Hoppa över navigering, hoppa direkt till textinnehållet Hoppa till navigeringen Startsida
Utforma

Utforma

Innehållet här är under redaktionell bearbetning.
Denna text är publicerad 2018-02-28. Ändringar som genomförts finns i ändringsloggen.

I Utforma skapas de huvudsakliga delar som behövs för verksamhetens systematiska informationssäkerhetsarbete. Dessa är uppdelade i fem delar:

  • Organisation
  • Informationssäkerhetsmål
  • Styrdokument
  • Klassningsmodell
  • Handlingsplan

Hur delarna ska utformas beror på resultaten i metodsteget Identifiera och analysera. Som helhet bör dessa leda till strategiska Informationssäkerhetsmål och beskrivning av roller i säkerhetsarbetet (Organisation).

I Identifiera och analysera: Med stöd av gap-analysen utformas verksamhetens SoA (Statement of Applicability) som konkret uttrycker verksamhetens val av säkerhetsåtgärder och nuvarande brister. De valda säkerhetsåtgärderna ska dessutom uttryckas i Styrdokument varav vissa kan kopplas till särskilda klasser i en verksamhetsövergripande Klassningsmodell.

Informationssäkerhetpolicyn är ett övergripande Styrdokument som ska uttrycka ledningens viljeinriktning med informationssäkerhetsarbetet.

Brister enligt gap-analys och SoA ska omsättas till konkreta Informationssäkerhetsmål varav de som prioriteras ska tas om hand i en Handlingsplan.

Organisation

Den här vägledningen handlar om ansvaret för och arbetet med informations­säkerhet. Vägledningen beskriver hur man kan tydliggöra CISO-rollens arbetsuppgifter och mandat, vilka andra roller som kan ingå i informations­säkerhetsarbetet, samt hur man kan samla dessa i olika råd och forum för att underlätta den samordning som krävs för att lyckas. 

Vanliga svenska titlar på den som samordnar informationssäkerhetsarbetet är informationssäkerhetssamordnare, informationssäkerhetsstrateg eller informationssäkerhets­koordinator. I MSB:s metodstöd för systematiskt informationssäkerhetsarbete har vi kallat den person som är ansvarig för samordningen av informations­säkerheten för CISO, en förkortning efter den engelska titeln chief information security officer. Vi har valt att använda CISO eftersom det är kort, koncist och gör texten lättare att läsa.

Analyserna är ingångsvärdena till utformningen av organisation

Resultaten från de analyser som ni har gjort i analysfasen är ingångsvärdena som ni behöver för att utforma er organisation för informationssäkerhet.

Särskilt viktiga analyser är:

  • Eventuella rättsliga krav på er organisation, dess ingående roller och ansvar (se Analys Omvärld)
  • Interna intressenter och deras roller, krav och förväntningar (se Analys Verksamhet).

Interna dokument som beskriver området är viktiga

Andra viktiga ingångsvärden är eventuella interna dokument som beskriver er organisation och alla interna roller, ansvarsområden, mandat och beslutsvägar.

Några exempel på sådana dokument:

  • organisationsbeskrivningar
  • befattningsbeskrivningar
  • styrdokument
  • arbetsordning
  • delegationsbeslut.

Ni kan behöva komplettera dessa dokument med intervjuer, dels för att bättre lära känna organisationen, dels få förståelse för hur vissa personer arbetar i sina roller.

Ansvar för informationssäkerhet

Grundprincipen är att ansvaret för själva informationssäkerhetsarbetet ska följa det ordinarie verksamhetsansvaret. Detta gäller ända från ledning ner till enskilda medarbetare.

Denna princip innebär att den person som är ansvarig för ett visst verksamhets­område också är ansvarig för själva informationssäkerheten inom det specifika området. En verksamhet kan bedrivas i en organisatorisk del (t.ex. avdelning, sektion eller enhet), ett löpande arbetsflöde (t.ex. process) eller ett tidsbegränsat arbete (t.ex. projekt).

De personer som arbetar specifikt med informationssäkerhet har en viktig stöd­funktion i sin organisation – ungefär på samma sätt som de personer som har stödfunktioner inom andra verksamhetsområden, som ekonomi, personal (hr) eller kommunikation.

Dessa personer ansvarar för att själva arbetet med informationssäkerhet fungerar på ett lämpligt sätt. De ska däremot inte ha ett formellt ansvar för informations­säkerheten, utan det huvudsakliga syftet med detta ansvar och arbete är i stället att stötta ledningen, verksamhetscheferna och medarbetarna. Så ansvarsområdet är alltså att se till så att ledning, verksamhetschefer och medarbetare i sin tur tar ansvar för informationssäkerheten i sin verksamhet.

CISO-rollen

CISO-rollens huvudsakliga arbetsuppgifter: leda och samordna säkerhetsarbetet

Den som är CISO har som sagt det övergripande ansvaret att leda och samordna arbetet med informationssäkerhet i en organisation. Huvudansvaret för själva informationssäkerheten följer som sagt verksamhetsansvaret, och ligger därmed inte på rollen som CISO.

I detta metodstöd kan CISO få stöd för ledning och samordning att skapa och driva ett systematiskt arbetssätt för informationssäkerhet i organisationen.

Några strategiska delar av arbetet som du får hjälp med i detta metodstöd:

  • Att analysera omvärlden och den egna organisationen avseende informationssäkerhet.
  • Att utveckla informationssäkerhetsområdet genom att utforma och förvalta era dokument, planer, modeller med mera inom informationssäkerhet
  • Att stödja den egna organisationen att efterleva, genomföra och använda utformade dokument, planer och modeller – till exempel genom olika metoder, vägledningar, utbildningar, kravställning och konkret deltagande.
  • Att kontrollera och följa upp informationssäkerheten internt.

Strategiskt arbete jämfört med operativ problemlösning

CISO ansvarar för detta arbete som helhet, vilket innebär att det till stora delar är strategiskt. Det strategiska perspektivet är viktigt för att kunna skapa ett systematiskt arbete som är anpassat till organisationen och hållbart över tid. Annars är det lätt att ägna för mycket tid åt operativ problemlösning.

Det strategiska perspektivet gäller oavsett storlek på och typ av organisation. Skillnaden är att CISO i stora organisationer kanske enbart arbetar strategiskt, medan rollen i mindre organisationer arbetar operativt i större utsträckning.

Vi rekommenderar att mellanstora eller stora organisationer har en utsedd CISO på heltid. Detta kan givetvis även mindre organisationer ha, särskilt ifall dessa har informations- eller it‑intensiva verksamheter, som till exempel är vanligt i mindre kommuner.

Om CISO arbetar med informationssäkerhet på deltid, så bör de andra arbetsuppgifterna vara närliggande. Till exempel inom andra säkerhetsområden (än informationssäkerhet), eller inom skydd av kvalitet, personuppgifter och/eller data.

Klarlägg CISO-rollen i ett organisationsövergripande dokument

Det är viktigt att ni tydliggör och klarlägger CISO:s roll i ett beslutat och organisationsövergripande dokument. Exempel på ett sådant dokument är en så kallad ansvarsprofil eller befattnings­beskrivning (beroende på vad ni vanligtvis tillämpar i er organisation).

Det ska således finnas beskrivet vilka beslutade arbetsuppgifter, vilket mandat samt vilken rapporteringsplikt som ingår i rollen som CISO. Särskilt viktigt är det att ni beskriver mandat och rapporteringsplikt, så att det inte råder någon tveksamhet kring detta – särskilt ifall det skulle bli en intern tvist eller konflikt, till exempel om CISO behöver påvisa brister där den som har ansvar för verksamheten inte fullföljer sitt ansvar.

Dessa klargöranden får därför inte vara löst formulerade, och det är lämpligt att koppla ihop dem med befintliga och redan beslutade styrdokument. Detta eftersom styrdokumenten reglerar vad som får och inte får göras avseende organisationens informationssäkerhet (se Utforma Styrdokument).

Mandat som CISO

Exempel på mandat som en CISO kan ha:

  • Att kravställa vid till exempel utvecklingsprojekt.
  • Att bedriva tillsyn att styrdokument efterlevs.
  • Att rapportera interna brister i efterlevnaden av styrdokument.
  • Att godkänna eventuella undantag från styrdokument, alternativt yttra sig inför eventuella undantag.
  • Att godkänna specifika informationssäkerhetslösningar (det vill säga tolka ifall de uppfyller styrdokument), alternativt yttra sig inför godkännande.
  • Att stoppa aktiviteter som strider mot styrdokument, alternativt att rapportera aktiviteter som strider mot styrdokument.

Rapporteringsplikt som CISO

Det bör även vara formellt fastslaget hur och när CISO ska rapportera. Rapporteringsplikt ska givetvis finnas till närmaste chef, men även till ledning (VD, GD eller styrelse) oavsett var CISO organisatoriskt är placerad.

Hur rapporteringen ska gå till bör regleras:

  • Rapporteringens mottagare – till vilken eller vilka interna roller?
  • Rapporteringens form – muntligt och/eller skriftligt, räcker det med ett mejl, eller ska det finnas ett särskilt rapportformat och så vidare?
  • Rapporteringens frekvens – hur ofta ska CISO rapportera, exempelvis en gång om året, i halvåret eller i månaden?

CISO-rollens organisatoriska placering

Vilken organisatorisk placering av CISO som är lämplig beror på lite olika faktorer, bland annat på organisationens typ, storlek, bransch- eller sektorstillhörighet. Generellt sett så bör CISO alltid vara placerad nära ledningen.

Organisatoriskt sett innebär detta ofta att CISO är placerad i en ledningsstab, till exempel i VD-stab eller GD-stab. Idealet är att CISO är direkt underställd ledning, och att CISO rapporterar direkt till denna.

Är CISO placerad på stab (eller motsvarande) finns ofta en eller två chefsnivåer mellan CISO-funktionen och ledningen. Detta går dock att lösa genom att CISO ändå rapporterar direkt till ledningen.

I en större organisation placeras CISO ofta i en enhet eller grupp, till exempel inom:

  • säkerhet
  • kvalitet
  • juridik
  • GRC (Governance, Risk, Compliance).

Man kan även placera CISO-rollen i en strategisk it‑funktion, till exempel i en CIO‑stab eller liknande. I dessa fall bör dock CISO:s strategiska funktion vara åtskild från organisationens interna it‑produktion, eftersom en CISO är både kravställande och granskande gentemot denna.

