Använda

Den här vägledningen beskriver hur du som ska leda en riskanalys planerar, genomför, och omhändertar resultatet av en sådan. Riskanalysen genomförs utifrån den riskanalysmodell som organisationen har tagit fram (se Utforma Riskhantering). Modellen kan användas vid genomförande av alla typer av riskanalyser, inte bara informationssäkerhetsrisker, och för analysobjekt med olika omfattning, exempelvis för hela organisationen, en verksamhet, en delverksamhet, ett system eller en process.

I den här vägledningen beskriver vi hur modellen kan användas för att identifiera, beskriva och värdera informationssäkerhetsrisker. Beroende på riskanalysens omfattning och syfte kan förutsättningarna för att identifiera risker skilja sig åt, till exempel har en riskanalys som genomförs i syfte att  ta fram en organisationsövergripande riskbild andra förutsättningar än en som genomförs inför införandet av ett visst it-system. De kan skilja sig åt gällande vilka underlag som bör ingå, vilka kompetenser deltagarna besitter, hur riskanalysen genomförs och hur resultatet används, även om riskanalysmodellen är densamma.

Som stöd för att dokumentera riskanalysen finns ett riskverktyg i Excel, se Verktyg Använda Dokumentera riskanalys. Verktyget kan, och behöver, anpassas till organisationens riskanalysmodell.

Eftersom risker för information är del av organisationens riskhantering bör informationssäkerhetsrisker analyseras och hanteras som övriga risker i organisationen. Vägledning för hur organisationens riskhantering kan utformas, inklusive ansvar och roller, omfattning, kriterier för riskbedömning med mera ges i vägledningen Utforma Riskhantering.

Denna vägledning innehåller:

• Varför genomföra en riskanalys?
• Planering och förberedelser.
• Genomförande:
  • Identifiera risker
  • Värdera risker
  • Föreslå åtgärder.
  • Hantera riskanalysens resultat.

För beskrivningar av de begrepp som används i vägledningen, se Utforma Riskhantering.

Varför genomföra en riskanalys?

En riskanalys är ett strukturerat sätt att identifiera och värdera risker som kan förknippas med ett visst område – analysobjekt – som exempelvis en organisation, en verksamhet, en process, ett projekt eller ett it-system.

Syftet med en riskanalys är att:

• Identifiera förhållanden där organisationen riskerar att inte uppnå sina mål.
• Ta fram underlag för val av säkerhetsåtgärder som behöver vidtas.
• Skapa en medvetenhet om risker kopplade till det aktuella analysobjektet.

En riskanalys går ut på att svara på följande frågor:

• Vilka oönskade händelser kan inträffa?
• Vad blir konsekvenserna?
• Hur troligt är det?

Detta görs genom att beskriva konsekvenserna av och sannolikheten för att en oönskad händelse inträffar.

När ska en riskanalys genomföras?

Riskanalyser bör genomföras inför en ny situation eller en förändring, men också regelbundet även om det verkar som att ingen förändring har skett. Att genomföra riskanalyser är extra viktigt för kritiska verksamheter (se Identifiera och analysera Verksamhetsanalys) då konsekvenserna av oönskade händelser i sådan verksamhet kan bli högre än vad organisationen klarar. När och hur ofta riskanalyser ska genomföras bör regleras i styrdokument, i organisationens riskhantering och/eller i en årskalender för det systematiska informationssäkerhetsarbetet eller motsvarande.

Exempel på tillfällen som motiverar en riskanalys är:

• Vid anskaffning eller upphandling av it-relaterade system och tjänster.
  • Vid förändringar som kan påverka säkerheten i it- system och tjänster.
  • När it-drift ska läggas ut/outsourcas.
  • Förändringar i organisationen (t.ex. arbetssätt, personal, lokaler).
  • Förändringar i omvärlden (tex förändrad hotbild, nyupptäckta sårbarheter).
  • Nya eller förändrade uppdrag/tjänster/uppgifter.

Riskanalyser behöver också genomföras i samband med informationsklassning för att komma fram till vilka säkerhetsåtgärder som behöver införas. En riskanalys kan synliggöra förhållanden kring det specifika analysobjektet som gör att generella krav på säkerhetsåtgärder kopplade till klassningsnivåer inte är tillräckliga eller inte behövs (se Utforma Klassningsmodell, Utforma Välj säkerhetsåtgärder och skapa skyddsnivåer och Använda Klassning av information).

Planering och förberedelser

För att riskanalysen ska genomföras med god kvalitet är det viktigt att planera och förbereda den väl. Den som ansvarar för att riskanalysen förbereds, genomförs och resultatet omhändertas kallar vi analysledare. Viktiga aktiviteter är att definiera analysobjektet och syftet med riskanalysen, bestämma hur riskanalysen ska genomföras, utse och kalla deltagare samt att förse deltagarna med underlag så som organisationens riskbild om organisationen har en sådan.

Ett analysobjekt kan vara olika stort och omfatta olika saker exempelvis hela organisationens informationsbehandling, en del av organisationen så som en avdelning eller enhet, en process, ett it-system, ett projekt, ett fysiskt område så som en serverhall, eller en verksamhetsförändring. Riskanalysen kan avse en befintlig verksamhet, process, informationsmängd, resurs som hanterar information eller något som ska utvecklas eller planeras att anskaffas. Att fastställa vad som ska analyseras och varför, det vill säga avgränsa analysobjektet, är grundläggande i att genomföra en riskanalys.

Riskanalyser kan genomföras utifrån olika syften. Syftet kan exempelvis vara att identifiera organisationens övergripande risker, få fram krav på en leverantör inför en utkontraktering av information, undvika problem vid en flytt av eller inför utveckling av ett informationssystem.

Riskägaren behöver kunna beskriva vad riskanalysen ska omfatta och vad syftet är, så att det är tydligt vad man ska fokusera på och hur djup analysen behöver vara. Här har riskägaren ett stort ansvar att förmedla vad riskanalysen ska omfatta. Är det endast informationssäkerhetsrisker eller även andra verksamhetsrisker? Vad som ska analyseras och varför behöver vid genomförandet vara tydligt för alla deltagare så att de har samma bild.

Ett av de mest vanliga misstag man gör är att genomföra riskanalyser som blir för omfattande. Om analysobjektet är stort och syftet är att identifiera alla risker på en detaljerad nivå blir analysarbetet svåröverskådligt och tidsödande. Det kan vara bättre att dela upp och avgränsa mer omfattande analysobjekt i flera mindre delar som analyseras var för sig och därefter se över helheten.

Att avgränsa ett analysobjekt är inte detsamma som att avgränsa riskerna. Det kan man aldrig göra. Även om riskanalysen görs på ett avgränsat analysobjekt, kan riskers konsekvenser drabba andra delar av organisationen och aktörer utanför den egna organisationen, så som till exempel kunder och allmänheten.

Enligt de flesta projektstyrningsmodeller ska riskanalyser genomföras. Att göra en riskanalys för ett projekt är något annat än att göra en riskanalys för resultatet av ett projekt. För ett projekt är syftet att fokusera på risker med själva projektet, exempelvis att projektet blir försenat eller går över budget. Det som är intressant ur ett informationssäkerhetsperspektiv i ett projekt är hur informationen hanteras på ett säkert sätt eller ännu mer vilka effekter som resultatet av ett projekt, till exempel byte av ett it-system, kan medföra för risker för organisationen, exempelvis att it-systemet läcker information eller gör den otillgänglig.

Bestäm hur riskanalysen ska genomföras

En riskanalys kan antingen genomföras med hjälp av en workshop där flera personer deltar men kan även (för mindre analysobjekt) genomföras i ”skrivbordsform” med enbart en eller ett par personer. Det är bra att tänka igenom hur riskanalysen ska genomföras så att det blir så effektivt som möjligt utan att göra avkall på kvaliteten. Det är avgörande att rätt mängd resurser med rätt kompetens deltar. Tänk på att för stora grupper inte alltid arbetar effektivt och att man då kan behöva dela in gruppen i undergrupper.

Utse och kalla deltagare

När en riskanalys genomförs är det viktigt att rätt roller deltar. De som deltar behöver tillsammans ha den kompetens som krävs för att bedöma risker för det aktuella analysobjektet. Det kan vara chefer och ansvariga för analysobjektet, till exempel informationsägare, systemägare, processägare, men även de som arbetar dagligen och operativt i den aktuella verksamheten.

Utöver dessa krävs i regel experter inom juridik, it och säkerhet, samt kanske specialkompetens om en viss typ av anläggning eller utrustning. Om dessa deltar i riskanalysen kan man snabbt lösa frågeställningar inom deras kompetensområde. Har de inte möjlighet att delta får man stämma av frågor i efterhand och eventuellt komplettera riskanalysen utifrån de svar man får.

Deltagarna måste innan analystillfället förstå syftet med, och sin roll i, riskanalysen. Finns underlag som deltagarna behöver läsa på innan behöver de i god tid få ta del av det. Behöver deltagarna  bidra med underlag behöver de också få god tid på sig att ta fram detta, till exempel fakta om analysobjektet. Uppmana deltagarna att inom sina respektive kompetensområden att söka mer kunskap om det område som ska analyseras – till exempel inom forskning, i medier eller hos myndigheter.

