetare.

Mognadsmätning och benchmarking är två olika metoder för att utvärdera informationssäkerhetsläget inom organisationen. Vi beskriver de två metoderna mer utförligt nedan.

Mognadsmätning – för att redovisa informationssäkerhetens utveckling

Mognadsmätning är en metod för att på ett strukturerat sätt och över tid redovisa organisationens utveckling inom informations­säkerhets­området. Mätningen ska kunna upprepas, för att på så sätt skapa jämförbara resultat som kan visa på förbättring och ökad mognad i både processer och medvetenhet gällande informationssäkerhet.

Man genomför en mognadsmätning med hjälp av mognadsmodeller, på engelska kallat ”maturity model”. Det finns flera modeller att utgå ifrån för att mäta mognad, till exempel inom ramverken COSO och COBIT. Oavsett vilken modell ni väljer att använda, så är det avgörande att ni väljer ut rättvisande indikatorer som ger möjlighet till graderade svar. Detta för att kunna redovisa en förflyttning på mognadsskalan.

När ni ska genomföra en mognadsmätning så är det viktigt att ni beslutar om huruvida mätningen ska avse själva styrningen av informationssäkerhetsarbetet, eller resultatet av styrningen – det vill säga den faktiska informationssäkerheten. Ett tredje alternativ är förstås att kombinera de båda.

Benchmarking – för att identifiera egna förmågor, styrkor och svagheter

Benchmarking är ett strukturerat sätt för att kunna identifiera egna förmågor, sina egna styrkor och svagheter inom informationssäkerhetsområdet. Detta kan sedan jämföras med andra organisationer, eller mot en allmänt vedertagen praxis.

Benchmarking ger en ögonblicksbild av läget, som det ser ut just här och nu. Det finns flera kommersiella aktörer som gör årliga sammanställningar, vilket i sig är en form av benchmarking, av organisationers informationssäkerhetsläge baserat på organisationernas egna självskattningar.

Måluppfyllelse av informationssäkerhetsmål och strategisk inriktning

Det är ledningen som ska säkerställa att organisationens informations­säkerhets­mål är upprättade och att dessa följer organisationens strategiska inriktning.

Ni bör besluta om målen för informationssäkerhetsarbetet i samband med att ni utformar ledningssystemet eller inleder det systematiska arbetet med informations­säkerhet. När ni har beslutat vilka mål ni ska ha så bör ni även definiera vilka specifika kriterier ni ska använda för att visa om målet är uppfyllt eller inte.

Inför ledningens genomgång ska ni utvärdera informationssäkerhetsmålen, och dessutom mäta uppfyllelsen. Därefter redovisar ni måluppfyllnaden för ledningen, som en del av ledningens genomgång.

När ledningen har kontrollerat uppfyllelsen av målen så är det bra att även utvärdera själva målformuleringarna. Behöver ni förändra några mål utifrån graden av uppfyllnad, eller kanske möjligheten att mäta dem?

Slutligen ska ni dokumentera måluppfyllnaden, samt eventuella förslag till förändringar av målen, så att det sedan kan hanteras vidare. Se metodstödet som heter Utforma mål för vägledning och stöd.

Omfattning av utvärderingen

Följande nivåer (liten, mellan, stor) kan ni se som exempel över vad ni bör utvärdera. Utgå från hur stora resurser ni har beslutat er för att avsätta för själva utvärderingen.

1.    Liten – en miniminivå som alla organisationer bör genomföra:

  • Uppfyllnad av informationssäkerhetsmål
  • Bedömning av ledningssystemets lämplighet, tillräcklighet och verkan

2.    Mellan – en mellannivå, där ni utöver ”liten” lägger till följande:

  • Förnyad gap-analys (se separat vägledning för gap-analys) mot till exempel standard
  • Efterlevnad av internt styrande dokument
  • Mognadsmätning

3.    Stor – högsta nivån, där ni utöver ”liten” och ”mellan” även lägger till följande:

  • Extern revision av det systematiska informationssäkerhetsarbetet

Resultat och vidare arbete

I detta steg har ni utvärderat om ni uppfyller era mål för informationssäkerhet, så som ni tidigare definierat målen (se Utforma Mål). Resultatet av arbetet som ni har utfört i detta steg är en analyserad utvärdering. Det ger en bild av er organisations allmänna tillstånd gällande informationssäkerhet samt det systematiska informationssäkerhetsarbetets lämplighet, tillräcklighet och verkan.