Arbetsuppgifter som CISO

I stora organisationer kan CISO ha personalansvar för ett antal underställda roller, till exempel för informationssäkerhetsspecialister eller -handläggare. I detta fall är informations­säkerhets­chef en lämplig benämning på CISO.

För att CISO ska lyckas med organisationens informationssäkerhetsarbete är det viktigt att hela organisationen förstår CISO-rollens uppgifter och stöttar den person som är CISO. Dessutom behöver CISO ett nätverk för informationssäkerhet. Upprätta därför specifika råd och forum för informationssäkerhet, där såväl CISO som de andra rollerna av vikt kan samlas regelbundet.

För CISO är grundprincipen att informationssäkerhetsansvaret följer verksamhetsansvaret viktig. Det är också viktigt att CISO sprider denna kunskap internt – framförallt till de personer som har det egentliga ansvaret för organisationens informationssäkerhet.

Klarlägg andra roller av vikt för informationssäkerheten i styrdokument

Precis som med CISO-rollen bör ni uttrycka informationssäkerhetansvaret i styrdokument – till exempel i informationssäkerhetspolicy och i riktlinjer (se Utforma Styrdokument). Denna beskrivning bör innefatta samma grundprincip som vi gått igenom ovan.

Beskriv vilket faktiskt ansvar för organisationens informationssäkerhet som gäller vissa specifika roller i organisationen, exempelvis:

  • VD eller generaldirektör (GD)
  • Verksamhetschefer (för avdelning, enhet, sektion eller grupp)
  • Processägare
  • Informationsägare
  • Objektägare eller systemägare
  • Projektägare
  • Enskilda medarbetare.

Informationssäkerhetsrelaterat ansvar kan vara lagstadgat

Vissa andra funktioner i organisationen kan också ha ansvar som behöver uttryckas särskilt, till exempel it‑avdelning, personalavdelning (hr-avdelning) och inköpsavdelning. I dessa fall är det cheferna för dessa funktioner som ska ha det formella informationssäkerhets­ansvaret.

Informationssäkerhetsrelaterat ansvar hos vissa roller kan till och med vara lagstadgat. Det kan gälla både roller som har verksamhetsansvar, till exempel person­uppgifts­ansvarig, och stödjande roller som till exempel säkerhetsskyddschef.

CISO och övriga roller av vikt bildar en informationssäkerhetsorganisation

Syftet med att samordna informationssäkerhetsarbetet är att se till så att hela organisationen tar ett gemensamt ansvar för informationssäkerheten. Det är därför mycket viktigt att den person som är CISO bygger upp ett nätverk med samtliga roller som är relevanta för organisationens informationssäkerhetsarbete. Detta underlättar i sin tur själva samordningen av informationssäkerhetsarbetet – det vill säga det ansvar som ligger på CISO.

Tillsammans bildar dessa en så kallad informationssäkerhetsorganisation. Exempel på typiska roller av vikt finner du i tabell 1 nedan.

Tabell U1:1: Exempel på roller av vikt inom en organisation

Exempel på roll:

Beskrivning:

Informationssäkerhets-specialister

I en större organisation finns det ofta fler centrala roller som arbetar under CISO. Dessa kan vara både generaliserade och specialiserade, till exempel inom utbildning, medvetenhet (awareness) eller it.

Lokala informations­säkerhetssamordnare (eller motsvarande)

Dessa roller kan stödja en lokal verksamhet inom organisationen, som till exempel inom ett specifikt affärsområde, dotterbolag, avgränsat geografiskt område eller en specifik avdelning. De kan både ha uppgiften som heltidssyssla, eller som en tillikauppgift ifall de har en mer generell roll (som till exempel säkerhetssamordnare eller verksamhetsutvecklare).

It-säkerhetsansvarig (eller motsvarande)

CISO bör ha ett tätt samarbete med denna roll, som kan ses som en förlängd arm till organisationens it‑verksamhet. Rollen ska vara drivande, normerande, stödjande och kontrollerande gentemot den egna organisationens it-produktion, och även gentemot externa leverantörer.

Övriga säkerhetsroller

Andra säkerhetsområden innefattar i regel alltid aspekter av informationssäkerhet, som fysisk säkerhet, krishantering, riskhantering och kontinuitetshantering. Roller som arbetar med detta bör ha ett nära samarbete med CISO.

Jurister

Jurister och utsedda roller som till exempel dataskydds-eller personuppgiftsombud, som arbetar med att stödja organisationen i informationssäkerhetsrelaterade frågor som kan härledas från eller relateras till rättsliga krav.

Roller inom kvalitet och regelefterlevnad

Roller som på olika sätt arbetar med att upprätthålla och kontrollera verksamheters kvalitet och/eller regelefterlevnad; compliance officers, internrevisorer, kvalitetsledare med mera. Dessa stöter i regel på informationssäkerhetsfrågor.

Råd och forum för informationssäkerhet

För att kunna bedriva och samordna arbetet med informationssäkerhet så bör det finnas grupperingar som träffas regelbundet. Behovet av sådana är särskilt stort i större organisationer, eftersom det är många personer som arbetar med säkerhetsfrågorna. Dessutom kan såväl de organisatoriska som de geografiska avstånden vara större.

Råd och forum är en bra resurs för CISO, som i dessa kan få och ge regelbunden rådgivning, och dessutom utbyta erfarenheter och synpunkter från andra viktiga roller i organisationen. CISO-rollen bör vara ordförande och sammankallande för dessa råd.

En annan fördel är att ett formellt instiftat råd eller forum kan ge informations­säkerhetsfrågorna en ökad tyngd och legitimitet, exempelvis vid uttalanden, interna remisser och rådgivning till ledningen. Frågor rörande informations­säkerhet kan även ingå i råd och forum inom andra områden, som till exempel generell säkerhet, risk eller kvalitet.

Ni bör reglera rådets eller forumets syfte, deltagande roller, mötesfrekvens och så vidare i ett styrdokument som är beslutat. Som stöd för att skapa en instruktion för detta finns en Excelmall: (Mall Utforma Organisation InstruktionRåd).

Viktiga roller i råd eller forum för informationssäkerhet

Roller som kan ingå i ett råd eller forum för informationssäkerhet är:

  • Verksamhetsrepresentanter (till exempel för avdelningar, dotterbolag eller förvaltningar)
  • It-säkerhetschef (eller motsvarande)
  • Andra nyckelroller inom it
  • Närliggande stödfunktioner (till exempel säkerhet, kvalitet, juridik, risk, compliance)
  • Personuppgiftsombud eller dataskyddsombud

Aktiviteter för råd eller forum för informationssäkerhet

Några exempel på aktiviteter för dessa råd är:

  • principdiskussioner
  • erfarenhetsutbyte
  • omvärldsbevakning
  • insamling av behov och utmaningar från olika delar av organisationen
  • framtagning av dokument
  • föredrag och workshoppar med både interna och inbjudna externa talare.

Ni kan även behandla beslutande ärenden i rådet eller forumet, ifall dessa omfattas av CISO:s mandat. Övriga deltagare fungerar då som rådgivare och diskussionspartners inför ett beslut. Att samråd med deltagare i ett råd ska ske inför ett visst beslut kan med fördel även vara reglerat i CISO:s mandat.

Resultatet

Ni kan skriva in ansvarsområden, samordningen av informations­säkerhets­arbetet, roller samt råd och forum för informationssäkerhet i Verktyg Utforma Organisation.

Referens till standarder i 27000-serien:

  • SS-EN ISO/IEC 27001:2017: kap 5.3
  • SS-EN ISO/IEC 27002:2017: kap 6.

Informationssäkerhetsmål

Det huvudsakliga syftet med att utforma informationssäkerhetsmål är att skapa en enighet internt avseende vilken nivå på informationssäkerhet som ni som organisation ska sträva mot. Denna vägledning kan hjälpa er att formulera och strukturera alla informations­säkerhets­relaterade mål – både kortsiktiga och långsiktiga.

Vanliga svenska titlar på den som samordnar informationssäkerhetsarbetet är informationssäkerhetssamordnare, informationssäkerhetsstrateg eller informationssäkerhets­koordinator. I MSB:s metodstöd för systematiskt informationssäkerhetsarbete har vi kallat den person som är ansvarig för samordningen av informations­säkerheten för CISO, en förkortning efter den engelska titeln chief information security officer. Vi har valt att använda CISO eftersom det är kort, koncist och gör texten lättare att läsa.

Tydliga mål underlättar för CISO

Att skapa tydliga informationssäkerhetsmål underlättar för den som är CISO.Målen är grundläggande för att ni internt ska kunna förstå, prioritera och genomföra sådana aktiviteter som leder till ett systematiskt och förbättrat informationssäkerhetsarbete.

Informationssäkerhetsmålen delas in i två typer: strategiska mål och kortsiktiga mål. De strategiska målen kan ni föra in i organisationens informationssäkerhetspolicy (se Utforma Styrdokument), medan de kortsiktiga målen ska föras in i er (vanligen årliga) handlingsplan (se Utforma Handlingsplan).

Vissa av målen, främst de strategiska, kan ni med fördel dela med era externa intressenter.

Analyserna är informationssäkerhetsmålens ingångsvärden

Resultaten från de analyser som ni har gjort i analysfasen är ingångsvärdena till de informationssäkerhetsmål ni tar fram.

Särskilt viktiga analyser är:

  • Riskanalysen (se Analys Risk).
  • Gap-analysen (se Analys gap) – eftersom denna konkret uttrycker vilka brister som finns, det vill säga gapet mellan era behov och nuläget.

Andra viktiga ingångsvärden för er organisation är befintliga mål och visioner som har bäring på informationssäkerhet, till exempel rörande annan säkerhet, kvalitet och it eller digitalisering.

Ta hänsyn till andra strategier, visioner och planer

Såväl era strategiska som kortsiktiga informationssäkerhetsmål bör harmonisera med sättet som ni vanligtvis arbetar med mål i er organisation – exempelvis genom strategier och årliga verksamhetsplaner.

Det är också viktigt att beakta era nationella och bransch- eller sektorspecifika visioner, strategier, mål och handlingsplaner. Exempel: kommuner, landsting och regioner bör beakta handlingsplanerna från Sveriges kommuner och landsting (SKL), som ”Handlingsplan 2017–2025, Förutsättningar för digital utveckling” – eftersom den innehåller just mål för informationssäkerhet.

