Identifiera och analysera

Verksamhetsanalys

Den här vägledningen fokuserar på informationssäkerhetens interna perspektiv. Detta innebär att man analyserar sin verksamhet i tre delar: interna intressenter, interna förutsättningar och informationstillgångar.

Analysera er verksamhet i tre steg

För att ni ska kunna utforma styrningen av organisationens informationssäkerhet på ett så lämpligt och kostnadseffektivt sätt som möjligt så krävs olika typer av analyser.

I denna vägledning får ni hjälp att analysera er verksamhet i tre olika delar, eller steg:

Analysera era interna intressenter
Analysera era interna förutsättningar
Analysera era informationstillgångar.

Interna intressenter – personer inom organisationen

Interna intressenter är personer (befattningar) eller enheter inom er organisation som påverkar eller påverkas av hur informationssäkerheten styrs. Var och en av dessa intressenter har någon form av behov, förväntningar eller krav som rör informationssäkerheten och dess styrning. Genom analysen identifierar ni vilka intressenterna är och vilka krav de har på hur ni utformar ert informationssäkerhetsarbete.

Interna förutsättningar – förhållanden som påverkar utformningen

Interna förutsättningar är de förhållanden, utöver interna intressenter, inom er organisation som ni behöver ha i åtanke när ni utformar informationssäkerheten och dess styrning. Var och en av dessa interna förutsättningar har någon form av påverkan på hur ni bäst bör utforma informationssäkerheten och dess styrning för er organisation. Genom analysen identifierar ni såväl dessa förutsättningar som deras påverkan.

Exempel på interna förhållanden kan vara var verksamheten bedrivs geografiskt, om verksamheten bedrivs på flera ställen och ägarförhållanden.

Informationstillgångar – den information som ska skyddas

Informationstillgångar är den information som verksamheten hanterar och som ni därmed ska skydda med hjälp av informationssäkerhet, inklusive de resurser som behandlar informationen (exempelvis it‑system). Med hjälp av analysen identifierar ni vilka tillgångar som finns, så att de kan få rätt sorts skydd – en viktig utgångspunkt för det vidare arbetet.

Analysera övergripande, inte i detalj

I inledningsskedet är det viktigt att inte fastna allt för länge i analyserna. För att komma igång med själva arbetet så kan ni analysera de olika delarna av organisationen relativt snabbt och på en övergripande nivå. Sedan kan ni med fördel återkomma till analysresultaten, uppdatera dem med ny information och vid behov fylla i fler detaljer.

Exempel på tidsåtgång för denna analys:

Avsätt en arbetsdag för att kartlägga och analysera interna intressenter
Avsätt en arbetsdag för att kartlägga och analysera interna förutsättningar
Avsätt en arbetsdag för att kartlägga och analysera informationstillgångar.

Dra nytta av tidigare analyser

Ibland finns det tidigare genomförda analyser av organisationens olika verksamheter. Var noga med att kolla upp detta, för i sådana fall kan ni dra nytta av och utgå från dessa. Ett typiskt exempel på tidigare analyser är listor på system eller informationstillgångar som er organisation gjort i andra sammanhang.

Det finns vägledning och verktyg för varje analysdel

Den här vägledningen är indelad i de tre delarna Interna intressenter, Interna förutsättningar och Informationstillgångar. För varje del finns en beskrivning av hur analysen går till samt exempel på hur den kan se ut.

Till varje del finns ett tillhörande stöd i form av en Excelmall som ni kan använda i arbetet. Excelmallen Verktyg Analys Verksamhet innehåller exempel och viss automatisering. Var och en av de tre delarna har en egen flik i verktyget. Ni kan använda verktyget både vid själva analystillfället och som dokument över analysresultatet.

Analysernas resultat – grunden i informationssäkerhetsarbetet

Denna analys syfte är att vara grunden när ni utformar informationssäkerhetens styrning inom er organisation. Mer konkret innebär det att det sammanlagda resultatet från samtliga analyser (av omvärld, verksamhet, risk, samt gap-analys) ska styra dels hur er organisation väljer att angripa informationssäkerhetsfrågan, dels vilka säkerhetsåtgärder ni behöver för att skydda er information.

Så: utformning av organisation (ansvar och roller) för informationssäkerhet samt policy, riktlinjer, rutiner, processer och åtgärder för informationssäkerhet – allt detta utgår från dessa analyser.

Om ni vill ha en mer sammanfattande bild av analysresultatet kan ni sammanställa samtliga analysers resultat i ett separat dokument. Ett sådant dokument kan ni sedan använda som grund i ett så kallat ”business case” för det systematiska informationssäkerhetsarbetet.

1. Analysera organisationens interna intressenter

Interna intressenter är personer (befattningar) eller enheter inom er egen organisation som antingen påverkar eller påverkas av informationssäkerheten och dess styrning. Var och en av dessa intressenter har någon form av behov, förväntningar eller krav i relation till er informationssäkerhet.

Tabell IA2:1: Exempel på intressenter och krav

Kategori:	Intressent:	Krav, roll:
Beslutsfattare:	Styrelse	Beslutar om och styr över hur ni ska bedriva ert arbete med informationssäkerhet. Krav på kostnadseffektivitet och ändamålsenlighet.
	Ledning
	VD, GD
	Ekonomichef, personalchef

Objektägare:	Objektägare	Ställer krav gällande informationssäkerhet för objektet eller objekten som de ”äger”. Behöver ofta stöd för att förstå hur de ska ställa sina krav.
	Processägare
	Informationsägare
	Systemägare

Stödenheter:	It‑enhet	Är föremål för styrning av informationssäkerhet samt ansvarar för vissa säkerhetsarrangemang.
Stödenheter:	Personalenhet Fastighetsenhet Registratur Juristfunktion

Medarbetare:	Anställda	Tar till sig och rättar sig efter regler. Vill kunna arbeta produktivt, oavsett gällande säkerhetsåtgärder.
Medarbetare:	Konsulter Praktikanter Medarbetare med speciella roller

Informationssäkerhet:	CISO	Utformar styrningen av informationssäkerheten och ser till att den på olika sätt implementeras i organisationen.
	It‑säkerhetsansvarig
	Säkerhetschef
	Säkerhetskoordinator

Analysera de interna intressenterna så här:

Använd verktyget: Öppna Excelmallen ”Verktyg Analysera verksamheten”. Välj sedan fliken som heter ”1. Interna intressenter”.
Identifiera alla viktiga interna intressenter: Utgå från tabell 1 ovan, samt från era egna erfarenheter eller andra källor.
Diskutera intressenternas roller: Diskutera intressenternas roller, alltså hur de påverkar och påverkas av er informationssäkerhet och dess styrning.
Identifiera intressenternas krav: Identifiera vilka behov, förväntningar och krav era intressenter har, exempelvis med hjälp av diskussioner, möten, intervjuer eller enkätundersökningar. Dokumentera det ni kommer fram till i verktyget (Excelmallen).

2. Analysera organisationens interna förutsättningar

Interna förutsättningar är olika förhållanden, utöver interna intressenter, inom er egen organisation som ni behöver ha i åtanke när ni utformar informationssäkerheten och dess styrning. Var och en av dessa förutsättningar har således någon form av påverkan på hur ni bäst bör utforma informationssäkerheten.

Interna förutsättningar kan vara nästan vad som helst inne i er organisation som påverkar eller påverkas av utformningen eller styrningen av det systematiska informationssäkerhetsarbetet. Exempel på sådana förutsättningar finns i tabell 2 nedan.