Resultatet utgör ett underlag till ledningens genomgång. Resultatet leder även till bättre underbyggda beslut kring framtida satsningar, inriktningar och prioriteringar inom er organisation.

Det är viktigt att ni återför resultatet till övriga delar av det systematiska informations­säkerhets­arbetet, som ett underlag för exempelvis:

  • framtida analyser,
  • vid omprövning av informationssäkerhetsmål och valda säkerhetsåtgärder
  • i samband med utbildningsinsatser.

Målet är att åstadkomma ständiga förbättringar, vilket leder till en ökad mognad inom informationssäkerhetsområdet.

Referens till standarder i 27000-serien:

  • Ställer krav som relaterar till övervakning och mätning, se exempelvis avsnitten 9.1, 9.2, 9.3, A.5.1.2, A.18.2.1, 18.2.2 samt A.18.2.3

Ledningens genomgång

I denna vägledning får du stöd för att ta fram underlag till, förbereda och genomföra ledningens genomgång av informationssäkerhet. Syftet med genomgången är att ge ledningen en bild av informations­säker­hets­läget samt underlag för att kunna besluta om hur arbetet ska bedrivas fortsättningsvis.

Vanliga svenska titlar på den som samordnar informationssäkerhetsarbetet är informationssäkerhetssamordnare, informationssäkerhetsstrateg eller informationssäkerhets­koordinator.I MSB:s metodstöd för systematiskt informationssäkerhetsarbete har vi kallat den person som är ansvarig för samordningen av informations­säkerheten för CISO, en förkortning efter den engelska titeln chief information security officer. Vi har valt att använda CISOeftersom det är kort, koncist och gör texten lättare att läsa.

Ledningens genomgång av informationssäkerhetsläge

Nu har det blivit dags för organisationens ledning att gå igenom och se över ert systematiska informationssäkerhetsarbete och dess styrning. Syftet med genomgången är att säkerställa säkerhetsarbetets och styrningens fortsatta lämplighet, tillräcklighet och verkan.

Ifall ni har följt detta metodstöd så har de olika vägledningarna gett er en grundläggande och utförlig dokumentation. Dokumentationen kan ni nu använda som underlag vid ledningens genomgång. Själva insamlingen av sådan dokumentation kan ta tid, så det är viktigt att ni utför insamlingen under en längre tidsperiod.

Genomgången sker oftast i form av ett fysiskt möte där den som är CISO vanligtvis beskriver informations­­säkerhetsläget i er organisation.

Efter detta diskuterar ledningen informations­säkerhets­läget med utgångspunkt från de underlag ni presenterat. Slutligen fattar ledningen beslut om informations­säkerhets­arbetets fortsatta inriktning och resurser.

I slutet av denna vägledning finner ni en mer detaljerad mall för genomförandet av ledningens genomgång.

Viktiga ingångsvärden till ledningens genomgång

Under avsnitt 9.3 i ISO­‑standarden SS‑EN ISO/IEC 27001 finns krav på vad ni behöver tänka på i samband med ledningens genomgång.

Tabell 1 visar kravet från denna ISO‑standard, och ger referens till den del av metod­stödet där ni, ifall ni har genomfört den delen, kan hitta viktig information som ni behöver ta hänsyn till vid genomgången.

Tabell FF2:1: Vid ledningens genomgång behöver ni beakta följande

ISO‑krav:

Vid ledningens genomgång ska ni beakta följande enligt SS‑EN ISO/IEC 27001:

Del av metodstödet där relevant information kan finnas:

9.3 a

Status för åtgärder som beslutats vid ledningens tidigare genomgångar.

  • Ledningens genomgång
    (denna vägledning).

9.3 b

Förändringar i externa och interna frågor med relevans för er informations­säkerhets lednings­system.

  • Analysera organisationen
    (interna förutsättningar).
  • Analysera organisationens omvärld (externa förutsättningar).