Informationssäkerhetsmål på lång sikt (3–5 år)

Strategiska informationssäkerhetsmål är långsiktiga mål, som ska uttrycka era interna mål och er viljeinriktning med den interna informationssäkerheten på lite längre sikt (inom cirka 3–5 år). De strategiska målen har ett viktigt symbolvärde, och visar i vilken riktning ni ska sträva.

De strategiska målen behöver inte vara mätbara, utan kan vara övergripande eller visionära. Givetvis kan de lika gärna vara både konkreta och mätbara, för så länge de är långsiktiga så är de strategiska. Exempel: ”Vår organisation ska vid (en viss tidpunkt) vara certifierad mot ISO-standarden SS-EN ISO/IEC 27001”.

Effektmål och resultatmål är strategiska mål

Det finns två sorters strategiska mål – effektmål och resultatmål:

  • Effektmål: Anger vilken effekt ni eftersträvar på lång sikt genom ert informations­säkerhets­arbete. Dessa mål handlar om hur ni ska stödja och förbättra organisationen – ni kanske vill ha högre kvalitet, en stabilare produktion, efterleva rättsliga krav, få tryggare medarbetare eller ökat förtroende från kunder och så vidare. Exempel: ”Vårt mål är att stödja eller främja verksamheter i organisationen”.
  • Resultatmål: Anger vilka resultat ni eftersträvar på lång sikt genom ert informations­säkerhets­arbete. Dessa mål handlar mer övergripande om hur ni som organisation långsiktigt ska arbeta med informationssäkerhet. Exempel: ”Vårt mål är att arbeta på ett systematiskt sätt, utifrån en viss standard eller med informationsklassning”.

Dokumentation av strategiska mål

De strategiska målen kan ni föra in i den informationssäkerhetspolicy som ledningen kommer att besluta (se Utforma Styrdokument). På detta sätt behöver ingen dokumentera eller fatta beslut om era strategiska mål separat.

Givetvis kan ni även sammanfatta era strategiska mål i fler dokument än informations­säkerhetspolicyn, till exempel i era övergripande säkerhetspolicyer eller strategier för it och digitalisering. Det är till och med fördelaktigt att målen för informationssäkerhet finns med som en naturlig del av flera olika strategiska dokument, så länge att alla strategiska mål i dokumenten harmoniserar med varandra. Det är av stor vikt att era interna mål inte motsäger eller står i konflikt med varandra, och detta bör du som CISO bevaka ur perspektivet informationssäkerhet.

Kommunikation av strategiska mål

Var noga med att sprida de strategiska målen internt och till era externa intressenter. Överväg även om det finns fördelar med att även sprida dem till allmänheten (till exempel via er externa webbplats).

Ibland kan man dock behöva hålla vissa strategiska mål konfidentiella. Exempel: Om ni vill hemlighålla ett certifieringsmål av konkurrensskäl, så ska ni undvika att ta med detta i några offentliga dokument. Informationssäkerhetspolicyn bör alltid kunna vara åtkomlig för allmänheten. För att säkerställa att ni når ut till de som berörs av era strategiska mål bör ni ta stöd av er kommunikationsavdelning eller motsvarande.

Undvik behovet av uppdatering av strategiska mål

Formulera era strategiska mål så att de får en giltighet på cirka 3–5 år. Ni ska med andra ord inte behöva omformulera era mål på grund av några enskilda, ibland oförutsedda, händelser.

Informationssäkerhetsmål på kort sikt (1–2 år)

Kortsiktiga informationssäkerhetsmål är mål som direkt eller indirekt uttrycker hur ni som organisation på cirka 1–2 år, ska arbeta för att uppnå era långsiktiga strategiska mål. De kortsiktiga målen ska vara konkreta och ha en tydlig koppling till de analyser som ni har gjort. Exempel: Hur ska ni eliminera eller reducera de risker och brister som ni kartlagt i gap-analysen, eller hur ska ni efterleva specifika rättsliga krav?

Ni kan formulera era kortsiktiga mål genom att uttrycka vilka specifika säkerhetsåtgärder som ska finnas på plats, att de ska fungera på ett visst sätt, eller att de ska användas av en angiven mängd användare (t.ex. i procent).

Ett kortsiktigt mål kan antingen omfatta en specifik säkerhetsåtgärd, en utvald del av en specifik säkerhetsåtgärd eller ett flertal olika säkerhetsåtgärder. De kortsiktiga målen kan även vara likställda med åtgärdsmålen i ISO-standarder som SS-EN ISO/IEC 27001 (bilaga A) och SS-EN ISO/IEC 27002.

Kortsiktiga mål enligt modellen Smart

Eftersom kortsiktiga mål är konkreta, så går det vanligtvis att utforma dem enligt vedertagna krav. Smart är ett exempel på en vanlig modell för just målformulering.

Smart står för:

  • Specifikt: Det ska vara tydligt vad målet är.
  • Mätbart: Det ska vara tydligt hur målet ska mätas.
  • Accepterat: Av den som har ansvar för att uppfylla målet.
  • Realistiskt: Målet ska vara möjligt att uppnå.
  • Tidsatt: Det ska vara tydligt när målet ska vara uppfyllt.

Med andra ord ska era mål och aktiviteter vara så pass konkreta att ni kan bedöma om de uppfyllts eller inte efter den angivna tidsperioden – detta gör nämligen målen mätbara.

Årliga mål i handlingsplanen

För att uppnå era kortsiktiga mål så behöver ni omsätta dem i konkreta aktiviteter. Detta gör ni i en handlingsplan. I planen ska det synas vilka aktiviteter som kopplas till vilka mål. (se Utforma Handlingsplan). De mål som ni väljer att ta med i er handlingsplan kallas då för årliga mål.

Ni fattar således viktiga beslut om era årliga mål i samband med att ni skapar en handlingsplan. Detta ger er i sin tur ett underlag som gör det möjligt att se vilka kortsiktiga mål ni ska prioritera, och vilka mål ni ska försöka uppnå under nästkommande år genom olika aktiviteter.

Visuella målgrafer – för strukturering av kortsiktiga mål

De kortsiktiga informationssäkerhetsmål som ni vill uppnå inom cirka 1–2 år ska antingen direkt eller indirekt vara delmål till de långsiktiga strategiska mål som ni vill uppnå inom 3–5 år.

Det kan alltså förekomma beroenden mellan såväl kortsiktiga som strategiska mål, ibland kan ni behöva uppnå ett flertal kortsiktiga mål för att uppnå ett långsiktigt, och vice versa. Detta faktum kan ibland leda till komplexa förhållanden och så kallade målhierarkier, vilket kan göra det svårt att få överblick. Exempel: Vilka kortsiktiga mål måste ni uppnå för att kunna uppfylla ett långsiktigt mål?

Ett smidigt sätt att strukturera era interna mål är att skapa visuella målgrafer som tydliggör dessa samband. I Verktyg Utforma Målgraf finns det stöd för att göra målgrafer och exempel på hur sådana kan se ut.

En strukturering av organisationens mål kan hjälpa er att prioritera vilka aktiviteter som ni ska genomföra i nästkommande handlingsplan, eftersom ni genom att visualisera beroenden och dylikt gör det lättare att se vad ni behöver göra först.

Struktureringen av mål är viktig vid beslutsfattande

Om ni är noga med att strukturera era mål i målgrafer så kommer ni att se ett samband, eller ”en röd tråd”, mellan era övergripande strategiska mål och de enskilda aktiviteter som ni har beskrivit i handlingsplanen.

Därmed kan det vara effektivt att visa era målgrafer för era beslutsfattare, till exempel inför beslutandet av en kommande handlingsplan eller i samband med ledningens genomgång. Särskilt viktigt är det att visa ledningen att vissa aktiviteter på kort sikt är nödvändiga för att uppnå strategiska mål på lång sikt – inte minst genom att de finns uttryckta i er informations­säkerhets­policy.

Att skapa visuella målgrafer ska ni dock inte se som en nödvändighet – utan snarare som ett möjligt stöd eller verktyg i det fortlöpande arbetet att formulera och strukturera era informations­säkerhets­mål.

Måluppföljning av årliga mål i handlingsplanen

Gör årligen en måluppföljning, förslagsvis i samband med uppföljningen av den årliga handlingsplanen (se Utforma handlingsplan).

Eftersom de strategiska målen är beslutade av organisationens ledning, så behöver de få återkoppling – särskilt kring hur det interna arbetet med att nå målen fortgår. Ett lämpligt tillfälle för att lägga fram en sådan återkoppling är vid ledningens genomgång.

Strategiska mål är som sagt inte alltid mätbara, men för att kunna påvisa er progression mot de strategiska målen så kan ni använda en målgraf. Målgrafen visar tydligt ifall ni har lyckats uppnå de kortsiktiga mål som på lång sikt kommer att leda mot era strategiska mål.

Sammanfatta resultaten i strategiska dokument

För in och strukturera era:

  • strategiska mål i informationssäkerhetspolicyn (se Utforma Styrdokument).
  • årliga mål i handlingsplanen (se Utforma Handlingsplan).
  • informationssäkerhetsmål i en målgraf (se Verktyg Utforma målgraf).

Referens till standarder i 27000-serien:

  • SS-EN ISO/IEC 27001:2017, avsnitt 6.2

Styrdokument

Denna vägledning handlar om att skapa styrdokument för informationssäkerhet. Styrdokument är beslutade dokument som reglerar organisationens informationssäkerhetsrelaterade aktiviteter.

Vanliga svenska titlar på den som samordnar informationssäkerhetsarbetet är informationssäkerhetssamordnare, informationssäkerhetsstrateg eller informationssäkerhets­koordinator.I MSB:s metodstöd för systematiskt informationssäkerhetsarbete har vi kallat den person som är ansvarig för samordningen av informations­säkerheten för CISO, en förkortning efter den engelska titeln chief information security officer. Vi har valt att använda CISOeftersom det är kort, koncist och gör texten lättare att läsa.

Styrdokument på olika nivåer

Beslutade styrdokument reglerar informationssäkerhetsrelaterade aktiviteter i en organisation. Styrdokumenten kan exempelvis ange vilka aktiviteter som ni behöver bedriva, samt var, hur, när, och av vem de ska bedrivas. Dokumenten kan även sammanställa vilka krav som är obligatoriska (så kallade ”ska-krav”) och vilka som är rekommenderande (så kallade ”bör-krav”). 