Ibland kan en riskanalys ligga till grund för en annan, till exempel kan en verksamhet göra en riskanalys inför upphandling av ett nytt it-system. De risker de identifierar som berör den tekniska lösningen blir underlag för it-avdelningens riskanalys. Först en generell för den typ av system som verksamheten efterfrågar och senare en mer detaljerad utifrån den tekniska lösning som väljs.

Ta fram underlag

Om organisationen tagit fram en riskbild är det ett viktigt underlag till riskanalyser som görs inom organisationen. Rätt utförd visar den ett antal riskområden för organisationen i stort, och som mer eller mindre har bäring på det aktuella analysobjektet. Riskbilden måste i de flesta fall kompletteras med mer specifika underlag för det aktuella analysobjektet.

Till exempel: om riskanalysen avser ett HR-system så kan det finnas specifika hot, sårbarheter och andra förutsättningar som är kopplade till just personalhantering.

Följande underlag med relevans för analysobjektet kan vara lämpliga att ha med vid riskanalyser:

• Rättsliga krav.
• Informationstillgångar och resultat av informationsklassning.
• Kunskap om andra tillgångar så som t.ex. lokaler, utrustning, och dess betydelse, värde, exponering med mera.
• Användare/personal och dess kunskap, erfarenhet med mera.
• Dokumentation över teknisk plattform.

Dessutom utgör resultat från granskningar och relaterade analyser viktiga underlag, exempelvis från revisioner, tidigare genomförda riskanalyser och inte minst inträffade incidenter.

Om det inte finns en riskbild och man vill ha mer underlag kan en hotanalys genomföras. En hotanalys fokuserar på att identifiera vilka hot som finns mot verksamheten. Man kan också genomföra en riskanalys enbart utifrån den kunskap som deltagarna har om analysobjektet.    

Se över kriterier och nivåer för riskvärdering i riskverktyget

Innan ni genomför riskanalysen bör kriterier och nivåer för riskvärdering vara fastställda eftersom de används under riskanalysen. Detta bör vara gjort inom ramen för organisationens riskhantering och vara dokumenterad i organisationens riskanalysmodell. Saknas detta behöver kriterier och nivåer tas fram och beslutas inför den aktuella riskanalysen. Vägledning för detta finns i Utforma Riskhantering.

Verktyget Använda Dokumentera riskanalys kan användas under riskanalysen eller för att i efterhand dokumentera resultatet av riskanalysen.

Genomförande

Genomförandet av en riskanalys består av tre delar: identifiering av risker, värdering av risker och föreslå åtgärdsförslag. En riskanalys i workshopform bör inledas med att analysledaren håller en inledande presentation med agenda, beskrivning av riskanalysmetoden, en sammanfattning av underlag, beskrivning av analysobjektet och syftet med riskanalysen så att eventuella missförstånd kan redas ut eller förtydliganden göras. Som stöd kan det vara bra att rita upp analysobjektet och saker i dess omgivning som påverkar det på ett övergripande sätt för att tydligt visualisera för alla under analystillfället vad det är som ska analyseras. Det är inte ovanligt att deltagarna behöver justera analysobjektet något under riskanalystillfället baserat på deras specifika kunskaper om det som ska analyseras. Vad som ska analyseras och varför behöver vid genomförandet vara tydligt för alla deltagare så att de har samma bild.

Identifiera risker

Identifiering av risker görs lämpligen i form av brainstorming, en strukturerad kreativ process, där deltagarna tar fram tänkbara hot och oönskade händelser relaterade till analysobjektet. Ofta är det fördelaktigt att brainstormingen sker parvis eller i mindre grupper. Beroende på analysobjektets storlek och komplexitet kan tiden för brainstorming variera, men ofta är 20–30 minuter lämpligt. Analysledaren kan gärna inleda brainstormingen med att visa på bredden av hot för att deltagarna inte ska låsa sig vid endast en typ av hot (till exempel riktade attacker).

Exempel på ursprung till hot och hot kan vara:

• Människa (avsiktliga hot: riktade och oriktade attacker, interna och externa hot, olika typer av motiv m.m. oavsiktliga hot: brister i utbildning, felaktigt handhavande, stress, slarv med mera)
  • Teknik (fel och buggar i mjukvara/hårdvara, installationsfel, fel i konfiguration, elavbrott med mera)
  • Natur (brand, översvämning, storm, kyla med mera.)
  • Administration (brister i, eller avsaknad av, interna styrdokument och rutiner, oklar ansvarsfördelning, felaktiga beslut med mera.)

I en grupp som tycker att risk är svårt kan det underlätta om analysledaren ställer frågor som till exempel ”Vad kan bli ett problem?”, ”Vad skulle vara obehagligt om det hände?”, ”Vad skulle göra att du inte sov gott på natten?”. Det är inte säkert att svaren på dessa frågor blir specifika risker, men kan vara något att utgå från när man sedan skriver om och preciserar ner det till risker.

När brainstormingen är klar går deltagarna tillsammans igenom riskerna. Analysledaren behöver se till att riskerna formuleras så specifikt som möjligt och som händelser, och inte som allmänna tillstånd eller företeelser. Detta är en förutsättning för att konsekvens och sannolikhet ska kunna bedömas. Deltagarna hjälps åt att skriva riskerna i formatet:

På grund av (orsaker) inträffar risken (händelse) vilket leder till (konsekvenser).

Istället för att skriva ”hackers” bör man exempelvis skriva:

På grund av en felaktigt konfigurerad brandvägg inträffar risken att en extern angripare hackar sig in i systemet x och får del av uppgifterna y vilket leder till att känsliga uppgifter kommer obehörig till del.

Sannolikt har flera personer eller grupper identifierat samma eller liknande risker och då behöver analysledaren vid genomgången sortera bort dubbletter. Tänk på att varje risk kan ha flera orsaker och/eller flera konsekvenser. Skriv in en risk per rad så länge så kan risker eventuellt sorteras, delas upp, slås samman och så vidare längre fram. 

De risker som identifieras kan dokumenteras i riskverktyget (Se Verktyg Använda Dokumentera riskanalys). Under workshopen behöver ni inte dokumentera direkt i riskverkyget. Ibland är det enklare för deltagarna att skriva sina risker på till exempel post-it lappar och att någon dokumenterar era diskussioner kring orsak och konsekvens av risken så att du som analysledare i efterhand kan föra in dem i verktyget.

Värdera risker

Vid riskvärderingen använder ni kriterierna för konsekvens och sannolikhet som er organisation har fastställt. Diskutera gemensamt konsekvensen och sannolikheten för varje risk och välj det som känns rimligt utifrån deltagarnas kunskaper. Här är det bra att påminna sig om att i de allra flesta fall så är bedömningarna ungefärliga eftersom det ofta saknas underlag. Riskanalys som metod fungerar trots att bedömningarna av konsekvens och sannolikhet är ungefärliga. 

För in värderingar av riskernas konsekvens och sannolikhet i riskverktyget eller dokumentera på annat sätt för att sedan föra in i verktyget i efterhand. Placera in respektive risk i riskmatrisen i verktyget eller sätt post-it lappar på en uppritad matris på whiteboarden. Detta kan gärna visas för alla så att deltagarna får en gemensam bild av riskernas värdering (se Figur 1).

Figur 1: Värderade risker placerade i riskmatrisen.

När fler risker värderas kan en risk relateras till andra riskers värderingar och på så sätt jämföras med varandra. Diskutera riskernas förhållande till varandra löpande och flytta dem i matrisen vid behov.

Det är också vanligt att man ger risken ett riskvärde utan att jämföra med andra risker och hanterar då risken utifrån dess eget riskvärde och inte i relation till andra risker.  

Föreslå åtgärder

Syftet med att göra riskanalyser är att bland annat att identifiera åtgärder för att hantera riskerna. Workshopdeltagarna är oftast de som är bäst lämpade att föreslå vilka åtgärder som kan införas för att minska riskens konsekvens och/eller sannolikhet. Ta gärna tillvara på det här genom att i slutet av riskanalysen be deltagarna föreslå åtgärder för riskbehandling. Om deltagarna identifierat risker som behöver åtgärdas av någon annan kan det vara svårt för deltagarna att föreslå åtgärder. Som analysledare får du då kontakta dem som vet vilka åtgärder som är möjliga och därefter diskutera dem med workshopsdeltagarna vid ett senare tillfälle för att välja det alternativ som fungerar bäst för verksamheten.

För mer vägledning kring att välja säkerhetsåtgärder, se Identifiera och analysera Gapanalys och Utforma Välj säkerhetsåtgärder och skapa skyddsnivåer.

Hantera riskanalysens resultat

När workshopen är genomförd har ni kommit fram till ett antal beskrivna och värderade risker, och detta är dokumenterat till exempel i riskverktyget, (se Verktyg Använda Dokumentera riskanalys). Dokumentationen bör även innehålla information avseende vem som är riskägare och vilka som deltagit i riskanalysen. Dokumentationen kan även innehålla förslag på säkerhetsåtgärder. Har man inte tagit fram förslag på åtgärder för riskbehandling behöver detta göras på något annat sätt.

Riskägarna är ansvariga för att riskerna inom sitt ansvarsområde åtgärdas. Men det är inte alltid riskägaren själv kan ansvara för att införa alla åtgärder. Då kan det vara någon annan i organisationen som är åtgärdsansvarig för en eller flera av åtgärderna.

