Hoppa över navigering, hoppa direkt till textinnehållet Hoppa till navigeringen Startsida
Följa upp och förbättra
Metodstödet
Analysera
Utforma
Använda
Följa upp och förbättra

Följa upp och förbättra

Vägledning

Följa upp och förbättra

Ändringar och tillägg som genomförts finns i ändringsloggen.

Följa upp och förbättra

Avsnittet består av två delar:

  • Utvärdera och följa upp
  • Ledningens genomgång

Detta metodsteg vägleder om utformning av arbetssätt för uppföljning och förbättring av informationssäkerhetsarbetet och dess styrning.

Genom övervakning, mätning och måluppföljning erhålls uppgifter som stödjer utvärdering av ifall informations­säkerheten i stort är ändamålsenligt utformad, har avsedd verkan, samt att säkerhets­åtgärder existerar och fungerar tillfredsställande. Resultatet från utvärderingen ligger bland annat till grund för intern revision, ledningens genomgång samt som ingångsvärde till Identifiera och Analysera för nästa omtag i det systematiska informationssäkerhetsarbetet.

Med ledningens genomgång avses att ledningen ser över verksamhetens systematiska informationssäkerhetsarbete och dess styrning för att säkerställa dess fortsatta lämplighet, tillräcklighet och verkan. Genomgången sker oftast i form av ett möte, där informationssäkerhetsläget i verksamheten beskrivs av CISO, diskuteras av ledningen med utgångspunkt från specifika frågeställningar, samt där beslut tas i fråga om arbetets inriktning och resurser. Besluten kan gälla; förbättringar av informationssäkerheten, förändringar i sättet att styra informationssäkerheten och hur det beskrivs i policyer och riktlinjer för informationssäkerhet, samt beslut om resurstilldelning. Besluten ger sammantaget ledningens inriktning för det fortsatta systematiska informationssäkerhetsarbetet.

Det som beslutas av ledningen efter ledningens genomgång ska sedan hanteras i Handlingsplan, eventuellt uppdaterade Styrdokument och som övrig input till Utforma.

Utvärdera och följa upp

Den här vägledningen ger stöd vid utvärderingen av organisationens systematiska informationssäkerhetsarbete och dess styrning, särskilt gällande arbetets och styrningens lämplighet, tillräcklighet och verkan. Resultatet i detta steg ger ett underlag till ledningens genomgång, samt påvisar er utveckling inom området.

Definition av lämplighet, tillräcklighet och verkan

Lämplighet innebär att informationssäkerheten och dess styrning står i samklang med er organisations övergripande mål.

Tillräcklighet innebär att den styrning som ni tidigare beslutat om och ger uttryck för i era styrdokument (till exempel policyer, riktlinjer och handlingsplaner), fortfarande räcker till för att hantera era informationssäkerhetsrisker.

Verkan innebär att beslutade säkerhetsåtgärder har trätt i kraft, det vill säga att de existerar, och fungerar tillfredsställande och därmed minskar riskerna kring er informationssäkerhet.

Övervaka och mäta

Syftet med att övervaka (även kallat ”monitorera”) och mäta är att få reda på om ert systematiska informationssäkerhetsarbete, riskhanteringsarbete samt alla beslutade säkerhetsåtgärder är:

  • ändamålsenligt utformade
  • har avsedd verkan
  • existerar och fungerar tillfredsställande.

Genom löpande övervakning och mätning kan ni få bättre kunskap om ert informationssäkerhetsläge. Dessutom får ni möjlighet att upptäcka brister där säkerhetsåtgärder kan behöva korrigeras. Informationen från övervakning och mätning ligger också till grund för granskningar, och för ledningens genomgång.

Skillnaden mellan övervakning och mätning

Skillnaden mellan övervakning och mätning är följande:

  • Övervakning anger status för ett system, en process eller en aktivitet. Övervakning sker ofta kontinuerligt genom till exempel att loggar i ett it-system övervakas och avvikelser automatiskt rapporteras
  • Mätning anger ett värde. Till exempel kan man mäta nyckeltal för att se progress eller brist på progress. Mätning sker ofta i planerade intervaller.

Ni bör separera ansvaret för mätning och övervakning från själva analysen och utvärderingen, eftersom det krävs olika typer av kompetens vid genomförandet.

Övervakning – olika nivåer och typer

Övervakning av informationssäkerheten kan ske på flera olika nivåer, och kan dessutom ske med olika tidsperspektiv. Övervakningen kan även vara en del av er incidenthantering och händelser som noteras i någon form av logg bör hanteras enligt uppsatta rutiner.