Tabell IA2:2: Exempel på interna förutsättningar och dess påverkan

Intern förutsättning:	Typ av påverkan:
Policyer, mål och strategier i organisationen:	Befintliga policyer, mål och strategier avslöjar ofta var er organisation är på väg. Därför måste informationssäkerhetens styrning och mål vara anpassade till detta.
Verksamhetsstyrning:	Befintlig styrning och planering av er verksamhet. Exempel på fenomen som påverkar styrningen av er informationssäkerhet: förvaltningsmodellen för it planeringsprocessen för verksamhet budgetprocessen sätt att leda och styra.
Organisationens struktur:	Strukturen avslöjar era interna ansvarsområden, roller, rapporteringsvägar och process vid beslutsfattande. Denna struktur styr därmed förutsättningarna för utformningen av ansvar och befogenheter inom er informationssäkerhet.
Organisationens kultur:	Er kultur avslöjar vad som fungerar och vad som förväntas internt gällande styrningen av informationssäkerhet. Vissa organisationer är vana med en vag målstyrning, medan andra kräver en mer detaljerad styrning.
Organisationens processer:	Såväl era processer för styrning som era processer för organisationen i stort (exempelvis inköp, rekrytering, produkt- och tjänsteutveckling, marknadsföring, leverans och klagomål) påverkar och påverkas av styrningen av informationssäkerhet.
Organisationens resurser:	Resurserna avser främst tillgången till personal och finansiella medel samt dess påverkan.
Standarder och riktlinjer i organisationen:	Befintliga standarder som ni har valt att jobba efter som kan påverka eller påverkas av er informationssäkerhet och dess styrning.
Kompetens inom organisationen:	Vilken kompetens finns var inom er organisation? Detta påverkar vilket ansvar som ni kan dela ut, och vilka typer av säkerhetsåtgärder som kan tänkas fungera ändamålsenligt.
Kommunikation inom organisationen:	Era kommunikationsvägar och sätt att kommunicera är centralt för styrningen av er informationssäkerhet. Alltså: ha era befintliga sätt att kommunicera internt i åtanke när ni utformar informationssäkerheten och dess styrning.
Organisationens infrastruktur:	Befintlig infrastruktur och teknik, inklusive informationsteknik, påverkar i hög grad informationssäkerheten och dess styrning. Observera att ni ska hantera specifika informationstillgångar i nästa del av analysen (del 3).

Analysera de interna förutsättningarna så här:

Använd verktyget: Öppna Excelmallen ”Analys Verksamhet”. Välj sedan fliken som heter ”2. Interna förutsättningar”.
Identifiera alla interna förutsättningar av vikt: Utgå från tabell 2 (ovan), samt från era egna erfarenheter eller andra källor.
Diskutera förutsättningarnas påverkan: Diskutera hur förutsättningarna påverkar och påverkas av er informationssäkerhet och dess styrning.
Identifiera förutsättningarnas krav: Identifiera förutsättningarnas påverkan, och vad de betyder för utformningen av informationssäkerhetsstyrningen. Utgå till exempel från dokumentgranskning, diskussioner, möten, intervjuer eller enkätundersökningar. Dokumentera det ni kommer fram till i verktyget (Excelmallen).

3. Analysera organisationens informationstillgångar

Informationstillgångar är organisationens information och de resurser som behandlar informationen, exempelvis genom att ta emot, lagra, bearbeta, visa eller kommunicera den. Exempel på sådana resurser är it‑system.

Informationstillgångar – det som ni ska skydda

Informationstillgångar är de tillgångar som informationssäkerheten ska skydda. Det är därför viktigt att identifiera alla väsentliga tillgångar, så att de kan få rätt typ av skydd.

Välj fokus för analysen

Vad som är en informationstillgång för just er bör ni avgöra själva inför denna analys. En del organisationer identifierar och namnger enskilda informationsmängder, andra utgår ifrån sina respektive it‑system (exempelvis it‑tjänster eller applikationer).

Vad är en kritisk tillgång?

Alla informationstillgångar är inte lika centrala för er. I praktiken kan det därför vara så att ni behöver dra en tydlig gräns för hur central en tillgång ska vara för att komma med i analysen.

Syftet med att inventera sina informationstillgångar

Syftet med att inventera era informationstillgångar är att få en sammanställning över vad ni ska skydda med hjälp av informationssäkerhet. Denna sammanställning kan ni sedan använda för att identifiera vilka säkerhetsåtgärder som ni behöver införa för att skapa rätt sorts skydd. Denna identifiering sker tillsammans med respektive tillgångs ”ägare”, förslagsvis genom informationsklassificering.

Inventera informationstillgångarna så här:

1. Använd verktyget. Öppna Excelmallen ”Verktyg Analys Verksamhet”. Välj sedan fliken som heter ”3. Informationstillgångar”.

2. Identifiera och inventera viktiga informationstillgångar. Ni kan inventera era informationstillgångar på lite olika sätt. Här är två exempel:

a. Använd befintliga listor: Om det finns några befintliga listor över era informationstillgångar så kan ni använda dessa. Till exempel från it‑sidan (där det finns listor över it‑system och dylikt).

b. Gör en egen inventering: Genom exempelvis processkartläggning kan ni göra en egen inventering av vilken information som är kritisk för specifika delar av er verksamhet, eller för olika interna processer.

3. Dokumentera informationstillgångarna. Dokumentera följande:

a. ID: För att det ska vara lättare att identifiera informationstillgångarna i ett senare skede så behöver ni ge varje informationstillgång en unik identifierare. Se exempel i verktyget (Excelmallen) eller välj ett annat sätt som passar er organisation.

b. Benämning: Namnge era informationstillgångar, till exempel ”Agresso” eller ”Abonnentuppgifter”.

c. Beskrivning: Beskriv hur ni använder tillgången (eller tekniken) i fråga. Till exempel ”Lönesystem” eller ”Kundrelationssystem som levereras av (X) som molntjänst”.

d. Information/data: Beskriv vilken typ av information/data som det handlar om, till exempel ”Känsliga personuppgifter”.

e. Kritisk: Skriv ”Ja” vid de tillgångar som är helt centrala och kritiska för er organisation. Detta svar innebär att ni kan prioritera dessa när ni sedan ska hantera tillgången. Notera att denna typ av prioritering inte passar alla organisationer. Ni avgör därmed själva ifall ni ska använda denna definition eller inte.

f. Ägare och kontakt: Ange vilken person eller funktion i er organisation som ansvarar för informationstillgången i fråga, samt ange kontaktinformation till denna. Denna information kan ni sedan använda när ni ska kontakta informationsägarna för att genomföra informationsklassificering

Observera: Ni kan utöka inventeringen av informationstillgångar, samt Excelverktyget, så att de täcker in kravet på förteckning över tillgångar som ska ha skydd enligt dataskyddsförordningen (GDPR) och/eller Säkerhetsskyddslagen. I fallet dataskyddsförordningen ska vissa specifika uppgifter dokumenteras för varje informationstillgång, vilket framgår av den regleringens artikel 30. Gällande säkerhetsskyddslagstiftningen var extra uppmärksam på att inte dokumentera detaljer som gör att sammanställningen blir skyddsvärd utifrån Sveriges (rikets) säkerhet.

Omvärldsanalys

För att ni ska kunna utforma styrningen av informationssäkerheten i er organisation på ett kostnadseffektivt sätt så behöver ni göra olika typer av analyser. Den här vägledningen fokuserar på det externa perspektivet, där ni identifierar er organisations omvärld i tre delar: först externa intressenter, sedan externa förutsättningar och slutligen rättsliga krav.

Följande ingår i omvärldsanalysen

Den här vägledningen fokuserar på en analys av er organisations omvärld, vilket även kallas för det externa perspektivet. Ordet ”omvärld” syftar på allt som ligger utanför organisationens direkta kontroll, men som ändå antingen påverkar eller påverkas av organisationens informationssäkerhet.

Genom denna analys identifierar ni vilka rättsliga krav som gäller för er organisation, så att ni kan utforma organisationens informationssäkerhet enligt gällande lagar och regler.

Följande ingår inte i omvärldsanalysen

Det finns en annan vägledning för analys av sådant som ligger innanför organisationens kontroll. Den analysen – av er egen verksamhet – sker därmed inte i denna omvärldsanalys.

Även risker och hot som kan inträffa ska ni hantera separat i en riskanalys. Det gör ingenting ifall analyserna överlappar varandra, det viktigaste är att ni inte råkar utelämna något väsentligt.

Analysens tre steg

Ni analyserar organisationens omvärld och det externa perspektivet i tre olika delar, eller steg:

Analysera organisationens externa intressenter
Analysera organisationens externa förutsättningar
Analysera organisationens rättsliga krav

Externa intressenter – personer utanför organisationen

Externa intressenter är personer, grupper eller organisationer utanför den egna organisationen, som påverkar eller påverkas av er organisations informationssäkerhet. Var och en av dessa intressenter har någon form av behov, förväntningar, krav eller annan påverkan i relation till informationssäkerheten och dess styrning.

Genom att göra denna analys identifierar ni vilka intressenterna är, vilka krav de har och hur de påverkar eller påverkas. När ni har gjort det så kan ni ta med det i beräkningen när ni utformar informationssäkerhetsarbetet.

Externa förutsättningar – förhållanden som påverkar utformningen

Externa förutsättningar är de förhållanden i organisationens omvärld, utöver externa intressenter och rättsliga krav, som ni behöver tänka på när ni utformar styrningen av informationssäkerheten. Det kan exempelvis röra sig om politiska och tekniska förutsättningar.