Styrdokument för informationssäkerhet reglerar området på olika nivåer: från ledningens övergripande viljeinriktning i en informationssäkerhetspolicy, via organisationens övergripande regelverk, till mer detaljerade instruktioner som rör specifika säkerhetsåtgärder (till exempel fysisk åtkomst till en viss lokal, eller hantering av en viss brandvägg). Styrdokumenten kan direkt eller indirekt kopplas till de säkerhetsåtgärder som ni har valt för organisationen.

Att skapa och kommunicera styrdokument för informationssäkerhet är en av de viktigaste arbetsuppgifterna för den som är CISO – eftersom man i dessa dokument beskriver hur informationssäkerheten ska se ut och bedrivas i organisationen.

Analyserna är styrdokumentens ingångsvärden

Resultaten från de analyser som ni har gjort i analysfasen är ingångsvärdena till era styrdokument.

Särskilt viktiga analyser är:

  • Identifiera och analysera Verksamhet.
  • Identifiera och analysera Omvärld, del Rättsanalys – exempelvis dataskyddsförordningen som ställer krav på vissa styrdokument.
  • Identifiera och analysera gap – med de säkerhetsåtgärder som organisationen valt.
  • Resultatet från Utforma informationssäkerhetsmål – eftersom de strategiska målen ska finnas med i informationssäkerhetspolicyn.

Ett annat viktigt ingångsvärde är organisationens befintliga styrdokument samt regelverk eller praxis för att utforma styrdokument.

Vid utformningen av styrdokument är det även viktigt att känna till och ta hänsyn till relevanta nationella och/eller bransch- och sektorspecifika regler och rekommendationer som rör informationssäkerhet och närliggande områden.

Styrdokumentens avsändare och målgrupp

Ett styrdokument har alltid en avsändare (även kallat beslutfattare) och en definierad målgrupp som tydligt uttrycker vem/vilka styrdokumentet gäller för.

Styrdokument kan ha olika detaljeringsgrad – de kan därmed antingen vara övergripande och visionära, eller konkreta och detaljerade. De kan både innehålla bindande ska-krav, och/eller vägledande och rekommenderande bör-krav.

Styrdokumentens ansvariga utgivare

Det är som regel en juridisk organisation som beslutar och ger ut styrdokument, som till exempel ett bolag, en myndighet eller en förening. Styrdokumenten kan dock delas av flera juridiska parter, som exempelvis av flera bolag i en koncern, eller av ett flertal nämnder i en kommun.

Styrdokument kan också ges ut gemensamt mellan ett flertal organisationer, till exempel i en viss bransch eller sektor – men då måste det finnas formella beslut hos varje enskild juridisk organisation.

Efterlevnad av styrdokument bör bevakas och följas upp. För vägledning kring detta se Använda Genomförande och efterlevnad samt Följa upp och förbättra.

Viktigt för ett lyckat informationssäkerhetsarbete

Styrdokumenten är en av de viktigaste hörnstenarna i ett lyckat informations­säkerhets­arbete. I styrdokumenten kan ni ange vad ni ska genomföra och bedriva – och hur det ska gå till.

Med styrdokument kan den som är CISO bygga upp en legitimitet, för såväl sin egen roll som för informations­säkerhets­arbetet. Vid ett eventuellt hinder, som exempelvis bristande agerande från olika roller i organisationen (t. ex. en chef som inte tar sitt ansvar) eller vid liknande konflikter, så är det givetvis en fördel om det finns beslutade styrdokument att hänvisa till.

Förväxla inte styrdokument med annan dokumentation

Observera att styrdokument inte är samma sak som dokumentation av annat slag. Var därför noga så att ni inte blandar ihop styrdokument med dokumentationen av ert informationssäkerhetsarbete. En dokumentation av vilka intressenter som en organisation har, eller dokumentation från en riskanalys är således inte ett styrdokument.

Medan en handlingsplan avser att hantera och åtgärda bristerna i er informationssäkerhet, (se Utforma Handlingsplan), så ska era styrdokument reglera vilka säkerhetsåtgärder ni ska ha, oavsett om de är införda redan eller inte. (se Identifiera och analysera gap).

Olika benämningar på styrdokument

En organisation har som regel en beslutad struktur för styrdokument. Strukturen inkluderar vanligtvis olika typer av och benämningar på styrdokument som får finnas, samt regler för vad som ska ingå i en viss typ av styrdokument och vilka roller som kan fatta beslut om vilka styrdokument. Ofta finns detta reglerat i ett övergripande ”styrdokument för styrdokument”.

Några vanliga benämningar på, och ibland synonymer till, styrdokument är:

  • policy
  • riktlinjer
  • anvisningar
  • instruktioner

Dessa benämningar kan ibland bilda en hierarki, där innebörden av de olika typerna inom en viss organisation skiljer sig åt vad gäller beslutsnivåer, omfattning, ska- och bör-krav med mera.

Om det inte finns en beslutad struktur i organisationen så finns det antagligen en informell praxis för utformning av styrdokument. Oavsett bör styrdokumenten för informationssäkerhet följa den struktur för styrdokument som gäller i just er organisation.

Vägledningens terminologi för styrdokumentens nivåer

Denna vägledning använder följande benämningar för styrdokumentens olika nivåer. Ni kan givetvis byta ut dessa internt om ni så önskar – förutom just termen ”policy”:

  • Informationssäkerhetspolicy: Avser ledningens viljeinriktning med informationssäkerhet.
  • Riktlinjer: Avser organisationsövergripande regler och rekommendationer, och kan innehålla både ska- och bör-krav.
  • Instruktioner: Avser vilka regler och rekommendationer som är specifika för en viss verksamhet, teknisk plattform eller situation. Kan även vara en fördjupning av en specifik riktlinje. Kan innehålla både ska- och bör-krav.

Informationssäkerhetspolicy – det mest centrala dokumentet

En informations­säkerhetspolicy beslutas av ledningen (VD, GD, eller styrelse) och avser ledningens viljeinriktning med informations­säkerheten. Allt informationssäkerhetsarbete i en organisation ska utgå ifrån en informations­säkerhets­policy, vilket gör den till det mest centrala dokumentet för informationssäkerhet.

Informationssäkerhetspolicyn ska rikta sig till alla funktioner och medarbetare i organisationen, och även ofta externt. Det bör med andra ord vara öppen information som kan publiceras såväl internt som externt, till exempel på både intranät och extern webbplats. En informations­säkerhets­policy ska vända sig till hela organisationen, och kan (bör) därför vara gemensam för en koncern med flera dotterbolag, eller för en kommun med flera nämnder.

Utforma informationssäkerhetspolicyn

En informationssäkerhetspolicy är ett strategiskt dokument med en livslängd på cirka 3–5 år. Den måste därmed vara någorlunda stabil över tid, och bör inte behöva uppdateras varje år. Samtidigt är det ett dokument inom ett mycket föränderligt område, så det kan vara en utmaning att hitta rätt balans när man formulerar innehållet.

Som dokument ska informationssäkerhetspolicyn vara relativt kortfattad, ungefär 1–5 sidor lång. Därmed måste den innehålla en kärnfull, konkret och inte allt för utsvävande text. Vidare ska policyn vara anpassad efter just er organisation – inte bara innehålla allmänna uttryck som är hämtade från mallar eller andra organisationer. Ha i åtanke att alla i organisationen ska kunna läsa och förstå innehållet, vilket ställer höga krav på ordval och formuleringar.

Informationssäkerhetspolicyn bör (i enlighet med ISO-standarden SS-EN ISO/IEC 27002) innehålla följande:

  • Definition av informationssäkerhet.
  • Strategiska mål med informationssäkerhet (se Utforma Informationssäkerhetsmål).
  • Principer för informationssäkerhetsarbetet.
  • Ansvar och roller för informationssäkerhetsarbetet (se Utforma Organisation).
  • Hantering av avvikelser och undantag.

Förankra informationssäkerhetspolicyn

Det är mycket viktigt att ni förankrar informationssäkerhetspolicyn – särskilt i ledningen – så att ni som organisation verkligen kan stå för innehållet. Representanter från organisationens olika delar bör därför medverka vid (eller åtminstone ha insyn i) framtagningen så att alla känner en delaktighet från början, inte minst personerna som sitter i ledningsgruppen.

Informationssäkerhetspolicyn kan vara en del av en generell säkerhetspolicy. Däremot får den inte enbart vara en del av en it-policy, digitaliseringsstrategi eller liknande. Detta hindrar förstås inte att delar av informationssäkerhetspolicy även finns med i sådana dokument.

Eventuella terminologiproblem med ordet ”policy”

Själva termen informationssäkerhetspolicy är väl etablerad, och finns till exempel med i ISO-standarderna SS-EN ISO/IEC 27001 och SS-EN ISO/IEC 27002.

Så även om ordledet ”policy” (i informationssäkerhetspolicy) bryter mot er övriga struktur av styrdokument så kan det löna sig att försöka göra ett undantag, eftersom begreppet är så pass vedertaget.

Om ni inte kan göra ett undantag i det här fallet så får ni givetvis döpa dokumentet till något annat som fungerar för er, förslagsvis informationssäkerhets­­strategi, informations­säkerhets­program eller liknande.

Underliggande styrdokument: riktlinjer och instruktioner

Underliggande regelverk, eller styrdokument specificerar den övergripande informationssäkerhetspolicyn.

Denna vägledning särskiljer två sorters underliggande styrdokument:

  • Riktlinjer – är organisationsövergripande. Exempel: Interna krav på längd och utformning av ett lösenord.
  • Instruktioner – är begränsade till en specifik teknisk plattform eller lokala förhållanden. Kan även innebära en fördjupning eller ökad detaljeringsgrad av riktlinjer.

Utforma riktlinjer och instruktioner

När ni utformar en regel eller en rekommendation så kan det öka förståelsen och acceptansen av denna om ni förklarar varför just detta är viktigt. Det behöver också framgå tydligt vad som är krav och vad som är information, i synnerhet när det gäller obligatoriska krav (så kallade ”ska-krav”). Det går att strukturera styrdokumenten på ett sätt som tydliggör detta, exempelvis genom att visualisera riktlinjernas krav i tabellform.

När ni utformar en instruktion så är det bra att se till så att benämningarna på instruktionen i fråga inte motsäger några övergripande riktlinjer.

