Hoppa över navigering, hoppa direkt till textinnehållet Hoppa till navigeringen Startsida
Utforma

Utforma

Ändringar och tillägg som genomförts finns i ändringsloggen.

I Utforma skapas de huvudsakliga delar som behövs för verksamhetens systematiska informationssäkerhetsarbete. Dessa är uppdelade i nio delar:

  • Organisation
  • Ledning och styrning
  • Informationssäkerhetsmål
  • Styrdokument
  • Riskhantering
  • Klassningsmodell
  • Välj säkerhetsåtgärder och skapa skyddsnivåer
  • Handlingsplan
  • Kontinuitetshantering för informationstillgångar
  • Incidenthantering

Hur delarna ska utformas beror på resultaten i metodsteget Identifiera och analysera. Som helhet bör dessa leda till strategiska Informationssäkerhetsmål och beskrivning av roller i säkerhetsarbetet (Organisation).

I Identifiera och analysera: Med stöd av gap-analysen utformas verksamhetens SoA (Statement of Applicability) som konkret uttrycker verksamhetens val av säkerhetsåtgärder och nuvarande brister. De valda säkerhetsåtgärderna ska dessutom uttryckas i Styrdokument varav vissa kan kopplas till särskilda klasser i en verksamhetsövergripande Klassningsmodell.

Informationssäkerhetpolicyn är ett övergripande Styrdokument som ska uttrycka ledningens viljeinriktning med informationssäkerhetsarbetet.

Brister enligt gap-analys och SoA ska omsättas till konkreta Informationssäkerhetsmål varav de som prioriteras ska tas om hand i en Handlingsplan.

Organisation

Den här vägledningen handlar om ansvaret för och arbetet med informations­säkerhet. Vägledningen beskriver hur man kan tydliggöra CISO-rollens arbetsuppgifter och mandat, vilka andra roller som kan ingå i informations­säkerhetsarbetet, samt hur man kan samla dessa i olika råd och forum för att underlätta den samordning som krävs för att lyckas. 

Vanliga svenska titlar på den som samordnar informationssäkerhetsarbetet är informationssäkerhetssamordnare, informationssäkerhetsstrateg eller informationssäkerhets­koordinator. I MSB:s metodstöd för systematiskt informationssäkerhetsarbete har vi kallat den person som är ansvarig för samordningen av informations­säkerheten för CISO, en förkortning efter den engelska titeln chief information security officer. Vi har valt att använda CISO eftersom det är kort, koncist och gör texten lättare att läsa.

Analyserna är ingångsvärdena till utformningen av organisation

Resultaten från de analyser som ni har gjort i analysfasen är ingångsvärdena som ni behöver för att utforma er organisation för informationssäkerhet.

Särskilt viktiga analyser är:

  • Eventuella rättsliga krav på er organisation, dess ingående roller och ansvar (se Analys Omvärld)
  • Interna intressenter och deras roller, krav och förväntningar (se Analys Verksamhet).

Interna dokument som beskriver området är viktiga

Andra viktiga ingångsvärden är eventuella interna dokument som beskriver er organisation och alla interna roller, ansvarsområden, mandat och beslutsvägar.

Några exempel på sådana dokument:

  • organisationsbeskrivningar
  • befattningsbeskrivningar
  • styrdokument
  • arbetsordning
  • delegationsbeslut.

Ni kan behöva komplettera dessa dokument med intervjuer, dels för att bättre lära känna organisationen, dels få förståelse för hur vissa personer arbetar i sina roller.

Ansvar för informationssäkerhet

Grundprincipen är att ansvaret för själva informationssäkerhetsarbetet ska följa det ordinarie verksamhetsansvaret. Detta gäller ända från ledning ner till enskilda medarbetare.

Denna princip innebär att den person som är ansvarig för ett visst verksamhets­område också är ansvarig för själva informationssäkerheten inom det specifika området. En verksamhet kan bedrivas i en organisatorisk del (t.ex. avdelning, sektion eller enhet), ett löpande arbetsflöde (t.ex. process) eller ett tidsbegränsat arbete (t.ex. projekt).