Var och en av dessa förutsättningar har någon form av påverkan på hur ni bäst bör utforma informationssäkerheten och dess styrning för organisationen. Analysen identifierar därför vilka de externa förutsättningarna är och hur de kan påverka er.

Rättsliga krav – lagar, förordningar och föreskrifter

Rättsliga krav är de krav som är kopplade till informationssäkerhet, i form av olika författningar som exempelvis lagar, förordningar, myndigheters föreskrifter samt lokal kommunal reglering. Vissa rättsliga krav gäller samtliga organisationer i såväl Sverige som Europa, medan andra endast gäller en viss bransch eller en viss typ av organisation.

Kraven kan i stort delas in i två kategorier:

Krav som gäller hur informationssäkerhetsarbetet ska utformas
Krav på hur skydd för vissa typer av information ska utformas.

Efter att ha identifierat vilka rättsliga krav som är viktiga för er ska ni beakta dessa när ni utformar informationssäkerheten i er organisation.

För att komma igång: analysera övergripande, inte i detalj

I inledningsskedet är det viktigt att inte fastna alltför länge i analyser. För att komma igång med arbetet så kan ni analysera de olika delarna av omvärlden relativt snabbt och på en övergripande nivå. Detta lägger en bra grund för det fortsatta arbetet. Sedan kan ni med fördel återkomma till analysresultaten, uppdatera dem med ny information och vid behov fylla i fler detaljer.

Dra nytta av tidigare analyser

Ibland har organisationer tidigare genomförda analyser av omvärlden. Var noga med att kolla upp detta, för i sådana fall kan ni dra nytta av och utgå från dessa.

Ett typiskt exempel på tidigare analyser är listor på, eller tolkningar av, rättsliga krav som er organisation har gjort i andra sammanhang.

Det finns en vägledning och ett verktyg för varje analysdel

Den här vägledningen är indelad tre delar: Externa intressenter, Externa förutsättningar och Rättsliga krav. För varje del finns en beskrivning av hur analysen går till och exempel på hur den ser ut.

Till varje del finns det också ett verktyg i form av en Excelmall som ni kan använda i arbetet. Excelmallen Verktyg: Analysera organisationens omvärld, innehåller exempel och viss automatisering. Var och en av de tre delarna har en egen flik i verktyget. Ni kan använda verktyget både vid själva analystillfället och för dokumentation av analysresultatet.

Analysernas resultat – grunden i informationssäkerhetsarbetet

Denna analys syfte är att vara grunden när ni utformar informationssäkerhetens styrning inom er organisation. Mer konkret innebär det att det sammanlagda resultatet från samtliga analyser (av omvärld, organisation, risk, samt gap-analys) ska styra dels hur er organisation väljer att angripa informationssäkerhetsfrågan, dels vilka säkerhetsåtgärder ni behöver för att skydda er information.

Så: utformning av organisation (ansvar och roller) för informationssäkerhet, inklusive policy, riktlinjer, rutiner, processer och åtgärder– allt detta utgår från dessa analyser.

1. Analysera organisationens externa intressenter

Externa intressenter är personer, grupper och organisationer utanför er organisation, som antingen påverkar eller påverkas av hur informationssäkerheten styrs.

Var och en av dessa intressenter har någon form av påverkan, behov, förväntningar eller krav i relation till informationssäkerheten och dess styrning.

Notera att rättsliga krav hanteras separat i en annan del av omvärldsanalysen (del 3), trots att externa intressenter står bakom de rättsliga kraven. Däremot hanterar vi krav från avtal i denna del.

Tabell IA1:1: Externa intressenter och deras påverkan

Kategori	Intressent (exempel)	Krav, roll eller påverkan
Ägare:	Aktieägare Moderbolag Regeringen (departement)	Ägarna kan ha krav på er organisations inriktning, vilket påverkar informationssäkerheten. De har ofta direkta krav på själva arbetet med informationssäkerhet, exempelvis i form av en formulering i ett styrelsebeslut för ett aktiebolag, eller i ett regleringsbrev för en statlig myndighet.
Kunder:	Kunder Brukare Användare Avnämare Den eller de som konsumerar organisationens produkter eller tjänster	Dessa intressenter är orsaken till att er organisation existerar. De kan vara intresserade av informationssäkerheten i en tjänst eller produkt, eller av hur organisationen hanterar deras uppgifter. Vissa organisationer kan även ha anledning att ställa krav på sina kunders informationssäkerhet.
Leverantörer:	Leverantörer Underleverantörer Outsourcingpartner Insourcingpartner Molntjänsteleverantörer Affärspartner Säkerhetsleverantörer	En organisation är beroende av leverantörer för att kunna fungera. Ni kan ibland behöva ställa krav på era leverantörers sätt att arbeta med informationssäkerhet, så att deras leverans är säker. Vissa leverantörer kanske till och med levererar just säkerhetslösningar till er.
Granskare:	Tillsynsmyndigheter för olika branscher Datainspektionen Riksrevisionen Säkerhetspolisen Finansiella revisorer (med it‑revision) Europeiska och internationella institutioner (med tillsyn eller granskande funktioner)	Er organisation granskas av olika intressenter, som i allt större utsträckning har i uppgift att kontrollera hur er informationssäkerhet är upprättad. Era granskare har varierande krav och förväntningar, men ni behöver kunna styrka att ni efterlever olika typer av säkerhetskrav.
Konkurrenter:	Konkurrenter – som driver en liknande verksamhet, eller som på annat sätt konkurrerar med er organisation	Ibland kan konkurrenter försöka att ta del av känsliga uppgifter om er organisation, era kunder eller ert säkerhetsarrangemang utan att be om lov för att kunna konkurrera bättre. I värsta fall kan de försöka sabotera för er organisation eller för ert säkerhetsarrangemang. Den ideala utformningen av er informationssäkerhet kan därmed bero på hur era konkurrenter har utformat sin informationssäkerhet.
Allmänhet och media:	Allmänheten Medborgare Invånare Media som tidningar och TV Internetrelaterad media	Förtroende är centralt för alla organisationer, och allmänheten kan ha uppfattningar om huruvida er informationssäkerhet är bra eller dålig, samt om ni som organisation är pålitliga. Värdet av ert varumärke beror därmed på vad allmänheten anser.
Övriga:	Övriga	Denna tabell innehåller endast exempel på kategorier av externa intressenter. Komplettera med eventuella andra externa intressenter av vikt, och beskriv hur de påverkar eller påverkas av er informationssäkerhet och dess utformning.
(Angripare, Hotande aktörer:)	Hackers Aktivistgrupper Utpressare	(Dessa intressenter hanteras inte i denna analys. De hanteras separat under Riskanalys.)
(Lagstiftare:)	Europaparlamentet Riksdagen Statliga myndigheter Kommuner	(Dessa intressenter hanteras inte i denna analys. De hanteras separat under Rättsliga krav.)

Analysera externa intressenter så här:

Använd verktyget: Öppna Excelmallen ”Analysera organisationens omvärld”. Välj sedan fliken som heter ”1. Externa Intressenter”.
Identifiera samtliga viktiga externa intressenter: Utgå från tabellen ovan, samt från era egna erfarenheter eller andra källor. Växla gärna perspektiv mellan lokala, regionala, nationella och internationella intressenter för att få en mer komplett bild.
Diskutera intressenternas roller: Diskutera de externa intressenternas roller, alltså hur de påverkar och påverkas av informationssäkerheten och styrningen av den.
Identifiera intressenternas krav: Identifiera intressenternas påverkan, behov, förväntningar och krav, exempelvis med hjälp av dokumentgranskning, diskussion, möten, intervjuer eller enkätundersökningar. Dokumentera det ni kommer fram till i verktyget (Excelmallen).

2. Analysera organisationens externa förutsättningar

Externa förutsättningar är de förhållanden i omvärlden (det vill säga utöver externa intressenter) som på något sätt påverkar eller påverkas av informationssäkerhetens styrning och som ni därför behöver ha i åtanke när ni utformar den. Var och en av dessa förutsättningar har med andra ord någon form av inverkan på hur ni bäst bör utforma informationssäkerheten och dess styrning.

Notera att rättsliga krav hanteras separat i en annan del av omvärldsanalysen (del 3), trots att de kan sägas vara externa förutsättningar.

