Hoppa över navigering, hoppa direkt till textinnehållet Hoppa till navigeringen Startsida
Följa upp och förbättra

Följa upp och förbättra

Vägledning

Följa upp och förbättra

Ändringar och tillägg som genomförts finns i ändringsloggen.

Följa upp och förbättra

Avsnittet består av två delar:

  • Utvärdera och följa upp
  • Ledningens genomgång

Detta metodsteg vägleder om utformning av arbetssätt för uppföljning och förbättring av informationssäkerhetsarbetet och dess styrning.

Genom övervakning, mätning och måluppföljning erhålls uppgifter som stödjer utvärdering av ifall informations­säkerheten i stort är ändamålsenligt utformad, har avsedd verkan, samt att säkerhets­åtgärder existerar och fungerar tillfredsställande. Resultatet från utvärderingen ligger bland annat till grund för intern revision, ledningens genomgång samt som ingångsvärde till Identifiera och Analysera för nästa omtag i det systematiska informationssäkerhetsarbetet.

Med ledningens genomgång avses att ledningen ser över verksamhetens systematiska informationssäkerhetsarbete och dess styrning för att säkerställa dess fortsatta lämplighet, tillräcklighet och verkan. Genomgången sker oftast i form av ett möte, där informationssäkerhetsläget i verksamheten beskrivs av CISO, diskuteras av ledningen med utgångspunkt från specifika frågeställningar, samt där beslut tas i fråga om arbetets inriktning och resurser. Besluten kan gälla; förbättringar av informationssäkerheten, förändringar i sättet att styra informationssäkerheten och hur det beskrivs i policyer och riktlinjer för informationssäkerhet, samt beslut om resurstilldelning. Besluten ger sammantaget ledningens inriktning för det fortsatta systematiska informationssäkerhetsarbetet.

Det som beslutas av ledningen efter ledningens genomgång ska sedan hanteras i Handlingsplan, eventuellt uppdaterade Styrdokument och som övrig input till Utforma.

Utvärdera och följa upp

Den här vägledningen ger stöd vid utvärderingen av organisationens systematiska informationssäkerhetsarbete och dess styrning, särskilt gällande arbetets och styrningens lämplighet, tillräcklighet och verkan. Resultatet i detta steg ger ett underlag till ledningens genomgång, samt påvisar er utveckling inom området.

Definition av lämplighet, tillräcklighet och verkan

Lämplighet innebär att informationssäkerheten och dess styrning står i samklang med er organisations övergripande mål.

Tillräcklighet innebär att den styrning som ni tidigare beslutat om och ger uttryck för i era styrdokument (till exempel policyer, riktlinjer och handlingsplaner), fortfarande räcker till för att hantera era informationssäkerhetsrisker.

Verkan innebär att beslutade säkerhetsåtgärder har trätt i kraft, det vill säga att de existerar, och fungerar tillfredsställande och därmed minskar riskerna kring er informationssäkerhet.

Övervaka och mäta

Syftet med att övervaka (även kallat ”monitorera”) och mäta är att få reda på om ert systematiska informationssäkerhetsarbete, riskhanteringsarbete samt alla beslutade säkerhetsåtgärder är:

  • ändamålsenligt utformade
  • har avsedd verkan
  • existerar och fungerar tillfredsställande.

Genom löpande övervakning och mätning kan ni få bättre kunskap om ert informationssäkerhetsläge. Dessutom får ni möjlighet att upptäcka brister där säkerhetsåtgärder kan behöva korrigeras. Informationen från övervakning och mätning ligger också till grund för granskningar, och för ledningens genomgång.

Skillnaden mellan övervakning och mätning

Skillnaden mellan övervakning och mätning är följande:

  • Övervakning anger status för ett system, en process eller en aktivitet. Övervakning sker ofta kontinuerligt genom till exempel att loggar i ett it-system övervakas och avvikelser automatiskt rapporteras
  • Mätning anger ett värde. Till exempel kan man mäta nyckeltal för att se progress eller brist på progress. Mätning sker ofta i planerade intervaller.

Ni bör separera ansvaret för mätning och övervakning från själva analysen och utvärderingen, eftersom det krävs olika typer av kompetens vid genomförandet.

Övervakning – olika nivåer och typer

Övervakning av informationssäkerheten kan ske på flera olika nivåer, och kan dessutom ske med olika tidsperspektiv. Övervakningen kan även vara en del av er incidenthantering och händelser som noteras i någon form av logg bör hanteras enligt uppsatta rutiner.

