Metodstödet

Metodstödet bygger på de internationella standarderna för informationssäkerhet, ISO/IEC 27000-serien, och då främst SS-EN ISO/IEC 27001 och SS-EN ISO/IEC 27002. Standarderna ger god ledning men kan vara svårtolkade och är generellt hållna eftersom de gäller internationellt. Standarderna pekar främst på vad som behöver göras. För att lättare kunna arbeta systematiskt behöver dock många verksamheter mer praktiskt stöd för att veta hur de olika delarna ska utformas och användas. Metodstödet syftar därför till att förtydliga hur ett systematiskt informationssäkerhetsarbete kan utformas och användas utifrån standarderna, och då från ett mer nationellt perspektiv. Metodstödet innehåller vägledningar, råd, tips, mallar och andra verktyg. Information om att arbeta systematiskt med informationssäkerhet finns i Kunskapsbanken. 

Hur stödet är uppbyggt

Metodstödet är logiskt uppbyggt efter en ”idealiserad” bild av hur arbetet kan bedrivas, i tydliga steg. I praktiken pågår ofta arbete inom flera områden samtidigt i en verksamhet. Därför är de olika delarna i metodstödet fristående så att organisationen kan välja de metodsteg med tillhörande vägledningar, verktyg och kunskapsbank som passar verksamhetens aktuella behov. På så sätt ger metodstödet flexibilitet och fortlöpande utvecklingsstöd i det ständigt pågående förbättringsarbetet.

Ett exempel är att framtagandet av informations­säkerhets­policyn behandlas i metod­stegets andra steg Utforma medan det i själva verket kan vara mer relevant att ta fram denna redan i ett inledande skede, som ett bevis för ledningens engagemang och en signal till organisa­tionen om viljeinriktning och ambition.

Metodstödet är även tänkt att vara ett stöd i att kunna följa verksamhetens årliga processer avseende styrning och ledning. Förslagsvis bör den handlingsplan som arbetas fram i metodstödets andra steg Utforma ligga till grund för planerade aktiviteter och åtgärder och därmed finnas med i organisationens årliga budgetarbete.

Dessutom är det återigen värt att notera att informationssäkerhetsarbetet är en ständigt pågående process. Därför kan den första rundan i metodstödet ses som ett införande medan nästkommande cykel blir ett arbete mot ständiga förbättringar. 

Vem riktar sig metodstödet till?

Metodstödet riktar sig till den som samordnar informationssäkerhetsarbetet. Vanliga benämningar är informationssäkerhetssamordnare, informationssäkerhetsstrateg eller informationssäkerhets­koordinator. I metodstödet för systematiskt informationssäkerhetsarbete har vi kallat denna person för CISO, en förkortning efter den engelska titeln chief information security officer. Vi har valt att använda CISO eftersom det är kort, koncist och gör texten lättare att läsa.

Metodstödets fyra delar

Metodstödet består av fyra olika metodsteg som tillsammans bildar helheten av det systematiska informationssäkerhetsarbetet. Dessa metodsteg är:

• Identifiera och analysera
• Utforma
• Använda
• Följa upp och förbättra.

Som komplement till de fyra metodstegen kommer det att tas fram Utbildningsmaterial, Kunskapsbank, en samling Exempel och FAQ. Dessa komplement kommer att utvecklas löpande.

Nedanstående figur ger en visualisering av hur metodstegen tillsammans utgör grunden för det systematiska informationssäkerhetsarbetet.

Figur M1: Metodstödet och de fyra metodstegen med underliggande metoddelar

För att ytterligare beskriva hur metodstegens olika delar förhåller sig till varandra ger nedanstående figur en översiktsbild över hur delarna och stegen hänger ihop.

Figur M2: Översiktsbild över metodstegens olika delar och hur de relaterar till varandra

Nedanstående avsnitt beskriver varje metodsteg med början vid Identifiera och analysera. Först ges en övergripande beskrivning av metodsteget, därefter beskrivs varje delmoment var för sig med en kort beskrivning av vad delmomenten innehåller, vilken indata som behövs samt vilket resultat som kan förväntas från delmomenten.

