För att ni ska kunna utforma styrningen av informationssäkerheten i er organisation på ett kostnadseffektivt sätt så behöver ni göra olika typer av analyser. Den här vägledningen fokuserar på det externa perspektivet, där ni identifierar er organisations omvärld i tre delar: först externa intressenter, sedan externa förutsättningar och slutligen rättsliga krav.
Följande ingår i omvärldsanalysen
Den här vägledningen fokuserar på en analys av er organisations omvärld, vilket även kallas för det externa perspektivet. Ordet ”omvärld” syftar på allt som ligger utanför organisationens direkta kontroll, men som ändå antingen påverkar eller påverkas av organisationens informationssäkerhet.
Genom denna analys identifierar ni vilka rättsliga krav som gäller för er organisation, så att ni kan utforma organisationens informationssäkerhet enligt gällande lagar och regler.
Följande ingår inte i omvärldsanalysen
Det finns en annan vägledning för analys av sådant som ligger innanför organisationens kontroll. Den analysen – av er egen verksamhet – sker därmed inte i denna omvärldsanalys.
Även risker och hot som kan inträffa ska ni hantera separat i en riskanalys. Det gör ingenting ifall analyserna överlappar varandra, det viktigaste är att ni inte råkar utelämna något väsentligt.
Analysens tre steg
Ni analyserar organisationens omvärld och det externa perspektivet i tre olika delar, eller steg:
- Analysera organisationens externa intressenter
- Analysera organisationens externa förutsättningar
- Analysera organisationens rättsliga krav
Externa intressenter – personer utanför organisationen
Externa intressenter är personer, grupper eller organisationer utanför den egna organisationen, som påverkar eller påverkas av er organisations informationssäkerhet. Var och en av dessa intressenter har någon form av behov, förväntningar, krav eller annan påverkan i relation till informationssäkerheten och dess styrning.
Genom att göra denna analys identifierar ni vilka intressenterna är, vilka krav de har och hur de påverkar eller påverkas. När ni har gjort det så kan ni ta med det i beräkningen när ni utformar informationssäkerhetsarbetet.
Externa förutsättningar – förhållanden som påverkar utformningen
Externa förutsättningar är de förhållanden i organisationens omvärld, utöver externa intressenter och rättsliga krav, som ni behöver tänka på när ni utformar styrningen av informationssäkerheten. Det kan exempelvis röra sig om politiska och tekniska förutsättningar.
Var och en av dessa förutsättningar har någon form av påverkan på hur ni bäst bör utforma informationssäkerheten och dess styrning för organisationen. Analysen identifierar därför vilka de externa förutsättningarna är och hur de kan påverka er.
Rättsliga krav – lagar, förordningar och föreskrifter
Rättsliga krav är de krav som är kopplade till informationssäkerhet, i form av olika författningar som exempelvis lagar, förordningar, myndigheters föreskrifter samt lokal kommunal reglering. Vissa rättsliga krav gäller samtliga organisationer i såväl Sverige som Europa, medan andra endast gäller en viss bransch eller en viss typ av organisation.
Kraven kan i stort delas in i två kategorier:
- Krav som gäller hur informationssäkerhetsarbetet ska utformas
- Krav på hur skydd för vissa typer av information ska utformas.
Efter att ha identifierat vilka rättsliga krav som är viktiga för er ska ni beakta dessa när ni utformar informationssäkerheten i er organisation.
För att komma igång: analysera övergripande, inte i detalj
I inledningsskedet är det viktigt att inte fastna alltför länge i analyser. För att komma igång med arbetet så kan ni analysera de olika delarna av omvärlden relativt snabbt och på en övergripande nivå. Detta lägger en bra grund för det fortsatta arbetet. Sedan kan ni med fördel återkomma till analysresultaten, uppdatera dem med ny information och vid behov fylla i fler detaljer.
Dra nytta av tidigare analyser
Ibland har organisationer tidigare genomförda analyser av omvärlden. Var noga med att kolla upp detta, för i sådana fall kan ni dra nytta av och utgå från dessa.
Ett typiskt exempel på tidigare analyser är listor på, eller tolkningar av, rättsliga krav som er organisation har gjort i andra sammanhang.