Några exempel på övervakningsnivåer:

Operativ nivå – en typ av övervakning som ofta är automatiserad, och i huvudsak bygger på loggning av händelser i era it‑system.

Taktisk nivå – övervakning av att era beslutade säkerhetsåtgärder existerar, och att de fungerar tillfredsställande. Varje enskild beslutad säkerhetsåtgärd innehåller inslag av sådant som ni kan övervaka, så genom manuell eller automatiserad övervakning kan ni se ifall en åtgärd existerar och fungerar tillfredsställande i olika delar av er organisation.

Strategisk nivå – utöver säkerhetsåtgärderna behöver man övervaka olika delar i själva ledningssystemet. Här handlar det om att övervaka de övergripande, styrande mekanismerna.

Olika typer av övervakning

Några exempel på typer av övervakning:

Driftövervakning – används för att övervaka era it‑system, främst gällande drift och tillgänglighet. Driftövervakningen ska till exempel larma ifall en hårddisk går sönder, om temperaturen i en server stiger onormalt eller när en viss webbplats slutar fungera.

Loggning – kan innebära att en fil (oftast en textfil) lagrar uppgifter om en viss händelse, registrerar tidpunkt och agerande resurser. Loggning kan man nästan alltid skräddarsy och anpassa efter sina behov. Loggning gör det möjligt att övervaka aktiviteter i operativsystem, databashanterare, applikationsservrar och applikationer. Denna typ av loggning kan med fördel även inkludera era användares aktiviteter i de olika systemen.

Manuell övervakning – avser all övervakning som utförs av personer, men gäller främst på taktisk och strategisk nivå. Övervakningen ska se till så att alla säkerhetsåtgärder finns på plats, och att det systematiska informations­säkerhets­arbetet ger avsedd verkan. Man kan även kontrollera att underlag och beslut för en viss typ av behörighet är korrekta, eller att man hanterar nya risker mot en specifik verksamhet eller informationstillgång (genom en riskanalys, till exempel).

Mognadsmätning och benchmarking

När det gäller mätning bör ni noga överväga vad ni vill mäta, eftersom det är ineffektivt, missvisande och kostsamt att mäta antingen för mycket eller fel saker. Innan ni påbörjar en mätning behöver ni säkerställa att det finns resurser, så att ni kan ta hand om resultatet från mätningen.

För att nå fram till gångbara resultat behöver ni därför definiera:

  • Vad som ska mätas.
  • Vem som ska mäta.
  • Vilken metod ni ska använda.

Ni kan till exempel använda mätning för att utvärdera det systematiska informationssäkerhetsarbetet, eller för att kunna redovisa den ökade förmågan inom området för ledning och medarbetare.

Mognadsmätning och benchmarking är två olika metoder för att utvärdera informationssäkerhetsläget inom organisationen. Vi beskriver de två metoderna mer utförligt nedan.

Mognadsmätning – för att redovisa informationssäkerhetens utveckling

Mognadsmätning är en metod för att på ett strukturerat sätt och över tid redovisa organisationens utveckling inom informations­säkerhets­området. Mätningen ska kunna upprepas, för att på så sätt skapa jämförbara resultat som kan visa på förbättring och ökad mognad i både processer och medvetenhet gällande informationssäkerhet.

Man genomför en mognadsmätning med hjälp av mognadsmodeller, på engelska kallat ”maturity model”. Det finns flera modeller att utgå ifrån för att mäta mognad, till exempel inom ramverken COSO och COBIT. Oavsett vilken modell ni väljer att använda, så är det avgörande att ni väljer ut rättvisande indikatorer som ger möjlighet till graderade svar. Detta för att kunna redovisa en förflyttning på mognadsskalan.

När ni ska genomföra en mognadsmätning så är det viktigt att ni beslutar om huruvida mätningen ska avse själva styrningen av informationssäkerhetsarbetet, eller resultatet av styrningen – det vill säga den faktiska informationssäkerheten. Ett tredje alternativ är förstås att kombinera de båda.

Benchmarking – för att identifiera egna förmågor, styrkor och svagheter

Benchmarking är ett strukturerat sätt för att kunna identifiera egna förmågor, sina egna styrkor och svagheter inom informationssäkerhetsområdet. Detta kan sedan jämföras med andra organisationer, eller mot en allmänt vedertagen praxis.

Benchmarking ger en ögonblicksbild av läget, som det ser ut just här och nu. Det finns flera kommersiella aktörer som gör årliga sammanställningar, vilket i sig är en form av benchmarking, av organisationers informationssäkerhetsläge baserat på organisationernas egna självskattningar.