Identifiera och Analysera

Ingångsvärde: För att analysera verksamheten, omvärlden, risk och gap krävs kunskap och information om nuläget, det vill säga den situation vilken verksamheten befinner sig i. Denna kunskap och information erhålls genom insamling av uppgifter till exempel genomläsning av dokument och diskussioner i workshopformat. Om analysen genomförs som en del av ett ”andra varv” i metodstödet, ska resultatet från Följa upp och förbättra ses som ett ingångsvärde, exempelvis i form av ledningens prioriteringar.

Beskrivning: Här analyseras verksamheten och omvärlden. Kartläggning och värdering av verksamhetens informationstillgångar och analys av informationssäkerhetsrisker. Utifrån resultatet av dessa analyser väljs säkerhetsåtgärder och om åtgärderna finns på plats, bedöms hur väl de fungerar. Detta görs med stöd av  Identifiera och Analysera – Gap.

Resultat: Resultatet är dels en lista på interna och externa förutsättningar samt hur dessa ska påverka informationssäkerhetsarbetets utformning i nästa steg, dels en lista på informationstillgångar som ska skyddas, vilka risker de ska skyddas mot, samt valda säkerhetsåtgärder och status på dessa. Informationen används i huvudsak senare i metodsteget Utforma.

Identifiera och analysera – Verksamhet

Verksamhetsanalysen innefattar identifiering av verksamhetens väsentliga informa­tionstillgångar samt kartläggning av interna intressenters behov och förväntningar (som beslutsfattare, objekt­ägare, medarbetare, stödenheter) och förutsättningar (som mål, strategier, organisa­tionsstruktur, infrastruktur) vilka behöver beaktas vid utformning av informationssäkerhetsarbetet och dess styrning. Kartläggningen visar sammantaget vilka informationstillgångar verksamheten behöver skydda, vilka interna intressenter och förutsättningar som finns och som påverkar och påverkas av informationssäkerhets­arbetet och dess styrning.

Identifiera och analysera – Omvärld

Omvärldsanalysen innefattar identifiering av rättsliga krav samt kartläggning av externa intressenters behov och förväntningar (som kunder, leverantörer, medborgare och granskare) och förutsättningar (som tekniska, sociala, miljömässiga, politiska) vilka behöver beaktas vid utformning av informationssäkerhetsarbetet och dess styrning. Kartläggningen visar sammantaget vilka rättsliga krav verksamheten behöver efterleva, vilka externa intressenter och förutsätt­ningar som finns och som påverkar och påverkas av informationssäkerhetsarbetet och dess styrning.

Identifiera och analysera – Risk

Riskanalysen identifierar informationssäkerhetsrisker och kan användas verksamhets­övergripande för en process eller ett enskilt objekt. Riskerna mot informationssäkerheten tas fram genom en systematisk och kreativ process, där riskerna och potentiella händelser som kan leda till negativa konsekvenser beskrivs. Dessa bedöms sedan med avseende på sannolikheten att de inträffar samt konsekvensens allvar ifall det skulle inträffa.

Identifiera och analysera – Gap

Gap-analysen genomförs för att identifiera skillnaden, gapet, mellan organisationens nuläge och det läge man väljer att mäta emot. Ni kan mäta gapet mot säkerhetsåtgärderna i SS-EN ISO/IEC 27001 bilaga A utan att först ha analyserat vilka säkerhetsåtgärder ni ska använda. Ni kan också, om ni är mogna för det, mäta gapet mot det önskade läget. Det  önskade läget är de säkerhetsåtgärder som ni i analyser har kommit fram till att er organisation behöver ha på plats. Genomför analysen genom att bedöma om ni har säkerhetsåtgärderna på plats och i så fall hur väl dessa säkerhetsåtgärder fungerar. De säkerhetsåtgärder som inte är tillräckliga behöver ni hantera. Detta gör ni lämpligen genom att upprätta en handlingsplan.

Resultat Identifiera och analysera

Genom analyserna blir organisationens informationstillgångar, intressenters krav och identifierade risker kartlagda. Kartläggningen ger er stöd i vilka säkerhetsåtgärder ni behöver, hur väl åtgärderna fungerar i dag och vilka åtgärder som bör prioriteras för att minska era risker och få en bättre anpassad informationssäkerhet i organisationen.