Till exempel: i riskanalysen framgår att verksamheten önskar ett nytt informationssystem som behandlar information som klassats som K4, R3, T4 (Se Använda Klassning av information). Riskägaren, i det här fallet även informationsägaren, ansvarar för att ta fram rutiner så att verksamheten hanterar informationen på ett säkert sätt. Åtgärdsansvarig för de tekniska åtgärderna är it-avdelningen.

Risker kan åtgärdas på flera olika sätt; de kan accepteras, undvikas, överföras eller reduceras. En risk som accepteras gör man ingenting åt. En risk undviks genom att man inte alls gör det som man hade tänkt göra, som i exemplet ovan så väljer man att inte införa det här nya informationssystemet. En risk överförs genom att någon annan tar risken, till exempel att ett försäkringsbolag tar kostnaderna om risken inträffar. En risk reduceras genom att införa en eller flera säkerhetsåtgärder så att risken reduceras till en acceptabel nivå eller elimineras helt.

Alla åtgärder som ska införas behöver dokumenteras i en åtgärdsplan och ska ha en utsedd åtgärdsansvarig. Denna kan vara riskägaren, om åtgärden ligger inom dennes ansvarsområde och kontroll. I annat fall har riskägaren en kravställande roll gentemot den åtgärdsansvarige. Riskbehandling för en risk kan vara komplex och innefatta flera åtgärder. Åtgärdsplanen kan innehålla många åtgärder med olika åtgärdsansvariga. En åtgärdsplan bör innehålla: åtgärden, vem som är ansvarig, när åtgärden ska vara införd, samt möjlighet att följa upp status kring införandet av olika åtgärder som minskar riskerna. 

I riskverktyget (se Verktyg Använda Dokumentera riskanalys) finns stöd för en åtgärdsplan där riskägarens beslut om vilka åtgärder som ska införas utifrån föreslagna åtgärder dokumenteras. Det är även lämpligt att motivera vald riskbehandling, till exempel om en risk accepteras så kan det motiveras med att dess konsekvens är så låg att organisationen tillåter den att inträffa. Hur och när en risk får accepteras framgår av organisationens kriterier för riskacceptans (se Utforma Riskhantering).

Riskverktyget (se Verktyg Använda Dokumentera riskanalys) har också en statuskolumn med fyra nivåer som kan användas vid uppföljning av riskbehandlingen. Riskverktyget kan naturligtvis anpassas, utvecklas och automatiseras på olika sätt.

Utifrån era förutsättningar samt resultatet av riskanalysen behöver ni bedöma vilka intressenter som ska få ta del av resultatet samt i vilket format. Tänk på att information i en riskanalys kan vara mycket känslig och behöver hanteras utifrån det.

Riskägaren ansvarar för att föra in resultatet av genomförda riskanalyser i lämpligt riskregister. Riskägaren behöver föra ett eget riskregister och/eller använda organisationens centrala riskregister. En mall för riskregister att utgå från finns i verktyget Verktyg Använda Riskregister.

I den här vägledningen beskrivs hur arbetet med att klassa organisationens information genomförs. Klassningen baseras på organisationens­ klassningsmodell. Hur resultatet av klassningen omhändertas beskrivs också.

Vad är informationsklassning?

Informationsklassning innebär att man värderar organisationens information utifrån vilka konsekvenser otillräckligt skydd för informationens konfidentialitet, riktighet och tillgänglighet skulle kunna få. Klassningen görs utifrån er framtagna klassningsmodell (se Utforma Klassningsmodell).

Vad är syftet med att klassa information?

Klassning av information har två syften:

1) Att öka medvetenheten om vilka negativa konsekvenser som kan drabba er organisation om tillräckligt skydd av informationens konfidentialitet, riktighet eller tillgänglighet inte upprätthålls.

2) Att förstå och fastställa skyddsbehovet för den klassade informationen.

Klassningsresultatet, tillsammans med genomförd riskbedömning, ger underlag för att välja säkerhetsåtgärder så att informationen inte får otillräckligt skydd eller överskyddas med höga kostnader som följd.

Ingångsvärden

Ingångsvärden till er klassning är resultaten från arbetet som ni har gjort i faserna  Identifiera och analysera samt Utforma. Särskilt viktiga ingångsvärden är:

• Kritiska informationstillgångar och interna krav från Identifiera och analysera Verksamhet.
• Rättsliga krav och andra externa krav från Identifiera och analysera Omvärld.
• Organisationens klassningsmodell från Utforma Klassningsmodell.
• Styrdokument som rör klassning från Utforma Styrdokument.
• Roller och ansvar för informationssäkerhet från Utforma Organisation.

Vad ska klassas?

Det som ska klassas är information. Ibland förvaras och hanteras många olika typer av information i ett it-system. Då är det viktigt att ge den samlade mängden information ett tillräckligt skydd. Vissa organisationer klassar de resurser som hanterar information, till exempel datorer, it-system och databaser. Klassning av resurser som hanterar information görs utifrån den information som it-resursen hanterar. Andra organisationer menar att it-resurserna inte ska klassas utan ges en skyddsnivå utifrån den klassning som informationen som hanteras där har fått (se Utforma Välj säkerhetsåtgärder och skapa skyddsnivåer). I metodstödet utgår vi från ett arbetssätt där man klassar informationen och ger de resurser som hanterar informationen en skyddsnivå som tar hänsyn till all information som hanteras där, men det är inte fel att klassa även de resurser som hanterar information.

Den information som ni ska klassa vid ett specifikt tillfälle samlas i ett klassningsobjekt. Ett klassningsobjekt utgörs av en meningsfull del i organisationen där information hanteras, exempelvis information som hanteras i en viss verksamhet, en enhet eller avdelning, en process, en tjänst, eller ett it-system. Ett klassningsobjekt kan innehåll en eller flera informationsmängder och informationstyper.

En informationsmängd är en gruppering av information, exempelvis i form av ett dokument, en databas eller liknande. En informationsmängd innehåller en eller flera informationstyper. En informationsmängd utgör minsta möjliga meningsfulla del, till exempel ska en PDF ska inte delas upp i dess olika informationstyper utan ses som en informationsmängd. Ett klassningsobjekt innehåller normalt ett flertal informationsmängder.

En informationstyp är information av ett visst slag. Man kan välja att definiera en informationstyp som en informationsmängd och klassa den. Om och vilka informationstyper en organisation väljer att definiera som en informationsmängd och klassa beror på organisationens behov. Att identifiera informationstyper som är viktiga kan underlätta klassningen, till exempel när en viss typ av information är spridd i stora delar av organisationen, så som personuppgifter, eller är av särskild betydelse för organisationen. Exempel på informationstyper som kan vara av särskild betydelse för en organisation är kundregister, ekonomisk redovisning, riskanalyser, källkod, ritningar, forskningsresultat eller liknande beroende på vilken verksamhet som bedrivs. Informationstyper som finns på många ställen i er organisation eller som är särskilt viktiga för hela organisationen kan klassas organisationsgemensamt, för att undvika att olika verksamheter lägger tid på att klassa samma informationstyp flera gånger (se Roller och ansvar nedan).

Figur 1: Hur begreppen ”Klassningsobjekt, informationsmängd och informationstyp” förhåller sig till varandra.

Särskilt om klassning och säkerhetsskyddslagen

Säkerhetsskyddsklassificerade uppgifter, det vill säga uppgifter som rör säkerhetskänslig verksamhet, ska klassas i enlighet med säkerhetsskyddslagstiftningen. Om ni identifierar information som ni misstänker kan innehålla säkerhetsskyddsklassificerade uppgifter behöver ni kontakta organisationens säkerhetsskyddschef.

Mer information om säkerhetsskyddslagen och aktuella föreskrifter och vägledningar finner du på Försvarsmaktens och Säkerhetspolisens hemsidor.

När klassning ska ske

Klassning av information behöver göras minst en gång per klassningsobjekt men man behöver regelbundet kontrollera att klassningen fortfarande gäller. Detta eftersom informationens värde för organisationen kan ändras över tid. Lämpligt är därför att klassningen ses över årligen som en del av organisationens årshjul för informationssäkerhetsarbetet.

Vid utveckling, större förändringar eller anskaffning av nya it-system eller andra resurser som hanterar information behöver klassning genomföras för att ge underlag till kravställningen.

Att börja med

Om er organisation inte tidigare har klassat någon information så står ni inför valet av vad som ska klassas först. Rekommendationen är då att ni börjar med information i era viktigaste verksamheter, det vill säga de som måste fungera för att organisationen ska kunna bedriva sin verksamhet, eller där felaktig hantering av informationen kan innebära oacceptabla konsekvenser. Som grund för detta kan ni använda den förteckning över informationstillgångar som tagits fram i Identifiera och analysera Verksamhet och börja med de kritiska.

När ni ska klassa för första gången kan ni göra det i form av ett pilotprojekt. Då kan klassningsmodellen och arbetssättet för klassningen utvärderas. När ni ska genomföra er pilot är det bra att välja en kritisk verksamhet, men också en verksamhet som är intresserad och  inte allt för komplex. Risken är annars att arbetet fastnar i pilotprojektet och att man får svårt att komma vidare.

Det kan också vara lämpligt att tidigt i klassningsarbetet klassa informationstyper som är spridda i stora delar av organisationen eller som är av särskild betydelse för en verksamhet (läs mer nedan Om organisationsgemensam respektive verksamhetsanpassad klassning).  