Tabell IA1:2: Externa förutsättningar och dess påverkan

Extern förutsättning	Typ av påverkan
Tekniska förutsättningar:	Den tekniska utvecklingen och utvecklingen inom informationsteknik har stark inverkan på informationssäkerheten, både i form av nya hot och nya lösningar. Exempel på innovationer inom informationsteknik som kan påverka: Molntjänster ställer nya krav på hur informationssäkerheten kan styras. Virtuell och förstärkt verklighet (VR, AR) där kunder kan ta del av en produkt eller tjänst på helt nytt sätt. Sakernas internet (Internet of Things, IoT) där saker (produkter) är uppkopplade och därmed behöver ha god informationssäkerhet. Nya sätt att identifiera användare (autentisering) som via fingeravtryck, röst, ansiktsform.
Sociala förutsättningar:	Sociala och kulturella förutsättningar anger vad som anses bra och acceptabelt. Det kan gälla attityder i samhället, folkhälsa och utbildningsnivå, men även den allmänna situationen i samhället. Exempel där sociala förutsättningar kan påverka: Den grad av övervakning och loggning som individer i samhället accepterar. Hur lätt eller svårt det är att nå individerna i ett samhälle med informationen om informationssäkerhet.
Ekonomiska förutsättningar:	Externa ekonomiska och finansiella förutsättningar påverkar också utrymmet för informationssäkerhet. Kanske särskilt gällande resurser, men det kan även gälla nationalekonomiska faktorer som ränteläge, inflation, efterfrågan på produkter och tjänster, valutakursändringar och liknande. Exempel där externa ekonomiska förutsättningar kan påverka: Ränteläget kan vid investeringsbedömning påverka kostnaden för finansiering av it‑säkerhetstekniska lösningar som löper över lång tid, så att de blir mer eller mindre kostnadseffektiva Den allmänna efterfrågan på den typ av produkter eller tjänster som ni tillhandahåller kan stiga, och då medföra att ytterligare resurser behöver satsas på informationssäkerhet.
Politiska förutsättningar:		I politiskt styrda organisationer är det viktigt att ta med dessa förutsättningar i analysen då de kan påverka er informationssäkerhet och dess utformning. Politiska förutsättningar kan även resultera i rättsliga krav som tas om hand som i den rättsliga delen av analysen.
Miljömässiga förutsättningar:		Miljömässiga förutsättningar är klimat, väder, vind, ekologi och hållbarhetsfrågor som kan påverka er informationssäkerhet och dess utformning. Exempel där miljömässiga förutsättningar kan påverka: Om extremt väder förväntas kan detta påverka möjligheten till datakommunikation om ledningar faller ned. Klimatet kan påverka var det är säkrast och mest ekonomiskt att förlägga en hall för it-drift. Brand, översvämning och jordbävning är andra exempel på miljömässiga förutsättningar.
Övriga förutsättningar:		Denna tabell innehåller endast exempel på kategorier av externa förutsättningar. Komplettera med eventuella andra externa förutsättningar av vikt, och beskriv hur de påverkar eller påverkas av er informationssäkerhet och dess utformning.
(Rättsliga förutsättningar:)		(Dessa förutsättningar hanteras inte i denna analys. De hanteras separat under Rättsliga krav.)

Analysera externa förutsättningar så här:

Använd verktyget: Öppna Excelmallen ”Analysera organisationens omvärld”. Välj sedan fliken som heter ”2. Externa förutsättningar”.
Identifiera vilka externa förutsättningar som finns: Utgå från tabellen ovan, egna erfarenheter eller andra källor för att identifiera samtliga viktiga externa förutsättningar. Växla gärna perspektiv mellan lokala, regionala, nationella och internationella förutsättningar för att få en mer komplett bild.
Diskutera förutsättningarnas påverkan: Diskutera hur förutsättningarna påverkar och påverkas av informationssäkerheten och styrningen av den.
Identifiera förutsättningarnas krav: Identifiera förutsättningarnas påverkan, och vad dessa innebär för er informationssäkerhetsstyrning och utformningen av den. Utgå till exempel från dokumentgranskning, diskussion, möten, intervjuer eller enkätundersökningar. Dokumentera det ni kommer fram till i verktyget (Excelmallen).

3. Analysera organisationens rättsliga krav

Rättsliga krav är de krav som är kopplade till informationssäkerhet i olika typer av författningar, som lagar, förordningar, myndigheters föreskrifter samt lokal kommunal reglering.

Syftet med att analysera vilka rättsliga krav som gäller och hur de ska tolkas är att skapa förutsättningar för att ni ska kunna efterleva kraven. Att inte efterleva de rättsliga kraven kan äventyra informationssäkerheten och leda till allvarliga konsekvenser för er organisation – som förlorat förtroende, skadestånd eller viten av olika slag.

När ni har analyserat färdigt så ska ni använda resultaten för att utforma er informationssäkerhet så att ni lever upp till de rättsliga krav som gäller. Detta gör ni bland annat genom att koppla vissa säkerhetsåtgärder till en viss typ av information, och använda i samband med informationsklass.

Kraven som gäller avtal och förpliktelser kopplade till externa intressenter hanteras inte här utan som en del av externa intressenter, så vida det inte rör sig om legala krav.

Olika krav för olika organisationer

Vilka rättsliga krav som finns för er organisation beror på bland annat:

typ av organisation (till exempel privat, offentlig)
bransch (till exempel vattenförsörjning, internetleverantör)
vilken information organisationen hanterar (ekonomisk information, företagshemligheter, säkerhetsskyddad information, personuppgifter).

Kraven gäller dels säkerhetsarbetet, dels skydd för olika informationstyper

De rättsliga kraven för informationssäkerhet kan delas in i två kategorier:

krav som gäller hur informationssäkerhetsarbetet ska utformas
krav på hur skydd för vissa typer av information ska utformas.

Arbeta tillsammans med juridisk expertis

Utvecklingen av rättsliga krav som direkt eller indirekt rör informationssäkerhet går mycket snabbt. Detta medför att det är väldigt svårt att avgöra och räkna upp exakt vilka de aktuella rättsliga kraven är i denna vägledning. Därför måste ni som organisation göra detta arbete.

Identifiera de gällande rättsliga krav som rör informationssäkerhet genom att, tillsammans med juridisk expertis, upprätta en lista på vilka författningar och lagrum som gäller för er organisation och som direkt eller indirekt ställer krav på er informationssäkerhet.

Även om det kan gå att söka i databaser över gällande författningar och ange relevanta sökord så måste ni kombinera detta med expertkunskap – exempelvis om vilka krav som ställs och var de finns för just er typ av organisation, bransch och den information som ni hanterar.

Analysera: hur ni ska leva upp till de rättsliga kraven?

När relevanta rättsliga krav är identifierade är nästa steg att analysera hur ni ska omsätta dessa krav på en övergripande nivå. Denna diskussion kan exempelvis handla om olika typer av säkerhetsåtgärder, eller om hur kraven ska påverka hur informationssäkerheten styrs och organiseras i er organisation.

Eftersom vissa rättsliga krav är relativt övergripande, medan andra är mer specifika, står det inte alltid direkt uttryckt i det rättsliga kravets text vad som behöver göras. Därför måste kraven diskuteras och tolkas. För att kunna göra denna analys på ett bra sätt krävs kompetens om bland annat organisationen, informationssäkerhet och juridik.

Analysera de rättsliga kraven så här:

Använd verktyget: Öppna Excelmallen ”Verktyg Analys Omvärld”. Använd sedan fliken ”3. Rättsliga krav”.
Identifiera vilka rättsliga krav som gäller för verksamheten: Identifiera samtliga gällande rättsliga krav, som direkt eller indirekt ställer krav på er informationssäkerhet. Utgå från den här vägledningstexten, juridisk expertis och egna erfarenheter. Växla gärna perspektiv mellan rättsliga krav som gäller hela Europa, hela Sverige, den egna branschen, er organisationstyp, den verksamhet som bedrivs, och de kategorier av information som hanteras

Dokumentera följande i mallen:

a.    ID: Ge varje krav en unik identifierare, förkortat ID. Då kan ni lättare hitta tillbaka till dem längre fram

b.    Författning Lagrum: Ange vilken författning och eventuellt vilket specifikt lagrum (paragraf, artikel, avsnitt) som ni har identifierat.

c.     Typ av krav: Välj i menyn om kravet är av sådan karaktär att det ställer krav på direkta säkerhetsåtgärder eller om det ställer krav på informationssäkerhetsarbetet i allmänhet.

d.    Krav (lydelse/sammanfattning): Återge det rättsliga kravets lydelse genom att citera författningen. Om det av utrymmesskäl är mer praktiskt så kan ni formulera en sammanfattning av kravet.
Analysera de rättsliga kraven: När alla relevanta krav är identifierade ska ni diskutera och tolka samt dokumentera kraven i Excelmallen under ”Krav/påverkan”. Ange även hur det aktuella kravet påverkar informationssäkerhetens styrning och utformning, eller vilka säkerhetsåtgärder som det ger upphov till.