Några exempel på övervakningsnivåer:

Operativ nivå – en typ av övervakning som ofta är automatiserad, och i huvudsak bygger på loggning av händelser i era it‑system.

Taktisk nivå – övervakning av att era beslutade säkerhetsåtgärder existerar, och att de fungerar tillfredsställande. Varje enskild beslutad säkerhetsåtgärd innehåller inslag av sådant som ni kan övervaka, så genom manuell eller automatiserad övervakning kan ni se ifall en åtgärd existerar och fungerar tillfredsställande i olika delar av er organisation.

Strategisk nivå – utöver säkerhetsåtgärderna behöver man övervaka olika delar i själva ledningssystemet. Här handlar det om att övervaka de övergripande, styrande mekanismerna.

Olika typer av övervakning

Några exempel på typer av övervakning:

Driftövervakning – används för att övervaka era it‑system, främst gällande drift och tillgänglighet. Driftövervakningen ska till exempel larma ifall en hårddisk går sönder, om temperaturen i en server stiger onormalt eller när en viss webbplats slutar fungera.

Loggning – kan innebära att en fil (oftast en textfil) lagrar uppgifter om en viss händelse, registrerar tidpunkt och agerande resurser. Loggning kan man nästan alltid skräddarsy och anpassa efter sina behov. Loggning gör det möjligt att övervaka aktiviteter i operativsystem, databashanterare, applikationsservrar och applikationer. Denna typ av loggning kan med fördel även inkludera era användares aktiviteter i de olika systemen.

Manuell övervakning – avser all övervakning som utförs av personer, men gäller främst på taktisk och strategisk nivå. Övervakningen ska se till så att alla säkerhetsåtgärder finns på plats, och att det systematiska informations­säkerhets­arbetet ger avsedd verkan. Man kan även kontrollera att underlag och beslut för en viss typ av behörighet är korrekta, eller att man hanterar nya risker mot en specifik verksamhet eller informationstillgång (genom en riskanalys, till exempel).

Mognadsmätning och benchmarking

När det gäller mätning bör ni noga överväga vad ni vill mäta, eftersom det är ineffektivt, missvisande och kostsamt att mäta antingen för mycket eller fel saker. Innan ni påbörjar en mätning behöver ni säkerställa att det finns resurser, så att ni kan ta hand om resultatet från mätningen.

För att nå fram till gångbara resultat behöver ni därför definiera:

  • Vad som ska mätas.
  • Vem som ska mäta.
  • Vilken metod ni ska använda.

Ni kan till exempel använda mätning för att utvärdera det systematiska informationssäkerhetsarbetet, eller för att kunna redovisa den ökade förmågan inom området för ledning och medarbetare.

Mognadsmätning och benchmarking är två olika metoder för att utvärdera informationssäkerhetsläget inom organisationen. Vi beskriver de två metoderna mer utförligt nedan.

Mognadsmätning – för att redovisa informationssäkerhetens utveckling

Mognadsmätning är en metod för att på ett strukturerat sätt och över tid redovisa organisationens utveckling inom informations­säkerhets­området. Mätningen ska kunna upprepas, för att på så sätt skapa jämförbara resultat som kan visa på förbättring och ökad mognad i både processer och medvetenhet gällande informationssäkerhet.

Man genomför en mognadsmätning med hjälp av mognadsmodeller, på engelska kallat ”maturity model”. Det finns flera modeller att utgå ifrån för att mäta mognad, till exempel inom ramverken COSO och COBIT. Oavsett vilken modell ni väljer att använda, så är det avgörande att ni väljer ut rättvisande indikatorer som ger möjlighet till graderade svar. Detta för att kunna redovisa en förflyttning på mognadsskalan.

När ni ska genomföra en mognadsmätning så är det viktigt att ni beslutar om huruvida mätningen ska avse själva styrningen av informationssäkerhetsarbetet, eller resultatet av styrningen – det vill säga den faktiska informationssäkerheten. Ett tredje alternativ är förstås att kombinera de båda.

Benchmarking – för att identifiera egna förmågor, styrkor och svagheter

Benchmarking är ett strukturerat sätt för att kunna identifiera egna förmågor, sina egna styrkor och svagheter inom informationssäkerhetsområdet. Detta kan sedan jämföras med andra organisationer, eller mot en allmänt vedertagen praxis.