Två saker är särskilt viktiga att tänka på när ni utformar riktlinjer och instruktioner för informationssäkerhet:

1. Ta avstamp i utvalda säkerhetsåtgärder

Riktlinjer och instruktioner måste ta avstamp i samtliga säkerhetsåtgärder som er organisation har valt ut. Trots att en viss säkerhetsåtgärd redan existerar och är fullt fungerande idag, så kan man råka ”glida” ifrån den om det inte finns krav eller regler som fastslår att det ska fungera på ett visst sätt. Om en nyligen vald säkerhetsåtgärd inte ännu är införd eller fungerar som den ska, så bör även detta regleras genom riktlinjer eller instruktioner. Man kan även styra det med villkor, som att man innan en säkerhetsåtgärd är på plats får agera på ett temporärt sätt, eller med ett dispensförfarande.

I viss mån ska därmed riktlinjer och instruktioner, på samma sätt som en informations­säkerhets­policy, ge uttryck för mål och ambitioner för ett önskat tillstånd – snarare än att vara en beskrivning av nuläget. På så sätt kan dessa styrdokument fungera som en drivkraft för ett förändrat beteende hos olika aktörer i organisationen, och även gentemot externa leverantörer. Det gäller att hitta rätt balans här – roller i organisationen får inte känna att det är omöjligt att efterleva styrdokumenten.

Se till att samtliga säkerhetsåtgärder som ni valt ut i er gap-analys kommer med, får täckning samt kopplas till lämplig målgrupp (se Identifiera och analysera gap).

2. Målgruppsanpassa riktlinjer och instruktioner

Ni bör anpassa era riktlinjer och instruktioner till olika målgrupper, även om de är organisationsövergripande. Genom att anpassa riktlinjerna eller instruktionerna efter målgruppen så ökar chanserna för att alla förstår innehållet.

Det ska tydligt framgå i styrdokumentet vem den primära målgruppen är, det vill säga vilka roller eller grupper som dokumentet riktar sig till och vilka som förväntas efterleva dess regler och rekommendationer. Exempel på olika målgrupper:

  • Alla medarbetare
  • Objektägare (informationsägare, systemägare)
  • It-verksamhet
  • CISO eller informationssäkerhetsorganisationen.

Det är lämpligt att samla alla regler som gäller för en viss målgrupp i ett och samma styrdokument, eller ett och samma kapitel i ett styrdokument. Det går såklart att skapa flera dokument som riktar sig till olika mottagare, eller samlingsdokument med flera avsnitt eller kapitel som riktar sig till olika målgrupper. Det viktigaste är att ni är explicita – ha som mål att en medarbetare aldrig ska behöva leta efter en viss regel i flera dokument eller på flera olika ställen i ett allt för omfattande dokument.

Som stöd vid framtagning av styrdokumenten, eller för att koppla ett styrdokument mot en viss säkerhetsåtgärd eller målgrupp, kan ni använda Verktyg Utforma Styrdokument.

Förankra riktlinjer och instruktioner

På samma sätt som vid framtagningen av informationssäkerhetspolicyn är det viktigt att riktlinjer och instruktioner förankras hos alla som ska efterleva dessa. Representanter från samtliga målgrupper bör därför medverka vid framtagningen, eller åtminstone få en chans att tycka till genom exempelvis remisser internt.

Beslut kring riktlinjer som ska gälla för hela er organisationen bör fattas av ledningen, medan specifika instruktioner kan beslutas av chefer vars verksamhet de kommer att gälla, till exempel verksamhetschefer, objektägare eller processägare. Översikt: innehållet i riktlinjer och instruktioner

Tabell U3:1: Exempel på vad riktlinjer och instruktioner i stort kan innefatta för respektive målgrupp. 

Målgrupp

Exempel på innehåll i riktlinjer och instruktioner

Alla medarbetare

Riktlinjer: Allmänna regler och rekommendationer som rör hantering av information och it, så som användning av internet, e-post och sociala medier, bärbara datorer, låsa datorn, pappershantering på kontoret, beteende vid resor och i offentliga miljöer med mera.

Instruktioner: Regler och rekommendationer för specifika situationer, lokala verksamheter och roller i organisationen, användare av specifika system och så vidare. Instruktionerna kan beslutas av chef för lokal verksamhet, plattform, objektägare och dylikt.

Objektägare (informationsägare, systemägare)

Riktlinjer: Regler och rekommendationer för informations- och system­klassning, behörighetshantering, ändringshantering, användar­instruktioner, riskanalyser, incidenthantering och kontinuitets­hantering.

Instruktioner: Eventuell reglering av specifika objekt (enligt riktlinjerna ovan ska objektägare utfärda instruktioner för användare av objektet.

It-verksamhet

Riktlinjer: Reglering av de it-relaterade säkerhetsåtgärderna rörande exempelvis styrning av åtkomst, kryptering, driftsäkerhet och kommunikationssäkerhet. Regleringar kan relatera till, eller baseras på ramverk för it-säkerhet så som CIS Critical Security Controls.

Instruktioner: Exempelvis reglering av specifika it-processer eller

it-resurser så som brandväggar eller operativsystem. Dessa kan utfärdas av it-säkerhetsansvarig och beslutas av exempelvis it-chef.

CISO och informations-säkerhetsorganisation

Riktlinjer: Det systematiska arbetet med informationssäkerhet kan med fördel regleras i styrdokument för att ge det en formell status. Kan innehålla alla delar av styrningen, exempelvis dokumentstruktur, organisation, informationsklassning och utvärderingar.

Instruktioner: Specifik reglering av informationssäkerhetsarbetet, så som informationssäkerhetsråd eller specifika verktyg som används.

 Referens till relevanta ISO-standarder i 27000-serien:

  • SS-EN ISO/IEC 27001:2017, avsnitt 5.2.
  • SS-EN ISO/IEC 27002:2017, kapitel 5.

Klassningsmodell

I denna vägledning får du stöd med arbetet att skapa en organisationsgemensam modell för klassning av informationstillgångar. Genom att använda en gemensam klassningsmodell kan organisationens informationstillgångar skyddas på ett enhetligt sätt utifrån interna och externa krav på informationens konfidentialitet, riktighet och tillgänglighet. 

Om klassningsmodellen

Klassningsmodellen bör, för att underlätta informationshanteringen med externa aktörer, baseras på MSB:s klassningsmatris som återfinns i Verktyg Utforma Klassningsmodell. Modellen anpassas till den egna organisationen. Informationstillgången ska sedan värderas inom varje säkerhetsaspekt konfidentialitet, riktighet och tillgänglighet. Det är viktigt att nivåerna anpassas och konkretiseras för att spegla den egna organisationens storlek, och verksamhet.

När organisationens klassningsmodell är skapad och nivåerna definierade ska säkerhets­åtgärder kopplas till modellen så att en informationstillgång som är klassad på ett visst sätt omges med ett visst skydd.

Ingångsvärden

Resultaten från samtliga analyser som gjorts i analysfasen liksom organisationens riskanalysmodell är ingångsvärden till er klassningsmodell och de nivåer ni beslutar förs in i verktygets klassningsmatris.

Klassningsmodellens funktion och syfte

Klassningsmodellen används för att värdera informationstillgångar. Informationstillgångar består av information och resurser som används för att hantera information, exempelvis it-system, it-infrastruktur och fysiska tillgångar. Själva informationen är den primära tillgången som ni ska klassa i det första ledet. Resurser som används för att hantera informationen ska sedan utformas så att de möter de krav som klassningen av informationen medför enligt de skyddsåtgärder som klassningsmodell beskriver.

Genom att klassa informationstillgångar utifrån konfidentialitet, riktighet och tillgänglighet kan ni identifiera vilken effekt otillräckligt skydd av  informationstillgångarna får och utifrån det säkerställa att ges rätt skydd. En viss information kan exempelvis vara mycket kritisk när det gäller tillgänglighet och riktighet, men mindre känslig när det gäller konfidentialitet. Klassning syftar främst till att ge tillräckligt skydd för kritiska informationstillgångar, men också till att undvika överskydd med onödigt höga kostnader som följd.

Klassningsmodellens roll är att skapa en organisationsgemensam ram så att klassning sker på ett enhetligt sätt i hela organisationen och att samma skyddsnivå ges till likvärdiga informationstillgångar. Utformningen av den organisationsövergripande klassningsmodellen bör vara MSB:s matris för informationsklassning som måste anpassas för att passa er organisation. Främst gäller detta organisationens egna definitioner av konsekvens- och skyddsnivåer.

Skyddsnivåerna är säkerhetsåtgärder som kopplats till modellens konsekvensnivåer för att ge tillräckligt skydd för information.

I organisationens klassningsmodell ingår sålunda minst följande delar

  • En matris som grundar sig på MSB:s klassningsmatris med ett antal nivåer (rader) och aspekterna konfidentialitet, riktighet och tillgänglighet (kolumner).
  • En beskrivning av de olika klasserna, det vill säga hur de olika nivåerna ska beskrivas i olika värden.
  • Kopplingen mellan klasser och skyddsnivå beskrivet genom att säkerhetsåtgärder och de enskilda nivåerna i en säkerhetsåtgärd kopplas till varje klass.
  • Stödmaterial som kan användas av organisationen att använda klassningsmodellen och genomföra klassning av informationstillgångar.

Den framtagna klassningsmodellen vänder sig i första hand till roller som verksamhets­ansvariga, objektägare (information och system) och projektägare som ansvarar för att sina informationstillgångar är klassade och skyddade på rätt sätt. Modellen kan fungera som ett gemensamt ramverk vid överläggningar med leverantörer av tjänster.

Det systematiska informationssäkerhetsarbetet och SS-EN ISO/IEC 27001 förutsätter att alla externa krav som är relevanta för informationssäkerheten omhändertas i arbetet. Informationstillgångar som är bedömda som säkerhetsskyddsklassificerade uppgifter (dvs. omfattas av sekretess och är av betydelse för Sveriges säkerhet) och som ska hanteras enligt säkerhetsskydds­lagstiftningen ska också klassas enligt organisationens klassningsmodell, enligt samtliga säkerhets­aspekter, liksom andra informationstillgångar. Utöver detta ska sådana tillgångar också klassas enligt säkerhetsskyddsförfattningarnas krav.

Det kan vara en utmaning att i praktiken helt integrera kraven från säker­hets­skydds­lag­stiftningen i det systematiska informations­säker­hets­arbetet. En organisation som berörs av säker­hets­skydds­lag­stiftningen behöver göra en bedömning hur den klassningen ska hanteras i relation till klassningsmodellen för det systematiska informationssäkerhetsarbetet.

Stöd för hur klassning av informationstillgångar går till i enlighet med den framtagna modellen ges i Använda Informationsklassning.