Roller och ansvar

Verksamhetsansvariga, exempelvis linjechefer, processägare, projektägare och informationsägare, ansvarar för att den egna informationen klassas och har ett tillräckligt skydd (se Utforma Organisation). Verksamhetsansvarigas ansvar för klassning bör tydligt regleras i era styrdokument för informationssäkerhet (se Utforma Organisation och Utforma Styrdokument). Att ha ansvar innebär att ha befogenheter och resurser men inte att man behöver göra klassningarna själv. Som ansvarig kan man se till att någon med rätt kompetens  genomför själva klassningen. I  stora organisationer kan det finnas resurser i den egna verksamheten eller i stödverksamhet som hjälper till att leda genomförandet av informationsklassningar.  

Som CISO är din roll att stödja och hålla samman arbetet med klassning. Du bör ha en aktiv roll initialt, och är förmodligen den som leder inledande workshops, exempelvis i en eller flera piloter (se ovan). Efterhand kan vägledningar, lathundar och utbildning tas fram som möjliggör att verksamheter själva eller med hjälp av stödverksamheter kan genomföra klassningar.

Andra roller och funktioner som man kan ha stor hjälp av, särskilt när klassningsarbetet påbörjas, är bland andra arkivarie, informationshantering/dokumentcontroller och jurist.

Dokumentera

När klassningar har kommit igång i er organisation bör ni hålla ordning på vad som klassats och resultatet av klassningen. Ni bör därför skapa rutiner för att godkänna/besluta och att dokumentera klassad information i en förteckning.

Om organisationsgemensam respektive verksamhetsanpassad klassning

För att underlätta klassningen kan organisationer bestämma sig för att klassa viss information gemensamt. Då identifierar man information som förekommer ofta i organisationen eller som är av särskild betydelse för hela organisationen, klassar dem i enlighet med organisationens klassningsmodell och beslutar därmed att de ska ges säkerhetsåtgärder motsvarande en viss skyddsnivå. En riskbedömning ska alltid komplettera klassningen för att säkerställa att informationen får rätt skydd. Anledningen till att man använder sig av organisationsgemensamma klassningar är för att effektivisera klassningen och valet av säkerhetsåtgärder. Verksamheter kan i vissa organisationer ha rätt att höja och ibland även sänka klassningen för dessa beroende på i vilket sammanhang informationen hanteras.

Klassning av organisationsgemensam information görs genom att:

1. Identifiera vilken information som ska klassas organisationsgemensamt.
2. Klassa informationen utifrån er klassningsmodell.
3. Dokumentera vilken information som har fått en organisationsgemensam klassning och huruvida klassningen får sänkas av verksamheten.
4. Säkerställ att verksamheterna känner till resultatet av den organisationsgemensamma klassningen när de ska klassa sin information.

Figur 2: Arbetssätt för klassning av information där det finns organisationsgemensamt klassad information och där verksamheten kan höja och sänka konsekvensnivån beroende på den egna verksamheten.

Klassningen av organisationsgemensam information behöver  godkännas. Det kan göras av ett informationssäkerhetsråd eller motsvarande (se Utforma Organisation) beroende på hur det ser ut i organisationen. Detta råd skulle också kunna godkänna klassningar där verksamheten sänker konsekvensnivån för en organisationsgemensam informationsklassning och utifrån genomförd riskbedömning kan visa att informationen skyddas tillräckligt med en lägre nivå av skydd. Saknas ett informationssäkerhetsråd i organisationen kan det vara lämpligt att samla berörda informationsägare för att godkänna det organisationsgemensamma klassningsresultatet, eller för godkännande då en verksamhet sänkt klassningen av information som tidigare klassats organisationsgemensamt.  

Arbetssätt vid klassning

I det här avsnittet beskrivs ett förslag till arbetssätt med olika aktiviteter för informationsklassning som ni kan använda er av. Arbetssättet illustreras i Figur 3. Arbetet bedrivs  i workshopform och utgår från organisationens beslutade klassningsmodell. Om organisationen är ovan vid att klassa information är det bättre att definiera mindre klassningsobjekt och ha kortade klassningstillfällen, än att börja med för stora klassningsobjekt. Om klassningen blir för komplicerad och tar för lång tid är risken stor att verksamheten blir avskräckt och det blir svårt att få igång ett effektivt klassningsarbete.

Figur 3: Ett arbetssätt för klassning.

Följande avsnitt ger vägledning för de olika aktiviteterna i klassningsarbetet.

1.    Definiera klassningsobjekt

Innan ni börjar klassa behöver klassningsobjektets omfattning och avgränsning definieras. Det innebär att ni bestämmer vilken information som ingår i klassningsobjektet och vilken information som inte ingår.

Ett klassningsobjekt bör utgöras av en meningsfull del i organisationen där information hanteras, exempelvis en verksamhet, en enhet eller avdelning, en process, eller en tjänst. Det kan exempelvis vara information som hanteras i ett lokalkontor, en bygglovsprocess i en kommun, en tentamen på ett universitet, en upphandlingsprocess eller en tillverkningsavdelning. Klassningsobjektet kan också vara en viss informationstyp, som exempelvis känsliga personuppgifter.

2.   Förbered Workshop

När klassningsobjektet är definierat ska själva workshopen förberedas. Beroende på omfattning och komplexitet hos klassningsobjektet kan klassningen ta olika lång tid. Om klassningsobjektet är allt för omfattande, försök att dela upp det i hanterbara delobjekt. Genom att identifiera relevant material och förbereda deltagarna kan klassningstillfället hållas fokuserat.

Inför ett klassningstillfälle behöver du som ska hålla i workshopen förbereda dig. Det är bra om du har en grundläggande förståelse för den verksamhet vars information ska klassas.

Material som kan vara bra att läsa in sig på är till exempel:

• Analyser, till exempel Verksamhet, Omvärld, Risk om sådana finns.
• Existerande inventeringar av information.
• Processbeskrivningar.
• Rättsliga krav.

Du kan också ta hjälp av organisationens arkivarie, informationshanteringsfunktion/dokumentcontroller och jurist för att få större kunskap om verksamhetens behov.

Har organisationen organisationsgemensamt klassad information behöver detta ingå som underlag när man genomför klassning.

 Förbered deltagarna i god tid innan workshopen genom att informera om:

• Vad som ska göras.
• Vad klassning går ut på.
• Hur klassningsobjektet är definierat.
• Vad som förväntas av deltagarna.

Eftersom det är bra för deltagarna att veta vem det är som vill att informationen ska klassas bör den som ansvarar för klassningsobjektet, det vill säga informationsägaren, stå som avsändare av inbjudan till workshopen. Det är viktigt att workshopen genomförs med rätt deltagare exempelvis:

• Workshopledare med kunskap om klassningsmodellen, arbetssätt för klassning av information och informationssäkerhet generellt. Initialt är det lämpligen CISO som har denna roll.  
• Chefer, vilka är ansvariga för det aktuella klassningsobjektet, och medarbetare med verksamhetskompetens som tillsammans besitta kunskap om vilken information som finns i klassningsobjektet och vilka konsekvenser som brister i konfidentialitet, riktighet och tillgänglighet kan innebära.
• Jurister eller andra personer med kunskap om rättsliga krav på klassningsobjektet

Beroende på klassningsobjekt, situation och hur verksamheten ser ut kan även andra kompetenser behöva medverka i klassningen till exempel representant från närliggande verksamheter som har stort informationsutbyte med klassningsobjektet. Det är också bra att be någon om hjälp att föra anteckningar under workshopen eftersom det kan vara svårt att göra det själv samtidigt som du leder arbetet. Gör avvägningen mellan behovet av viss kompetens och antal medverkande i workshopen så att gruppen inte blir större än att alla som deltar har möjlighet att komma till tals. 

Det kan också vara bra att förbereda ett kort exempel på hur en klassning går till, som du sedan inleder workshoptillfället med, för att hjälpa deltagarna att förstå metodiken.

Nu är det dags för själva workshopen (steg 3 och 4)

3. Inventera information och beskriv klassningsobjektet

Det första steget i workshopen är att beskriva klassningsobjektet och den information  som ingår. Här bidrar deltagarna med sin kunskap om klassningsobjektet och dess information genom att lägga till och justera objektets omfattning och ingående information. När ni vet vilken information som ingår i objektet hjälps deltagarna åt att  skapa meningsfulla informationsmängder. Ibland kan det vara svårt att veta vilken detaljeringsgrad man behöver ha när man definierar informationsmängder. Grundregeln är att informationen som utgör en informationsmängd är den minsta sammansatta grupperingen av information som hanteras i klassningsobjektet.

Exempel: Om ett system skapar en PDF-fil med ett visst innehåll, som aldrig delas upp i mindre informationsmängder, så kan PDF-filen betraktas som en informationsmängd.

För att underlätta arbetet med att identifiera relevanta informationsmängder kan man också tänka i termer av var organisationens, verksamhetens eller ett it-systems information hanteras, till exempel vilken information matas in - indata, vilken information lagras, och vilken information kan vi få ut  - utdata.

