Identifiera och analysera

Omvärldsanalys

För att ni ska kunna utforma styrningen av informationssäkerheten i er organisation på ett kostnadseffektivt sätt så behöver ni göra olika typer av analyser. Den här vägledningen fokuserar på det externa perspektivet, där ni identifierar er organisations omvärld i tre delar: först externa intressenter, sedan externa förutsättningar och slutligen rättsliga krav.

Följande ingår i omvärldsanalysen

Den här vägledningen fokuserar på en analys av er organisations omvärld, vilket även kallas för det externa perspektivet. Ordet ”omvärld” syftar på allt som ligger utanför organisationens direkta kontroll, men som ändå antingen påverkar eller påverkas av organisationens informationssäkerhet.

Genom denna analys identifierar ni vilka rättsliga krav som gäller för er organisation, så att ni kan utforma organisationens informationssäkerhet enligt gällande lagar och regler.

Följande ingår inte i omvärldsanalysen

Det finns en annan vägledning för analys av sådant som ligger innanför organisationens kontroll. Den analysen – av er egen verksamhet – sker därmed inte i denna omvärldsanalys.

Även risker och hot som kan inträffa ska ni hantera separat i en riskanalys. Det gör ingenting ifall analyserna överlappar varandra, det viktigaste är att ni inte råkar utelämna något väsentligt.

Analysens tre steg

Ni analyserar organisationens omvärld och det externa perspektivet i tre olika delar, eller steg:

Analysera organisationens externa intressenter
Analysera organisationens externa förutsättningar
Analysera organisationens rättsliga krav

Externa intressenter – personer utanför organisationen

Externa intressenter är personer, grupper eller organisationer utanför den egna organisationen, som påverkar eller påverkas av er organisations informationssäkerhet. Var och en av dessa intressenter har någon form av behov, förväntningar, krav eller annan påverkan i relation till informationssäkerheten och dess styrning.

Genom att göra denna analys identifierar ni vilka intressenterna är, vilka krav de har och hur de påverkar eller påverkas. När ni har gjort det så kan ni ta med det i beräkningen när ni utformar informationssäkerhetsarbetet.

Externa förutsättningar – förhållanden som påverkar utformningen

Externa förutsättningar är de förhållanden i organisationens omvärld, utöver externa intressenter och rättsliga krav, som ni behöver tänka på när ni utformar styrningen av informationssäkerheten. Det kan exempelvis röra sig om politiska och tekniska förutsättningar.

Var och en av dessa förutsättningar har någon form av påverkan på hur ni bäst bör utforma informationssäkerheten och dess styrning för organisationen. Analysen identifierar därför vilka de externa förutsättningarna är och hur de kan påverka er.

Rättsliga krav – lagar, förordningar och föreskrifter

Rättsliga krav är de krav som är kopplade till informationssäkerhet, i form av olika författningar som exempelvis lagar, förordningar, myndigheters föreskrifter samt lokal kommunal reglering. Vissa rättsliga krav gäller samtliga organisationer i såväl Sverige som Europa, medan andra endast gäller en viss bransch eller en viss typ av organisation.

Kraven kan i stort delas in i två kategorier:

Krav som gäller hur informationssäkerhetsarbetet ska utformas
Krav på hur skydd för vissa typer av information ska utformas.

Efter att ha identifierat vilka rättsliga krav som är viktiga för er ska ni beakta dessa när ni utformar informationssäkerheten i er organisation.

För att komma igång: analysera övergripande, inte i detalj

I inledningsskedet är det viktigt att inte fastna alltför länge i analyser. För att komma igång med arbetet så kan ni analysera de olika delarna av omvärlden relativt snabbt och på en övergripande nivå. Detta lägger en bra grund för det fortsatta arbetet. Sedan kan ni med fördel återkomma till analysresultaten, uppdatera dem med ny information och vid behov fylla i fler detaljer.

Dra nytta av tidigare analyser

Ibland har organisationer tidigare genomförda analyser av omvärlden. Var noga med att kolla upp detta, för i sådana fall kan ni dra nytta av och utgå från dessa.

Ett typiskt exempel på tidigare analyser är listor på, eller tolkningar av, rättsliga krav som er organisation har gjort i andra sammanhang.

Det finns en vägledning och ett verktyg för varje analysdel

Den här vägledningen är indelad tre delar: Externa intressenter, Externa förutsättningar och Rättsliga krav. För varje del finns en beskrivning av hur analysen går till och exempel på hur den ser ut.

Till varje del finns det också ett verktyg i form av en Excelmall som ni kan använda i arbetet. Excelmallen Verktyg: Analysera organisationens omvärld, innehåller exempel och viss automatisering. Var och en av de tre delarna har en egen flik i verktyget. Ni kan använda verktyget både vid själva analystillfället och för dokumentation av analysresultatet.

Analysernas resultat – grunden i informationssäkerhetsarbetet

Denna analys syfte är att vara grunden när ni utformar informationssäkerhetens styrning inom er organisation. Mer konkret innebär det att det sammanlagda resultatet från samtliga analyser (av omvärld, organisation, risk, samt gap-analys) ska styra dels hur er organisation väljer att angripa informationssäkerhetsfrågan, dels vilka säkerhetsåtgärder ni behöver för att skydda er information.

Så: utformning av organisation (ansvar och roller) för informationssäkerhet, inklusive policy, riktlinjer, rutiner, processer och åtgärder– allt detta utgår från dessa analyser.

Om ni vill ha en mer sammanfattande bild av analysresultatet kan ni sammanställa samtliga analysers resultat i ett separat dokument. Ett sådant dokument kan ni sedan använda som grund i ett så kallat ”business case” för det systematiska informationssäkerhetsarbetet.

1. Analysera organisationens externa intressenter

Externa intressenter är personer, grupper och organisationer utanför er organisation, som antingen påverkar eller påverkas av hur informationssäkerheten styrs.

Var och en av dessa intressenter har någon form av påverkan, behov, förväntningar eller krav i relation till informationssäkerheten och dess styrning.

Notera att rättsliga krav hanteras separat i en annan del av omvärldsanalysen (del 3), trots att externa intressenter står bakom de rättsliga kraven. Däremot hanterar vi krav från avtal i denna del.