Benchmarking ger en ögonblicksbild av läget, som det ser ut just här och nu. Det finns flera kommersiella aktörer som gör årliga sammanställningar, vilket i sig är en form av benchmarking, av organisationers informationssäkerhetsläge baserat på organisationernas egna självskattningar.

Måluppfyllelse av informationssäkerhetsmål och strategisk inriktning

Det är ledningen som ska säkerställa att organisationens informations­säkerhets­mål är upprättade och att dessa följer organisationens strategiska inriktning.

Ni bör besluta om målen för informationssäkerhetsarbetet i samband med att ni utformar ledningssystemet eller inleder det systematiska arbetet med informations­säkerhet. När ni har beslutat vilka mål ni ska ha så bör ni även definiera vilka specifika kriterier ni ska använda för att visa om målet är uppfyllt eller inte.

Inför ledningens genomgång ska ni utvärdera informationssäkerhetsmålen, och dessutom mäta uppfyllelsen. Därefter redovisar ni måluppfyllnaden för ledningen, som en del av ledningens genomgång.

När ledningen har kontrollerat uppfyllelsen av målen så är det bra att även utvärdera själva målformuleringarna. Behöver ni förändra några mål utifrån graden av uppfyllnad, eller kanske möjligheten att mäta dem?

Slutligen ska ni dokumentera måluppfyllnaden, samt eventuella förslag till förändringar av målen, så att det sedan kan hanteras vidare. Se metodstödet som heter Utforma mål för vägledning och stöd.

Omfattning av utvärderingen

Följande nivåer (liten, mellan, stor) kan ni se som exempel över vad ni bör utvärdera. Utgå från hur stora resurser ni har beslutat er för att avsätta för själva utvärderingen.

1.    Liten – en miniminivå som alla organisationer bör genomföra:

  • Uppfyllnad av informationssäkerhetsmål
  • Bedömning av ledningssystemets lämplighet, tillräcklighet och verkan

2.    Mellan – en mellannivå, där ni utöver ”liten” lägger till följande:

  • Förnyad gap-analys (se separat vägledning för gap-analys) mot till exempel standard
  • Efterlevnad av internt styrande dokument
  • Mognadsmätning

3.    Stor – högsta nivån, där ni utöver ”liten” och ”mellan” även lägger till följande:

  • Extern revision av det systematiska informationssäkerhetsarbetet

Resultat och vidare arbete

I detta steg har ni utvärderat om ni uppfyller era mål för informationssäkerhet, så som ni tidigare definierat målen (se Utforma Mål). Resultatet av arbetet som ni har utfört i detta steg är en analyserad utvärdering. Det ger en bild av er organisations allmänna tillstånd gällande informationssäkerhet samt det systematiska informationssäkerhetsarbetets lämplighet, tillräcklighet och verkan.

Resultatet utgör ett underlag till ledningens genomgång. Resultatet leder även till bättre underbyggda beslut kring framtida satsningar, inriktningar och prioriteringar inom er organisation.

Det är viktigt att ni återför resultatet till övriga delar av det systematiska informations­säkerhets­arbetet, som ett underlag för exempelvis:

  • framtida analyser,
  • vid omprövning av informationssäkerhetsmål och valda säkerhetsåtgärder
  • i samband med utbildningsinsatser.

Målet är att åstadkomma ständiga förbättringar, vilket leder till en ökad mognad inom informationssäkerhetsområdet.

Referens till standarder i 27000-serien:

  • Ställer krav som relaterar till övervakning och mätning, se exempelvis avsnitten 9.1, 9.2, 9.3, A.5.1.2, A.18.2.1, 18.2.2 samt A.18.2.3

MSB har utvecklat olika verktyg som kan användas som stöd i arbetet med att följa upp och förbättra. Beskrivningar av dess hittar du nedan.

Verktyg för efterlevnadskontroll

Ett sätt att följa upp och förbättra är att göra en efterlevnadskontroll. MSB har utvecklat ett eget verktyg för efterlevnadskontroll som du återfinner i verktygslådan. Det här verktyget är tänkt att fungera som en hjälp för din organisation att stämma av er efterlevnad av standarden SS/EN ISO 27001, Bilaga A: Säkerhetsåtgärder. Till varje kontrollpunkt kopplas ett eller flera krav. Resultatet får du i form av ett spindeldiagram som ger en snabb visuell överblick av organisationens efterlevnad.

Vi tar gärna emot synpunkter och förslag på förbättringar.