Informationen i klassningsobjektet kan finnas i digital form i it-system, eller i pappersform. Ibland behöver man även klassa information som bara förekommer i  muntlig form. Ofta kan samma informationsmängd förekomma i mer än en  form, exempelvis kan en Word-fil lagras digitalt, skrivas ut, och informationen kan läsas och kommuniceras muntligt. Hur informationen klassas skiljer sig inte åt, däremot kan informationen behöva skyddas på olika sätt beroende på i vilken form den förekommer.

Om det redan finns inventeringar och kartläggningar av information är det naturligtvis bra att ni använder dessa. Saknas inventeringar kan ni under workshopen ta hjälp av till exempel MSB:s och Riksarkivets ”Vägledning för processorienterad informationskartläggning”.

Skriv in den inventerade informationen i kolumnerna Informationsmängd och Beskrivning/innehåll i metodstödets tillhörande Verktyg Använda Informationsklassning.

4. Klassa information

Att klassa information innebär att man gör en konsekvensbedömning för vad som kan hända om informationens konfidentialitet, riktighet och tillgänglighet inte upprätthålls i den utsträckning verksamheten behöver. Exempel på frågor ni kan ställa er är:

1. Vad kan konsekvenserna bli om informationen kommer obehöriga till del (Konfidentialitet)?
2.  Vad kan konsekvenserna bli om informationen är manipulerad eller förstörd (Riktighet)?
3.  Vad kan konsekvenserna bli om någon (som är behörig) inte får tillgång till informationen (Tillgänglighet)?

Använd konsekvensnivåerna från er klassningsmodell som stöd vid konsekvensbedömningen. Utgå från samtliga konsekvenskategorier och bedöm konsekvensnivå för respektive kategori. Låt den allvarligaste konsekvensen vara avgörande för i vilken klass informationen ska hamna.

Kontrollera om klassningsobjektet innehåller information som redan är organisationsgemensamt klassad. Ta med den organisationsgemensamma bedömningen när ni klassar er informationsmängd.

När ni har klassat en informationsmängd får den en klassningsprofil. En viss informationsmängd kan exempelvis få en hög konsekvensnivå gällande konfidentialitet och riktighet men en lägre gällande tillgänglighet. För in resultatet av klassningen av varje informationsmängd för varje aspekt i respektive kolumn i Verktyg Använda Informationsklassning.

5. Dokumentera 

Resultatet av klassningen kan med fördel dokumenteras under pågående workshop. Därför kan det vara bra att ni har en utsedd person som dokumenterar ert resultat. Dokumentationen kan göras i Verktyg Använda Informationsklassning.

Med detta steg är själva arbetet med klassningen av ett specifikt klassningsobjekt klart. I nästa avsnitt ges vägledning för hur resultatet på olika sätt kan användas som underlag för att välja säkerhetsåtgärder. För mer information se vägledningen Utforma Välj säkerhetsåtgärder och skapa skyddsnivåer.

Användning av klassningsresultatet

Resultatet av klassningen ger en ökad förståelse för informationens värde och vilka konsekvenser det får om informationen skulle läcka ut till obehöriga, förändras okontrollerat eller vara otillgänglig. Klassningen är också ingångsvärde till den riskbedömning som fastställer skyddsbehovet hos informationen.

Krav på säkerhetsåtgärder

Det skyddsbehov som framkommit vid klassning och riskbedömning av informationen behöver omhändertas av informationsägaren genom att införa tillräckliga säkerhetsåtgärder. Dessa kan vara administrativa, tekniska och fysiska.De organisationer som har samlat säkerhetsåtgärder i skyddsnivåer för respektive klassningsnivå ska använda dessa (se Utforma Välj säkerhetsåtgärder och skapa skyddsnivåer). Varje skyddsnivå kommer att innehålla ett antal säkerhetsåtgärder som är olika relevanta beroende på det sammanhang som informationen hanteras i.

Det är med andra ord inte alltid så att alla säkerhetsåtgärder i en skyddsnivå behöver införas i alla situationer. Varje klassningsobjekt kan ha specifika förutsättningar för det sammanhang som just den informationen används i. Säkerhetsåtgärderna i skyddsnivåerna kan ibland användas av alla verksamheter men ibland kan verksamhetsspecifika åtgärder behöva utvecklas, till exempel särskilda rutiner. Det är riskbedömningen som avgör om säkerhets­åtgärderna i skyddsnivåerna är tillämpliga, tillräckliga eller till och med överflödiga (till exempel för att exponeringen är låg eller för att de täcks av andra säkerhetsåtgärder i verksamheten).

Figur 4: Hur klassningsmodellens konsekvensnivåer relaterar till skyddsnivåer och hur man kan beskriva vilka säkerhetsåtgärder som gäller för olika skyddsnivåer och vilka aspekter säkerhetsåtgärden skyddar mot brister i. 

På detta sätt blir det tydligt för olika roller i organisationen vilka krav på skydd som ställs utifrån hur informationen är klassad och de risker som identifierats.

Har organisationen definierat en grundskyddsnivå av säkerhetsåtgärder och resultatet av er klassning och riskbedömning tillsammans visar på ett lägre skyddsbehov kan det ibland ändå vara bättre att välja de säkerhetsåtgärder som är godkända och förvaltas inom ramen för grundskyddsnivån framför att införa nya säkerhetsåtgärder med lägre skydd. Är en säkerhetsåtgärd onödig så behöver det finnas arbetssätt för att söka undantag för att inte införa säkerhetsåtgärden i enlighet med er organisations rutiner för detta (se Utforma Välj säkerhetsåtgärder och skapa skyddsnivåer).

Till exempel kan information ha värdet (K1) fast den till synes är öppen information (K0). För att ändra värdet från K1 (i modellen är detta då grundskydd) till K0 (betyder i modellen att detta får publiceras externt) finns krav på att organisationens rutiner för detta används, till exempel rutiner för publicering, sekretessbedömning och utlämning eller motsvarande.

Skyddsnivåer för it-system 

Om klassningsobjektet innehåller it-system så ska it-systemet få en skyddsnivå med säkerhetsåtgärder som motsvarar hur den mest känsliga informationen i systemet är klassad och resultatet av  riskbedömningen. Grunden är att it-systemet lägst ska ha en skyddsnivå och de säkerhetsåtgärder som motsvarar behovet av de ingående informationsmängdernas högsta klassning och som ger tillräckligt  skydd utifrån genomförda riskbedömningar. Ni bör dock tänka på att ett it-system av flera anledningar kan behöva få en skyddsnivå som är högre än klassningen hos den ingående informationen. Orsaker till det kan vara att:

• Stora mängder information lagras i systemet (ackumulering).
• Flera olika informationsmängder som när de sammanförs skapar känsligare information vilket innebär ett högre skyddsbehov (aggregering).
• Systemet är integrerat med andra system med högre skyddsnivå och där informationsutbyte sker så att information med högre klassning kommer in i det system som har en lägre skyddsnivå.

I vissa fall kan ett och samma it-system användas av många verksamheter i organisationen eller av flera organisationer, som exempelvis ett ärendehanteringssystem. Då bör ni prioritera att genomföra klassning och riskbedömning i de verksamheter som ni tror har mest skyddsvärd information och ge it-systemet en skyddsnivå därefter.

Observera att ett it-system med en viss skyddsnivå inte utan klassning, riskbedömning och beslut kan lagra annan information som behöver skyddas på samma nivå, detta då mängden information kan öka skyddsvärdet och fler eller andra säkerhetsåtgärder behöver tillföras (se ovan om aggregering och ackumulering). Riskbedömning måste alltid genomföras när en ny informationshantering tillförs ett it-system för att avgöra om krav på ytterligare säkerhetsåtgärder finns.

Säkerhetsåtgärder hos andra funktioner i organisationen

Olika stödfunktioner ansvarar för att införa en stor del av organisationens säkerhetsåtgärder, exempelvis personalavdelning (bakgrundskontroller vid nyanställning) och fastighetsavdelning (behörigheter för tillträde till lokaler). Många säkerhetsåtgärder ska införas av den  it-driften, oavsett om den är intern eller extern. Det handlar då om exempelvis säkerhetskopiering, kryptering och stark autentisering så att säkerhetsåtgärderna i it-systemet motsvarar informationens skyddsbehov.

Krav på externa aktörer

När information ska hanteras av externa leverantörer behöver ni ställa krav på att de skyddar er information tillräckligt. Genom att skriva upphandlingskrav som utgår från era säkerhetsåtgärder får ni en kravkatalalog. Kraven i denna kan ni sedan använda vid  projekt med extern part, upphandling och/eller inköp av produkter och tjänster. Här är det viktigt att samverka med upphandlings- eller inköpsavdelningen så att rätt krav kommer med i upphandling eller inköp, samt att dessa krav följs upp under kontraktstiden. Att identifiera vilken information, klassa den och genomföra riskbedömning för att identifiera vilka säkerhetsåtgärder som behövs i den specifika situationen måste alltid göras.

Referens till standarder i 27000-serien:

SS-EN ISO/IEC 27002:2017: avsnitt 8.2 Informationsklassning.

Denna vägledning ska språkgranskas. 

Denna vägledning ger en översikt över aktiviteter för att tillämpa de styrningar ni har utformat. Den kan därför ses som ett övergripande samlingsdokument för metodsteget Använda. Mer specifikt stöd finns i vägledningarna Använda informationsklassning samt Använda utbildning och kommunikation. 