Måluppfyllelse av informationssäkerhetsmål och strategisk inriktning

Det är ledningen som ska säkerställa att organisationens informations­säkerhets­mål är upprättade och att dessa följer organisationens strategiska inriktning.

Ni bör besluta om målen för informationssäkerhetsarbetet i samband med att ni utformar ledningssystemet eller inleder det systematiska arbetet med informations­säkerhet. När ni har beslutat vilka mål ni ska ha så bör ni även definiera vilka specifika kriterier ni ska använda för att visa om målet är uppfyllt eller inte.

Inför ledningens genomgång ska ni utvärdera informationssäkerhetsmålen, och dessutom mäta uppfyllelsen. Därefter redovisar ni måluppfyllnaden för ledningen, som en del av ledningens genomgång.

När ledningen har kontrollerat uppfyllelsen av målen så är det bra att även utvärdera själva målformuleringarna. Behöver ni förändra några mål utifrån graden av uppfyllnad, eller kanske möjligheten att mäta dem?

Slutligen ska ni dokumentera måluppfyllnaden, samt eventuella förslag till förändringar av målen, så att det sedan kan hanteras vidare. Se metodstödet som heter Utforma mål för vägledning och stöd.

Uppföljning av riskhantering och risker

Uppföljning av organisationens riskhantering omfattar både arbetssätt för riskhantering (se Utforma Riskhantering), styrande och stödjande dokument och hur dessa tillämpas och efterlevs. Detta kan innebära granskning och utvärdering av:

  • Riskhanteringens omfattning och utformning (behöver justeringar göras?).
  • Ansvar och roller (är dessa tillräckligt preciserade och kommunicerade?).
  • Användningen av riskanalysmetod och om metoden är ändamålsenlig, samt om den är tillräckligt dokumenterad och kommunicerad.
  • Kriterier för riskbedömning och riskacceptans och dessas tillämpning och efterlevnad.
  • Om och i vilken grad riskhanteringen går enligt plan/krav (exempelvis om riskanalyser genomförts i enlighet med årskalendern).
  • Om riskbehandlingar går enligt plan.
  • Om riskägare som accepterat risker har gjort det i enlighet med organisationens kriterier för riskacceptans och dokumenterat det på ett korrekt sätt.

Uppföljning kan göras genom att granska riskregister och i dialog med riskägare och av dessa utsedda personer. Brister i riskhanteringen och dess efterlevnad kan föranleda förbättringsåtgärder, till exempel revidering av dokument, metoder, verktyg, kriterier för riskbedömning och riskacceptans, den övergripande riskbilden eller utbildnings- och kommunikationsinsatser.

Uppföljningen omfattar också granskning av risker. Är det vissa områden som innehåller många eller allvarliga risker? Har det identifierats risker som inte omfattas av den organisationsövergripande riskbilden? Finns det allvarliga risker som inte kunnat behandlas på grund av. ekonomiska, tekniska, organisatoriska eller andra skäl?

Vid uppföljning av organisationens riskhantering och risker bör det ske med underlag från eller i samband med uppföljning av närliggande områden som informationsklassning, kontinuitetshantering, riskhantering (av eventuellt andra områden) och incidenthantering. Vid granskning av risker bör jämförelser göras med inträffade incidenter – har det till exempel inträffat incidenter som inte tagits upp som risker?

Resultatet utgör underlag till ledningens genomgång(se Följa upp och förbättra Ledningens genomgång).

Omfattning av utvärderingen

Följande nivåer (liten, mellan, stor) kan ni se som exempel över vad ni bör utvärdera. Utgå från hur stora resurser ni har beslutat er för att avsätta för själva utvärderingen.

1.    Liten – en miniminivå som alla organisationer bör genomföra:

  • Uppfyllnad av informationssäkerhetsmål
  • Bedömning av ledningssystemets lämplighet, tillräcklighet och verkan

2.    Mellan – en mellannivå, där ni utöver ”liten” lägger till följande:

  • Förnyad gap-analys (se separat vägledning för gap-analys) mot till exempel standard
  • Efterlevnad av internt styrande dokument
  • Mognadsmätning

3.    Stor – högsta nivån, där ni utöver ”liten” och ”mellan” även lägger till följande:

  • Extern revision av det systematiska informationssäkerhetsarbetet

Resultat och vidare arbete

I detta steg har ni utvärderat om ni uppfyller era mål för informationssäkerhet, så som ni tidigare definierat målen (se Utforma Mål). Resultatet av arbetet som ni har utfört i detta steg är en analyserad utvärdering. Det ger en bild av er organisations allmänna tillstånd gällande informationssäkerhet samt det systematiska informationssäkerhetsarbetets lämplighet, tillräcklighet och verkan.