Tabell IA1:1: Externa intressenter och deras påverkan

Kategori	Intressent (exempel)	Krav, roll eller påverkan
Ägare:	Aktieägare Moderbolag Regeringen (departement)	Ägarna kan ha krav på er organisations inriktning, vilket påverkar informationssäkerheten. De har ofta direkta krav på själva arbetet med informationssäkerhet, exempelvis i form av en formulering i ett styrelsebeslut för ett aktiebolag, eller i ett regleringsbrev för en statlig myndighet.
Kunder:	Kunder Brukare Användare Avnämare Den eller de som konsumerar organisationens produkter eller tjänster	Dessa intressenter är orsaken till att er organisation existerar. De kan vara intresserade av informationssäkerheten i en tjänst eller produkt, eller av hur organisationen hanterar deras uppgifter. Vissa organisationer kan även ha anledning att ställa krav på sina kunders informationssäkerhet.
Leverantörer:	Leverantörer Underleverantörer Outsourcingpartner Insourcingpartner Molntjänsteleverantörer Affärspartner Säkerhetsleverantörer	En organisation är beroende av leverantörer för att kunna fungera. Ni kan ibland behöva ställa krav på era leverantörers sätt att arbeta med informationssäkerhet, så att deras leverans är säker. Vissa leverantörer kanske till och med levererar just säkerhetslösningar till er.
Granskare:	Tillsynsmyndigheter för olika branscher Datainspektionen Riksrevisionen Säkerhetspolisen Finansiella revisorer (med it‑revision) Europeiska och internationella institutioner (med tillsyn eller granskande funktioner)	Er organisation granskas av olika intressenter, som i allt större utsträckning har i uppgift att kontrollera hur er informationssäkerhet är upprättad. Era granskare har varierande krav och förväntningar, men ni behöver kunna styrka att ni efterlever olika typer av säkerhetskrav.
Konkurrenter:	Konkurrenter – som driver en liknande verksamhet, eller som på annat sätt konkurrerar med er organisation	Ibland kan konkurrenter försöka att ta del av känsliga uppgifter om er organisation, era kunder eller ert säkerhetsarrangemang utan att be om lov för att kunna konkurrera bättre. I värsta fall kan de försöka sabotera för er organisation eller för ert säkerhetsarrangemang. Den ideala utformningen av er informationssäkerhet kan därmed bero på hur era konkurrenter har utformat sin informationssäkerhet.
Allmänhet och media:	Allmänheten Medborgare Invånare Media som tidningar och TV Internetrelaterad media	Förtroende är centralt för alla organisationer, och allmänheten kan ha uppfattningar om huruvida er informationssäkerhet är bra eller dålig, samt om ni som organisation är pålitliga. Värdet av ert varumärke beror därmed på vad allmänheten anser.
Övriga:	Övriga	Denna tabell innehåller endast exempel på kategorier av externa intressenter. Komplettera med eventuella andra externa intressenter av vikt, och beskriv hur de påverkar eller påverkas av er informationssäkerhet och dess utformning.
(Angripare, Hotande aktörer:)	Hackers Aktivistgrupper Utpressare	(Dessa intressenter hanteras inte i denna analys. De hanteras separat under Riskanalys.)
(Lagstiftare:)	Europaparlamentet Riksdagen Statliga myndigheter Kommuner	(Dessa intressenter hanteras inte i denna analys. De hanteras separat under Rättsliga krav.)

Analysera externa intressenter så här:

Använd verktyget: Öppna Excelmallen ”Analysera organisationens omvärld”. Välj sedan fliken som heter ”1. Externa Intressenter”.
Identifiera samtliga viktiga externa intressenter: Utgå från tabellen ovan, samt från era egna erfarenheter eller andra källor. Växla gärna perspektiv mellan lokala, regionala, nationella och internationella intressenter för att få en mer komplett bild.
Diskutera intressenternas roller: Diskutera de externa intressenternas roller, alltså hur de påverkar och påverkas av informationssäkerheten och styrningen av den.
Identifiera intressenternas krav: Identifiera intressenternas påverkan, behov, förväntningar och krav, exempelvis med hjälp av dokumentgranskning, diskussion, möten, intervjuer eller enkätundersökningar. Dokumentera det ni kommer fram till i verktyget (Excelmallen).

2. Analysera organisationens externa förutsättningar

Externa förutsättningar är de förhållanden i omvärlden (det vill säga utöver externa intressenter) som på något sätt påverkar eller påverkas av informationssäkerhetens styrning och som ni därför behöver ha i åtanke när ni utformar den. Var och en av dessa förutsättningar har med andra ord någon form av inverkan på hur ni bäst bör utforma informationssäkerheten och dess styrning.

Notera att rättsliga krav hanteras separat i en annan del av omvärldsanalysen (del 3), trots att de kan sägas vara externa förutsättningar.

Tabell IA1:2: Externa förutsättningar och dess påverkan

Extern förutsättning	Typ av påverkan
Tekniska förutsättningar:	Den tekniska utvecklingen och utvecklingen inom informationsteknik har stark inverkan på informationssäkerheten, både i form av nya hot och nya lösningar. Exempel på innovationer inom informationsteknik som kan påverka: Molntjänster ställer nya krav på hur informationssäkerheten kan styras. Virtuell och förstärkt verklighet (VR, AR) där kunder kan ta del av en produkt eller tjänst på helt nytt sätt. Sakernas internet (Internet of Things, IoT) där saker (produkter) är uppkopplade och därmed behöver ha god informationssäkerhet. Nya sätt att identifiera användare (autentisering) som via fingeravtryck, röst, ansiktsform.
Sociala förutsättningar:	Sociala och kulturella förutsättningar anger vad som anses bra och acceptabelt. Det kan gälla attityder i samhället, folkhälsa och utbildningsnivå, men även den allmänna situationen i samhället. Exempel där sociala förutsättningar kan påverka: Den grad av övervakning och loggning som individer i samhället accepterar. Hur lätt eller svårt det är att nå individerna i ett samhälle med informationen om informationssäkerhet.
Ekonomiska förutsättningar:	Externa ekonomiska och finansiella förutsättningar påverkar också utrymmet för informationssäkerhet. Kanske särskilt gällande resurser, men det kan även gälla nationalekonomiska faktorer som ränteläge, inflation, efterfrågan på produkter och tjänster, valutakursändringar och liknande. Exempel där externa ekonomiska förutsättningar kan påverka: Ränteläget kan vid investeringsbedömning påverka kostnaden för finansiering av it‑säkerhetstekniska lösningar som löper över lång tid, så att de blir mer eller mindre kostnadseffektiva Den allmänna efterfrågan på den typ av produkter eller tjänster som ni tillhandahåller kan stiga, och då medföra att ytterligare resurser behöver satsas på informationssäkerhet.
Politiska förutsättningar:		I politiskt styrda organisationer är det viktigt att ta med dessa förutsättningar i analysen då de kan påverka er informationssäkerhet och dess utformning. Politiska förutsättningar kan även resultera i rättsliga krav som tas om hand som i den rättsliga delen av analysen.
Miljömässiga förutsättningar:		Miljömässiga förutsättningar är klimat, väder, vind, ekologi och hållbarhetsfrågor som kan påverka er informationssäkerhet och dess utformning. Exempel där miljömässiga förutsättningar kan påverka: Om extremt väder förväntas kan detta påverka möjligheten till datakommunikation om ledningar faller ned. Klimatet kan påverka var det är säkrast och mest ekonomiskt att förlägga en hall för it-drift. Brand, översvämning och jordbävning är andra exempel på miljömässiga förutsättningar.
Övriga förutsättningar:		Denna tabell innehåller endast exempel på kategorier av externa förutsättningar. Komplettera med eventuella andra externa förutsättningar av vikt, och beskriv hur de påverkar eller påverkas av er informationssäkerhet och dess utformning.
(Rättsliga förutsättningar:)		(Dessa förutsättningar hanteras inte i denna analys. De hanteras separat under Rättsliga krav.)

Analysera externa förutsättningar så här:

Använd verktyget: Öppna Excelmallen ”Analysera organisationens omvärld”. Välj sedan fliken som heter ”2. Externa förutsättningar”.
Identifiera vilka externa förutsättningar som finns: Utgå från tabellen ovan, egna erfarenheter eller andra källor för att identifiera samtliga viktiga externa förutsättningar. Växla gärna perspektiv mellan lokala, regionala, nationella och internationella förutsättningar för att få en mer komplett bild.
Diskutera förutsättningarnas påverkan: Diskutera hur förutsättningarna påverkar och påverkas av informationssäkerheten och styrningen av den.
Identifiera förutsättningarnas krav: Identifiera förutsättningarnas påverkan, och vad dessa innebär för er informationssäkerhetsstyrning och utformningen av den. Utgå till exempel från dokumentgranskning, diskussion, möten, intervjuer eller enkätundersökningar. Dokumentera det ni kommer fram till i verktyget (Excelmallen).

3. Analysera organisationens rättsliga krav

Rättsliga krav är de krav som är kopplade till informationssäkerhet i olika typer av författningar, som lagar, förordningar, myndigheters föreskrifter samt lokal kommunal reglering.