Vanliga svenska titlar på den som samordnar informationssäkerhetsarbetet är informationssäkerhetssamordnare, informationssäkerhetsstrateg eller informationssäkerhets­koordinator. I MSB:s metodstöd för systematiskt informationssäkerhetsarbete har vi kallat den person som är ansvarig för samordningen av informations­säkerheten för CISO, en förkortning efter den engelska titeln chief information security officer. Vi har valt att använda CISO eftersom det är kort, koncist och gör texten lättare att läsa.

Implementera informationssäkerhetens styrning

I metodstödets del Använda får ni stöd i hur organisationen ska tillämpa den styrning av informationssäkerhet som ni tagit fram med stöd av delen Utforma. Vilka aktiviteter som er organisation ska genomföra och efterleva har ni angett i er handlingsplan och i era styrdokument.

Om man liknar arbetet i förra delen (Utforma) med ett ritbord, så är den här delen (Använda) själva verkstaden.

Tänk på att du i praktiken inte befinner dig i ett metodsteg utan använder de olika metodstegen vid behov; du kan ha behov av att både utforma, använda, göra nya inventeringar och analyser samt följa upp verksamheten samtidigt. Vi vill därför här betona att när oförutsedda händelser och förändringar inträffar så ska ni givetvis hantera dessa löpande.

Resultaten från samtliga delar i Utforma är ingångsvärden till Använda.

Särskilt viktiga är:

• Årlig handlingsplan för informationssäkerhet (från Utforma Handlingsplan).
• Styrdokument i form av informationssäkerhetspolicy, riktlinjer, instruktioner eller andra styrdokument (från Utforma Styrdokument).

När kan arbetet med att genomföra och efterleva starta?

Vad som ska göras har ni redan fastställt – dels i den årliga handlingsplanen, dels i era styrdokument för informationssäkerhet.

Om ni har gjort följande, så kan arbetet sättas ingång av utsedda aktörer:

1. Valt lämpliga säkerhetsåtgärder som omfattas av beslutade styrdokument.
2. Beslutat en handlingsplan för det första året.

Vem ansvarar för att genomföra?

Det är ett ständigt arbete att genomföra aktiviteter i handlingsplanen och att arbeta i enlighet med styrdokumenten. Arbetet pågår hela tiden i organisationen, av en mängd olika roller.

Vissa aktiviteter kan den som är CISO ansvara för och genomföra. Huvudansvaret för de flesta aktiviteter bör dock ligga hos andra aktörer i organisationen. Det är viktigt att ansvaret är fastställt i handlingsplanen respektive i styrdokumenten.

En omvärld i ständig förändring kräver bevakning och förberedelse

Organisationer och deras omvärld är i ständig förändring, och det kommer alltid att inträffa mer eller mindre oförutsedda händelser. Det kan exempelvis vara nya hot som uppkommer, nya rättsliga krav som införs, säkerhetsåtgärder som inte får förväntad effekt och så vidare.

Mycket av arbetet handlar därför om att bevaka händelseutvecklingen, och om att förbereda sig inför denna.

Vägledningen innehåller följande fem delar:

1. Genomföra handlingsplanens aktiviteter
2. Efterleva styrdokument
3. Hantera större händelser och förändringar
4. CISO:s roll och arbetsuppgifter
5. Dokumentera

1. Genomföra handlingsplanens aktiviteter

Genomförandet av aktiviteterna i den årliga handlingsplanen löper i bästa fall på som planerat. Ett antal olika orsaker kan dock medföra att genomförandet av en aktivitet inte går enligt plan. Aktiviteten kanske till och med äventyras på grund av exempelvis resurs­förändringar, frånvaro, omprioriteringar eller tekniska problem.

Förändringar eller oplanerade händelser kan leda till att enskilda aktiviteter behöver ändras, att de avstannar eller att de förskjuts till nästkommande års handlingsplan.

Handlingsplanens aktiviteter kan förändras – så följ upp regelbundet!

Aktiviteterna i handlingsplanen är olika. De kan vara av olika art och storlek, ha olika personer som är ansvariga, ingå i andra handlingsplaner och så vidare. Det är dock ändå bra att ha en sammanhållen bevakning och uppföljning av alla informations­säkerhets­relaterade aktiviteter i organisationen.

2. Efterleva styrdokument

I era styrdokument ska de säkerhetsåtgärder som ni har valt finnas med (se Utforma Styrdokument). Syftet är förstås att uppnå efterlevnad av styrdokumenten, det vill säga att styrdokumentens målgrupper agerar som det är tänkt.

Styrdokumenten bör dock inte återspegla den aktuella situationen, om inte denna är den önskade nivån, vilket vi poängterade i vägledningen Utforma Styrdokument. Utan i stället bör reglerna (åtminstone delar av) vara framåtriktade och uttrycka ett önskat läge. Detta innebär förstås att delar av reglerna kan vara svåra eller omöjliga att efterleva innan förutsättningar för efterlevnad finns.

Varför efterlevs inte reglerna?

Att reglerna inte efterlevs kan bero på olika saker, till exempel kan reglerna innebära större utmaningar än man tänkt, resurser kan vara otillräckliga och prioriteringar kan ändras. När man börjar implementera säkerhetsåtgärder praktiskt så kan det helt enkelt visa sig att de till exempel inte har förväntad effekt, att de inte täcker säkerhetsbehovet, att de är överflödiga eller att de behöver justeras.

Brist på efterlevnad kan också bero på okunskap, eller brist på kommunikation. I dessa fall behöver man stödja berörda aktörer på lämpligt sätt, till exempel i form av genomgångar, praktiskt deltagande, utbildning eller kompletterande skriftligt material (som instruktioner och vägledningar).

Att inte styrdokument efterlevs kan också bero på själva reglerna, till exempel för att de har orealistiska krav eller inte är anpassade efter organisationen. I dessa fall behöver ni ändra och anpassa reglerna. Detta bör ni dock inte göra löpande, eftersom styrdokumenten beslutas vid vissa bestämda tillfällen.

Därför bör ni i stället dokumentera eventuella behov av att förändra regler eller säkerhetsåtgärder. Dokumentera behoven i era styrdokument löpande (eller så fort de uppstår), så att ni kan göra förändringarna inför nästa revidering.

Tydliga ansvarsområden och målgruppsanpassade styrdokument

Ansvaret för de olika säkerhetsåtgärderna behöver vara tydligt uppdelat, och styrdokumenten som reglerar detta ansvar bör vara målgruppsanpassade.

Det är också viktigt att ni ger rätt form av utbildning och kommunikation till respektive roll, så att dessa i sin tur kan ta ansvar för att uppnå efterlevnad (för mer utförlig information om detta, se vägledningen Använda Utbildning och kommunikation).

Hur era styrdokument efterlevs och hur väl era säkerhetsåtgärder fungerar bör ni dokumentera noggrant, då det är en viktig input till den kommande utvärderingen (Utvärdering (Följa upp och förbättra) är den sista delen av detta metodstöd).

3. Hantera större händelser och förändringar

Informationssäkerhetsarbetet kan dessvärre påverkas av oförutsedda händelser eller förändringar i organisationen och dess omvärld. Detta innebär att de interna och externa förutsättningar som ni har identifierat i analysfasen till vissa delar förändrats eller inte längre gäller.

Exempel på större händelser och förändringar som kan påverka informations­säkerhets­arbetet:

• Omorganisation
• Uppköp, ombildningar eller fusioner av bolag
• Personförändringar på viktiga positioner (till exempel byte av VD eller GD)
• Förändringar i rättsliga krav
• Förändringar av krav hos kunder eller andra intressenter
• Större förändringar i hotbild
• Allvarliga incidenter
• Anskaffning av större it­‑system
• Outsourcing av it‑drift (eller andra kritiska delar)
• Politiska förändringar
• Förändringar i den nationella säkerheten.

Förändringar motiverar riskanalyser

Ofta motiverar större förändringar behovet av en eller flera riskanalyser, för att kunna förstå de nya förutsättningarna. Om förändringar eller händelser är organisations­övergripande så kan man behöva göra en ny övergripande riskanalys som baseras på de nya förutsättningarna. Därmed kan man behöva initiera en ny analysfas tidigare än planerat.

Gäller förändringen endast en begränsad del av organisationen, som en delverksamhet eller ett system, så motiverar detta endast en begränsad riskanalys och/eller klassning av eventuellt tillkommande informationstillgångar.

Riskanalys kan leda till reviderade säkerhetsåtgärder

Analyser av förändrade förutsättningar kan i sin tur innebära en revidering av såväl utvalda säkerhetsåtgärder som pågående handlingsplan. Man kan behöva omfördela resurser för att kunna möta de nya förutsättningarnas krav.

Vissa förändringar kan påverka förutsättningarna för informations­säkerhets­arbetet drastiskt, till exempel ifall ledningsgruppen eller andra nyckelpersoner inte förstår sig på eller slutar att prioritera informationssäkerhetsfrågorna. I dessa fall kan man tyvärr behöva lägga mycket energi på att försöka få ledningens eller nyckel­personernas engagemang och förståelse.

4. CISO:s roll och arbetsuppgifter

Aktiviteter i handlingsplanen kan ha CISO som utförare eller ansvarig. CISO är utförare av de typer av aktiviteter och säkerhets­åtgärder som utgör delar av det systematiska arbetet med informations­säkerhet, det vill säga ledningssystemet.