Utformning av matrisen – antal kolumner och rader

Vid utformning av klassningsmodellen bör ni alltså utgå från MSB:s matris för informationsklassning (se figur 1).

 

 MSBs klassningsmatrisFigur U4:1: MSB:s matris för klassning av information

Rekommendationen är att organisationer i olika branscher och sektorer samverkar och anpassar matrisen till varandra för att underlätta vid kommunikation och samverkan.

Anpassning av matrisen

Ni kan lägga till fler aspekter (kolumner) utöver de tre konfidentialitet, riktighet och tillgänglighet om ni har starka behov eller skäl för det. Sådana behov kan vara krav från externa aktörer eller branschgemensamma modeller och metoder.

Exempel på en aspekt som kan behöva adderas är spårbarhet. Spårbarhet uttrycker förmågan och kravet att i efterhand kunna kontrollera tillståndet hos de tre kärnaspekterna, snarare än att vara en egen aspekt. Exempelvis kan höga krav på riktighet medföra krav på spårbarhet genom säkerhetsåtgärderna loggning och logguppföljning för att kunna spåra historiska förändringar hos informationstillgångar.

Anpassningar i antalet nivåer i matrisen och benämningarna på dessa kan också behöva göras om det finns starka skäl, till exempel för att anpassa sig till externa krav eller interna förhållanden. Tänk på att flera nivåer ökar klassningens komplexitet och kan medföra ökade kostnader utan att förbättra informationssäkerheten.

Observera: om ni gör avsteg från nivåerna i MSB:s matris kan det vara bra om ni gör tydliga översättningar och mappningar för att underlätta vid kommunikation och samverkan med andra organisationer.

Definition av konsekvens- och skyddsnivåer

När ni har utformat själva matrisen så ska ni definiera klassningsmodellens nivåer. Er organisationsanpassade klassningsmodell ska beskriva vad det innebär att konsekvenser är måttliga, betydande och allvarliga i organisationen. Har organisationen en riskmodell som beskriver konsekvenser i nivåer så använd den.

Medverkande

Saknas din organisation riskanalysmodell med fastställda konsekvensnivåer behöver ni ta fram och besluta konsekvensnivåer till klassningsmodellen. Detta bör ni göra i workshopform med deltagare som tillsammans kan identifiera och värdera olika typer av konsekvenser som brister eller förlust av konfidentialitet, riktighet och tillgänglighet kan medföra. Representanter från organisationens viktigaste verksamheter bör delta för att olika typer av konsekvenser ska kunna identifieras och värderas.

Workshoppen kan lämpligen ledas av dig som är CISO.

Förbered workshopen väl med hjälp av matrisen, som ni nu tillsammans ska fylla med kategorier och nivåer för bedömning. Förbered gärna diskussionsfrågor, till exempel ”vad innebär betydande konsekvenser för oss, i form av ekonomiska termer eller minskat förtroende?”.

Kategorier och nivåer av konsekvenser

Konsekvensnivåer i klassningsmodellen bör kunna relateras till konsekvensnivåerna i den riskmatris som används i den övergripande riskanalysen (Identifiera och analysera Risk). De behöver inte vara exakt likalydande eller samma till antalet men bör kunna relatera till varandra på ett entydigt sätt. Analysprotokoll från riskanalysen kan med fördel användas som underlag. Kom dock ihåg att ni vid utformningen av klassningsmodellen inte identifierar specifika konsekvenser kopplade till specifika risker, utan nivåer av konsekvenser som kan vara av olika typer.

Konsekvenser vid bristande konfidentialitet, riktighet eller tillgänglighet kan bero på olika kategorier av händelser. Här är en lista med exempel på några olika konsekvenskategorier:

  • Ekonomisk förlust (orsaker t.ex. minskade intäkter, ökade kostnader, skada på tillgångar)
  • Negativ påverkan på, eller avbrott i den operativa verksamheten
  • Överträdelse/ej efterlevnad av rättsliga krav
  • Skadat varumärke /minskat förtroende
  • Skada på annan organisation/omgivande samhället
  • Personskada
  • Miljöskada

Kategorierna ovan ska ses som exempel och inte en fullödig lista. Konsekvenskategorierna kan också ha samband, till exempel minskat förtroende kan leda till minskade intäkter och därmed ekonomisk förlust. Det går att skapa kategorier på olika sätt, det viktigaste är att de känns relevanta för den egna organisationen.

De konsekvenskategorier man väljer att klassa utifrån, kan visualiseras genom att göra klassningsmatrisen till en kub. Bilden nedan visar ett exempel på hur en klassning kan visas för perspektiven samhället, organisationens ekonomi och verksamhet samt den enskilda individen.

 

 Konsekvenskategoriernas sambandFigur U4:2: Konsekvenskategoriernas samband med konsekvensnivåer och säkerhetsaspekter

För de kategorier ni väljer ska ni sedan gradera och formulera konsekvenserna i enlighet med klassningsmodellens nivåer. Det är organisationens egen bedömning om konsekvenser som ska avgöra klassningen. Det innebär att klassningen kan skilja sig åt mellan två organisationer för samma informationsmängd. Dock ska en väl genomförd klassning ta hänsyn till andra organisationers beroende och väga in dessa i klassningen. 

Exempel på graderingar av ekonomisk förlust kan göras i absoluta tal, eller som andelar av något nyckeltal.

  • Måttlig ekonomisk förlust: 1 – 500 000 kronor eller avvikelse på 5-10% av budget.
  • Betydande ekonomisk förlust: 500 000 – 2 miljoner kronor eller avvikelse på 10-20% av budget.
  • Allvarlig ekonomisk förlust: 2 miljoner kronor och uppåt eller avvikelse på över 20% av budget.

När klassningsmodellen sedan ska användas vid klassning av informationstillgångar, så kommer de olika typerna av konsekvenser att tjäna som stöd (Använda Informationsklassning). De olika typerna av konsekvenser bör dock inte skrivas in i själva matrisen, utan hellre i anslutning till den för att inte fylla den med för mycket information och göra den svåröverskådlig.

Er anpassade klassningsmodell kan skapas i Verktyg Utforma Klassningsmodell genom att utgå från MSB:s klassningsmatris (flik 1) och att specificera konsekvensnivåer (flik 2).

Koppling av säkerhetsåtgärder till klassningsmodellen

För att nå syftet med klassningen, att styra så att informationstillgångar ges rätt skydd, ska ni koppla säkerhetsåtgärder till modellen.

Utgångspunkten är de säkerhetsåtgärder som organisationen valt (Identifiera och analysera – Gap). De valda säkerhetsåtgärderna kan behöva specificeras och vara mer konkreta, exempelvis att en viss typ av hantering, metod, rutin eller tekniska säkerhetslösningar krävs för en viss klass. Vissa säkerhetsåtgärder bör användas generellt, medan andra kan varieras beroende på skyddsnivå. Vissa säkerhetsåtgärder går inte att indela i olika nivåer (läs ordet ”nivå” som ”styrka”). Ett exempel är att organisationen ska ha en informations­säker­hets­policy; antingen finns den eller så finns den inte. Andra säkerhetsåtgärder går att ha i olika nivåer till exempel autentisering (enbart användarnamn och lösenord jämfört med flerfaktorsautentisering), hur kryptonycklar ska hanteras och lagras samt vilka uppgifter som ska samlas in till loggsystemet.

I första hand ska ni koppla existerande säkerhetsåtgärder till modellen. Saknas åtgärder, eller har åtgärder identifierats som bristande, behöver de införas respektive förbättras. Du behöver uppdatera handlingsplanen med aktiviteter som säkerställer att skyddsåtgärden finns på plats. Det handlar här om att styra så att kritiska tillgångar får en högre säkerhet, och sådana säkerhetsåtgärder kan ibland innebära ökade kostnader, och ibland möta motstånd i organisationen, exempelvis att det är krångligt eller innebär extraarbete. Säkerhetsåtgärder kan också vara besparande och förenkla arbetet. Om en säkerhetsåtgärd varken innebär högre kostnader eller andra problem så kan ni överväga att använda den på alla nivåer, och inte bara de högsta. Vissa säkerhetsåtgärder finns ibland tillgängliga i hela organisationen genom till exempel en licens.

Nödvändig kompetens: kunna avgöra säkerhetsåtgärdernas skyddsnivå

Precis som vid framtagningen av klassningsmodellen, så bör ni ha en workshop när det är dags att koppla utvalda säkerhetsåtgärder och nivå på skyddsåtgärder till skyddsnivåerna och aspekterna i klassningsmodellen.

För att kunna utföra denna del av workshopen, förbered ett antal frågor av typen: ”Var slänger man papper som innehåller information som bedömts till en viss konsekvensnivå?”, ”Vilken autentiseringsmetod måste minst användas för åtkomst till informationstillgångar av en viss klass?”. Vilka skyddsåtgärder som behövs beror på den verksamhet ni bedriver och hur ni hanterar er information.

Här är det dock en annan typ av kompetens som behövs jämfört med när ni formulerar konsekvensnivåerna. Här behövs kompetenser som kan avgöra vilket skydd säkerhetsåtgärder ger, och det är därför snarare stödverksamheter som ska bidra med kunskap än verksamhetsrepresentanter. Det kan vara CISO, it-säkerhetschef, säkerhetschef, annan säkerhetspersonal och specialister inom it, fastighet , personal och juridik.

När säkerhetsåtgärderna ska kopplas till skyddsnivåer får man göra en avvägning baserad på de kompetenser och erfarenhet som deltar i workshopen. Vid val av säkerhetsåtgärder behöver man veta om det finns rättsliga eller andra externa krav, rekommendationer, vägledningar eller liknande i branschen eller sektorn som organisationen tillhör.

Arbetssätt

Gå igenom varje säkerhetsåtgärd i listan över valda säkerhetsåtgärder från SoA (Statement of Applicability eller UoT Uttalande om Tillämplighet) i Identifiera och Analysera Gap-analys. För varje säkerhetsåtgärd, bedöm om den:

  1. Skyddar mot konfidentialitet, riktighet och/eller tillgänglighet
  2. Ska gälla för de skyddsnivåer ni beslutar om att använda (t.ex. nivå 1, 2 och/eller 3)

I Verktyg Utforma Klassningsmodell kande säkerhetsåtgärder som ni väljer att koppla till klasserna (K3, R3 osv.) skrivas in under Kopplade säkerhetsåtgärder (flik 3). Eftersom de valda säkerhetsåtgärderna (Identifiera och analysera Gap) gäller generellt i organisationen, behöver normalt inte några särskilda säkerhetsåtgärder kopplas till skyddsnivå 1 utan de framgår i gap-analysen. Till skyddsnivåerna 2 och 3 noteras de säkerhetsåtgärder och de nivåer som tillkommer. I kolumnen ID Säk.åtg. kan en referens skapas till aktuell/a säkerhetsåtgärd/er i Identifiera och analysera Gap.