Riskbild

Denna vägledning ger stöd för att ta fram en riskbild för organisationsgemensamma informationssäkerhetsrisker. En riskbild ger en grov bild av vilka risker som organisationen i stort bedöms ha. Riskbilden för informationssäkerhet kan ingå i en större riskbild som innehåller risker inom flera eller alla organisationens riskområden. Den här vägledningen beskriver dock bara arbetet med att ta fram en riskbild för informationssäkerhet. Att genomföra riskanalyser med en riskbild som underlag är ett sätt att arbeta med risker. Fördelen är att riskbilden beskriver vilka typer av risker som organisationen kan vara utsatt för samt hur allvarliga riskerna bedöms vara för organisationen som helhet, och ibland för olika delar av organisationen. Nackdelen kan vara att riskbilden begränsar deltagarna i riskanalys-workshopen så att de risker som deltagarna upplever i sitt dagliga arbete inte tas upp då de inte finns med i riskbilden. En annan nackdel kan vara att verksamheter tror att organisationens riskbild är tillräcklig vid val av säkerhetsåtgärder och att de därför inte behöver göra kompletterande riskanalyser för sina delar. Det är dock aldrig fallet.

Att arbeta med att ta fram en organisationsgemensam riskbild och att genomföra andra riskanalyser (se Använda Riskanalys) skiljer sig vad gäller underlag, deltagare, genomförande och resultat, varför vägledningarna skiljer sig åt på vissa punkter även om många delar är gemensamma.

Hur den organisationsgemensamma riskbilden kan användas som en del i organisationens riskhantering och som underlag i riskanalyser beskrivs i vägledningarna Utforma Riskhantering och Använda Riskanalys.

Denna vägledning innehåller:

Syftet med en riskbild
Ta fram organisationsgemensam riskbild
- Underlag och förberedelser
- Genomförande
- Resultat - riskbild
- Förvalta organisationens riskbild

För beskrivningar av de begrepp som används i vägledningen, se Utforma Riskhantering.

Syftet med en riskbild

Att använda sig av en riskbild är ett sätt att arbeta med att identifiera och värdera risker. En riskbild ger en grov bild av vilka risker som organisationen i stort bedöms vara utsatt för och hur allvarliga dessa risker är för organisationen.

Att ta fram en organisationsgemensam riskbild görs genom riskanalys för att förstå organisationens övergripande risker. Resultatet, riskbilden, används som underlag vid andra riskanalyser och för att identifiera organisationens övergripande behov av säkerhetsåtgärder. Till exempel kan riskbilden ge stöd i valet av övergripande säkerhetsåtgärder i organisationens informationssäkerhetsarbete (se Identifiera och analysera Gapanalys). Om organisationen väljer att arbeta med riskbild bör det regleras i styrdokument hur den ska tas fram och förvaltas samt att den är en del av organisationens riskhantering och hur den användas vid riskanalysarbete (se Utforma Riskhantering, Utforma Styrdokument, samt Använda Riskanalys).

Som namnet antyder är riskbilden något som med grova penseldrag beskriver de viktigaste riskområdena i organisationen. För de flesta organisationer är det omöjligt att identifiera alla risker som finns. Detta gäller också de risker som kommer att ingå i organisationens riskbild. Riskerna som identifieras i riskbilden kommer heller inte kunna ersätta de mer detaljerade riskanalyser som görs för respektive analysobjekt men den kan ge stöd till analysarbetet.

Syften med riskbilden är att få:

En medvetenhet gällande informationssäkerhetsrisker hos ledningen och nyckelroller i organisationen och därmed bidra till ledningens engagemang för informationssäkerhetsområdet.
Stöd till genomförande av riskanalyser.
Underlag till utformning och förbättring av organisationens systematiska arbete med informationssäkerhet.
Underlag för val av säkerhetsåtgärder på en övergripande nivå.

Ta fram en organisationsgemensam riskbild

Arbetet med att ta fram en riskbild för organisationen kan delas in i tre faser: Förarbete, Genomförande (workshop) och Resultat (se Figur 1).

Figur 1: Översikt av arbetet med att ta fram en riskbild

I förarbetet fastställs omfattning, deltagare väljs ut och underlag tas fram och sammanställs. Det viktigaste underlaget är en hotbildsbeskrivning som används som utgångspunkt till riskbilden. Saknar organisationen en hotbildsbeskrivning behöver den tas fram först. Hur man gör det beskrivs nedan under rubrik Sammanställ hotbildsbeskrivning. Om organisationen har en hotbild så kan det vara en bra idé att se över den och eventuellt uppdatera den inför arbetet med att ta fram en riskbild.

I genomförandefasen genomförs en workshop där organisationsgemensamma risker identifieras och värderas i form av riskområden.

Resultatet dokumenteras i organisationens riskbild där organisationen också kan beskriva eller hänvisa till vilka generella säkerhetsåtgärder som ska införas. Riskbilden beslutas lämpligen av ledningen och förvaltas.

De tre faserna för hur man tar fram en riskbild beskrivs mer utförligt i respektive avsnitt nedan.

Förarbete

I framtagandet av en organisationsgemensam riskbild görs en riskanalys. I riskanalysen används organisationens kriterier för konsekvens och sannolikhet men syftet är inte att komma fram till ett värde utan att bedöma hotets konsekvens och sannolikhet i organisationens olika verksamheter. Resultatet visualiseras som ett område i riskmatrisen där riskens högsta och lägsta värden bildar ett riskområde som visar spannet mellan den högsta respektive lägsta konsekvens och sannolikhet för risken i organisationen.

Alla riskanalyser kräver planering och förberedelser. Detta är inte minst viktigt vid ett framtagande av en riskbild då den är av strategisk betydelse och kommer att få påverkan för organisationens informationssäkerhetsarbete i stort. Utifrån riskbildens strategiska betydelse i organisationen så är det bra om ledningen deltar i framtagandet. Ledningen ska lämpligen besluta om riskbilden.

Fastställ omfattning

Det som är föremål för riskanalys brukar benämnas riskanalysobjekt. Det är viktigt att detta är definierat så att de som deltar i riskanalysen vet vad de arbetar med. Den huvudsakliga omfattningen bör vara fastställd innan, men precisa avgränsningar kan göras inledningsvis under själva genomförandet. En riskanalys som görs inom ramen för framtagande av en riskbild täcker normalt hela organisationen. För en koncern eller mycket stor organisation kan det dock behöva göras flera riskanalyser för olika verksamheter som därefter sammanställs till en gemensam riskbild.

Förutom den organisatoriska spännvidden ska man också fastställa vilka typer av risker som ska ingå i riskbilden. Är det endast informationssäkerhetsrisker som ska omfattas eller även andra typer av risker? Vad som ska ingå beror på hur organisationens riskhanteringsarbete bedrivs (se Utforma Riskhantering).

Hot som kopplas till Sveriges säkerhet enligt säkerhetsskyddslagstiftningen bör normalt inte omfattas, utan tas upp i en särskild säkerhetsskyddsanalys.

Tidsomfattning

Riskanalyser i workshopform är i allmänhet tidskrävande medan tillgänglig tid ofta är begränsad. Detta gäller särskilt om ledningen ska delta i riskanalysen. Tre till fyra timmar, dvs. en halvdag, kan vara en lämplig och realistisk ambition och är tillräckligt om tiden utnyttjas väl. En god planering och förberedelse, med förberedda deltagare och en framtagen hotbildsbeskrivning innebär att tiden kan ägnas åt det som är viktigt.

Välj ut och förbered deltagare

I grunden är det två typer av kompetenser som behöver delta i en riskanalys inom ramen för framtagande av en riskbild. Deltagare som har kunskap om den egna organisationen och de som har kunskap om hotbilden. Medlemmar i en ledningsgrupp eller andra representanter från organisationens olika verksamheter är experter på sina respektive verksamhetsområden. Lämpligast är att riskanalysen genomförs med organisationens ledning, i form av dess ledningsgrupp och/eller styrelse. En riskanalys är en medvetandehöjande aktivitet som ger viktiga insikter till deltagarna, och detta är därför ett mycket bra tillfälle att engagera ledningen. Om det inte går att få till en riskanalys med ledningen kan den genomföras med en grupp som representerar organisationens olika verksamheter. I så fall ska ledningen delges riskanalysens resultat efteråt samt lämpligen besluta om det.