CISO bör dock inte belasta sin arbetstid med för mycket arbetsuppgifter av operativ karaktär som kan genomföras av andra. I stället behöver CISO merparten av sin tid åt att koordinera och styra det löpande arbetet med organisationens informations­säkerhet.

Detta arbete innebär att kommunicera med andra, särskilt i syfte att förklara och inspirera för att lyckas få hela organisationen att arbeta i samma riktning. Om CISO lägger ned för mycket av sin arbetstid i ett eller ett fåtal projekt, så blir rollen tyvärr osynlig för den övriga organisationen vilket är kontraproduktivt.

CISO:s olika funktioner

Nedan listar vi ett antal löpande funktioner som en CISO kan – och bör – ha. Funktionerna kan även gälla gentemot externa aktörer i relevanta fall, till exempel gentemot leverantörer.

Några vanliga funktioner hos en CISO:

• Bevakande
• Stödjande
• Deltagande
• Kontrollerande
• Responderande
• Dokumenterande
• Rapporterande

För samtliga av dessa funktioner är det viktigt att ha lämpliga kommunikations­kanaler som CISO kan använda för att kommunicera med olika roller. Kommunikation är viktigt och en ständigt återkommande uppgift för CISO (se vägledningen Använda Utbilda och kommunicera för mer information om kommunikation).

Att skapa råd eller forum för informationssäkerhet är ett bra sätt att ha en regelbunden kommunikation med olika roller. I råd och forum ges tillfälle att ta upp aktuella frågor och diskutera strategiska val. (se vägledningen Utforma Organisation för att få mer information om skapandet av råd och forum).

Tabell A2:1: Beskrivning av CISO:s funktioner

5. Dokumentera

Det är viktigt att ni löpande dokumenterar händelser, förändringar och iakttagelser. Detta för att ni ska kunna hantera händelsen och senare kunna lära av erfarenheten (se Följa upp och förbättra) samt ha underlag för att ta fram kompletterande regler på områden där sådana saknats. På sikt kan detta arbetssätt leda till både bättre informationssäkerhet och ett bättre systematiskt informationssäkerhets­arbete.

All dokumentation som ni tar fram under året bör ingå i underlaget för er kommande utvärdering (se Följa upp och förbättra). Utvärderingen genererar troligen lämpliga aktiviteter för nästkommande årscykel.

Det finns inget särskilt verktyg framtaget för att dokumentera händelser, förbättringsförslag och så vidare. Vi rekommenderar att ni gör dokumentationen i respektive verktyg, vilka vi listat i tabell 2.

Kritiska eller brådskande händelser måste ni hantera, eventuellt omedelbart, och dokumentera (listas i tabellen ovan, se kategorin Responderande). Andra, okritiska händelser behöver ni endast dokumentera, så att ni kan ta hand om dessa vid ett senare tillfälle.

Tabell A2:2: Guide: Hitta rätt verktyg för att dokumentera förändring

Referens till standarder i 27000-serien:

• SS-EN ISO/IEC 27001:2022: Kapitel 8 (Verksamhet)
• SS-EN ISO/IEC 27002:2022: Hela (säkerhetsåtgärder som är valda av organisationen).

Den här vägledningen ger stöd i att utbilda och kommunicera informations­säker­hets­relaterade frågor i organisationen. Både utbildning och kommunikation behöver ske kontinuerligt och på olika sätt och är en grundpelare i ett systematiskt informations­säkerhetsarbete.

Vanliga svenska titlar på den som samordnar informationssäkerhetsarbetet är informationssäkerhetssamordnare, informationssäkerhetsstrateg eller informationssäkerhets­koordinator. I MSB:s metodstöd för systematiskt informationssäkerhetsarbete har vi kallat den person som är ansvarig för samordningen av informations­säkerheten för CISO, en förkortning efter den engelska titeln chief information security officer. Vi har valt att använda CISO eftersom det är kort, koncist och gör texten lättare att läsa.

Syftet med att utbilda och kommunicera

För att kunna öka medvetenhet och kunskap om informations­säkerhet så behöver ni både hålla utbildningar och kommunicera internt. På detta sätt kan ni minska riskerna med informations­säkerhet, och dessutom uppnå en bättre efterlevnad av de regler och mål som ni har satt upp.

Utbildning och kommunikation kan också öka acceptansen av och förståelsen för de säkerhetsåtgärder som ni har valt att implementera – och för informationssäkerhet i stort.

Det är viktigt att ni kommunicerar om informationssäkerhet. Det är bra om kommunikationen sker såväl formellt och planerat (till exempel genom utbildningar), som informellt och spontant (till exempel genom samtal vid kaffe­automat­en).

Till denna vägledning finns ett tillhörande verktyg, som kan hjälpa er att skapa en utbildnings- och kommunikationsplan för informationssäkerhet (Verktyg Använda Utbildning och kommunikation).

Ingångsvärden till utbildning och kommunikation

Det finns viktiga ingångsvärden i era analyser från tidigare vägledningar. Några exempel på sådana:

• Organisation, roller och ansvar kopplade till informationssäkerhet, från Utforma Organisation.
• Årlig handlingsplan för informationssäkerhet, från Utforma Handlingsplan.
• Styrdokument i form av informationssäkerhetspolicy, riktlinjer, instruktioner eller andra styrdokument, från Utforma Styrdokument.
• Interna behov av utbildning och kommunikation som framkommit i andra delar av metodstödet, exempelvis från Identifiera och analysera Verksamhet.

Andra viktiga ingångsvärden är organisationens mognad inom informationssäkerhet och hur styrning av kompetensförsörjning och kommunikation sker i organisationen, både formellt och informellt.

Behovet av utbildning och kommunikation internt

Att sprida kunskap om informationssäkerhet, och att kommunicera kring dessa frågor, är ett ständigt pågående arbete som är nödvändigt för att kunna skapa ett systematiskt informations­säkerhets­arbete.

Det är därför viktigt att ni strävar efter att upprätthålla medarbetarnas engagemang och intresse för informations­säkerhets­frågorna. Denna arbetsuppgift ligger inte enbart på den som är CISO utan på samtliga personer eller roller som arbetar med informationssäkerheten.

Det behöver ni göra genom hela årscykeln – vilket detta metodstöd kan hjälpa er med (från delen Identifiera och analysera via Utforma och Använda, och slutligen till Följa upp och förbättra).

Argumentera för informationssäkerhet – ett nytt område

Informationssäkerhet är ett relativt nytt område, särskilt om man jämför med äldre, mer etablerade områden som ekonomi eller brandskydd. Eftersom det är så pass nytt, så är området fortfarande okänt för många. Med andra ord: alla förstår inte nyttan eller syftet med informationssäkerhet ännu.

Dessutom konkurrerar ämnet med en mängd andra frågor i en organisation. Detta kan göra att man återkommande behöver förklara, beskriva – och även försvara –varför det är viktigt med informationssäkerhet.

En grundläggande argumentation är att informationssäkerhet förbättrar organisationens kvalitet och effektivitet samt ofta är en förutsättning för många nödvändiga företeelser, som exempelvis digitalisering och mobilitet.

Utbildning och kunskap ger ökad acceptans och förståelse

Utbildning i och kommunikation kring informationssäkerhet, både formell och informell, bör förekomma löpande, till och med dagligen.

Att utbilda olika interna roller är ett sätt att öka acceptansen för informationssäkerhet. Detta genom att dina medarbetare får en förståelse för varför informationssäkerhet behövs, och varför ni behöver avsätta särskilda resurser för att lyckas.

För att kunna uppnå och hålla den nivå på informationssäkerhet som ni vill och behöver ha är det lika viktigt att satsa på kompetens- och medvetandehöjande åtgärder som på tekniska åtgärder. Kunskap är en förutsättning för informations­säkerhet. Även dessa satsningar är att se som investeringar i organisationens informationssäkerhet.

Driv frågorna i olika sammanhang

Den som är CISO behöver ta upp och driva informationssäkerhets­frågorna – i så många olika sammanhang och forum som möjligt. Informations­säkerhets­aspekter finns inom så gott som alla områden i en organisation, inom olika verksamheter, förändringsarbete, nya satsningar, projekt och liknande.

Ledningens engagemang avgörande

Ledningens förståelse, engagemang och syn på informationssäkerhet är grundläggande. Utan detta är det svårt att skapa en tillräcklig informationssäkerhet. Med andra ord är det ledningen som behöver utbildas, och vid behov övertygas, först av alla i organisationen eftersom deras stöd är viktigt för att ni ska få acceptans och ett engagemang från andra roller i organisationen.

Är ledningen ombord? Be dem uttrycka sitt stöd – både formellt och informellt

Ledningen behöver uttrycka sitt stöd för det interna informations­säkerhets­arbetet. Detta kan ske dels formellt genom informationssäkerhetspolicyn, dels informellt – genom sitt beteende och hur de agerar (uttalanden, resurstilldelning, beslut om aktiviteter, osv.).

Ifall ledningen inte tycker att informationssäkerhet är så viktigt, eller att det är något som inte behöver prioriteras, så har de med största sannolikhet inte rätt kunskap och behöver därmed få mer information. Upplever ni att ni inte får ledningens förståelse och stöd kommer ni sannolikt att arbeta i motvind.