De personer som arbetar specifikt med informationssäkerhet har en viktig stöd­funktion i sin organisation – ungefär på samma sätt som de personer som har stödfunktioner inom andra verksamhetsområden, som ekonomi, personal (hr) eller kommunikation.

Dessa personer ansvarar för att själva arbetet med informationssäkerhet fungerar på ett lämpligt sätt. De ska däremot inte ha ett formellt ansvar för informations­säkerheten, utan det huvudsakliga syftet med detta ansvar och arbete är i stället att stötta ledningen, verksamhetscheferna och medarbetarna. Så ansvarsområdet är alltså att se till så att ledning, verksamhetschefer och medarbetare i sin tur tar ansvar för informationssäkerheten i sin verksamhet.

CISO-rollen

CISO-rollens huvudsakliga arbetsuppgifter: leda och samordna säkerhetsarbetet

Den som är CISO har som sagt det övergripande ansvaret att leda och samordna arbetet med informationssäkerhet i en organisation. Huvudansvaret för själva informationssäkerheten följer som sagt verksamhetsansvaret, och ligger därmed inte på rollen som CISO.

I detta metodstöd kan CISO få stöd för ledning och samordning att skapa och driva ett systematiskt arbetssätt för informationssäkerhet i organisationen.

Några strategiska delar av arbetet som du får hjälp med i detta metodstöd:

  • Att analysera omvärlden och den egna organisationen avseende informationssäkerhet.
  • Att utveckla informationssäkerhetsområdet genom att utforma och förvalta era dokument, planer, modeller med mera inom informationssäkerhet
  • Att stödja den egna organisationen att efterleva, genomföra och använda utformade dokument, planer och modeller – till exempel genom olika metoder, vägledningar, utbildningar, kravställning och konkret deltagande.
  • Att kontrollera och följa upp informationssäkerheten internt.

Strategiskt arbete jämfört med operativ problemlösning

CISO ansvarar för detta arbete som helhet, vilket innebär att det till stora delar är strategiskt. Det strategiska perspektivet är viktigt för att kunna skapa ett systematiskt arbete som är anpassat till organisationen och hållbart över tid. Annars är det lätt att ägna för mycket tid åt operativ problemlösning.

Det strategiska perspektivet gäller oavsett storlek på och typ av organisation. Skillnaden är att CISO i stora organisationer kanske enbart arbetar strategiskt, medan rollen i mindre organisationer arbetar operativt i större utsträckning.

Vi rekommenderar att mellanstora eller stora organisationer har en utsedd CISO på heltid. Detta kan givetvis även mindre organisationer ha, särskilt ifall dessa har informations- eller it‑intensiva verksamheter, som till exempel är vanligt i mindre kommuner.

Om CISO arbetar med informationssäkerhet på deltid, så bör de andra arbetsuppgifterna vara närliggande. Till exempel inom andra säkerhetsområden (än informationssäkerhet), eller inom skydd av kvalitet, personuppgifter och/eller data.

Klarlägg CISO-rollen i ett organisationsövergripande dokument

Det är viktigt att ni tydliggör och klarlägger CISO:s roll i ett beslutat och organisationsövergripande dokument. Exempel på ett sådant dokument är en så kallad ansvarsprofil eller befattnings­beskrivning (beroende på vad ni vanligtvis tillämpar i er organisation).

Det ska således finnas beskrivet vilka beslutade arbetsuppgifter, vilket mandat samt vilken rapporteringsplikt som ingår i rollen som CISO. Särskilt viktigt är det att ni beskriver mandat och rapporteringsplikt, så att det inte råder någon tveksamhet kring detta – särskilt ifall det skulle bli en intern tvist eller konflikt, till exempel om CISO behöver påvisa brister där den som har ansvar för verksamheten inte fullföljer sitt ansvar.

Dessa klargöranden får därför inte vara löst formulerade, och det är lämpligt att koppla ihop dem med befintliga och redan beslutade styrdokument. Detta eftersom styrdokumenten reglerar vad som får och inte får göras avseende organisationens informationssäkerhet (se Utforma Styrdokument).