Kostnads-nyttoanalys

Verktyget ger stöd i att med kostnads-nyttoanalyser på ett strukturerat sätt be­skriva nyttor och kostnader i samband med satsningar och investeringar inom informa­tions­säkerhet. Verktyget beskriver två modeller för kostnads-nyttoanalyser – ROSI och PENG – som kan användas var för sig eller i kombination. Ett antal typiska nyttor och kostnader med informationssäkerhet beskrivs. Verktyget ger även tips hur kostnads-nyttoanalyser kan presenteras för ledningar och hur de kan följas upp.

Ingångsvärden är samtligadelar från Identifiera och analysera samt kunskaper om incidentkostnader, riskkostnader och kostnader för säkerhetsåtgärder.

Resultat av Kostnads-nyttoanalys är strukturerade analyser som kan användas för att motivera investeringar inom informationssäkerhet, till exempel inför beslut av handlingsplan.

Utforma

Ingångsvärde: Samtlig information från tidigare verksamhetsövergripande analyser.

Beskrivning: I steget Utforma tas verksamhetsövergripande struktur och plan fram för organisationens systematiska arbetssätt. Planen utgår från ett befintligt arbetssätt.

Resultat: Metodsteget Utforma resulterar i mål för informationssäkerhet, organisation med roller och ansvar, styrdokument, enklassningsmodell för informationstillgångar samt en årlig handlingsplan för informations­säkerhet. Dessa delar bör vara samstämmiga med befintliga strukturer och arbetssätt.

Utforma – Organisation

Här ges vägledning i att förstå vikten av att skapa en tydlig organisation för informations­säkerhet, inklusive roller, ansvar och arbetsuppgifter. Vägledning ges även gällande CISO-rollens arbets­uppgifter, mandat, rapportering och organisationsplacering, samt råd eller forum för informations­säkerhet som kan upprättas för beslutsärenden, samordning och erfarenhetsutbyte. 

Viktiga ingångsvärden till organisation är resultaten från Identifiera och analysera, särskilt interna intressenter från Identifiera och analysera – Verksamhet och eventuella rättsliga krav på organisationen i Identifiera och analysera – Omvärld.

Resultatet är dokumenterat ansvar, mandat, organisation och roller samt råd och forum för informationssäkerhet.

Utforma – Informationssäkerhetsmål

Här formuleras verksamhetens strategiska och kortsiktiga mål med informationssäkerhet, utifrån verksamhetens interna och externa förutsättningar.

Ingångsvärden är samtliga analyser från Identifiera och analysera, risker och brister enligt riskanalysen och gap-analys (Identifiera och analysera – Risk respektive Identifiera och analysera – Gap) samt andra mål i organisationen som bedöms som relevanta.

I vägledningen och i tillhörande verktyg ges stöd för att formulera och strukturera mål. Strategiska mål förs in i informationssäkerhetspolicyn i Utforma – Styrdokument, medan årliga mål förs in i Utforma – Handlingsplan.

Utforma – Styrdokument

Styrdokument inom informationssäkerhet är beslutade dokument som reglerar informationssäkerhetsrelaterade aktiviteter i organisationen. I vägledningen ges stöd för utformning av informationssäkerhetspolicyn och underliggande styrdokument som exempelvis riktlinjer och rutiner.

Viktiga ingångsvärden är samtliga säkerhetsåtgärder som valts av organisationen, (Identifiera och analysera – Gap) samt strategiska mål (Utforma – Informationssäkerhetsmål) som förs in i informationssäkerhetspolicyn. Annan viktig input är organisationens regelverk för hur styrdokument ska utformas, och befintliga eller närliggande styrdokument som rör till exempel annan säkerhet, it, kvalitet eller personuppgiftshantering.

Resultatet av Utforma – Styrdokument är beslutad ambition och viljeinriktning uttryckt i informationssäkerhetspolicyn (gäller ofta i flera år) samt underliggande styrdokument i form av exempelvis riktlinjer och rutiner.

Utforma – Handlingsplan

Här ges vägledning i att skapa en plan som syftar till att eliminera och/eller reducera valda informationssäkerhetsrelaterade brister. Handlingsplanen är ett viktigt instrument för att styra så att prioriterade behov leder till faktiska aktiviteter som genomförs och följs upp.

Främsta ingångsvärde är resultatet från Identifiera och analysera – Gap eftersom den uttrycker vilka brister och behov som finns, det vill säga gapet mellan nuläge och önskat läge. Informationssäkerhetspolicyn är också ett viktigt ingångsvärde.