För att få med ledningen behöver ni kommunicera och rapportera löpande till dem. Ibland kan det vara bra att försöka få till särskilda dragningar med ledningen i utbildande (och vid behov övertygande) syfte. Ledningen behöver få information för att förbli motiverade – både om interna händelser och om områdets aktualitet.

Ofta begränsad tid med ledningen

När man ska kommunicera med ledningen så får man ofta väldigt begränsat med tid. Det gäller därför att planera föredragets innehåll och form extra noga, samt vara tydlig och bestämd med vilket budskap som man vill lyfta fram.

Att ledningen förstår nyttan med informationssäkerhet – en nyckel

En grundregel är att ledningen behöver förstå själva nyttan med informations­säkerhet. Vi beskriver en del nyttor i metodstödets Att arbeta systematiskt med informationssäkerhet, samt i vägledningen för Kostnadsnyttoanalys (KNA). Här följer en sammanfattning för att förenkla.

Lista över information som ledningen behöver, för att bättre förstå nyttan med informationssäkerhet:

• Övergripande information om informationssäkerhet och systematiskt informationssäkerhetsarbete med fokus på dess nytta.
• Hur konkurrenter arbetar, och hur andra organisationer i branschen/sektorn arbetar eller planerar att arbeta med dessa frågor.
• Aktuella hot och incidenter, med fokus på vilka konsekvenser det kan få för organisationen.
• Rättsliga krav, både nuvarande och kommande.
• Uttalanden från politiker och andra ledande personer.

Löpande kommunikation och marknadsföring till andra medarbetare

Som CISO har man ofta ett kunskapsöverläge i organisationen i dessa frågor, och får ofta nyheter inom området först. CISO fungerar ofta som ambassadör, och bör kontinuerligt sprida information vidare i organisationen och regelbundet informera om nyheter, ge tips och liknande. Detta höjer ofta engagemanget hos mottagarna. Att sprida kunskap utifrån de olika rollernas behov av kunskap är en viktig uppgift för CISO.

För dig som arbetar inom området så kan det vara bra att ”missionera” lite genom att marknadsföra frågorna i informella sammanhang.

Så här kan du göra ifall du på kort tid ska berätta om informationssäkerhet:

1. Förklara vad informationssäkerhet är.
2. Motivera varför informationssäkerhet är viktigt (referera gärna till aktuella händelser som rapporterats i media eller annat som de flesta känner till).
3. Beskriv kortfattat vad som pågår i er organisation, vad ni planerar och vilka som är inblandade i planering och utförande.

Synliggör vad som är på gång

Det är effektivt att synliggöra vad som är på gång i organisationens olika kommunikations­kanaler. Det kan ske till exempel via intranätet, en personaltidning, ert nyhetsbrev eller via olika e‑postlistor till medarbetare och chefer. Det viktigaste är att arbetet sker löpande.

Kontakta gärna personerna som är redaktörer för era kommunikations­kanaler – gör ett försök att sälja in informationssäkerhet och få dem att göra ett reportage! Eller be dem om hjälp att informera organisationen genom att belysa mindre händelser och nyheter inom området med en kort notis på intranätets förstasida eller liknande. Notiserna kan gälla till exempel informations­säkerhets­relaterade tjänster som blivit tillsatta, eller nya styrdokument och/eller lagar som börjat gälla.

Skapa en särskild sida för informationssäkerhet på intranätet

Det är både smart och praktiskt att skapa en särskild sida för informationssäkerhet på intranätet. Där kan ni samla all väsentlig information: styrdokument, organisation, utbildningar, nyhetsbrev, externa länkar, diskussionsforum med mera. Hänvisa sedan till denna sida så ofta ni kan, i olika sammanhang.

Roller i organisationen av vikt för informationssäkerhetsarbetet

Ni bör ge lämplig kommunikation och stöd löpande till personer som:

• har ett uttryckt informationssäkerhetsansvar
• är inblandade i aktiviteter i handlingsplanen
• är ålagda att efterleva styrdokument

Om ni har skapat ett råd eller forum för informationssäkerhet (se Utforma Organisation) där representanter från organisationens olika delar är representerade, så utgör detta en bra plattform för kommunikation.

Skapa en utbildnings- och kommunikationsplan för informationssäkerhet

Ni behöver även en strukturerad planering vid sidan av den informella kommunikationen. Planering är viktigt för att alla roller ska få rätt information och kunskap över tid. En utbildnings- och kommunikationsplan för informationssäkerhet behöver möta de olika rollernas ansvar och arbetsuppgifter.

En utbildnings- och kommunikationsplan är en strukturerad plan över tid som innehåller utbildningar och olika aktiviteter. Vissa aktiviteter pågår under en begränsad tidsperiod (som en kampanj), medan andra aktiviteter är löpande (som ett nyhetsbrev).

Planera in aktiviteterna långt i förväg, så att ni kan informera medarbetarna om dem i god tid. Tänk på att olika målgrupper har olika kunskapsbehov – var noga med att målgruppsanpassa innehållet.

Ni kan använda Verktyg Utbildning och kommunikation för att skapa ett program för säkerhetsmedvetande innehållande roller, kunskapsbehov och aktiviteter.

Olika roller – olika kunskapsbehov

Alla i en organisation har någon form av kunskapsbehov när det gäller informations­säkerhet – från ledning ner till enskild medarbetare. Vilket kunskapsbehov man har beror på vilken roll man har. Det är med andra ord stor skillnad på kunskapsbehovet hos exempelvis en receptionist, en nätverkstekniker och en VD.

Det är också viktigt att koppla kunskapsbehovet till rollernas informations­säkerhets­ansvar, deras uppgifter enligt handlingsplanen, deras förväntade beteende, eller deras vilja att efterleva styrdokument. Se vägledningarna Utforma Organisation, Utforma Handlingsplan och Utforma Styrdokument för mer information om detta.

Gör en målgruppsindelning som baseras på kunskapsbehovet

Den information som ni förmedlar behöver vara både relevant och begriplig för mottagaren. Dessutom ska mottagaren kunna koppla informationen till sitt eget ansvar och sin egen arbetssituation.

För att säkerställa att ni riktar era utbildnings- och kommunikationsinsatser till rätt roller kan ni behöva göra en målgruppsindelning.

Exempel på målgruppsindelning:

• Alla medarbetare
• Ledning
• Informationssäkerhetssamordnare
• It‑avdelning
• Projektledare och förvaltningsledare
• Avdelningschefer och objektägare

Till listan kan även läggas kompetensutveckling av CISO-rollen och it-säkerhetsansvarig (el. motsv.).

Målgruppsindelningen behöver baseras på rollernas kunskaps- och informations­­behov för att rätt målgrupp ska få rätt typ av insats. För att få reda på vilket behov målgruppen har inför en intern kompetensutveckling, så är det bra att samverka med:

• cheferna för respektive målgrupp
• intern personalfunktion (hr)
• olika kommunikationsfunktioner (till exempel redaktörer för olika kommunikationskanaler).

Använd externa resurser för kompetensutveckling

Det finns externa resurser som stödjer kunskapsutveckling och medvetandehöjning inom informations­säkerhet. En del tillhandahålls av myndigheter och intresse­organisationer, andra av den kommersiella marknaden. Här är exempel på sådana resurser:

• ”Datorstödd informationssäkerhetsutbildning för användare” (DISA), från MSB.
• ”Securing the Human”, från SANS
• ”European Cyber Security Month” (ECSM), från ENISA (Europeiska unionens byrå för nät- och informationssäkerhet)

Aktiviteter

I tabellen nedan beskriver vi några vanliga aktiviteter relaterade till informations­säkerhet, som ni kan använda för att höja kunskapen och medvetenheten internt. Aktiviteterna kan utföras både var för sig, eller i kombination.

Aktiviteterna kan antingen vara specifika för informationssäkerhet, eller ingå som en del av aktiviteter inom andra områden (som digitalisering, generell säkerhet eller kvalitets­utveckling).

Det finns många olika åtgärder för att öka kunskap och sprida information. Se därför nedanstående aktiviteter som exempel – inte som en fullständig lista.

Tabell A3:1: Beskrivning av aktiviteter

Referenser till ISO-standarder i 27000‑serien:

• SS‑EN ISO/IEC 27001:2022 (avsnitt 5.1 och 7.2–7.4)
• SS‑EN ISO/IEC 27002:2022 (avsnitt 6.3).

Detta utbildningsmaterial riktar sig till dig som är CISO, för att du ska kunna utbilda de medarbetare som är utsedda att stödja dig med olika praktiska arbetsuppgifter i det systematiska informationssäkerhetsarbetet. Utbildningen ger en grundläggande teoretisk förståelse för vad systematiskt informationssäkerhetsarbete är och möjlighet att prova på några vanliga arbetsuppgifter i det operativa systematiska informationssäkerhetsarbetet. 

Materialet består av 6 stycken filer: 

1. Handledning (.pdf)
2. Powerpoint-presentation (.ppt)
3. Uppgiftsbeskrivning (.pdf)
4. Uppgiftsmall (.xls)
5. Företagsbeskrivning, exempelföretaget "EL-VIS AB" (.pdf)
6. Rollkort, exempelföretaget "EL-VIS AB" (.pdf). 

Du som CISO kan börja med att läsa handledningen för att se hur materialet hänger ihop och vilka anpassningar du kan göra utifrån din organisations behov. 

Utbildningsmaterialet hittar du i menyn till vänster i rutan "utbildningsmaterial".