Syftet med att analysera vilka rättsliga krav som gäller och hur de ska tolkas är att skapa förutsättningar för att ni ska kunna efterleva kraven. Att inte efterleva de rättsliga kraven kan äventyra informationssäkerheten och leda till allvarliga konsekvenser för er organisation – som förlorat förtroende, skadestånd eller viten av olika slag.

När ni har analyserat färdigt så ska ni använda resultaten för att utforma er informationssäkerhet så att ni lever upp till de rättsliga krav som gäller. Detta gör ni bland annat genom att koppla vissa säkerhetsåtgärder till en viss typ av information, och använda i samband med informationsklass.

Kraven som gäller avtal och förpliktelser kopplade till externa intressenter hanteras inte här utan som en del av externa intressenter, så vida det inte rör sig om legala krav.

Olika krav för olika organisationer

Vilka rättsliga krav som finns för er organisation beror på bland annat:

typ av organisation (till exempel privat, offentlig)
bransch (till exempel vattenförsörjning, internetleverantör)
vilken information organisationen hanterar (ekonomisk information, företagshemligheter, säkerhetsskyddad information, personuppgifter).

Kraven gäller dels säkerhetsarbetet, dels skydd för olika informationstyper

De rättsliga kraven för informationssäkerhet kan delas in i två kategorier:

krav som gäller hur informationssäkerhetsarbetet ska utformas
krav på hur skydd för vissa typer av information ska utformas.

Arbeta tillsammans med juridisk expertis

Utvecklingen av rättsliga krav som direkt eller indirekt rör informationssäkerhet går mycket snabbt. Detta medför att det är väldigt svårt att avgöra och räkna upp exakt vilka de aktuella rättsliga kraven är i denna vägledning. Därför måste ni som organisation göra detta arbete.

Identifiera de gällande rättsliga krav som rör informationssäkerhet genom att, tillsammans med juridisk expertis, upprätta en lista på vilka författningar och lagrum som gäller för er organisation och som direkt eller indirekt ställer krav på er informationssäkerhet.

Även om det kan gå att söka i databaser över gällande författningar och ange relevanta sökord så måste ni kombinera detta med expertkunskap – exempelvis om vilka krav som ställs och var de finns för just er typ av organisation, bransch och den information som ni hanterar.

Analysera: hur ni ska leva upp till de rättsliga kraven?

När relevanta rättsliga krav är identifierade är nästa steg att analysera hur ni ska omsätta dessa krav på en övergripande nivå. Denna diskussion kan exempelvis handla om olika typer av säkerhetsåtgärder, eller om hur kraven ska påverka hur informationssäkerheten styrs och organiseras i er organisation.

Eftersom vissa rättsliga krav är relativt övergripande, medan andra är mer specifika, står det inte alltid direkt uttryckt i det rättsliga kravets text vad som behöver göras. Därför måste kraven diskuteras och tolkas. För att kunna göra denna analys på ett bra sätt krävs kompetens om bland annat organisationen, informationssäkerhet och juridik.

Analysera de rättsliga kraven så här:

Använd verktyget: Öppna Excelmallen ”Verktyg Analys Omvärld”. Använd sedan fliken ”3. Rättsliga krav”.
Identifiera vilka rättsliga krav som gäller för verksamheten: Identifiera samtliga gällande rättsliga krav, som direkt eller indirekt ställer krav på er informationssäkerhet. Utgå från den här vägledningstexten, juridisk expertis och egna erfarenheter. Växla gärna perspektiv mellan rättsliga krav som gäller hela Europa, hela Sverige, den egna branschen, er organisationstyp, den verksamhet som bedrivs, och de kategorier av information som hanteras

Dokumentera följande i mallen:

a.    ID: Ge varje krav en unik identifierare, förkortat ID. Då kan ni lättare hitta tillbaka till dem längre fram

b.    Författning Lagrum: Ange vilken författning och eventuellt vilket specifikt lagrum (paragraf, artikel, avsnitt) som ni har identifierat.

c.     Typ av krav: Välj i menyn om kravet är av sådan karaktär att det ställer krav på direkta säkerhetsåtgärder eller om det ställer krav på informationssäkerhetsarbetet i allmänhet.

d.    Krav (lydelse/sammanfattning): Återge det rättsliga kravets lydelse genom att citera författningen. Om det av utrymmesskäl är mer praktiskt så kan ni formulera en sammanfattning av kravet.
Analysera de rättsliga kraven: När alla relevanta krav är identifierade ska ni diskutera och tolka samt dokumentera kraven i Excelmallen under ”Krav/påverkan”. Ange även hur det aktuella kravet påverkar informationssäkerhetens styrning och utformning, eller vilka säkerhetsåtgärder som det ger upphov till.

Verksamhetsanalys

Den här vägledningen fokuserar på informationssäkerhetens interna perspektiv. Detta innebär att man analyserar sin verksamhet i tre delar: interna intressenter, interna förutsättningar och informationstillgångar.

Analysera er verksamhet i tre steg

För att ni ska kunna utforma styrningen av organisationens informationssäkerhet på ett så lämpligt och kostnadseffektivt sätt som möjligt så krävs olika typer av analyser.

I denna vägledning får ni hjälp att analysera er verksamhet i tre olika delar, eller steg:

Analysera era interna intressenter
Analysera era interna förutsättningar
Analysera era informationstillgångar.

Interna intressenter – personer inom organisationen

Interna intressenter är personer (befattningar) eller enheter inom er organisation som påverkar eller påverkas av hur informationssäkerheten styrs. Var och en av dessa intressenter har någon form av behov, förväntningar eller krav som rör informationssäkerheten och dess styrning. Genom analysen identifierar ni vilka intressenterna är och vilka krav de har på hur ni utformar ert informationssäkerhetsarbete.

Interna förutsättningar – förhållanden som påverkar utformningen

Interna förutsättningar är de förhållanden, utöver interna intressenter, inom er organisation som ni behöver ha i åtanke när ni utformar informationssäkerheten och dess styrning. Var och en av dessa interna förutsättningar har någon form av påverkan på hur ni bäst bör utforma informationssäkerheten och dess styrning för er organisation. Genom analysen identifierar ni såväl dessa förutsättningar som deras påverkan.

Exempel på interna förhållanden kan vara var verksamheten bedrivs geografiskt, om verksamheten bedrivs på flera ställen och ägarförhållanden.

Informationstillgångar – den information som ska skyddas

Informationstillgångar är den information som verksamheten hanterar och som ni därmed ska skydda med hjälp av informationssäkerhet, inklusive de resurser som behandlar informationen (exempelvis it‑system). Med hjälp av analysen identifierar ni vilka tillgångar som finns, så att de kan få rätt sorts skydd – en viktig utgångspunkt för det vidare arbetet.

Analysera övergripande, inte i detalj

I inledningsskedet är det viktigt att inte fastna allt för länge i analyserna. För att komma igång med själva arbetet så kan ni analysera de olika delarna av organisationen relativt snabbt och på en övergripande nivå. Sedan kan ni med fördel återkomma till analysresultaten, uppdatera dem med ny information och vid behov fylla i fler detaljer.

Exempel på tidsåtgång för denna analys:

Avsätt en arbetsdag för att kartlägga och analysera interna intressenter
Avsätt en arbetsdag för att kartlägga och analysera interna förutsättningar
Avsätt en arbetsdag för att kartlägga och analysera informationstillgångar.

Dra nytta av tidigare analyser

Ibland finns det tidigare genomförda analyser av organisationens olika verksamheter. Var noga med att kolla upp detta, för i sådana fall kan ni dra nytta av och utgå från dessa. Ett typiskt exempel på tidigare analyser är listor på system eller informationstillgångar som er organisation gjort i andra sammanhang.

Det finns vägledning och verktyg för varje analysdel

Den här vägledningen är indelad i de tre delarna Interna intressenter, Interna förutsättningar och Informationstillgångar. För varje del finns en beskrivning av hur analysen går till samt exempel på hur den kan se ut.