Infosäkkollen

Detta verktyg är uppbyggt kring ett antal frågor om hur långt arbetet kommit i olika avseenden. När frågorna besvarats får organisationen automatisk återkoppling om nivån på sitt systematiska informationssäkerhetsarbete samt om utvecklingsområden. Detta kompletteras med hänvisningar till relevant stödmaterial som finns för de olika områdena. Sammantaget får organisationen underlag för framtida planering och beslut kring utvecklingen av informationssäkerhetsarbetet.

Infosäkkollen kan användas regelbundet för att följa organisationens utveckling. I återkommande perioder kan resultaten rapporteras in till MSB för att få kompletterande återkoppling och möjlighet att jämföra sig med andra organisationer.

Infosäkkollen hittar du på: https://www.msb.se/infosakkollen.

 

Ledningens genomgång

 

I denna vägledning får du stöd för att planera och genomföra ledningens genomgång av informationssäkerhet. Syftet med genomgången är att ge ledningen en bild av informations­säker­hets­läget samt underlag för att kunna besluta om hur arbetet ska bedrivas fortsättningsvis, en nödvändig kommunikation mellan dig som CISO och ledningen. 

Genom att möten med ledningen planeras och genomförs regelbundet under kända former så säkerställs att kommunikationen sker systematiskt och får den prioritet som den kräver.

I standarden SS-EN ISO/IEC 27001:2017 definieras ledningens genomgång (avsnitt 9.3) som:

”Högsta ledningen ska ha en genomgång av organisationens ledningssystem för informationssäkerhet med planerade intervall för att säkerställa systemets fortsatta lämplighet, tillräcklighet och verkan.”

Koppla till organisationens årshjul

Det är viktigt att du som CISO tillsammans med ledningen bestämmer omfattning, form och frekvens av ledningens genomgång. Ett bra sätt är att koppla relevanta områden till organisationens årshjul, så att till exempel planering, resursbehov och uppföljningsresultat för informationssäkerheten hanteras samtidigt som för organisationen som helhet. Det kan också finnas skäl till att ha ett lite mer omfattande möte en gång per år som kompletteras med övriga, kortare möten däremellan. Ett sådant årligt möte bör ligga lämpligt i tid i förhållande till organisationens verksamhetsplanering och budgetering.

Förmöte

Inför ledningens genomgång kan du som CISO ha ett förmöte, där du och någon i ledningen tillsammans kan stämma av genomgångens omfattning, form, inriktning med mera. Använd förmötet också till att inhämta kunskap om ledningen, till exempel om ledningen förväntar sig en presentation i något särskilt format, vilka frågor som kan tänkas bli svårare att adressera och hur du på bästa sätt kan nå fram med dessa. Om du inte redan har en egen kontaktperson i ledningen, be om att få en sådan – det hjälper både dig och ledningen att ha effektiva möten tillsammans.

Innehåll

Enligt standarden ska följande beaktas i ledningens genomgång:

a)     Status för åtgärder som beslutats vid ledningens tidigare genomgångar

b)     Förändringar i externa och interna frågor som är relevanta för ledningssystemet för informationssäkerhet

c)     Information om informationssäkerhetens prestanda

d)     Återkoppling från berörda parter

e)     Resultat från riskbedömning och status för riskbehandlingsplan

f)      Möjligheter till ständig förbättring

I vilken grad du som CISO väljer att i detalj följa det som står i SS-EN ISO/IEC 27001 är bland annat avhängigt i vilket grad organisationen valt att använda standarden – om man valt att ”utgå” från standarden eller att följa den mer ordagrant.

Punkt c) Information om informationssäkerhetens prestanda ovan handlar om att redovisa:

  1. Avvikelser och korrigerande åtgärder
  2. Resultat från övervakning och mätning
  3. Revisionsresultat
  4. Uppfyllnad av informationssäkerhetsmål

Dessa punkter stämmer ganska väl överens med det behov av information och kunskap som ledningar har gällande status för den egna organisationens informationssäkerhet och dess styrning (se Utforma Ledning och styrning). Ledningens genomgång bör förutom hårda fakta innefatta informella och sociala iakttagelser, till exempel hur väl informationssäkerhetsarbetet och specifika säkerhetsåtgärder mottas och accepteras i organisationen.

Ledningens genomgång är en del av CISO:s löpande dialog med ledningen, läs mer om form och innehåll i Utforma Ledning och styrning.

Denna vägledning ska språkgranskas. 

Licens