Resultatet är en formell och beslutad (vanligen årlig) handlingsplan som beskriver mål, aktiviteter, kostnader, ansvar samt start- och sluttider.

Utforma – Klassningsmodell

Här ges vägledning hur verksamheten skapar en modell för att klassa informationstillgångar, det vill säga information och resurser för att hantera information. Vägledningen innefattar att skapa organisationsgemensamma konsekvens- och skyddsnivåer i aspekterna konfidentialitet, riktighet och tillgänglighet samt att koppla valda säkerhetsåtgärder till dessa nivåer.

Ingångsvärden är samtliga analyser som är gjorda i Identifiera och analysera samt MSB:s klassningsmatris.

Resultatet är en organisationsspecifik klassningsmodell med tillhörande säkerhetsåtgärder som kan användas för klassning av informationstillgångar i hela organisationen (Använda – Informationsklassning).

Hur väl införda säkerhetsåtgärder fungerar ska följas upp. Uppföljning kan göras genom till exempel övervakning, mätning, intern revision eller extern revision. Arbetssättet att kontrollera efterlevnaden av säkerhetsåtgärder bör dokumenteras i styrande dokument och följa hur uppföljning sker i verksamheten i övrigt.

Själva kontrollerna beskrivs i Använda. Uppföljning och utvärdering beskrivs i Följa upp och förbättra.

Resultat Utforma

Metodsteget Utforma resulterar i en organisation för informationssäkerhet, styr­dokument och mål för informationssäkerhet, en organisationsövergripande klassningsmodell för informationstillgångar, ett arbetssätt för att kontrollera efterlevnad samt en handlingsplan för informationssäkerhet som i regel ska genomföras på årlig basis.

Verksamheten har nu komponenter för ett systematiskt informationssäkerhetsarbete, men har egentligen inte börjat tillämpa komponenterna. Stöd för detta ges i metodsteget Använda.

Använda

Ingångvärde: Allt ovan från Utforma.

Beskrivning: I steget Använda realiseras och används komponenterna från Utforma. Viktiga delar är att handlingsplanen genomförs och att styrdokumenten efterlevs. För detta krävs utbildnings- och kommunikationsinsatser, och särskilt stöd ges för att klassa informationstillgångar i enlighet med organisationens klassningsmodell.

Resultat: Metodsteget Använda resulterar i främst statusrapporter och rapporter gällande genomförande av handlingsplan och efterlevnad av styrdokument, dokumentation av genomförda utbildnings- och kommunikationsaktiviteter, samt klassade informationstillgångar.

Använda – Genomföra och efterleva

Här beskrivs aktiviteter som ska göras i verksamheten för att beslutad handlingsplan ska genomföras och de beslutade styrdokumenten ska efterlevas. Efterlevnaden ska också kontrolleras genom övervakning och mätning samt med intern och extern revision. Kontrollen behövs för att veta huruvida organisationens systematiska informationssäkerhetsarbete, riskhanteringsarbetet och de beslutade säkerhetsåtgärderna är ändamålsenligt utformade, har avsedd verkan, existerar och fungerar tillfredsställande. Olika rollers ansvar och uppgifter beskrivs.

De viktigaste ingångsvärdena är samtliga analyser från Identifiera och analysera samt Utforma – Handlingsplan, Utforma – Efterlevnadskontroll och Utforma – Styrdokument.

Resultatet är främst statusrapporter och slutrapporter gällande genomförande av handlingsplan och efterlevnad av styrdokument som kan presenteras för ledningen, löpande och i Följa upp och förbättra – Ledningens genomgång.

Använda – Utbilda och kommunicera

Här ges stöd i utbildning och kommunikation av informationssäkerhetsrelaterade frågor. Syftet med utbildning och kommunikation är att öka säkerhetsmedvetenhet och kunskap om informationssäkerhet och kunna minska risker och att regelverk efterföljs, men också att ge ökad acceptans och förståelse för säkerhetsåtgärder och informationssäkerhet i stort.

Viktiga ingångsvärden är Utforma – Organisation, Utforma – Handlingsplan, Utforma – Styrdokument samt Identifiera och analysera – Verksamhet.

Resultatet är dokumentation av genomförda utbildnings- och kommunikationsaktiviteter och en faktisk kunskaps- och medvetandehöjning.