Det finns en vägledning och ett verktyg för varje analysdel
Den här vägledningen är indelad tre delar: Externa intressenter, Externa förutsättningar och Rättsliga krav. För varje del finns en beskrivning av hur analysen går till och exempel på hur den ser ut.
Till varje del finns det också ett verktyg i form av en Excelmall som ni kan använda i arbetet. Excelmallen Verktyg: Analysera organisationens omvärld, innehåller exempel och viss automatisering. Var och en av de tre delarna har en egen flik i verktyget. Ni kan använda verktyget både vid själva analystillfället och för dokumentation av analysresultatet.
Analysernas resultat – grunden i informationssäkerhetsarbetet
Denna analys syfte är att vara grunden när ni utformar informationssäkerhetens styrning inom er organisation. Mer konkret innebär det att det sammanlagda resultatet från samtliga analyser (av omvärld, organisation, risk, samt gap-analys) ska styra dels hur er organisation väljer att angripa informationssäkerhetsfrågan, dels vilka säkerhetsåtgärder ni behöver för att skydda er information.
Så: utformning av organisation (ansvar och roller) för informationssäkerhet, inklusive policy, riktlinjer, rutiner, processer och åtgärder– allt detta utgår från dessa analyser.
Om ni vill ha en mer sammanfattande bild av analysresultatet kan ni sammanställa samtliga analysers resultat i ett separat dokument. Ett sådant dokument kan ni sedan använda som grund i ett så kallat ”business case” för det systematiska informationssäkerhetsarbetet.
1. Analysera organisationens externa intressenter
Externa intressenter är personer, grupper och organisationer utanför er organisation, som antingen påverkar eller påverkas av hur informationssäkerheten styrs.
Var och en av dessa intressenter har någon form av påverkan, behov, förväntningar eller krav i relation till informationssäkerheten och dess styrning.
Notera att rättsliga krav hanteras separat i en annan del av omvärldsanalysen (del 3), trots att externa intressenter står bakom de rättsliga kraven. Däremot hanterar vi krav från avtal i denna del.
Tabell IA1:1: Externa intressenter och deras påverkan
Kategori
|
Intressent (exempel)
|
Krav, roll eller påverkan
|
Ägare:
|
- Aktieägare
- Moderbolag
- Regeringen (departement)
|
Ägarna kan ha krav på er organisations inriktning, vilket påverkar informationssäkerheten.
De har ofta direkta krav på själva arbetet med informationssäkerhet, exempelvis i form av en formulering i ett styrelsebeslut för ett aktiebolag, eller i ett regleringsbrev för en statlig myndighet.
|
Kunder:
|
- Kunder
- Brukare
- Användare
- Avnämare
- Den eller de som konsumerar organisationens produkter eller tjänster
|
Dessa intressenter är orsaken till att er organisation existerar.
De kan vara intresserade av informationssäkerheten i en tjänst eller produkt, eller av hur organisationen hanterar deras uppgifter.
Vissa organisationer kan även ha anledning att ställa krav på sina kunders informationssäkerhet.
|
Leverantörer:
|
- Leverantörer
- Underleverantörer
- Outsourcingpartner
- Insourcingpartner
- Molntjänsteleverantörer
- Affärspartner
- Säkerhetsleverantörer
|
En organisation är beroende av leverantörer för att kunna fungera.
Ni kan ibland behöva ställa krav på era leverantörers sätt att arbeta med informationssäkerhet, så att deras leverans är säker.
Vissa leverantörer kanske till och med levererar just säkerhetslösningar till er.
|
Granskare:
|
- Tillsynsmyndigheter för olika branscher
- Datainspektionen
- Riksrevisionen
- Säkerhetspolisen
- Finansiella revisorer (med it‑revision)
- Europeiska och internationella institutioner (med tillsyn eller granskande funktioner)
|
Er organisation granskas av olika intressenter, som i allt större utsträckning har i uppgift att kontrollera hur er informationssäkerhet är upprättad.