Resultatet utgör ett underlag till ledningens genomgång. Resultatet leder även till bättre underbyggda beslut kring framtida satsningar, inriktningar och prioriteringar inom er organisation.

Det är viktigt att ni återför resultatet till övriga delar av det systematiska informations­säkerhets­arbetet, som ett underlag för exempelvis:

  • framtida analyser,
  • vid omprövning av informationssäkerhetsmål och valda säkerhetsåtgärder
  • i samband med utbildningsinsatser.

Målet är att åstadkomma ständiga förbättringar, vilket leder till en ökad mognad inom informationssäkerhetsområdet.

Referens till standarder i 27000-serien:

  • Ställer krav som relaterar till övervakning och mätning, vid val av säkerhetsåtgärder bör indikatorer anges för om målet med dessa uppfylls, vid mätning och uppföljning kan dessa användas. När kravställning görs behöver denna följas upp, se exempelvis avsnitten 9.1, 9.2, 9.3, A.5.1, A.5.20-23, A.5.35-36, samt A.8.8.

MSB har utvecklat olika verktyg som kan användas som stöd i arbetet med att följa upp och förbättra. Beskrivningar av dess hittar du nedan.

Verktyg för efterlevnadskontroll

Ett sätt att följa upp och förbättra är att göra en efterlevnadskontroll. MSB har utvecklat ett eget verktyg för efterlevnadskontroll som du återfinner i verktygslådan. Det här verktyget är tänkt att fungera som en hjälp för din organisation att stämma av er efterlevnad av standarden SS/EN ISO 27001, Bilaga A: Säkerhetsåtgärder. Till varje kontrollpunkt kopplas ett eller flera krav. Resultatet får du i form av ett spindeldiagram som ger en snabb visuell överblick av organisationens efterlevnad.

Vi tar gärna emot synpunkter och förslag på förbättringar.

Infosäkkollen

Detta verktyg är uppbyggt kring ett antal frågor om hur långt arbetet kommit i olika avseenden. När frågorna besvarats får organisationen automatisk återkoppling om nivån på sitt systematiska informationssäkerhetsarbete samt om utvecklingsområden. Detta kompletteras med hänvisningar till relevant stödmaterial som finns för de olika områdena. Sammantaget får organisationen underlag för framtida planering och beslut kring utvecklingen av informationssäkerhetsarbetet.

Infosäkkollen kan användas regelbundet för att följa organisationens utveckling. I återkommande perioder kan resultaten rapporteras in till MSB för att få kompletterande återkoppling och möjlighet att jämföra sig med andra organisationer.

Infosäkkollen hittar du på: https://www.msb.se/infosakkollen.

Mognadsdialogen

Mognadsdialogen är ett pedagogiskt verktyg för uppföljning av organisationens systematiska informationssäkerhetsarbete. Genom dialog skapas förståelse och samsyn om organisationens nuläge och vägen framåt. Det skapar ökat engagemang och möjligheter för ledning och CISO att tillsammans ”göra rätt saker på rätt sätt”.

Mognadsdialogen passar de flesta organisationer och visar hur moget det systematiska och resultatinriktade informationssäkerhetsarbetet är utifrån fyra mognadsnivåer. Ju mer effektivt arbetet bedrivs desto högre mognadsresultat. Resultatet ger återkoppling på hur effektivt organisationen arbetar med att skydda sin information utifrån behov, krav och förutsättningar.

Under en workshop arbetar nyckelpersoner i organisationen fram en gemensam bild av nuläget genom att jämföra sig med fördefinierade mognadsnivåer inom sex viktiga perspektiv inom informationssäkerhet. Workshopen genomförs utan externt stöd och kan ledas av organisationens CISO eller motsvarande. Till hjälp finns workshopmaterial i powerpoint-format så att workshopdeltagarna smidigt kan ta sig igenom hela Mognadsdialogen.

Mognadsdialogen hittar du här. 

 

Ledningens genomgång

 

I denna vägledning får du stöd för att planera och genomföra ledningens genomgång av informationssäkerhet. Syftet med genomgången är att ge ledningen en bild av informations­säker­hets­läget samt underlag för att kunna besluta om hur arbetet ska bedrivas fortsättningsvis, en nödvändig kommunikation mellan dig som CISO och ledningen. 

Genom att möten med ledningen planeras och genomförs regelbundet under kända former så säkerställs att kommunikationen sker systematiskt och får den prioritet som den kräver.