Det är inte så att alla säkerhetsåtgärder ni valt i organisationen måste ”skiktas” och finnas med i olika nivåer. Erfarenheten visar att de flesta säkerhetsåtgärder i de flesta verksamheter bör gälla för samtliga klasser, och att det är ett fåtal som bör gälla för en enbart en klass.

Om avsnittet ovan ska beskrivas på ett visualiserat sätt, skulle det kunna förklaras med följande bilder:

 Klassningens mappning mot tre skyddsnivåerFigur U4:3: Klassningens mappning mot tre skyddsnivåer.

Är då inte skyddsnivåer ett trubbigt verktyg? Nej, de säkerhetsåtgärder som ingår i en skyddsnivå har redan valts av organisationen baserat på genomförd riskanalys (Identifiera och analysera Risk). Ni bör även göra en riskanalys i samband med klassning av specifika informationstillgångar (se Använda Informationsklassning). Lokala och specifika förhållanden kan variera vilket kan få till följd att skyddet för en viss informationstillgång kan behöva ytterligare eller starkare säkerhetsåtgärder eller att en viss skyddsåtgärd som föreskrivs i skyddsnivån inte behövs.

Dokumentation och beslut

Klassningsmodellen kan med fördel finnas med i styrande dokument som till exempel organisationsövergripande riktlinjer för informationssäkerhet (se Utforma Styrdokument). Då blir den beslutad och kan riktas till de målgrupper som ska använda klassningsmodellen, såsom informationsägare och systemägare.

I policyn kan ett mål vara att ”Alla kritiska informationstillgångar ska vara klassade i enlighet med organisationens gemensamma klassningsmodell”.

Klassningsmodellen, inklusive specifikation av konsekvensnivåer och skyddsnivåer kan skapas och dokumenteras i Verktyg Utforma Klassningsmodell.

Referens till standarder i 27000-serien:

SS-EN ISO/IEC 27002:2017: avsnitt 8.2 Informationsklassning

Handlingsplan

Denna vägledning ger stöd i att skapa en handlingsplan för informations­säkerhets­relaterade aktiviteter, som ska beskriva de aktiviteter som ni ska genomföra. Handlingsplanen ska innehålla detaljerad information om varje aktivitet – till exempel vem som är ansvarig för själva genomförandet, samt resurser och tidplan för aktiviteten.

Vanliga svenska titlar på den som samordnar informationssäkerhetsarbetet är informationssäkerhetssamordnare, informationssäkerhetsstrateg eller informationssäkerhets­koordinator. I MSB:s metodstöd för systematiskt informationssäkerhetsarbete har vi kallat den person som är ansvarig för samordningen av informations­säkerheten för CISO, en förkortning efter den engelska titeln chief information security officer. Vi har valt att använda CISOeftersom det är kort, koncist och gör texten lättare att läsa.

Handlingsplanen är ett viktigt verktyg

Syftet med en handlingsplan är att tydliggöra hur organisationen ska gå från behov till faktisk åtgärd, det vill säga att eliminera eller reducera de informationssäkerhetsrelaterade risker och brister som ni identifierat i analysfasen. Handlingsplanen kan också innehålla mål och aktiviteter som är kopplade till delar av det systematiska arbetet med informationssäkerhet, till exempel att se över roller och ansvar eller ta fram en process för riskhantering.

En handlingsplan gäller oftast för ett år i taget.

Tänk på att även dokumentera de aktiviteter som ni redan nu ser att ni behöver genomföra men inte har möjlighet att förverkliga under den tidsperiod som handlingsplanen sträcker sig.

För CISO är handlingsplanen därmed ett viktigt stöd, eftersom den gör det möjligt att säkerställa att organisationen verkligen genomför och följer upp de aktiviteter som ni har planerat in.

Analyserna är handlingsplanens ingångsvärden

Resultaten från de analyser som ni har gjort i analysfasen är ingångsvärdena till er handlingsplan. Särskilt viktig är gap-analysen, eftersom denna så konkret uttrycker vilka brister som finns – det vill säga gapet mellan behov och nuläge (se Analys gap).

Brister i gap-analysen är baserade på övriga analyser i metodsteget Identifiera och analysera, främst omvärldsanalysen (rättsliga krav) och riskanalysen. De aktiviteter som ni väljer att ta upp i handlingsplanen avser att minska eller eliminera de risker eller brister som ni påvisat, eller att se till så att ni börjar efterleva målen i form av rättsliga och andra externa krav.

Ett annat, mer direkt ingångsvärde är de kortsiktiga informationssäkerhetsmål som ni formulerat i Utforma informationssäkerhetsmål. Observera att man sällan kan uppnå alla dessa mål under den tidsperiod som handlingsplanen avser, och därför kan man behöva prioritera bland de kortsiktiga målen. Denna vägledning ger stöd i att prioritera kortsiktiga informations­säkerhets­mål, och därmed att välja vilka aktiviteter som ska ingå i er handlingsplan.

Fler ingångsvärden till handlingsplanen är de förutsättningar som finns för att genomföra det ni vill. Det handlar om de personer i er organisation som  har ansvar för den verksamhet som berörs och därmed ansvarar för de aktiviteter som behöver genomgöras. Dessa personer kan även ansvara för andra typer av aktiviteter som pågår eller planeras, och som påverkar möjligheten för er att genomföra era kortsiktiga mål. Det handlar även om vilka resurser som finns tillgängliga för de aktiviteter som ni vill föra in i handlingsplanen.

Handlingsplanens funktion och omfattning

Handlingsplanens funktion är att säkerställa så att ni genomför de aktiviteter som ni har valt ut för att förbättra informationssäkerheten i er organisation under den tidsperiod som handlingsplanen avser (vanligtvis ett år).

Aktiviteterna i en handlingsplan kan syfta till att:

  • eliminera eller minska identifierade informations­säkerhets­relaterade brister som sammanställts i Analys gap.
  • skapa eller förvalta ett systematiskt informationssäkerhetsarbete, det vill säga stegen i detta metodstöd.

Aktiviteterna ska avse att nå de årliga målen i Utforma informationssäkerhetsmål.

Följ befintliga sätt att leda, styra och följa upp verksamheten

En handlingsplan bör följa eller vara en del av organisationens redan existerande sätt att leda, styra och följa upp verksamheten genom att integreras i exempelvis verksamhetsplaner och verksamhetsbudgetar. Detta gör så att ni kan äska och budgetera resurser, på samma sätt som vid aktiviteter av annan karaktär.

Det är därmed lämpligt att låta handlingsplanen följa organisationens verksamhetsstyrning – vilken ofta löper på årlig basis. Denna vägledning utgår från att handlingsplanen är årlig, men det går givetvis att låta den omfatta både längre och kortare tidsperioder. Det viktigaste är att handlingsplanen omfattar en fastställd tidsperiod, så att ni kan styra och följa upp de aktiviteter som den omfattar.

Välj ut aktiviteter till handlingsplanen

Kortsiktiga mål och tillhörande aktiviteter behöver ni prioritera och föreslå i er handlingsplan som ska innehålla årliga mål och årliga aktiviteter. Man kan sällan genomföra allt under det första året som omfattas av handlingsplanen vilket innebär att ni måste prioritera bland de kortsiktiga målen. Längre fram i denna vägledning kan ni läsa om hur ni kan tänka vid prioriteringen av aktiviteter.

Ibland kan man behöva väga nyttan med en föreslagen aktivitet mot kostnaden för aktiviteten. Detta kan ni göra i en strukturerad analys, en så kallad kostnads-nyttoanalys. Se vägledningen Kostnads-nyttoanalys för mer information.

Beslut och validitet

En handlingsplan ska vara ett beslutat dokument. Ni ska beskriva varje aktivitet i detalj: vad ni vill genomföra, vilka som är ansvariga, vilka resurser som är allokerade och vilken tidsram som är bestämd. Ledningen, eller den ledningen delegerat till, ska sedan fastställa handlingsplanen, och samtidigt säkerställa att det finns resurser för att genomföra de aktiviteter som tas upp. Det är vanligt att detta arbete görs inom ramen för den ordinarie verksamhets­planeringen.

Observera att handlingsplanen inte får devalveras till någon sorts ”önskelista”, med ett fåtal aktiviteter som enbart CISO tycker är nödvändiga och vill genomföra. Däremot kan och bör du som CISO ha framförhållning med din egen planering av vad som bör finnas med i den kommande handlingsplanen.

Det är ytterst viktigt att du hanterar och löser frågan om handlingsplanens status i relation till organisationens ordinarie planerings- och uppföljningscykler, andra planeringsdokument, verksamhetsplan, budget med mera.

Informationssäkerhet i andra handlingsplaner

Informationssäkerhetsrelaterade aktiviteter kan ingå i handlingsplaner inom andra områden, som exempelvis generell säkerhet, kvalitetsstyrning och it eller digitalisering. Detta kan vara positivt för organisationens informationssäkerhet och bidra till att informationssäkerheten integreras med andra områden. Som CISO bör du ha vetskap om och kanske även kontroll över sådana informationssäkerhetsrelaterade aktiviteter för att kunna samverka med de som är ansvariga för dessa handlingsplaner.

Ett flertal underliggande handlingsplaner

En koncern eller stor organisation kan ha ett flertal handlingsplaner som beslutas av dotterbolagschefer, avdelningschefer, nämnder eller motsvarande. Återigen: se till så att dessa handlingsplaner passar in i organisationens ordinarie verksamhetsplanering, så att de kan anpassas efter den organisationsstruktur och de ansvarsområden som finns.

Om det finns fler handlingsplaner så är det viktigt att du som är CISO har kontroll över de informationssäkerhetsrelaterade delarna i dessa – och eventuellt operativt koordinerar dem.

It-system kan vara organiserade i objekt enligt en förvaltningsmodell med årliga förvaltningsplaner. Dessa innehåller i regel aktiviteter och budgetar som beslutas av objektägare. Detta ger en god grund för att få in relevanta säkerhetsåtgärder och andra informations­säkerhetsrelaterade aktiviteter på ett integrerat sätt i organisationens it-styrning.