De som har kunskap om hotbilden är ofta säkerhetspersonal som säkerhetschef, it-säkerhetschef, beredskapssamordnare samt inte minst du som CISO. Beroende på riskanalysens omfattning kan sammansättningen variera. Eventuellt kan externt stöd tas med (till exempel branschföreträdare, myndighetsrepresentant eller konsult).

Normalt är det personal från säkerhetsorganisationen som förbereder, genomför och hanterar resultatet. Under genomförandet kan exempelvis CISO eller säkerhetschef (kan bero på analysens omfattning och fokus) agera analysledare men man kan också använda sig av en analysledare vars enda syfte är att leda riskanalysen. Analysledaren kan ha stöd av en eller flera personer i arbetet före, under och efter själva riskanalysen. Under själva genomförandet behövs också hjälp av någon som kan dokumentera.

En framgångsfaktor för alla riskanalyser är att deltagarna är förberedda. Alla deltagare ska innan workshopen vara på det klara med vad som ska ske och varför samt vad som förväntas av dem. Var tidigt ute med inbjudan och beskriv tydligt syftet med riskanalysen, vad som förväntas av olika roller och vilka underlag de ska ha läst på innan. Idealet är om upplägget kan stämmas av med ledningens högsta chef (till exempel verkställande direktör (VD), generalsekreterare (GS), generaldirektör (GD), kommundirektör, regiondirektör eller motsvarande innan och att denne kan uppmana övriga att ta del av underlag och engagera sig.

Sammanställ hotbildsbeskrivning

Sammanställningen av hot som kan drabba organisationen kallas hotbildbeskrivning. Hoten i hotbildsbeskrivningen blir risker för den egna organisationen först när de bedöms kunna drabba den egna organisationen och medföra en negativ konsekvens.

Hot mot den egna organisationen är sällan unika utan delas med andra organisationer; internationellt, i Sverige och i den bransch/sektor som organisationen tillhör. Ofta är det säkerhetspersonalen som sammanställer de hot som skulle kunna drabba organisationen. De hot som bedöms realistiska sammanställs i en hotbild för organisationen. Denna distribueras till deltagarna innan genomförandet av riskanalysen. Deltagarna får då en gemensam bild av hoten mot organisationen och kan ägna tiden åt att identifiera risker utifrån denna. Upptäcker deltagarna under riskanalysen att det saknas hot i så kompletterar analysledaren hotbilden med dessa.

Underlag för att sammanställa hotbilden kan vara:

Internationella rapporter (till exempel ENISA, EY, PwC, CWE, CISA, OWASP, NIST).
Nationella rapporter (till exempel årsrapporter från Säkerhetspolisen, FRA, Must, aktuella SOU, rapporter från relevanta företag, MSB, CERT-SE samt rapporter från NCSC-SE).
Årsrapporter över anmälda incidenter som publiceras av till exempel MSB, IMY.
Bransch-/sektorsspecifika rapporter avseende hot och risker.
Beslut gällande tillsyn (till exempel från IMY, tillsynsmyndigheter NIS).
Övrigt; artiklar och uttalanden i medier, på konferenser med mera.

En hotbild ska kunna förstås av alla deltagare, inte vara för omfattande (ca 3–10 sidor) och innehålla exempelvis följande delar:

Inledning (bakgrund, omfattning, avgränsningar med mera).
Sveriges säkerhetsläge.
Hotaktörer och deras syften.
Olika typer av hot strukturerade utifrån organisationens behov. Till exempel:
- Oavsiktliga mänskliga hot (slarv, olyckor, felaktiga beslut med mera)
- Naturolyckor, strömavbrott och andra externa händelser
- Avsiktliga hot
- Internetrelaterade hot (cyberhot)
- Hot specifika för branschen/sektorn
- …

Andra underlag som kan användas inför en riskanalys som syftar till att ta fram en riskbild är resultat av genomförda verksamhets- och omvärldsanalyser, inträffade incidenter i organisationen, revisionsrapporter, kända sårbarheter samt resultat från tidigare genomförda analyser, till exempel risk- och sårbarhetsanalyser (RSA). Dessa kan ingå, i sin helhet eller sammanfattade tillsammans med hotbilden som ett underlag till riskanalysen.

Förbered riskanalysen

Analysledaren tar fram underlag och skickar ut kallelsen. Exempel på innehåll som kortfattat bör beskrivas i kallelsen:

Agenda och översikt av workshopen
Deltagarpresentationer
Vad deltagarna behöver förbereda och underlag för detta:
- Organisationens riskhantering
- Riskanalysmodellen
- Hotbildsbeskrivningen
- Hur workshopen kommer att genomföras: identifiering och värdering av riskområden
- Att workshopen kommer att utvärderas och hur resultatet kommer att tas om hand

Kriterier för riskvärdering och riskacceptans

Kriterier för riskvärdering och riskacceptans bör ha fastställts innan riskanalysen (se Utforma Riskhantering). Dessa kriterier bör emellertid beslutas av organisationens ledning. Ett alternativ är därför att, om riskanalysen genomförs av ledningen, inleda riskanalysen med att diskutera och fastställa dessa kriterier, som då också kan prövas under själva riskanalysen.

Genomförande

En riskanalys i syfte att ta fram en riskbild genomförs lämpligen i workshopformat. Om förhållanden så kräver (till exempel geografisk spridning eller pandemirestriktioner) så kan riskanalysen genomföras i ett videomöte, men ett fysiskt möte är att föredra. Om riskanalysen genomförs i ett videomöte behöver videomötesverktyget vara godkänt för att behandla den typ av information som kommer att diskuteras. Säkerställ att så är fallet innan workshopen.

Inledande presentation

Genomförandet i form av en workshop bör inledas med att analysledaren ger en kort presentation. Denna bör inte vara för omfattande och inte innehålla någon ny sakinformation, utan snarare påminna om information i kallelsen och det utskickade underlaget. En viktig utgångspunkt för själva analysen är hotbildsbeskrivningen som därför kan läggas sist i den inledande presentationen. Deltagarna ska ha fått den utskickad i god tid innan workshopen och vara pålästa men en sammanfattning och möjlighet att ställa frågor om det är ny information för dem samt om de håller med om och är överens om innehållet. En sammanfattning av riskanalysmodellens arbetssätt och bedömningskriterier är också bra att påminna om så att deltagarna har det färskt i minnet.

Identifiering av riskområden – brainstorming parvis eller gruppvis

Denna aktivitet handlar om att deltagarna använder hotbilden och identifierar risker genom att avgöra hotens relevans och giltighet i organisationen. Begränsa dock inte deltagarna till hoten i hotbilden, utan uppmuntra dem att komma på hot och eller situationer de oroar sig för och som inte finns med.

Identifiering av riskområden sker genom brainstorming som lämpligen genomförs parvis eller i mindre grupper om 3–4 deltagare så de kan utnyttja sina olika kompetenser. Lagom tid för detta kan vara 30–60 minuter.

Förbered deltagarna inför brainstormingen med frågor av typen:

Vilka hot gäller för oss utifrån den typ av verksamhet vi bedriver (privat/offentlig organisation, specifik bransch/sektor)?
Vilka är vår organisations mest kritiska och känsliga information och informationssystem? Detta bör ha gjorts i verksamhetsanalysen (se Identifiera och analysera Verksamhetsanalys).
Vilka aktörer kan ha intressen av dessa?
Finns specifika hot och sårbarheter relaterade vår organisations:
- Geografisk lokalisering?
- Organisationsform eller organisationskultur?
- Tekniska plattformar och system?
- Annat?
- Kan händelser leda till att attacker plötsligt riktas mot vår organisation? I så fall vilka?
- Vilka oavsiktliga hot som till exempel avgrävda kablar, naturrelaterade hot eller liknande, samt interna hot som till exempel misstag, handhavandefel, systemuppgraderingar som går fel eller motsvarande kan inträffa?
- Finns helt andra hot (som ändå är inom omfattningen/avgränsningen)?