Använda – Informationsklassning

Här ges vägledning i praktisk informationsklassning, vilket innefattar identifiering, värdering och klassning av information och andra resurser utifrån den organisationsgemensamma klassningsmodellen.

Ingångvärden är den organisationsgemensamma klassningsmodell som skapats i Utforma –Klassningsmodell samt interna och externa krav på organisationens information från Identifiera och analysera.

Resultatet är dokumenterade klassade informationstillgångar.

Resultat Använda

Resultatet av metodsteget är främst statusrapporter och slutrapporter gällande genomförande av handlingsplan och efterlevnad av styrdokument, dokumentation av genomförda utbildnings- och kommunikationsaktiviteter, faktisk kunskaps- och medvetandehöjning samt klassade informationstillgångar.

Följa upp och förbättra

Ingångsvärde: Allt ovan från Använda och Utforma – Efterlevnadskontroll.

Beskrivning: Detta metodsteg vägleder om utvärdering av informationssäkerhetsarbetet och dess styrning. Genom en strukturerad övervakning och mätning ges förutsättningar för att utvärdera i vilken grad informations­säkerheten är ändamålsenligt utformad, har avsedd verkan, samt att säkerhets­åtgärder existerar och fungerar tillfredsställande. Vägledningen täcker in mätning och övervakning av säkerhetsåtgärder för alla delar av det systematiska arbetet med informationssäkerhet i organisationen.  

Resultat: Resultatet från Följa upp och förbättra ligger bland annat till grund för interna revisioner, ledningens genomgång samt som ingångsvärde till Identifiera och analysera för nästa ”cykel” i det systematiska informationssäkerhetsarbetet.

Följa upp och förbättra – Utvärdera övervakning och mätning

Genom utvärdering av övervakning och mätning kan organisationen få bättre kunskap om informationssäkerhetsläget och upptäcka brister som behöver korrigeras. Informationen ligger också till grund för granskning och ledningens genomgång. Genom utvärdering av övervakning kan status på ett system, en process eller en aktivitet fastställas medan mätning är en process för att fastställa ett värde.

Följa upp och förbättra – Ledningens genomgång

Vid ledningens genomgång tar ledningen ställning till om verksamhetens systematiska informationssäkerhetsarbete och dess styrning är fortsatt lämpliga, tillräckliga och har avsedd verkan. Genomgången bör göras vid ett fysiskt möte där ledningen och styrningen av informationssäkerheten (ledningssystemet) samt informationssäkerhetsläget i verksamheten vanligtvis redovisas av CISO och där beslut tas i fråga om arbetets inriktning och resurser baserat på en utvärdering av uppföljningen. Besluten kan gälla förbättringar av informationssäkerheten, förändringar i sättet att leda och styra informationssäkerheten samt beslut om resurstilldelning. Besluten ger sammantaget ledningens inriktning för det fortsatta systematiska informationssäkerhetsarbetet.

Resultat Följa upp och förbättra

Metodsteget har gett kontroll på hur arbetet med informationssäkerheten fortlöper och vilka säkerhetsåtgärder och delar av det systematiska arbetssättet som fungerar och vilka som fungerar mindre bra. Resultatet är rapporterat till ledningen och ger underlag till fortsatta analyser, utformning av styrning och användning av denna. Det leder till att informationssäkerheten och det systematiska arbetet förbättras och ligger i linje med förändringar i verksamheten och omvärlden.

MSB håller på och uppdaterar Metodstödet med SS-EN ISO/IEC 27001:2022 och SS-EN ISO/IEC 27002:2022. Prioritet ligger i att uppdatera verktygen.

Öppen kommentarperiod

Just nu har vi inget material ute för kommentarer.

Vi tar dock alltid gärna emot kommentarer, synpunkter, idéer, förslag och exempel. Skicka dessa till informationssakerhet@informationssakerhet.se. 

Q: Vad är metodstödet?

A: Metodstödet för systematiskt informationssäkerhetsarbete är en samling vägledningar och verktyg som finns för att förtydliga hur ett systematiskt informationssäkerhetsarbete kan utformas. Metodstödet bygger på standardserien ISO/IEC 27000. Metodstödet innehåller, förutom vägledningar och verktyg, råd, tips och mallar. Metodstödet är logiskt uppbyggt i tydliga steg efter en ”idealiserad” bild av hur arbetet kan bedrivas, men eftersom det systematiska informationssäkerhetsarbetet i praktiken pågår inom flera områden samtidigt i en verksamhet så är de olika delarna fristående för att erbjuda den flexibilitet och fortlöpande utvecklingsstöd som organisationer behöver.