Till varje del finns ett tillhörande stöd i form av en Excelmall som ni kan använda i arbetet. Excelmallen Verktyg Analys Verksamhet innehåller exempel och viss automatisering. Var och en av de tre delarna har en egen flik i verktyget. Ni kan använda verktyget både vid själva analystillfället och som dokument över analysresultatet.

Analysernas resultat – grunden i informationssäkerhetsarbetet

Denna analys syfte är att vara grunden när ni utformar informationssäkerhetens styrning inom er organisation. Mer konkret innebär det att det sammanlagda resultatet från samtliga analyser (av omvärld, verksamhet, risk, samt gap-analys) ska styra dels hur er organisation väljer att angripa informationssäkerhetsfrågan, dels vilka säkerhetsåtgärder ni behöver för att skydda er information.

Så: utformning av organisation (ansvar och roller) för informationssäkerhet samt policy, riktlinjer, rutiner, processer och åtgärder för informationssäkerhet – allt detta utgår från dessa analyser.

1. Analysera organisationens interna intressenter

Interna intressenter är personer (befattningar) eller enheter inom er egen organisation som antingen påverkar eller påverkas av informationssäkerheten och dess styrning. Var och en av dessa intressenter har någon form av behov, förväntningar eller krav i relation till er informationssäkerhet.

Tabell IA2:1: Exempel på intressenter och krav

Kategori:	Intressent:	Krav, roll:
Beslutsfattare:	Styrelse	Beslutar om och styr över hur ni ska bedriva ert arbete med informationssäkerhet. Krav på kostnadseffektivitet och ändamålsenlighet.
	Ledning
	VD, GD
	Ekonomichef, personalchef

Objektägare:	Objektägare	Ställer krav gällande informationssäkerhet för objektet eller objekten som de ”äger”. Behöver ofta stöd för att förstå hur de ska ställa sina krav.
	Processägare
	Informationsägare
	Systemägare

Stödenheter:	It‑enhet	Är föremål för styrning av informationssäkerhet samt ansvarar för vissa säkerhetsarrangemang.
Stödenheter:	Personalenhet Fastighetsenhet Registratur Juristfunktion

Medarbetare:	Anställda	Tar till sig och rättar sig efter regler. Vill kunna arbeta produktivt, oavsett gällande säkerhetsåtgärder.
Medarbetare:	Konsulter Praktikanter Medarbetare med speciella roller

Informationssäkerhet:	CISO	Utformar styrningen av informationssäkerheten och ser till att den på olika sätt implementeras i organisationen.
	It‑säkerhetsansvarig
	Säkerhetschef
	Säkerhetskoordinator

Analysera de interna intressenterna så här:

Använd verktyget: Öppna Excelmallen ”Verktyg Analysera verksamheten”. Välj sedan fliken som heter ”1. Interna intressenter”.
Identifiera alla viktiga interna intressenter: Utgå från tabell 1 ovan, samt från era egna erfarenheter eller andra källor.
Diskutera intressenternas roller: Diskutera intressenternas roller, alltså hur de påverkar och påverkas av er informationssäkerhet och dess styrning.
Identifiera intressenternas krav: Identifiera vilka behov, förväntningar och krav era intressenter har, exempelvis med hjälp av diskussioner, möten, intervjuer eller enkätundersökningar. Dokumentera det ni kommer fram till i verktyget (Excelmallen).

2. Analysera organisationens interna förutsättningar

Interna förutsättningar är olika förhållanden, utöver interna intressenter, inom er egen organisation som ni behöver ha i åtanke när ni utformar informationssäkerheten och dess styrning. Var och en av dessa förutsättningar har således någon form av påverkan på hur ni bäst bör utforma informationssäkerheten.

Interna förutsättningar kan vara nästan vad som helst inne i er organisation som påverkar eller påverkas av utformningen eller styrningen av det systematiska informationssäkerhetsarbetet. Exempel på sådana förutsättningar finns i tabell 2 nedan.

Tabell IA2:2: Exempel på interna förutsättningar och dess påverkan

Intern förutsättning:	Typ av påverkan:
Policyer, mål och strategier i organisationen:	Befintliga policyer, mål och strategier avslöjar ofta var er organisation är på väg. Därför måste informationssäkerhetens styrning och mål vara anpassade till detta.
Verksamhetsstyrning:	Befintlig styrning och planering av er verksamhet. Exempel på fenomen som påverkar styrningen av er informationssäkerhet: förvaltningsmodellen för it planeringsprocessen för verksamhet budgetprocessen sätt att leda och styra.
Organisationens struktur:	Strukturen avslöjar era interna ansvarsområden, roller, rapporteringsvägar och process vid beslutsfattande. Denna struktur styr därmed förutsättningarna för utformningen av ansvar och befogenheter inom er informationssäkerhet.
Organisationens kultur:	Er kultur avslöjar vad som fungerar och vad som förväntas internt gällande styrningen av informationssäkerhet. Vissa organisationer är vana med en vag målstyrning, medan andra kräver en mer detaljerad styrning.
Organisationens processer:	Såväl era processer för styrning som era processer för organisationen i stort (exempelvis inköp, rekrytering, produkt- och tjänsteutveckling, marknadsföring, leverans och klagomål) påverkar och påverkas av styrningen av informationssäkerhet.
Organisationens resurser:	Resurserna avser främst tillgången till personal och finansiella medel samt dess påverkan.
Standarder och riktlinjer iorganisationen:	Befintliga standarder som ni har valt att jobba efter som kan påverka eller påverkas av er informationssäkerhet och dess styrning.
Kompetens inomorganisationen:	Vilken kompetens finns var inom er organisation? Detta påverkar vilket ansvar som ni kan dela ut, och vilka typer av säkerhetsåtgärder som kan tänkas fungera ändamålsenligt.
Kommunikation inom organisationen:	Era kommunikationsvägar och sätt att kommunicera är centralt för styrningen av er informationssäkerhet. Alltså: ha era befintliga sätt att kommunicera internt i åtanke när ni utformar informationssäkerheten och dess styrning.
Organisationens infrastruktur:	Befintlig infrastruktur och teknik, inklusive informationsteknik, påverkar i hög grad informationssäkerheten och dess styrning. Observera att ni ska hantera specifika informationstillgångar i nästa del av analysen (del 3).

Analysera de interna förutsättningarna så här:

Använd verktyget: Öppna Excelmallen ”Analys Verksamhet”. Välj sedan fliken som heter ”2. Interna förutsättningar”.
Identifiera alla interna förutsättningar av vikt: Utgå från tabell 2 (ovan), samt från era egna erfarenheter eller andra källor.
Diskutera förutsättningarnas påverkan: Diskutera hur förutsättningarna påverkar och påverkas av er informationssäkerhet och dess styrning.
Identifiera förutsättningarnas krav: Identifiera förutsättningarnas påverkan, och vad de betyder för utformningen av informationssäkerhetsstyrningen. Utgå till exempel från dokumentgranskning, diskussioner, möten, intervjuer eller enkätundersökningar. Dokumentera det ni kommer fram till i verktyget (Excelmallen).

3. Analysera organisationens informationstillgångar

Informationstillgångar är organisationens information och de resurser som behandlar informationen, exempelvis genom att ta emot, lagra, bearbeta, visa eller kommunicera den. Exempel på sådana resurser är it‑system.

Informationstillgångar – det som ni ska skydda

Informationstillgångar är de tillgångar som informationssäkerheten ska skydda. Det är därför viktigt att identifiera alla väsentliga tillgångar, så att de kan få rätt typ av skydd.