Vid riskanalyser för andra analysobjekt med mindre omfattning (till exempel en delverksamhet, ett informationssystem, en process eller liknande), som är mer precisa, betonas ofta att deltagare ska formulera sina risker som specifika händelser så att sannolikhet och konsekvens kan bedömas och ge ett visst riskvärde. I en riskanalys för att ta fram organisationens riskbild är detta sällan möjligt eller önskvärt, utan resultatet är snarare ett riskområde.

För mer avgränsade riskanalyser beskrivs en viss typ av hot mot ett specifikt system eller it-miljö som en händelse så att den kan bedömas utifrån sannolikhet och konsekvens. För en hel organisation blir dock variationerna så många (alla möjliga attackvektorer, alla organisationens it-resurser som drabbas, alla olika sårbarheter som finns, organisationens information som drabbas etcetera.) så att en sådan riskbedömning är meningslös att göra. Riskerna beskrivs snarare som ett riskområde och kan beskrivas i mer generella termer som att ”riktade it-attacker skulle kunna drabba vår organisation, i form av enskilda datorer, väsentliga delar av eller till och med hela vår it-miljö och som skulle medföra betydande eller allvarliga konsekvenser”.

När den parvisa eller gruppvisa brainstormingen är slut redovisas deltagarna de riskområden som de identifierat. Istället för att smalna av och konkretisera risker som göras i andra typer av riskanalyser, handlar det här snarare om att vidga konkreta risker till riskområden så att de beskriver situationer som är generella för hela organisationen

Sannolikt kommer flera par/grupper att komma upp med samma eller liknande risker eller riskområden, och man får då ensa och ta bort dubbletter. Resultatet blir ett antal riskområden.

Riskområden behöver inte utgå från själva hoten, som it-attacker ovan, utan kan vara situationer, områden, företeelser eller liknande där risker bedöms finnas, som till exempel ”Upphandling av it-system”, ”Anställning av personal” eller ”Oavsiktligt läckage av personuppgifter”.

Inför brainstormingen kan ovanstående resonemang tas upp. Erfarenheten är dock att risker som kommer fram vid brainstorming ofta är för oprecisa och inte är formulerade som händelser, vilket alltså inte är ett problem när riskbilden ska tas fram.

Värdering av riskområden – gemensam diskussion

När riskområdena är formulerade görs gemensamt en värdering av vilka konsekvenser det kan medföra och hur sannolikt det är att en händelse som påverkar riskområdet inträffar. Eftersom det inte är specifika risker utan riskområden, görs inte exakta bedömningar av konsekvens och sannolikhet utan en genomtänkt bedömning. Bedömningen kan visualiseras i organisationens riskmatris (se exempel i Figur 2).

Figur 2: Exempel på visualisering av riskområden i en riskmatris

Hur stor utbredning ett visst riskområde ges i riskmatrisen beror på osäkerheter och på variationer i allvarlighetsgrad om ett hot inträffar inom olika delar av verksamheten.

Exempel: i Figur 2 har bedömningen gjorts att phishing-attacker generellt är mycket vanligt förekommande (sannolikheten är Mycket hög) medan konsekvenserna kan variera stort (från Försumbar till Betydande), beroende på om endast en enskild medarbetare drabbas eller om angripare ges åtkomst till organisationens it-miljö och planterar skadlig kod blir både konsekvens och sannolikhet olika.

Konsekvenser kan vara av olika slag, så som till exempel ekonomisk förlust, minskat förtroende eller skada hos individer. Vid värderingen av riskområden är det lämpligt att ta hjälp av organisationens konsekvenskategorier och –nivåer (se konsekvensmatris i Utforma Riskhantering).

Resultat – en organisationsgemensam riskbild

Workshopen har resulterat i ett antal riskområden vilka värderats på ett övergripande sätt i termer av konsekvens och sannolikhet. Tillsammans bildar riskområdena en organisationsgemensam riskbild vilket är det huvudsakliga resultatet. Självklart kan specifika risker identifieras under riskanalysen. Dessa bör i så fall överlämnas till respektive riskägare (se Använda Riskanalys).

Riskbilden bör sättas samman i ett dokument så att den kan användas i enlighet med de syften som riskbilden har och göras tillgänglig för relevanta roller, inte minst riskägare och andra som ansvarar för att analysera och behandla risker inom sina respektive verksamheter. Om organisationens ledning inte deltar i framtagandet av organisationens riskbild behöver den delges ledningen och nyckelroller som inte deltagit (exempelvis med styrelsen om den genomförts med ledningsgruppen eller vice versa). Ledningen ska lämpligen besluta om riskbilden när den är färdigställd.

Vissa delar av riskbilden kan behöva klassas som konfidentiell med begränsad spridning och behörighet. För att riskbilden ska ha ett syfte behöver den finnas i en version som kan delas och användas internt. Vissa delar bör också kunna publiceras i publika dokument som informationssäkerhetsriktlinjer och informationssäkerhetspolicy.

Dokumentet som beskriver riskbilden kan ta sin utgångspunkt i hotbildsbeskrivningen och utökas med de delar som kommit fram under riskanalysen. Riskbilden kan också redovisas i ett separat dokument. Här är ett exempel på innehåll:

Inledning: bakgrund, syfte, målgrupp, riskbildens omfattning och avgränsningar.
Referens till hotbildbeskrivningen (samt metod och underlag som använts för att ta fram den).
Organisationens mål med att skydda information.
Organisationens riskbild
- Identifierade riskområden (ca 5–15 st.) med förklarande text.
- Instruktioner till de som använder riskbilden som underlag vid riskanalyser.

Riskbilden kan innehålla eller hänvisa till övergripande säkerhetsåtgärder som organisationen beslutat lämpliga att införa för respektive riskområde.

Förvalta organisationens riskbild

Organisationens riskbild behöver förvaltas och därför ses över och uppdateras regelbundet. Det är lämpligt att riskbilden ses över minst årligen och den förvaltas lämpligen av risksamordnaren. Hur och när det ska ske bör regleras i styrdokument och vara en del av organisationens riskhantering (se Utforma Riskhantering).

Gapanalys

Syftet med en gapanalys är att identifiera skillnaden mellan den informationssäkerhetsnivå som ni behöver uppnå och den faktiska nivån på er informationssäkerhet vid analystillfället. Med hjälp av en gapanalys synliggör ni ett eventuellt ”gap” mellan dessa två nivåer, som ni behöver överbrygga genom att utforma och införa ett antal olika säkerhetsåtgärder för informationssäkerhet.

Utgå från en lista med säkerhetsåtgärder

Den gapanalys som genomförs här tar sin utgångspunkt i standarden SS-EN ISO/IEC 27001 och de säkerhetsåtgärder som återfinns i bilaga A. Med utgångspunkt i dessa behöver ni identifiera de säkerhetsåtgärder som ni ska använda. Tänk på att det kan finnas säkerhetsåtgärder som är relevanta för er men som inte finns med i standarden.

I gap-analysen kan ni antingen utgå ifrån samtliga säkerhetsåtgärder som finns i SS-EN ISO/IEC 27001 bilaga A eller om ni har genomfört de andra analyserna (verksamhetsanalys, omvärldsanalys och övergripande riskanalys) först så utgår ni ifrån dessa och väljer säkerhetsåtgärder som ska ingå i gapanalysen utifrån resultaten som ni har fått vid de analyserna.

Att genomföra de andra analyserna (verksamhetsanalys, omvärldsanalys och övergripande riskanalys) är ett krav om ni vill efterleva ISO‑standarden SS‑EN ISO/IEC 27001.

Gör gap-analysen övergripande för hela verksamheten. Vid behov kan ni givetvis göra den för en utvald del av verksamheten. Normalt tar det mellan två och fem arbetsdagar att genomföra en gapanalys.

Första gången ni gör en gapanalys

Om det är första gången som ni gör gapanalys så kan ni göra den i följande två steg:

Fastställ vilka säkerhetsåtgärder som ska ingå i gapanalysen
Avgör om dessa åtgärder redan existerar och hur väl de fungerar – gapanalys

Steg 1 är förberedande och behöver bara göras en gång, men steg 2 kan ni behöva se över och komplettera om eller när det framkommer nya resultat i andra analyser.

Om ni gör gapanalysen utifrån alla säkerhetsåtgärder i bilaga A utan att i detta skede avgöra vilka som är relevanta för er organisation så hoppar ni i detta skede över att fastställa och motivera (nästa rubrik). Om ni däremot har genomfört de andra analyserna och är mogna att även välja ut för er organisation relevanta säkerhetsåtgärder så går ni nu vidare med att fastställa och motivera relevanta säkerhetsåtgärder.