Metodstödet består av fyra olika metodsteg som tillsammans bildar helheten av det systematiska informationssäkerhetsarbetet. Dessa är: Identifiera och analysera, Utforma, Använda, och, Följa upp och förbättra. Som komplement till dessa kommer det löpande att tas fram Utbildningsmaterial, fördjupningsdokument och komplement i en Kunskapsbank samt en samling Exempel.

Q: Kan jag ta texter från metodstödet och skriva om så de passar min organisation?

A: Ja, det går bra. Materialet är fritt att sprida och återanvända enligt licensformen Creative Commons (Erkännande). ”Creative Commons Erkännande 4.0 Internationella Publika Licens” (CC BY 4.0), https://creativecommons.org/licenses/by/4.0/legalcode.sv.  

Q: Jag är helt ny, hur använder jag metodstödet? Var ska jag börja?

A: Vad bra att du har hittat hit! Informationssäkerhet är en ständigt pågående process och metodstödet är utformat lite som kugghjul som till viss del driver varandra. Första cykeln med metodstödet kan ses som ett införande av ett systematiskt informationssäkerhetsarbete medan nästkommande cykler blir att arbeta mot ständiga förbättringar.

Vi rekommenderar att du börjar med att läsa igenom metodstödet i sin helhet, för att få en uppfattning om vad det handlar om. Vad du sedan börjar med är beroende på var du själv befinner dig kunskapsmässigt och hur organisationen du verkar i ser ut informationssäkerhetsmässigt. Ett bra sätt att börja om du inte har andra hänsyn att ta är genom att börja med att analysera, förslagsvis först Verksamhet och sedan Omvärld och så vidare. 

Q: Måste man börja från början?

A: Nej, i praktiken pågår arbetet ofta i flera av metodstegen samtidigt. För att ge stöd i det ständigt pågående förbättringsarbetet som verksamheten har behov av kan metodstödet användas som ett uppslagsverk. De olika delarna i metodstödet är fristående så att organisationen kan välja de metodsteg med tillhörande vägledningar, verktyg och kunskapsbank som passar verksamhetens aktuella behov. Metodstödet ger på så sätt både flexibilitet och fortlöpande utvecklingsstöd i det ständigt pågående förbättringsarbetet.  

Q: Min organisation har kommit jättelångt med informationssäkerhetsarbetet, kan metodstödet ändå hjälpa oss?

A: Absolut! Metodstödet för systematiskt informationssäkerhetsarbete är allmänt hållet för att passa alla organisationer, oavsett hur långt man har kommit med att införa ett systematiskt informationssäkerhetsarbete. Metodstödet kan användas som ett uppslagsverk för att ge stöd i det ständigt pågående förbättringsarbetet. Det är viktigt att komma ihåg att informationssäkerhet är en ständigt pågående process och varje ”runda” med metodstödet blir ett arbete mot ständig förbättring. 

Q: Vem riktar sig metodstödet till?

A: Självklart kan alla som är intresserade av att lära sig mer om systematiskt informationssäkerhetsarbete ta del av metodstödet, men metodstödet riktar sig främst till den som samordnar informationssäkerhetsarbetet. Vanliga benämningar för det är informationssäkerhetssamordnare, informationssäkerhetsstrateg, informationssäkerhetskoordinator eller informationssäkerhetschef men i metodstödet har vi valt att kalla denna person för CISO, det engelska Chief Information Security Officer.

Q: Vad innebär en anpassning av metodstödet?

A: Det är viktigt att anpassa det systematiska informationssäkerhetsarbetet till den egna organisationens förutsättningar. Det innebär bland annat att arbetet med informationssäkerhet behöver integreras i organisationens löpande och ordinarie verksamhet. Exempel på saker som kan behöva anpassas är vissa ordval, rollbenämningar eller motsvarande. Metoder eller arbetssätt som redan finns etablerade i organisationen som fungerar och är accepterade kan användas även i det systematiska informationssäkerhetsarbetet. Dock vill vi poängtera här att syftet med det som ska uppnås, alltså säkerheten, aldrig får anpassas bort.