Välj fokus för analysen

Vad som är en informationstillgång för just er bör ni avgöra själva inför denna analys. En del organisationer identifierar och namnger enskilda informationsmängder, andra utgår ifrån sina respektive it‑system (exempelvis it‑tjänster eller applikationer).

Vad är en kritisk tillgång?

Alla informationstillgångar är inte lika centrala för er. I praktiken kan det därför vara så att ni behöver dra en tydlig gräns för hur central en tillgång ska vara för att komma med i analysen.

Syftet med att inventera sina informationstillgångar

Syftet med att inventera era informationstillgångar är att få en sammanställning över vad ni ska skydda med hjälp av informationssäkerhet. Denna sammanställning kan ni sedan använda för att identifiera vilka säkerhetsåtgärder som ni behöver införa för att skapa rätt sorts skydd. Denna identifiering sker tillsammans med respektive tillgångs ”ägare”, förslagsvis genom informationsklassificering.

Inventera informationstillgångarna så här:

1. Använd verktyget. Öppna Excelmallen ”Verktyg Analys Verksamhet”. Välj sedan fliken som heter ”3. Informationstillgångar”.

2. Identifiera och inventera viktiga informationstillgångar. Ni kan inventera era informationstillgångar på lite olika sätt. Här är två exempel:

a. Använd befintliga listor: Om det finns några befintliga listor över era informationstillgångar så kan ni använda dessa. Till exempel från it‑sidan (där det finns listor över it‑system och dylikt).

b. Gör en egen inventering: Genom exempelvis processkartläggning kan ni göra en egen inventering av vilken information som är kritisk för specifika delar av er verksamhet, eller för olika interna processer.

3. Dokumentera informationstillgångarna. Dokumentera följande:

a. ID: För att det ska vara lättare att identifiera informationstillgångarna i ett senare skede så behöver ni ge varje informationstillgång en unik identifierare. Se exempel i verktyget (Excelmallen) eller välj ett annat sätt som passar er organisation.

b. Benämning: Namnge era informationstillgångar, till exempel ”Agresso” eller ”Abonnentuppgifter”.

c. Beskrivning: Beskriv hur ni använder tillgången (eller tekniken) i fråga. Till exempel ”Lönesystem” eller ”Kundrelationssystem som levereras av (X) som molntjänst”.

d. Information/data: Beskriv vilken typ av information/data som det handlar om, till exempel ”Känsliga personuppgifter”.

e. Kritisk: Skriv ”Ja” vid de tillgångar som är helt centrala och kritiska för er organisation. Detta svar innebär att ni kan prioritera dessa när ni sedan ska hantera tillgången. Notera att denna typ av prioritering inte passar alla organisationer. Ni avgör därmed själva ifall ni ska använda denna definition eller inte.

f. Ägare och kontakt: Ange vilken person eller funktion i er organisation som ansvarar för informationstillgången i fråga, samt ange kontaktinformation till denna. Denna information kan ni sedan använda när ni ska kontakta informationsägarna för att genomföra informationsklassificering

Observera: Ni kan utöka inventeringen av informationstillgångar, samt Excelverktyget, så att de täcker in kravet på förteckning över tillgångar som ska ha skydd enligt dataskyddsförordningen (GDPR) och/eller Säkerhetsskyddslagen. I fallet dataskyddsförordningen ska vissa specifika uppgifter dokumenteras för varje informationstillgång, vilket framgår av den regleringens artikel 30. Gällande säkerhetsskyddslagstiftningen var extra uppmärksam på att inte dokumentera detaljer som gör att sammanställningen blir skyddsvärd utifrån Sveriges (rikets) säkerhet.

Riskanalys

Inom allt informationssäkerhetsarbete är det centralt att identifiera och bedöma sådana risker som skulle kunna äventyra informationssäkerheten. I denna vägledning får du stöd att analysera dessa risker för att kunna hantera dem.

Riskanalys – en viktig del av informationssäkerhetsarbetet

Riskanalys är en viktig del av det systematiska informationssäkerhetsarbetet.Genom riskanalyser identifierar ni de hot och oönskade händelser som kan leda till negativa konsekvenser för er organisation.

För att uppfylla ISO‑standarden SS‑EN ISO/IEC 27001 krävs:

att informationssäkerhetsrelaterade risker analyseras,
att riskanalysens resultat ligger till grund för val och utformning av säkerhetsåtgärder och det systematiska informationssäkerhetsarbetet.

Kort om hur en riskanalys går till

I riskanalysen identifierar ni risker som kan drabba informationssäkerheten i er organisation. En riskanalys går ut på att besvara de tre frågorna ”Vad kan hända?”, ”Hur sannolikt är det?” och ”Vad blir konsekvenserna?”.

Det går att använda samma metod för en organisationsövergripande riskanalys som för en riskanalys av ett enskilt analysobjekt, till exempel en process eller ett it-system. Den metod vi presenterar här är en enkel metod som fungerar bäst om vissa delar av arbetet sker i workhop-form. Vi ger också stöd i form av en enkel mall för själva analystillfället. Verktyget kommer att kompletteras med en risksammanställning i form av en excel-mall.

Efter att ni har definierat vilket analysobjektet är ska ni identifiera hoten (de oönskade händelserna) mot analysobjektet. Sedan analyserar ni dessa händelser genom att bedöma sannolikheten för att de inträffar samt eventuella konsekvenser ifall de skulle inträffa. Detta genomför ni lämpligen genom en systematisk och kreativ process, så kallad ”brainstorming”.

En mer detaljerad beskrivning av hur riskanalys går till steg för steg finner du i slutet av denna vägledning.

Viktigt att tänka på när man gör en riskanalys är att resultatet inte är ”sanningen”. Det är inte heller syftet. Syftet är att ge ett underlag för beslut om vilka säkerhetsåtgärder som ska införas men också att höja medvetenheten om hot, sårbarheter och risker hos de som deltar i analysen.

Riskanalys en del av riskhanteringen

I standarden SS-ISO 31000 Riskhantering – Principer och riktlinjer används riskhantering som det övergripande begreppet. I riskhantering ingår att först bestämma vad som ska riskbedömas – analysobjektet. Därefter görs riskanalysen, som beskrivs i den här delen av metodstödet. Slutligen beslutas vilka åtgärder som ska införas (se Identifiera och analysera - Gap-analys, Utforma Mål, Utforma Handlingsplan, Använda Genomföra och efterleva).

Riskanalysen kan ta avstamp i resultaten från andra analyser

Det finns ingen given ordning för analyserna som bör genomföras. Har ni valt att genomföra omvärldsanalysen och verksamhetsanalysen före den organisationsövergripande riskanalysen så kan ni använda resultatet från de analyserna som ingångsvärden i den övergripande riskanalysen. Det viktiga är inte att omvärldsanalysen och verksamhetsanalysen redan är gjorda utan att de som deltar i riskanalysen är väl förtrogna med er verksamhet och dess förutsättningar.

Bestäm arbetsprocess för riskanalys och kriterier för riskacceptans

Många organisationer har redan en process för riskanalys. I en del branscher är det till exempel vanligt med ”risk managers” som har ett övergripande ansvar för hur riskhantering sker i hela organisationen. Om er organisation har detta så bör ni använda den metod och kompetens som finns inom organisationen.

Om ni inte har en beslutad metod eller process för riskhantering så behöver ett mål med ert arbete vara att etablera en sådan. Tänk i så fall igenom vad ni tror fungerar i er organisation och om ni behöver pröva er fram metodmässigt, så gör det.

Vad ni behöver börja fundera på och så småningom få beslut på är dessa tre steg:

Hur processen för riskanalys ska se ut i er organisation
Vilka kriterier för konsekvens- och sannolikhetsbedömning ni ska använda
Vilka kriterier för riskacceptans ni ska använda.