Aktiviteternas omfattning och form

Aktiviteterna i en handlingsplan kan vara av olika slag och storlek. Allt från några timmars arbete för en person – till ett projekt som varar i flera månader med en omfattande bemanning.

Hur man utformar aktiviteter kan bero på praktiska förhållanden och traditioner inom den egna organisationen. Viktigast är att aktiviteterna är väl avgränsade och tydligt beskrivna så att det går att specificera åtgången av tid och resurser.

Det är ofta ansvarsområdet som styr själva omfattningen av en aktivitet. Exempel: en översyn av samtliga rutiner vid anställning och avslut av anställning sätts samman i en aktivitet i handlingsplanen i form av ett projekt med personalchefen som projektägare och ansvarig för aktiviteten.

Ett annat relevant skäl att definiera en aktivitets omfattning på ett visst sätt kan vara att en extern leverantör erbjuder aktiviteten i fråga som en färdigpaketerad tjänst.

Välj aktivitet efter mognadsgrad

Val av aktiviteter till handlingsplanen kan variera beroende på organisationens mognad. För en organisation som nyligen påbörjat sitt systematiska informationssäkerhetsarbete kan handlings­planen i stort sett enbart bestå av aktiviteter som är grundläggande för att komma igång. Exempel på sådana aktiviteter är framtagning av en informations­säkerhetspolicy och organisation för informationssäkerhet.

För en organisation som är informationssäkerhetsmässigt mogen kan aktiviteterna istället handla om att förbättra det systematiska informations­säkerhets­arbetet och att förbättra säkerhetsåtgärder.

Observera att aktiviteter som är kopplade till rättsliga krav, som exempelvis Dataskydds­förordningen, måste hanteras av alla organisationer – oavsett mognadsgrad.

Olika typer av aktiviteter

Handlingsplanens aktiviteter kan innefatta åtgärder som direkt är kopplade till bristen på, eller avsaknaden av, säkerhetsåtgärder enligt er gap-analys (specificeras nedan). De kan också syfta till att skapa ett systematiskt informationssäkerhetsarbete i enlighet med detta metodstöd, exempelvis styrdokument eller klassningsmodell.

Du som CISO bör vara ansvarig för samtliga aktiviteter som har koppling till det styrningen av det systematiska informationssäkerhetsarbetet.

Aktiviteter kopplat till gap-analysen

En aktivitet kan vara likställd med, eller en delmängd av, en säkerhetsåtgärd i gap-analysen. Därmed kan en aktivitet:

  1. Tillsammans med andra aktiviteter införa en säkerhetsåtgärd. När fler av aktiviteterna i en handlingsplan tillsammans har som mål att öka medvetenheten om informationssäkerhet i organisationen – kan aktiviteterna exempelvis utgöras av utbildningar eller kampanjer (se säkerhetsåtgärd 7.2.2).
  2. Införa ett flertal säkerhetsåtgärder. När en viss aktivitet i en handlingsplan har som mål att skapa en organisationsövergripande process för exempelvis incidenthantering (se säkerhetsåtgärderna 16.1.1–16.1.7).

Prioritera aktiviteter som har bäst effekt

En organisation har inte alltid ekonomisk eller praktisk möjlighet att ta hand om alla brister i en och samma handlingsplan. Särskilt problematiska är sådana aktiviteter som ska genomföras under en väldigt begränsad tid.

Ni behöver därför göra prioriteringar internt, där ni bestämmer vilka aktiviteter som ni ska genomföra den kommande perioden eller det kommande året – och vilka ni kan genomföra längre fram i tiden.

Prioritera de aktiviteter som har bäst effekt. Sträva efter en balans mellan följande två typer:

  1. Aktiviteter som minskar eller eliminerar de mest kritiska (det vill säga mest allvarliga och betydande) bristerna enligt er gap-analys.
  2. Aktiviteter som är resursmässigt genomförbara enligt de förutsättningar som ni beskriver i handlingsplanen.

Andra faktorer som kan påverka prioritering

Det kan även finnas andra faktorer som kan påverka prioriteringen av aktiviteter till handlingsplanen. I samband med val av aktiviteter i handlingsplanen bör ni ställa exempelvis följande frågor:

  • Finns det områden eller satsningar som prioriteras i organisationen, till exempel e-tjänster, mobilt arbete eller nytt affärsområde?
  • Ger vissa aktiviteter ett symbolvärde internt eller externt?
  • Finns snabba lösningar (”lågt hängande frukter”) som kan ge goda exempel på kort tid, till exempel i form av pilotprojekt?
  • Finns långsiktiga aktiviteter som ni bör påbörja i tid, även om resultatet för dessa kommer längre fram i tiden?
  • Finns skäl att genomföra aktiviteterna i en viss ordning, exempelvis på grund av tekniska, organisatoriska eller pedagogiska omständigheter?

Tänk på att ni kan göra en kostnads-nyttoanalys för såväl hela handlingsplanen som för enskilda aktiviteter. En kostnads-nyttoanalys kan underlätta prioriteringen av aktiviteter (se Kostnads-nyttoanalys).

Framtagning och utformning av en handlingsplan

För att underlätta genomförandet av en handlingsplan så är det viktigt att alla berörda delar av organisationen är med vid framtagandet. På så sätt blir de aktörer som kommer att påverkas medvetna om kommande aktiviteter och förändringar i ett tidigt skede – ha som målsättning att ingenting som står i handlingsplanen ska komma som en ”överraskning” för någon som aktiviteten eller förändringen berör. Särskilt viktigt är förstås samverkan med de som sätts som ansvariga för aktiviteter, så att de kan få med det i sin planering och budgetarbete.

Aktiviteter i handlingsplanen innebär ibland inköp av konsulttjänster eller produkter, och i dessa fall är det bra att i tid engagera organisationens upphandlingsfunktion.

Handlingsplanens innehåll

En handlingsplan består huvudsakligen av de aktiviteter som den omfattar, med följande information om varje aktivitet:

  • Aktivitet (namn och kort beskrivning)
  • Årliga informationssäkerhetsmål (ett eller flera)
  • Säkerhetsåtgärd (en eller flera)
  • Prioritet
  • Kostnader och resurser
  • Ansvarig
  • Startdatum
  • Slutdatum

För mindre aktiviteter räcker det oftast med denna information. Lite större, mer omfattande och/eller komplexa aktiviteter kräver som regel en djupare beskrivning – exempelvis i form av uppdragsbeskrivningar och projektdirektiv. En del beskrivningar kan ni lägga in som bilagor till handlingsplanen.

Tänk på att ta höjd för oförutsedda kostnader, så kallade kringkostnader, som mer eller mindre alltid uppstår. Som exempel kan den personal som enligt handlingsplanen är avsedd för arbetet med en viss aktivitet bli upptagen (till exempel i reaktivt arbete med incidenter).

Notera beroenden mellan aktiviteter

Det är bra att göra särskilda noteringar för samband eller beroenden mellan aktiviteter – till exempel om en aktivitet endast kan börja när en annan aktivitet tagit slut. Notera även beroenden från aktiviteter och händelser som sker utanför handlingsplanen.

Illustrera med fördel aktiviteterna i handlingsplanen grafiskt, till exempel med hjälp av ett Gantt-schema. I ett sådant schema kan ni visualisera alla beroenden och flöden mellan aktiviteterna (se figur 1).

 Figur 1 

Figur U5:1: Aktiviteterna i handlingsplanen kan beskrivas grafiskt exempelvis i form av ett Gantt-schema.

Kommunikation i ett tidigt skede – för inkludering

Resultatet av en del aktiviteter i handlingsplanen kan medföra vissa förändringar för funktioner och medarbetare i organisationen. Även under handlingsplanens genomförande kan vissa aktiviteter medföra händelser som påverkar olika grupper internt, till exempel driftsstörningar vid uppgraderingar. Det är därför bra om ni i god tid planerar in och kommunicerar ut vilka förändringar som ni kommer att genomföra och, om det är möjligt, även tidpunkt för genomförandet. Det är nödvändigt både för att förändringarna ska accepteras, och för att alla nya eller förändrade lösningar ska fungera och kunna användas som det är tänkt.

Ni kan även behöva kommunicera med de externa aktörer som kan komma att påverkas av aktiviteterna i er handlingsplan – till exempel vid själva genomförandet av en aktivitet eller av dess resultat. Det kan handla om att delge viss information till exempelvis kunder, leverantörer, affärspartner, medborgare, fysiska besökare eller besökare på er externa webbplats.

Tänk på att alla former av kommunikationsfrågor alltid bör konsulteras med organisationens kommunikations­avdelning eller motsvarande.

Uppföljning av handlingsplanen

Ni behöver följa upp både handlingsplanen och de aktiviteter som den omfattar. Uppföljning behöver göras kontinuerligt och över hela den tid som handlingsplanen sträcker sig. Utan kontinuerlig uppföljning finns stor risk att mål och aktiviteter inte hinns med. Det är även bra att ha förutbestämda kontrollpunkter när handlingsplanen kan justeras. Allt detta bör koordineras med organisationens ordinarie planerings- och uppföljningscykler.

Resultatet av uppföljningen är viktig input för nästa (års-)cykels analys och utformning. Inte minst för att ni ska kunna föra in alla icke-genomförda aktiviteter i nästa handlingsplan – så att dessa kan prioriteras och bli genomförda nästa år.

Förverkligandet av handlingsplanen och dess resultat (eller brist på resultat) är relevant för metodsteget Följa upp och förbättra, och bör tas upp i Ledningens genomgång.

Under genomförandet av handlingsplanen bör CISO bevaka hur de olika aktiviteterna fortlöper (se Använda Genomförande och efterlevnad).

Observera att ni kan behöva rapportera stora problem eller avvikelser under genomförandet till ledningen.

Resultat

Ni kan skriva in er handlingsplan i verktyget Utforma Handlingsplan

Referens till standarder i 27000-serien:

  • SS-EN ISO/IEC 27001:2017: kap 6.2 och kap 8.1.

Licens

Du får använda metodstödet på det sätt som passar dig med villkor som följer licensen ”Creative Commons Erkännande 4.0 Internationella Publika Licens” (CC BY 4.0), https://creativecommons.org/licenses/by/4.0/legalcode.sv.


Logotype för Creative Commons licens CC-BY-4.0