Fastställ och motivera relevanta säkerhetsåtgärder i en lista

Genom att fastställa och motivera relevanta säkerhetsåtgärder skapar ni det så kallade SoA (Statement of Applicability eller UoT Uttalande om Tillämplighet). Detta kan göras i samband med gapanalysen eller i efterhand med utgångspunkt i genomförd gapanalys och resultatet från de andra analyserna (verksamhetsanalys, omvärldsanalys och övergripande riskanalys).

Fastställ och motivera relevanta säkerhetsåtgärder genom att välja ut lämpliga åtgärder från ISO‑standarden SS-EN ISO/IEC 27001. Därefter ska ni motivera varför ni väljer eller varför ni väljer bort en åtgärd.

Efter detta är det dags för att komplettera er lista med sådana säkerhetsåtgärder som andra analyser har visat att ni behöver, till exempel åtgärder som speglar särskilda rättsliga krav.

Avgör om åtgärderna existerar och hur de fungerar – gapanalys

När ni har en färdig lista med säkerhetsåtgärder som ni ska använda i gapanalysen, så börjar ni med själva gapanalysen. För varje säkerhetsåtgärd som ni har beskrivit så behöver ni nu avgöra huruvida åtgärden existerar eller inte, samt om den fungerar tillfredsställande eller inte sett i relation till det behov som ni har identifierat eller upplever.

Om ni bedömer att en åtgärd inte existerar eller inte fungerar tillfredsställande så ska ni även gradera hur allvarlig bristen är. Beskriv även nuläget för varje bristande åtgärd, samt eventuella tänkbara förbättringar som skulle kunna motverka bristen.

Arbeta gärna i workshopformat

För att kunna göra en bra gapanalys behöver ni information om såväl säkerhetsåtgärderna som ni redan använder, som de som ni ska börja använda. Eftersom åtgärderna är av olika karaktär och dessutom riktar sig till olika delar av er organisation så kan ni för detta ändamål behöva hämta in uppgifter från olika håll.

Ni behöver både samla in tidigare dokumenterad information och samtala med relevanta interna intressenter. Därför är det bra att genomföra gapanalysen i form av en workshop, där interna intressenter representerar olika verksamheter.

I en del organisationer fungerar det bättre att identifiera vilka medarbetare som kan lämna relevant information och i stället intervjua dessa.

Resultat: lista över säkerhetsåtgärder och deras aktuella status

Resultatet av gapanalysen är en lista över vilka säkerhetsåtgärder som ni ska tillämpa, samt en beskrivning av åtgärdernas aktuella status. Listan beskriver om dessa åtgärder redan existerar, samt om de fungerar på ett tillfredsställande sätt eller inte.

Gapanalysen visar även hur pass allvarliga säkerhetsåtgärdernas eventuella brister är, hur nuläget ser ut, och vad ni behöver göra för att överbrygga gapet mellan aktuell och önskad situation. Analysresultatet kan ni sedan använda för att prioritera bland och planera in lämpliga säkerhetsåtgärder för informationssäkerhet.

1.Fastställ relevanta säkerhetsåtgärder – SOA

Utifrån listan med säkerhetsåtgärder enligt ISO‑standarden SS-EN ISO/IEC 27001 bedömer ni vilka säkerhetsåtgärder som är relevanta i er organisation. Er lista med fastställda säkerhetsåtgärder kallas för uttalande om tillämplighet vilket förkortas SOA – efter engelskans statement of applicability

Er lista skapar ni utifrån kunskapen om de behov er organisation har av säkerhetsåtgärder. När detta är gjort behöver ni se över och komplettera listan om eller när det framkommer något nytt som motiverar några andra åtgärder, exempelvis utifrån genomförda analyser (verksamhetsanalys, omvärldsanalys och övergripande riskanalys) eller om nya verksamheter tillkommer.

Så här fastställer du relevanta säkerhetsåtgärder:

Använd verktyget. Öppna Excelmallen ”Verktyg analysera gap”. Verktyget är uppbyggt så att ni ska gå in i fliken som heter ”1. Valda säkerhetsåtgärder, SOA”. Har ni genomfört era analyser kan ni nu välja vilka säkerhetsåtgärder ni ska använda. Har ni inte genomfört era analyser eller saknar motsvarande kunskap om organisationens behov väljer ni alla säkerhetsåtgärder i denna flik och i ett senare skede, när ni har tillräcklig kunskap kan ni att välja och välja bort åtgärder utifrån organisationens behov, får ni göra om detta. Med fördel kan det då vara bra att öppna verktyget på nytt, det vill säga ett tomt verktyg, och utgå från första gapanalysens resultat eller spara om er fil i en ny version.
Gör en förteckning med säkerhetsåtgärder. Samtliga säkerhetsåtgärder från ISO‑standarden SS-EN ISO/IEC 27001 finns redan förifyllda i verktyget. Nedanför dessa kan ni komplettera med sådana säkerhetsåtgärder vars behov framkommit i andra analyser. Fyll i så fall i fälten säkerhetsåtgärd och beskrivning.
Om ni har tillräcklig kunskap: Avgör åtgärdernas tillämplighet. Avgör ifall säkerhetsåtgärden i fråga är tillämplig på er organisation, det vill säga om ni ska använda den eller inte. Markera svaret med ja eller nej. Utgå från tidigare analyser (av organisation, omvärld, och risk) eller om ni har motsvarande kunskap om organisationen.
Motivera valet. För varje säkerhetsåtgärd, motivera varför den ska användas, eller inte användas, genom att välja alternativ i menyn. De alternativ som finns är organisationsanalys, riskanalys, omvärldsanalys, rättsligt krav eller annat skäl. För er som inte genomfört analyserna finns en kolumn för anteckningar.
Listan är färdig! När ni är klara så har ni en lista med tillämpliga säkerhetsåtgärder, vilket krävs enligt ISO‑standarden SS-EN ISO/IEC 27001.

2. Genomför en gapanalys

Så här genomför du en gapanalys:

Använd verktyget. Öppna Excelmallen ”Verktyg analysera gap”. Välj sedan fliken som heter ”2. gapanalys”.
Skapa en gap-analys. Sortera säkerhetsåtgärderna i flik 1 Valda säkerhetsåtgärder, SOA”så att du får med dem ni valt – kolumn ”ska användas” markerade JA”. Kopiera därefter över de första tre kolumnerna ” Säkerhetsåtgärd, Beskrivning och Ska användas”
Diskutera säkerhetsåtgärden. Läs igenom och tolka säkerhetsåtgärd och beskrivning, så att du är säker på vad åtgärden i fråga avser. Diskutera åtgärden utifrån olika delar av er organisation, eller från olika perspektiv.
Bedöm åtgärdens status. Utgå från diskussionen i punkt 3 (ovan) och inhämtad information (från eventuell workshop och/eller andra interna källor) för att kunna avgöra ifall åtgärden i fråga existerar och fungerar tillfredsställande eller inte. Markera svaren i rullmenyn ”Existerar” med ja eller nej.
Utvärdera eventuell brist. Oavsett om du svarat nej eller ja ange hur pass allvarlig bristen är genom att välja ett alternativ i rullmenyn som heter Brist. Alternativen som finns är försumbar, måttlig, betydande eller allvarlig. Oavsett om säkerhetsåtgärden saknas eller finns kan det få olika konsekvens. En existerande men dåligt fungerande säkerhetsåtgärd är också en brist.
Dokumentera nuläget: Beskriv kortfattat hur nuläget ser ut för varje säkerhetsåtgärd, och kort om vad som som ligger till grund för den bedömningen.
Dokumentera förbättringar: Beskriv kortfattat vilka tänkbara förbättringar eller insatser som kan motverka eller lindra eventuell brist, eller som på något annat sätt kan göra säkerhetsåtgärden mer ändamålsenlig.
Ange eventuell referens: Ange vid behov en referens, till exempel en länk till relevant webbplats, dokument eller namn på dokument. En referens kan beskriva informationskällan, det vill säga källan till den information som står i bedömningen.
Status och progress: Rullmenyerna status och progress ger stöd för att följa upp hur arbetet med att åtgärda bristerna i säkerhetsåtgärderna går.
Rapportera samtliga säkerhetsåtgärder: Du kan använda filterfunktionen i kolumnerna för att välja ut de värden du behöver för att till exempel rapportera hur arbetet går. Du kan filtrera brist eller bedömning.

Licens

Detta verk är licensierat under en Creative Commons Erkännande-DelaLika 4.0 Internationell Licens.

Analysera

Analysera