I SS-EN ISO/IEC 27001:2017 ställs krav på att ledningen fattar beslut om process och kriterier för bedömning av konsekvens och sannolikhet (risknivå) samt nivå för riskacceptans det vill säga när en risk måste åtgärdas och när den kan accepteras av den som äger risken.

Steg 1 – Processen för riskanalys

Själva processen för riskanalys kan exempelvis utgöras av den här vägledningen med tillhörande verktyg (Verktyg Analys Risk). Att använda samma metod/process för alla riskanalyser i en organisation underlättar jämförbarhet och förståelse för vad resultatet av olika riskanalyser innebär. Det är därför bra med ett dokumenterat beslut, som fastslår vilken metod som ska användas. Dessutom är det bra om ni även specificerar vid vilka situationer ni ska göra riskanalys. Det kan till exempel vara vid följande tillfällen:

Vid anskaffning av varor eller tjänster (inklusive upphandling av nya it-system, outsourcing och molntjänster)
I samband med andra riskanalyser
När drift ska läggas ut
Vid organisationsförändringar
Vid nya uppdrag/tjänster

Steg 2 – Kriterier för risknivåer

Kriterierna för risknivåeranger hur bedömningen av konsekvens och sannolikhet ska göras i olika nivåer. Som exempel: vad är skillnaden mellan måttlig och betydande konsekvens och vad är skillnaden mellan låg och medelhög sannolikhet.

Konsekvenser kan bero på olika kategorier av händelser. Ofta finns det skäl att ha flera olika beskrivningar av konsekvenserna på grund av ett specifikt scenario. Exempelvis kan konsekvenserna av antalet människor som bedöms påverkas på grund av ett scenario samtidigt beskrivas genom att ange hur stor ekonomisk skada som scenariot åstadkommer. Här är en lista med exempel på några olika konsekvenskategorier:

Ekonomisk förlust (orsaker t.ex. minskade intäkter, ökade kostnader, skada på tillgångar)
Negativ påverkan på, eller avbrott i den operativa verksamheten
Överträdelse/ej efterlevnad av rättsliga krav
Skadat varumärke/minskat förtroende
Skada på annan organisation/omgivande samhället
Personskada
Miljöskada

Kategorierna ovan ska ses som exempel och inte en fullödig lista. Konsekvenskategorierna kan också ha samband, till exempel minskat förtroende kan leda till minskade intäkter och därmed ekonomisk förlust. Det går att skapa kategorier på olika sätt, det viktigaste är att de känns relevanta för den egna organisationen.

Exempel på graderingar av ekonomisk förlust kan göras i absoluta tal, eller som andelar av något nyckeltal.

Måttlig ekonomisk förlust: 1 – 500 000 kronor eller avvikelse på 5-10% av budget.
Betydande ekonomisk förlust: 500 000 – 2 miljoner kronor eller avvikelse på 10-20% av budget.
Allvarlig ekonomisk förlust: 2 miljoner kronor och uppåt eller avvikelse på över 20% av budget.

Gör en tabell med valda kategorier, såsom exemplet visar.

Konsekvens	Ekonomisk förlust	Minskat förtroende	Avbrott i verksamheten
Allvarlig	2 miljoner kronor och uppåt eller avvikelse på över 20% av budget	Ihållande drev i rikstäckande medier, eller av organiserade grupperingar i sociala medier. Ej endast enskilda personer pekas ut, utan även organisationens grundläggande kultur.	Avbrott i en eller flera kritiska verksamheter som är längre än godtagbart. Omfattande omprioriteringar av verksamheten.
Betydande	500 000 – 2 miljoner kronor eller avvikelse på 10-20% av budget	Nyheter i både riks- och lokalmedia och i organiserade grupperingar i sociala medier. Missnöjet är dock begränsat till enskilda händelser eller enskilda personers agerande.	Avbrott i en kritisk verksamhet som är längre än godtagbart. Stora omprioriteringar av verksamheten.
Måttlig	1 – 500 000 kronor eller avvikelse på 5-10% av budget	Enstaka missnöjda individer som uttalar sig i sociala medier, eller en mindre notis i lokalpress.	Avbrott i en eller flera verksamheter som inte är kritiska och som är längre än godtagbart. Mindre omprioriteringar av verksamheten.
Försumbar	Ingen förlust	Liten negativ uppmärksamhet	Försumbara avbrott i verksamheten och/eller inga omprioriteringar av verksamheten.

Sannolikheten är ett mått som beskriver hur ofta man skattar att en händelse kommer att inträffa. Det finns flera olika sätt att svara på frågan hur troligt ett specifikt riskscenario är. Ett vanligt sätt är att använda sannolikheter eller frekvenser. Det vanligaste är att frekvenser används, det vill säga det förväntade antalet händelser per år. Eftersom händelserna som är intressanta i en riskanalys inte inträffar speciellt ofta, blir de skattade frekvenserna ofta mycket små, exempelvis 0,1 gånger per år eller en gång på tio år. Ett mycket användbart sätt att uttrycka osäkerhet i en frekvensbedömning är att beskriva den med hjälp av ett intervall. I analysen kan det exempelvis framkomma att den mest troliga bedömningen av frekvensen för ett specifikt riskscenario är 0,001 gånger per år. Frekvensen kan visserligen vara så låg som 0,0005 och så hög som 0,005, det vill säga mellan en gång på 200 och en gång på 2000 år.

Oavsett vilken metod som används, så utgör dessa skattningar bedömningar. Det ligger i sakens natur att resultaten aldrig kan fastställas med säkerhet när det handlar om bedömningar av framtiden.

Gör en tabell med lämpliga kategorier, såsom exemplet visar.

Begrepp	Intervall
Mycket hög sannolikhet	1-10 ggr/år
Hög sannolikhet	0,5-1 ggr/år
Medelhög sannolikhet	0,05-0,5 ggr/år (mellan en gång vartannat till en gång per 20 år)
Låg sannolikhet	< 0,05 ggr/år (mindre än en gång per 20 år)

Steg 3 – Kriterier för riskacceptans

Kriterierna för riskacceptans visar när en risk får accepteras och när den måste åtgärdas.

Vid vilken nivå av sannolikhet ni avser att acceptera risker
Vid vilken nivå av konsekvenser ni avser att acceptera risker.

En så kallad riskmatris består av två skalor och används för en bedömning av hur troligt det är att en specifik risk inträffar och vad konsekvenserna blir. Rött brukar användas för att beteckna ett område som inte är acceptabelt och grönt ett område där risken är acceptabel.

Figur IA3:1: Riskmatris

Exempel på riskacceptans: ”Vi accepterar risker vars sannolikhet i kombination med konsekvens hamnar på gröna områden”.

Bedöm risker med eller utan hänsyn till befintliga åtgärder

Vid riskanalys kan man ta hänsyn till de skyddsåtgärder som redan finns på plats och kunskapen om hur väl de fungerar. Vid en organisationsövergripande riskanalys har man dock inte alltid tillgång till detaljerad kunskap om hur det befintliga skyddet är utformat, om det existerar eller fungerar tillfredsställande.

Riskanalysens användningsområden: olika nivåer och situationer

Man kan göra riskanalyser för informationssäkerhet på olika nivåer. Några exempel på analysobjekt:

verksamheten som helhet
en särskild informationstillgång
en specifik applikation
en serverhall
en verksamhetsprocess
en organisationsförändring

Ni kan använda den riskanalysmetod som finns i denna vägledning och tillhörande verktyg för alla typer av riskanalys inom informationssäkerhetsområdet. Metoden kan ni även använda på andra områden än informationssäkerhet, då behöver ni bara ändra i mallen något.

Riskanalysens resultat

Riskanalysen mynnar ut i en dokumenterad lista över risker, med en förteckning över er riskbedömning och tillhörande information – till exempel gällande vem i organisationen som är ansvarig för att hantera risken.