Mandat som CISO

Exempel på mandat som en CISO kan ha:

  • Att kravställa vid till exempel utvecklingsprojekt.
  • Att utföra intern granskning/kontroll att styrdokument efterlevs.
  • Att rapportera interna brister i efterlevnaden av styrdokument.
  • Att godkänna eventuella undantag från styrdokument, alternativt yttra sig inför eventuella undantag.
  • Att godkänna specifika informationssäkerhetslösningar (det vill säga tolka ifall de uppfyller styrdokument), alternativt yttra sig inför godkännande.
  • Att stoppa aktiviteter som strider mot styrdokument, alternativt att rapportera aktiviteter som strider mot styrdokument.

Rapporteringsplikt som CISO

Det bör även vara formellt fastslaget hur och när CISO ska rapportera. Rapporteringsplikt ska givetvis finnas till närmaste chef, men även till ledning (VD, GD eller styrelse) oavsett var CISO organisatoriskt är placerad.

Hur rapporteringen ska gå till bör regleras:

  • Rapporteringens mottagare – till vilken eller vilka interna roller?
  • Rapporteringens form – muntligt och/eller skriftligt, räcker det med ett mejl, eller ska det finnas ett särskilt rapportformat och så vidare?
  • Rapporteringens frekvens – hur ofta ska CISO rapportera, exempelvis en gång om året, i halvåret eller i månaden?

CISO-rollens organisatoriska placering

Vilken organisatorisk placering av CISO som är lämplig beror på lite olika faktorer, bland annat på organisationens typ, storlek, bransch- eller sektorstillhörighet. Generellt sett så bör CISO alltid vara placerad nära ledningen.

Organisatoriskt sett innebär detta ofta att CISO är placerad i en ledningsstab, till exempel i VD-stab eller GD-stab. Idealet är att CISO är direkt underställd ledning, och att CISO rapporterar direkt till denna.

Är CISO placerad på stab (eller motsvarande) finns ofta en eller två chefsnivåer mellan CISO-funktionen och ledningen. Detta går dock att lösa genom att CISO ändå rapporterar direkt till ledningen.

I en större organisation placeras CISO ofta i en enhet eller grupp, till exempel inom:

  • säkerhet
  • kvalitet
  • juridik
  • GRC (Governance, Risk, Compliance).

Det är viktigt att CISO:s strategiska funktion är åtskild från organisationens interna it‑produktion, eftersom en CISO är både kravställande och granskande gentemot denna. Det är möjligt att placera CISO-rollen i en strategisk it‑funktion, till exempel i en CIO‑stab eller liknande om hänsyn tas till detta. 

Arbetsuppgifter som CISO

I stora organisationer kan CISO ha personalansvar för ett antal underställda roller, till exempel för informationssäkerhetsspecialister eller -handläggare. I detta fall är informations­säkerhets­chef en lämplig benämning på CISO.

För att CISO ska lyckas med organisationens informationssäkerhetsarbete är det viktigt att hela organisationen förstår CISO-rollens uppgifter och stöttar den person som är CISO. Dessutom behöver CISO ett nätverk för informationssäkerhet. Upprätta därför specifika råd och forum för informationssäkerhet, där såväl CISO som de andra rollerna av vikt kan samlas regelbundet.

För CISO är grundprincipen att informationssäkerhetsansvaret följer verksamhetsansvaret viktig. Det är också viktigt att CISO sprider denna kunskap internt – framförallt till de personer som har det egentliga ansvaret för organisationens informationssäkerhet.

Klarlägg andra roller av vikt för informationssäkerheten i styrdokument

Precis som med CISO-rollen bör ni uttrycka informationssäkerhetansvaret i styrdokument – till exempel i informationssäkerhetspolicy och i riktlinjer (se Utforma Styrdokument). Denna beskrivning bör innefatta samma grundprincip som vi gått igenom ovan.

Beskriv vilket faktiskt ansvar för organisationens informationssäkerhet som gäller vissa specifika roller i organisationen, exempelvis:

  • VD eller generaldirektör (GD)
  • Verksamhetschefer (för avdelning, enhet, sektion eller grupp)
  • Processägare
  • Informationsägare
  • Objektägare eller systemägare
  • Projektägare
  • Enskilda medarbetare.