9.3 c

Information som gäller informations­säkerhetens prestanda och innefattande trender, särskilt gällande:

1.    Avvikelser och korrigerande åtgärder

2.    Resultat från övervakning och mätning

3.    Revisionsresultat

4.    Uppfyllnad av uppsatta informationssäkerhetsmål.

 

  • Använda (avvikelser och korrigerande åtgärder)
  • Mål (uppfyllnad av informations­säkerhets­mål)
  • Utvärdera och följa upp (resultat från övervakning och mätning)
  • Utvärdera och följa upp (revisionsresultat).

 

9.3 d

Återkoppling från berörda parter.

  • Analysera organisationen
    (interna intressenter)
  • Analysera organisationens omvärld (externa intressenter).

9.3 e

Resultat av riskbedömning och status för risk­behandlings­plan.

  • Analysera risker.

9.3 f

Möjligheter till ständig förbättring.

  • Alla vägledningarna.

Så här genomför ni ledningens genomgång

1. Anpassa genomgången efter situationen

Ni bör genomföra ledningens genomgång på ett sätt som utgår från det sätt ni vanligtvis hanterar ledningsfrågor i er organisation. Vissa organisationer väljer att genomföra ledningens genomgång för mer än bara informationssäkerhet vid ett och samma tillfälle. Ifall ni anser att detta arbetssätt passar er, så finns det inget som hindrar er från att gå igenom exempelvis kvalitetsarbete, miljöarbete eller annat arbete vid samma tillfälle som vid genomgången av informationssäkerheten.

2. Gör genomgången minst en gång om året

Ledningens genomgång ska ske med planerade intervall. Det finns däremot inget krav på hur ofta genomgången ska ske, men minst en gång om året är en bra princip. Det är behoven i er organisation som ska styra tidsintervallet – huvudsaken är att intervallet är planerat. Vilken tid på året ledningens genomgång lämpligast sker beror på när ni utför era ordinarie verksamhetsplanerings- och budget­processer.

3. Föremål för genomgång

Det som är föremål för ledningens genomgång är ert systematiska informations­säkerhetsarbete och dess styrning. Ni ska säkerställa arbetets och styrningens fortsatta lämplighet, tillräcklighet och verkan. Se våra definitioner nedan.

  • Lämplighet innebär att informationssäkerheten och dess styrning står i samklang med er organisations övergripande mål.
  • Tillräcklighet innebär att den styrning som ni tidigare beslutat om och ger uttryck för i era styrdokument (t. ex. policyer, riktlinjer och handlingsplaner), fortfarande räcker till för att hantera era informationssäkerhetsrisker.
  • Verkan innebär att beslutade säkerhetsåtgärder har trätt i kraft, det vill säga att de existerar, och fungerar tillfredsställande och därmed minskar riskerna kring er informationssäkerhet.

4. CISO skickar kallelse eller inbjudan

CISO är den som vanligtvis skickar kallelsen eller inbjudan till själva mötet för ledningens genomgång. Genomgången kan även ske som en del av ett ordinarie ledningsgruppsmöte.

Ledningen, CISO, samt andra roller med relevant kunskap bör närvara vid mötet. Exempel på roller med relevans för ledningens genomgång: dataskydds­ombud, it‑säkerhetsansvarig, jurist/-er, it‑chef, verksamhetsföreträdare, risk­analytiker och internrevisor/-er.

5. Mötesdeltagarna bör i förväg få ta del av ett skriftligt underlag

De som ska delta på ledningens genomgång kan behöva få ta del av ett skriftligt underlag, i god tid före mötet. I underlaget bör det framgå tydligt vilka eventuella beslut som ledningen rekommenderas att fatta.

6. Anpassa mötets innehåll efter syfte och målgrupp

I samband med ledningens genomgång är CISO vanligtvis den som presenterar underlaget. Ni behöver anpassa mötets underlag och innehåll efter hur mycket tid ni har fått samt mötets syfte och målgrupp.

Undvik alltför detaljerade underlag, såvida inte ledningen behöver specifika uppgifter för att kunna fatta vissa beslut. Underlaget ska innefatta relevanta delar av de olika informations­säkerhets­områdena, som ni behöver beakta enligt kraven i tabell 1. Sammanfattning och visualisering kan underlätta för mottagaren.