Era granskare har varierande krav och förväntningar, men ni behöver kunna styrka att ni efterlever olika typer av säkerhetskrav.
|
Konkurrenter:
|
- Konkurrenter – som driver en liknande verksamhet, eller som på annat sätt konkurrerar med er organisation
|
Ibland kan konkurrenter försöka att ta del av känsliga uppgifter om er organisation, era kunder eller ert säkerhetsarrangemang utan att be om lov för att kunna konkurrera bättre. I värsta fall kan de försöka sabotera för er organisation eller för ert säkerhetsarrangemang.
Den ideala utformningen av er informationssäkerhet kan därmed bero på hur era konkurrenter har utformat sin informationssäkerhet.
|
Allmänhet och media:
|
- Allmänheten
- Medborgare
- Invånare
- Media som tidningar och TV
- Internetrelaterad media
|
Förtroende är centralt för alla organisationer, och allmänheten kan ha uppfattningar om huruvida er informationssäkerhet är bra eller dålig, samt om ni som organisation är pålitliga.
Värdet av ert varumärke beror därmed på vad allmänheten anser.
|
Övriga:
|
|
Denna tabell innehåller endast exempel på kategorier av externa intressenter.
Komplettera med eventuella andra externa intressenter av vikt, och beskriv hur de påverkar eller påverkas av er informationssäkerhet och dess utformning.
|
(Angripare, Hotande aktörer:)
|
- Hackers
- Aktivistgrupper
- Utpressare
|
(Dessa intressenter hanteras inte i denna analys. De hanteras separat under Riskanalys.)
|
(Lagstiftare:)
|
- Europaparlamentet
- Riksdagen
- Statliga myndigheter
- Kommuner
|
(Dessa intressenter hanteras inte i denna analys. De hanteras separat under Rättsliga krav.)
|
Analysera externa intressenter så här:
- Använd verktyget: Öppna Excelmallen ”Analysera organisationens omvärld”. Välj sedan fliken som heter ”1. Externa Intressenter”.
- Identifiera samtliga viktiga externa intressenter: Utgå från tabellen ovan, samt från era egna erfarenheter eller andra källor. Växla gärna perspektiv mellan lokala, regionala, nationella och internationella intressenter för att få en mer komplett bild.
- Diskutera intressenternas roller: Diskutera de externa intressenternas roller, alltså hur de påverkar och påverkas av informationssäkerheten och styrningen av den.
- Identifiera intressenternas krav: Identifiera intressenternas påverkan, behov, förväntningar och krav, exempelvis med hjälp av dokumentgranskning, diskussion, möten, intervjuer eller enkätundersökningar. Dokumentera det ni kommer fram till i verktyget (Excelmallen).
2. Analysera organisationens externa förutsättningar
Externa förutsättningar är de förhållanden i omvärlden (det vill säga utöver externa intressenter) som på något sätt påverkar eller påverkas av informationssäkerhetens styrning och som ni därför behöver ha i åtanke när ni utformar den. Var och en av dessa förutsättningar har med andra ord någon form av inverkan på hur ni bäst bör utforma informationssäkerheten och dess styrning.
Notera att rättsliga krav hanteras separat i en annan del av omvärldsanalysen (del 3), trots att de kan sägas vara externa förutsättningar.
Tabell IA1:2: Externa förutsättningar och dess påverkan
Extern förutsättning
|
Typ av påverkan
|
Tekniska förutsättningar:
|
Den tekniska utvecklingen och utvecklingen inom informationsteknik har stark inverkan på informationssäkerheten, både i form av nya hot och nya lösningar.
Exempel på innovationer inom informationsteknik som kan påverka:
- Molntjänster ställer nya krav på hur informationssäkerheten kan styras.
- Virtuell och förstärkt verklighet (VR, AR) där kunder kan ta del av en produkt eller tjänst på helt nytt sätt.
- Sakernas internet (Internet of Things, IoT) där saker (produkter) är uppkopplade och därmed behöver ha god informationssäkerhet.
- Nya sätt att identifiera användare (autentisering) som via fingeravtryck, röst, ansiktsform.
|
Sociala förutsättningar:
|
Sociala och kulturella förutsättningar anger vad som anses bra och acceptabelt. Det kan gälla attityder i samhället, folkhälsa och utbildningsnivå, men även den allmänna situationen i samhället.