När ni gör en organisationsövergripande riskanalys kan ni använda resultatet som underlag för val av säkerhetsåtgärder (enligt gällande krav i ISO‑standarden SS‑EN ISO/IEC 27001).

Tänk på att det dokumenterade resultatet av en riskanalys innehåller känslig information och kan vara skyddsvärd i sig.

Så här gör ni en riskanalys

1. Skicka en workshop-inbjudan till relevanta intressenter.

Skriv en inbjudan till en workshop.

Skicka inbjudan till ”relevanta intressenter”, det vill säga personer som har den kunskap som krävs för att kunna bedöma potentiella risker för de analysobjekt som ni har valt ut.

Redan i inbjudan behöver ni tydligt redogöra för vad det är som riskanalysen ska handla om. Det vill säga ni behöver redogöra för vad som ingår i analysen och vilka avgränsningar ni har valt. Denna beskrivning kan vara mer eller mindre detaljerad, det är ert behov som avgör dess utformning

2. I början av workshoppen: beskriv analysens syfte och objekten i fråga.

Inled workshoppen med att presentera syftet med riskanalysen som ni ska göra, och beskriv hur ni vill använda resultatet. Dokumentera hela analysen på ett sätt som passar för ändamålet.

Beskriv analysobjektet – ska ni exempelvis analysera hela er verksamhet, en process eller en enskild informationstillgång?

Diskutera och modifiera eventuellt riskanalysens avgränsning.

3. Under workshoppen: Identifiera potentiella hot mot analysobjektet.

Workshopdeltagarna tar fram, diskuterar och dokumenterar alla tänkbara hot mot analysobjektet. Viktigt: För att alla ska få samma möjlighet att bidra kan ni köra så en kallad "brainstorming", där varje deltagare skriver ner hot som kan inträffa (eller som redan har inträffat) på en lapp. Exempel på frågor för var och en att besvara: Vilka hot finns det mot informationstillgångarna (eller organisationen) i fråga? Vad skulle kunna inträffa?

Samla in alla lappar, gå igenom alla hot tillsammans och gruppera de hot som hör ihop.

Välj slutligen ut de hot som deltagarna bedömer är mest relevanta.

4. Under workshoppen: Analysera riskerna

Inför analysen av riskerna: Beskriv och diskutera skalorna för sannolikhet och konsekvens, samt dessa termers innebörd och betydelse för just er organisation.

För de hot som ni har valt ut ska ni nu beskriva dem lite närmare och därefter diskutera och beskriva vilka konsekvenser det skulle kunna bli om hoten realiserades.

Diskutera, beskriv och ange sannolikhet och konsekvens för varje hot. Som en visuell hjälp kan workshopdeltagarna placera in respektive risk i riskmatrisen.

Om tid finns är det bra om workshopdeltagarna även kan diskutera och dokumentera de orsaker (sårbarheter) som kan orsaka att hotet realiseras. Här är det också bra om förslag till åtgärder kan dokumenteras. Kan ni under workshoppen även identifiera riskägare till riskerna så är det bra.

5. Efter workshoppen: Dokumentera

Glöm inte att dokumentera datum för den genomförda riskanalysen samt vilka som deltagit. Det är också bra om ni gör en sammanställning över både de analyserade hoten/riskerna och de hot som inte blev analyserade.

Öppna riskregistret i Excelmallen ”Verktyg: Analysera risker” och uppdatera varje risk (se separat instruktion för detta verktyg nedan).

6. Slutligen: Kommunicera riskanalysens resultat.

Efter riskanalysen är det viktigt att de identifierade och analyserade riskerna hanteras. Identifiera riskägarna, det vill säga identifiera de verksamhetsansvariga inom vilkas ansvarsområde de olika riskerna ska hanteras. Resultatet av riskanalysen kan också behöva delas med andra berörda intressenter, vilka dessa är bedömer ni utifrån vad resultatet från riskanalysen är. Resultatet ska också ligga till grund för val av säkerhetsåtgärder.

Verktyg som stöd i genomförande av riskanalys

De verktyg som finns i metodstödet är:

mall för att dokumentera identifierade risker under workshoppen
Sammanställning av risk (Kommer att komplettas inom kort)

Referens till standarder i 27000-serien: (kompletteras inom kort)

27001

27005

31000

Gap-analys

Syftet med en gap-analys är att identifiera skillnaden mellan den informationssäkerhetsnivå som ni behöver uppnå och den faktiska nivån på er informationssäkerhet vid analystillfället. Med hjälp av en gap-analys synliggör ni ett eventuellt ”gap” mellan dessa två nivåer, som ni behöver överbrygga genom att utforma och införa ett antal olika säkerhetsåtgärder för informationssäkerhet.

Utgå från en lista med säkerhetsåtgärder

Den gap-analys som genomförs här tar sin utgångspunkt i standarden SS-EN ISO/IEC 27001 och de säkerhetsåtgärder som återfinns i bilaga A. Med utgångspunkt i dessa behöver ni identifiera de säkerhetsåtgärder som ni ska använda. Tänk på att det kan finnas säkerhetsåtgärder som är relevanta för er men som inte finns med i standarden.

I gap-analysen kan ni antingen utgå ifrån samtliga säkerhetsåtgärder som finns i SS-EN ISO/IEC 27001 bilaga A eller om ni har genomfört de andra analyserna (verksamhetsanalys, omvärldsanalys och övergripande riskanalys) först så utgår ni ifrån dessa och väljer säkerhetsåtgärder som ska ingå i gap-analysen utifrån resultaten som ni har fått vid de analyserna.

Att genomföra de andra analyserna (verksamhetsanalys, omvärldsanalys och övergripande riskanalys) är ett krav om ni vill efterleva ISO‑standarden SS‑EN ISO/IEC 27001.

Gör gap-analysen övergripande för hela verksamheten. Vid behov kan ni givetvis göra den för en utvald del av verksamheten. Normalt tar det mellan två och fem arbetsdagar att genomföra en gap-analys.

Första gången ni gör en gap-analys

Om det är första gången som ni gör gap-analys så kan ni göra den i följande två steg:

Fastställ vilka säkerhetsåtgärder som ska ingå i gap-analysen
Avgör om dessa åtgärder redan existerar och hur väl de fungerar – gap-analys

Steg 1 är förberedande och behöver bara göras en gång, men steg 2 kan ni behöva se över och komplettera om eller när det framkommer nya resultat i andra analyser.

Om ni gör gap-analysen utifrån alla säkerhetsåtgärder i bilaga A utan att i detta skede avgöra vilka som är relevanta för er organisation så hoppar ni i detta skede över att fastställa och motivera (nästa rubrik). Om ni däremot har genomfört de andra analyserna och är mogna att även välja ut för er organisation relevanta säkerhetsåtgärder så går ni nu vidare med att fastställa och motivera relevanta säkerhetsåtgärder.

Fastställ och motivera relevanta säkerhetsåtgärder i en lista

Genom att fastställa och motivera relevanta säkerhetsåtgärder skapar ni det så kallade SoA (Statement of Applicability eller UoT Uttalande om Tillämplighet). Detta kan göras i samband med gap-analysen eller i efterhand med utgångspunkt i genomförd gap-analys och resultatet från de andra analyserna (verksamhetsanalys, omvärldsanalys och övergripande riskanalys).

Fastställ och motivera relevanta säkerhetsåtgärder genom att välja ut lämpliga åtgärder från ISO‑standarden SS-EN ISO/IEC 27001. Därefter ska ni motivera varför ni väljer eller varför ni väljer bort en åtgärd.

Efter detta är det dags för att komplettera er lista med sådana säkerhetsåtgärder som andra analyser har visat att ni behöver, till exempel åtgärder som speglar särskilda rättsliga krav.