7. Diskutera det som CISO presenterat

Efter CISO:s föredrag ska ni diskutera det som presenterats. Håll fokus på lämplighet, tillräcklighet och verkan kring organisationens systematiska informationssäkerhetsarbete och dess styrning.

Exempel på relevanta frågor som ni kan behöva diskutera:

  • Stödjer det systematiska informationssäkerhetsabetet våra övergripande mål?
  • Vilka relevanta händelser, inklusive incidenter, har inträffat sedan den senaste genomgången?
  • Hur väl har inträffade händelser hanterats?
  • Har kunskap från inträffade händelser omhändertagits och påverkat?
  • Vilka är de största riskerna mot vår informationssäkerhet?
  • Behöver vi ändra något gällande vår styrning av informationssäkerheten?
  • Behöver vi ändra några styrdokument, som exempelvis vår policy för informationssäkerhet?
  • Har någon intern eller extern intressent kommit med återkoppling som vi behöver beakta?
  • Existerar och fungerar våra beslutade säkerhetsåtgärder tillfredsställande?
  • Behöver vi ändra några säkerhetsåtgärder, eller behöver vi några ytterligare eller andra säkerhetsåtgärder?
  • Vilka resurser kommer vi att behöva tillskjuta för att kunna föra informations­säkerhets­arbetet framåt?

Resultatet från ledningens genomgång

Här följer några exempel på beslut som ni kan behöva fatta vid ledningens genomgång:

  • Införande av eller förändringar av säkerhetsåtgärder.
  • Förändringar av informationssäkerhetsarbetets resursbehov.
  • Förändringar utifrån av riskbild, riskbedömningar eller riskhanteringsplaner.
  • Förändringar i styrdokument eller regelverk för informationssäkerhet.
  • Förändringar som rör metoder för mätning och/eller uppföljning av ledningssystemet.

Sammantaget ger beslut som dessa (ovanstående) en vägvisning för ledningen om vad som fungerar bra och vad som behöver förbättras. Detta gör det möjligt för dem att välja inriktning för det fortsatta systematiska informations­säker­hets­arbetet inom organisationen.

Bekräfta ledningens engagemang

I samband med genomgången bör ledningen även bekräfta sitt fortsatta engagemang för det systematiska informationssäkerhetsarbetet.

Engagemanget kan bland annat innefatta följande:

  • att tillhandahålla tillräckliga resurser
  • att internt understryka betydelsen av att uppfylla organisationens mål för informations­säkerhet
  • att följa regelverket för informationssäkerhet
  • att ledningen genomfört genomgången (ett krav enligt ISO-standarden).

Enligt ISO‑standarden SS-EN ISO/IEC 27001 är det ett krav att ni bevarar dokumenterad information som visar att er organisation genomfört ledningens genomgång. En sådan dokumentation bör (åtminstone) innefatta följande information:

  • Tidpunkt för utförande –när genomförde ni ledningens genomgång?
  • Deltagarlista – vilka var närvarande vid ledningens genomgång?
  • Presenterat underlag – vilket underlag presenterade ni vid ledningens genomgång?
  • Fattade beslut – vilka beslut fattade ni under ledningens genomgång?

Kommunicera ut dokumentationen

Efter ledningens genomgång bör ni sedan kommunicera lämpliga underlag och beslut till berörda parter. Dessutom kan ni använda antingen hela eller delar av resultatet från ledningens genomgång:

  • i organisationens årsredovisning
  • i rapporter till ledning, styrelse, ägare och andra interna och externa intressenter
  • som underlag för intygande beträffande er interna styrning och kontroll.

En viktig följd av ledningens genomgång är att ledningen får en inblick i organisationens informationssäkerhetsläge, och samtidigt påminns om hur viktigt det är med ett systematiskt arbete för att lyckas med informationssäkerheten.

Licens

Du får använda metodstödet på det sätt som passar dig med villkor som följer licensen ”Creative Commons Erkännande 4.0 Internationella Publika Licens” (CC BY 4.0), https://creativecommons.org/licenses/by/4.0/legalcode.sv.


Logotype för Creative Commons licens CC-BY-4.0