Exempel där sociala förutsättningar kan påverka:
- Den grad av övervakning och loggning som individer i samhället accepterar.
- Hur lätt eller svårt det är att nå individerna i ett samhälle med informationen om informationssäkerhet.
|
Ekonomiska förutsättningar:
|
Externa ekonomiska och finansiella förutsättningar påverkar också utrymmet för informationssäkerhet. Kanske särskilt gällande resurser, men det kan även gälla nationalekonomiska faktorer som ränteläge, inflation, efterfrågan på produkter och tjänster, valutakursändringar och liknande.
Exempel där externa ekonomiska förutsättningar kan påverka:
- Ränteläget kan vid investeringsbedömning påverka kostnaden för finansiering av it‑säkerhetstekniska lösningar som löper över lång tid, så att de blir mer eller mindre kostnadseffektiva
- Den allmänna efterfrågan på den typ av produkter eller tjänster som ni tillhandahåller kan stiga, och då medföra att ytterligare resurser behöver satsas på informationssäkerhet.
|
Politiska förutsättningar:
|
I politiskt styrda organisationer är det viktigt att ta med dessa förutsättningar i analysen då de kan påverka er informationssäkerhet och dess utformning.
Politiska förutsättningar kan även resultera i rättsliga krav som tas om hand som i den rättsliga delen av analysen.
|
Miljömässiga förutsättningar:
|
Miljömässiga förutsättningar är klimat, väder, vind, ekologi och hållbarhetsfrågor som kan påverka er informationssäkerhet och dess utformning.
Exempel där miljömässiga förutsättningar kan påverka:
- Om extremt väder förväntas kan detta påverka möjligheten till datakommunikation om ledningar faller ned.
- Klimatet kan påverka var det är säkrast och mest ekonomiskt att förlägga en hall för it-drift.
- Brand, översvämning och jordbävning är andra exempel på miljömässiga förutsättningar.
|
Övriga förutsättningar:
|
Denna tabell innehåller endast exempel på kategorier av externa förutsättningar.
Komplettera med eventuella andra externa förutsättningar av vikt, och beskriv hur de påverkar eller påverkas av er informationssäkerhet och dess utformning.
|
(Rättsliga förutsättningar:)
|
(Dessa förutsättningar hanteras inte i denna analys. De hanteras separat under Rättsliga krav.)
|
Analysera externa förutsättningar så här:
- Använd verktyget: Öppna Excelmallen ”Analysera organisationens omvärld”. Välj sedan fliken som heter ”2. Externa förutsättningar”.
- Identifiera vilka externa förutsättningar som finns: Utgå från tabellen ovan, egna erfarenheter eller andra källor för att identifiera samtliga viktiga externa förutsättningar. Växla gärna perspektiv mellan lokala, regionala, nationella och internationella förutsättningar för att få en mer komplett bild.
- Diskutera förutsättningarnas påverkan: Diskutera hur förutsättningarna påverkar och påverkas av informationssäkerheten och styrningen av den.
- Identifiera förutsättningarnas krav: Identifiera förutsättningarnas påverkan, och vad dessa innebär för er informationssäkerhetsstyrning och utformningen av den. Utgå till exempel från dokumentgranskning, diskussion, möten, intervjuer eller enkätundersökningar. Dokumentera det ni kommer fram till i verktyget (Excelmallen).
3. Analysera organisationens rättsliga krav
Rättsliga krav är de krav som är kopplade till informationssäkerhet i olika typer av författningar, som lagar, förordningar, myndigheters föreskrifter samt lokal kommunal reglering.
Syftet med att analysera vilka rättsliga krav som gäller och hur de ska tolkas är att skapa förutsättningar för att ni ska kunna efterleva kraven. Att inte efterleva de rättsliga kraven kan äventyra informationssäkerheten och leda till allvarliga konsekvenser för er organisation – som förlorat förtroende, skadestånd eller viten av olika slag.
När ni har analyserat färdigt så ska ni använda resultaten för att utforma er informationssäkerhet så att ni lever upp till de rättsliga krav som gäller. Detta gör ni bland annat genom att koppla vissa säkerhetsåtgärder till en viss typ av information, och använda i samband med informationsklass.