I standarden SS-EN ISO/IEC 27001:2017 definieras ledningens genomgång (avsnitt 9.3) som:

”Högsta ledningen ska, med planerade intervall, granska organisationens ledningssystem förinformationssäkerhet för att säkerställa att systemet är fortsatt lämpligt, tillräckligt och verkningsfullt.”

Koppla till organisationens årshjul

Det är viktigt att du som CISO tillsammans med ledningen bestämmer omfattning, form och frekvens av ledningens genomgång. Ett bra sätt är att koppla relevanta områden till organisationens årshjul, så att till exempel planering, resursbehov och uppföljningsresultat för informationssäkerheten hanteras samtidigt som för organisationen som helhet. Det kan också finnas skäl till att ha ett lite mer omfattande möte en gång per år som kompletteras med övriga, kortare möten däremellan. Ett sådant årligt möte bör ligga lämpligt i tid i förhållande till organisationens verksamhetsplanering och budgetering.

Förmöte

Inför ledningens genomgång kan du som CISO ha ett förmöte, där du och någon i ledningen tillsammans kan stämma av genomgångens omfattning, form, inriktning med mera. Använd förmötet också till att inhämta kunskap om ledningen, till exempel om ledningen förväntar sig en presentation i något särskilt format, vilka frågor som kan tänkas bli svårare att adressera och hur du på bästa sätt kan nå fram med dessa. Om du inte redan har en egen kontaktperson i ledningen, be om att få en sådan – det hjälper både dig och ledningen att ha effektiva möten tillsammans.

Innehåll

Enligt standarden ska följande beaktas i ledningens genomgång:

a)     Status för åtgärder som beslutats vid ledningens tidigare genomgångar

b)     Förändringar i externa och interna frågor som är relevanta för ledningssystemet för informationssäkerhet

c)     Information om informationssäkerhetens prestanda

d)     Återkoppling från berörda parter

e)     Resultat från riskbedömning och status för riskbehandlingsplan

f)      Möjligheter till ständig förbättring

I vilken grad du som CISO väljer att i detalj följa det som står i SS-EN ISO/IEC 27001 är bland annat avhängigt i vilket grad organisationen valt att använda standarden – om man valt att ”utgå” från standarden eller att följa den mer ordagrant.

Punkt c) Information om informationssäkerhetens prestanda ovan handlar om att redovisa:

  1. Avvikelser och korrigerande åtgärder
  2. Resultat från övervakning och mätning
  3. Revisionsresultat
  4. Uppfyllnad av informationssäkerhetsmål

Dessa punkter stämmer ganska väl överens med det behov av information och kunskap som ledningar har gällande status för den egna organisationens informationssäkerhet och dess styrning (se Utforma Ledning och styrning). Ledningens genomgång bör förutom hårda fakta innefatta informella och sociala iakttagelser, till exempel hur väl informationssäkerhetsarbetet och specifika säkerhetsåtgärder mottas och accepteras i organisationen.

Ledningens genomgång är en del av CISO:s löpande dialog med ledningen, läs mer om form och innehåll i Utforma Ledning och styrning.

Punkt e) Resultat från riskbedömning och status för riskbehandlingsplan. Fokusera på de mest väsentliga delarna som framkommit vid uppföljning av riskhantering och risker (se Följa upp och förbättra Utvärdera och följa upp). Vilka punkter som ska tas upp bör stämmas av med ledningen på förmötet innan ledningens genomgång. Det kan vara av ren informativ art eller utgöra underlag för beslut.

Exempel på lämpliga punkter att ta upp är:

  • Hur organisationens riskhantering fungerar i stort.
  • Sammanställning av de allvarligaste riskområdena/riskerna.
  • Vilka risker som delas med övriga samhället, branschen/sektorn och finns risker som är specifika för den egna organisationen.
  • Om riskbehandlingen går enligt plan, särskilt om eventuella risker som inte accepteras men som av olika skäl är svåra att reducera.
  • Eventuella förslag till beslut:
    • Ändringar i styrdokument som reglerar riskhanteringen.
    • Ändringar av kriterierna för riskbedömning och riskacceptans.
    • Uppdatering av den organisationsgemensamma riskbilden.

Särskilt viktigt är att allvarliga missförhållanden tas upp med ledningen. Finns det risker och riskområden av betydelse som förbises, felaktigt accepteras eller blundas för i organisationen? Vad är i så fall orsaken till detta; brist på resurser, okunskap eller intressekonflikter? Exempelvis kan krav på en snabb digitalisering medföra att risker negligeras eller till och med att riskanalyser helt enkelt inte genomförs. Detta behöver i så fall lyftas till ledningen så att det sker medvetet och med ledningens goda minne.

Denna vägledning ska språkgranskas. 

Licens

Till toppen av sidan