Avgör om åtgärderna existerar och hur de fungerar – gap-analys

När ni har en färdig lista med säkerhetsåtgärder som ni ska använda i gap-analysen, så börjar ni med själva gap-analysen. För varje säkerhetsåtgärd som ni har beskrivit så behöver ni nu avgöra huruvida åtgärden existerar eller inte, samt om den fungerar tillfredsställande eller inte sett i relation till det behov som ni har identifierat eller upplever.

Om ni bedömer att en åtgärd inte existerar eller inte fungerar tillfredsställande så ska ni även gradera hur allvarlig bristen är. Beskriv även nuläget för varje bristande åtgärd, samt eventuella tänkbara förbättringar som skulle kunna motverka bristen.

Arbeta gärna i workshopformat

För att kunna göra en bra gap-analys behöver ni information om såväl säkerhetsåtgärderna som ni redan använder, som de som ni ska börja använda. Eftersom åtgärderna är av olika karaktär och dessutom riktar sig till olika delar av er organisation så kan ni för detta ändamål behöva hämta in uppgifter från olika håll.

Ni behöver både samla in tidigare dokumenterad information och samtala med relevanta interna intressenter. Därför är det bra att genomföra gap-analysen i form av en workshop, där interna intressenter representerar olika verksamheter.

I en del organisationer fungerar det bättre att identifiera vilka medarbetare som kan lämna relevant information och i stället intervjua dessa.

Resultat: lista över säkerhetsåtgärder och deras aktuella status

Resultatet av gap-analysen är en lista över vilka säkerhetsåtgärder som ni ska tillämpa, samt en beskrivning av åtgärdernas aktuella status. Listan beskriver om dessa åtgärder redan existerar, samt om de fungerar på ett tillfredsställande sätt eller inte.

Gap-analysen visar även hur pass allvarliga säkerhetsåtgärdernas eventuella brister är, hur nuläget ser ut, och vad ni behöver göra för att överbrygga gapet mellan aktuell och önskad situation. Analysresultatet kan ni sedan använda för att prioritera bland och planera in lämpliga säkerhetsåtgärder för informationssäkerhet.

1.Fastställ relevanta säkerhetsåtgärder – SOA

Utifrån listan med säkerhetsåtgärder enligt ISO‑standarden SS-EN ISO/IEC 27001 bedömer ni vilka säkerhetsåtgärder som är relevanta i er organisation. Er lista med fastställda säkerhetsåtgärder kallas för uttalande om tillämplighet vilket förkortas SOA – efter engelskans statement of applicability

Er lista skapar ni utifrån kunskapen om de behov er organisation har av säkerhetsåtgärder. När detta är gjort behöver ni se över och komplettera listan om eller när det framkommer något nytt som motiverar några andra åtgärder, exempelvis utifrån genomförda analyser (verksamhetsanalys, omvärldsanalys och övergripande riskanalys) eller om nya verksamheter tillkommer.

Så här fastställer du relevanta säkerhetsåtgärder:

Använd verktyget. Öppna Excelmallen ”Verktyg analysera gap”. Verktyget är uppbyggt så att ni ska gå in i fliken som heter ”1. Valda säkerhetsåtgärder, SOA”. Har ni genomfört era analyser kan ni nu välja vilka säkerhetsåtgärder ni ska använda. Har ni inte genomfört era analyser eller saknar motsvarande kunskap om organisationens behov väljer ni alla säkerhetsåtgärder i denna flik och i ett senare skede, när ni har tillräcklig kunskap kan ni att välja och välja bort åtgärder utifrån organisationens behov. , får ni göra om detta. Med fördel kan det då vara bra att öppna verktyget på nytt, det vill säga ett tomt verktyg, och utgå från första gap-analysens resultat eller spara om er fil i en ny version.
Gör en förteckning med säkerhetsåtgärder. Samtliga säkerhetsåtgärder från ISO‑standarden SS-EN ISO/IEC 27001 finns redan förifyllda i verktyget. Nedanför dessa kan ni komplettera med sådana säkerhetsåtgärder vars behov framkommit i andra analyser. Fyll i så fall i fälten säkerhetsåtgärd och beskrivning.
Om ni har tillräcklig kunskap: Avgör åtgärdernas tillämplighet. Avgör ifall säkerhetsåtgärden i fråga är tillämplig på er organisation, det vill säga om ni ska använda den eller inte. Markera svaret med ja eller nej. Utgå från tidigare analyser (av organisation, omvärld, och risk) eller om ni har motsvarande kunskap om organisationen.
Motivera valet. För varje säkerhetsåtgärd, motivera varför den ska användas, eller inte användas, genom att välja alternativ i menyn. De alternativ som finns är organisationsanalys, riskanalys, omvärldsanalys, rättsligt krav eller annat skäl. För er som inte genomfört analyserna finns en kolumn för anteckningar.
Listan är färdig! När ni är klara så har ni en lista med tillämpliga säkerhetsåtgärder, vilket krävs enligt ISO‑standarden SS-EN ISO/IEC 27001.

2. Genomför en gap-analys

Så här genomför du en gap-analys:

Använd verktyget. Öppna Excelmallen ”Verktyg analysera gap”. Välj sedan fliken som heter ”2. gap-analys”.
Skapa en gap-analys. Sortera säkerhetsåtgärderna i flik 1 Valda säkerhetsåtgärder, SOA”så att du får med dem ni valt – kolumn ”ska användas” markerade JA”. Kopiera därefter över de första tre kolumnerna ” Säkerhetsåtgärd, Beskrivning och Ska användas”
Diskutera säkerhetsåtgärden. Läs igenom och tolka säkerhetsåtgärd och beskrivning, så att du är säker på vad åtgärden i fråga avser. Diskutera åtgärden utifrån olika delar av er organisation, eller från olika perspektiv.
Bedöm åtgärdens status. Utgå från diskussionen i punkt 3 (ovan) och inhämtad information (från eventuell workshop och/eller andra interna källor) för att kunna avgöra ifall åtgärden i fråga existerar och fungerar tillfredsställande eller inte. Markera svaren i rullmenyn ”Existerar” med ja eller nej.
Utvärdera eventuell brist. Oavsett om du svarat nej eller ja ange hur pass allvarlig bristen är genom att välja ett alternativ i rullmenyn som heter Brist. Alternativen som finns är försumbar, måttlig, betydande eller allvarlig. Oavsett om säkerhetsåtgärden saknas eller finns kan det få olika konsekvens. En existerande men dåligt fungerande säkerhetsåtgärd är också en brist.
Dokumentera nuläget: Beskriv kortfattat hur nuläget ser ut för varje säkerhetsåtgärd, och kort om vad som som ligger till grund för den bedömningen.
Dokumentera förbättringar: Beskriv kortfattat vilka tänkbara förbättringar eller insatser som kan motverka eller lindra eventuell brist, eller som på något annat sätt kan göra säkerhetsåtgärden mer ändamålsenlig.
Ange eventuell referens: Ange vid behov en referens, till exempel en länk till relevant webbplats, dokument eller namn på dokument. En referens kan beskriva informationskällan, det vill säga källan till den information som står i bedömningen.
Status och progress: Rullmenyerna status och progress ger stöd för att följa upp hur arbetet med att åtgärda bristerna i säkerhetsåtgärderna går.
Rapportera samtliga säkerhetsåtgärder: Du kan använda filterfunktionen i kolumnerna för att välja ut de värden du behöver för att till exempel rapportera hur arbetet går. Du kan filtrera brist eller bedömning.

Licens

Du får använda metodstödet på det sätt som passar dig med villkor som följer licensen ”Creative Commons Erkännande 4.0 Internationella Publika Licens” (CC BY 4.0), https://creativecommons.org/licenses/by/4.0/legalcode.sv.

Analysera

Analysera