Kraven som gäller avtal och förpliktelser kopplade till externa intressenter hanteras inte här utan som en del av externa intressenter, så vida det inte rör sig om legala krav.
Olika krav för olika organisationer
Vilka rättsliga krav som finns för er organisation beror på bland annat:
- typ av organisation (till exempel privat, offentlig)
- bransch (till exempel vattenförsörjning, internetleverantör)
- vilken information organisationen hanterar (ekonomisk information, företagshemligheter, säkerhetsskyddad information, personuppgifter).
Kraven gäller dels säkerhetsarbetet, dels skydd för olika informationstyper
De rättsliga kraven för informationssäkerhet kan delas in i två kategorier:
- krav som gäller hur informationssäkerhetsarbetet ska utformas
- krav på hur skydd för vissa typer av information ska utformas.
Arbeta tillsammans med juridisk expertis
Utvecklingen av rättsliga krav som direkt eller indirekt rör informationssäkerhet går mycket snabbt. Detta medför att det är väldigt svårt att avgöra och räkna upp exakt vilka de aktuella rättsliga kraven är i denna vägledning. Därför måste ni som organisation göra detta arbete.
Identifiera de gällande rättsliga krav som rör informationssäkerhet genom att, tillsammans med juridisk expertis, upprätta en lista på vilka författningar och lagrum som gäller för er organisation och som direkt eller indirekt ställer krav på er informationssäkerhet.
Även om det kan gå att söka i databaser över gällande författningar och ange relevanta sökord så måste ni kombinera detta med expertkunskap – exempelvis om vilka krav som ställs och var de finns för just er typ av organisation, bransch och den information som ni hanterar.
Analysera: hur ni ska leva upp till de rättsliga kraven?
När relevanta rättsliga krav är identifierade är nästa steg att analysera hur ni ska omsätta dessa krav på en övergripande nivå. Denna diskussion kan exempelvis handla om olika typer av säkerhetsåtgärder, eller om hur kraven ska påverka hur informationssäkerheten styrs och organiseras i er organisation.
Eftersom vissa rättsliga krav är relativt övergripande, medan andra är mer specifika, står det inte alltid direkt uttryckt i det rättsliga kravets text vad som behöver göras. Därför måste kraven diskuteras och tolkas. För att kunna göra denna analys på ett bra sätt krävs kompetens om bland annat organisationen, informationssäkerhet och juridik.
Analysera de rättsliga kraven så här:
- Använd verktyget: Öppna Excelmallen ”Verktyg Analys Omvärld”. Använd sedan fliken ”3. Rättsliga krav”.
- Identifiera vilka rättsliga krav som gäller för verksamheten: Identifiera samtliga gällande rättsliga krav, som direkt eller indirekt ställer krav på er informationssäkerhet. Utgå från den här vägledningstexten, juridisk expertis och egna erfarenheter. Växla gärna perspektiv mellan rättsliga krav som gäller hela Europa, hela Sverige, den egna branschen, er organisationstyp, den verksamhet som bedrivs, och de kategorier av information som hanteras
Dokumentera följande i mallen:
a. ID: Ge varje krav en unik identifierare, förkortat ID. Då kan ni lättare hitta tillbaka till dem längre fram
b. Författning Lagrum: Ange vilken författning och eventuellt vilket specifikt lagrum (paragraf, artikel, avsnitt) som ni har identifierat.
c. Typ av krav: Välj i menyn om kravet är av sådan karaktär att det ställer krav på direkta säkerhetsåtgärder eller om det ställer krav på informationssäkerhetsarbetet i allmänhet.
d. Krav (lydelse/sammanfattning): Återge det rättsliga kravets lydelse genom att citera författningen. Om det av utrymmesskäl är mer praktiskt så kan ni formulera en sammanfattning av kravet.
- Analysera de rättsliga kraven: När alla relevanta krav är identifierade ska ni diskutera och tolka samt dokumentera kraven i Excelmallen under ”Krav/påverkan”. Ange även hur det aktuella kravet påverkar informationssäkerhetens styrning och utformning, eller vilka säkerhetsåtgärder som det ger upphov till.