Informationssäkerhetsrelaterat ansvar kan vara lagstadgat

Vissa andra funktioner i organisationen kan också ha ansvar som behöver uttryckas särskilt, till exempel it‑avdelning, personalavdelning (hr-avdelning) och inköpsavdelning. I dessa fall är det cheferna för dessa funktioner som ska ha det formella informationssäkerhets­ansvaret.

Informationssäkerhetsrelaterat ansvar hos vissa roller kan till och med vara lagstadgat. Det kan gälla både roller som har verksamhetsansvar, till exempel person­uppgifts­ansvarig, och stödjande roller som till exempel säkerhetsskyddschef.

CISO och andra nyckelroller i en informationssäkerhetsorganisation

Syftet med att samordna informationssäkerhetsarbetet är att se till så att hela organisationen tar ett gemensamt ansvar för informationssäkerheten. Det är därför mycket viktigt att den person som är CISO bygger upp ett nätverk med samtliga roller som är relevanta för organisationens informationssäkerhetsarbete. Detta underlättar i sin tur själva samordningen av informationssäkerhetsarbetet – det vill säga det ansvar som ligger på CISO. 

I verktygslådan finns "Nyckelroller inom informationssäkerhet - CISO:s vänner" där vi samlat intervjuer med roller som CISO kan dra nytta av. 

Tillsammans bildar dessa en så kallad informationssäkerhetsorganisation. Exempel på typiska roller av vikt finner du i tabell 1 nedan.

Tabell U1:1: Exempel på roller av vikt inom en organisation

Exempel på roll:

Beskrivning:

Informationssäkerhets-specialister

I en större organisation finns det ofta fler centrala roller som arbetar under CISO. Dessa kan vara både generaliserade och specialiserade, till exempel inom utbildning, medvetenhet (awareness) eller it.

Lokala informations­säkerhetssamordnare (eller motsvarande)

Dessa roller kan stödja en lokal verksamhet inom organisationen, som till exempel inom ett specifikt affärsområde, dotterbolag, avgränsat geografiskt område eller en specifik avdelning. De kan både ha uppgiften som heltidssyssla, eller som en tillikauppgift ifall de har en mer generell roll (som till exempel säkerhetssamordnare eller verksamhetsutvecklare).

It-säkerhetsansvarig (eller motsvarande)

CISO bör ha ett tätt samarbete med denna roll, som kan ses som en förlängd arm till organisationens it‑verksamhet. Rollen ska vara drivande, normerande, stödjande och kontrollerande gentemot den egna organisationens it-produktion, och även gentemot externa leverantörer.

Övriga säkerhetsroller

Andra säkerhetsområden innefattar i regel alltid aspekter av informationssäkerhet, som fysisk säkerhet, krishantering, riskhantering och kontinuitetshantering. Roller som arbetar med detta bör ha ett nära samarbete med CISO.

Jurister

Jurister och utsedda roller som till exempel dataskydds-eller personuppgiftsombud, som arbetar med att stödja organisationen i informationssäkerhetsrelaterade frågor som kan härledas från eller relateras till rättsliga krav.

Roller inom kvalitet och regelefterlevnad

Roller som på olika sätt arbetar med att upprätthålla och kontrollera verksamheters kvalitet och/eller regelefterlevnad; compliance officers, internrevisorer, kvalitetsledare med mera. Dessa stöter i regel på informationssäkerhetsfrågor.

Råd och forum för informationssäkerhet

För att kunna bedriva och samordna arbetet med informationssäkerhet så bör det finnas grupperingar som träffas regelbundet. Behovet av sådana är särskilt stort i större organisationer, eftersom det är många personer som arbetar med säkerhetsfrågorna. Dessutom kan såväl de organisatoriska som de geografiska avstånden vara större.

Råd och forum är en bra resurs för CISO, som i dessa kan få och ge regelbunden rådgivning, och dessutom utbyta erfarenheter och synpunkter från andra viktiga roller i organisationen. CISO-rollen bör vara ordförande och sammankallande för dessa råd.

En annan fördel är att ett formellt instiftat råd eller forum kan ge informations­säkerhetsfrågorna en ökad tyngd och legitimitet, exempelvis vid uttalanden, interna remisser och rådgivning till ledningen. Frågor rörande informations­säkerhet kan även ingå i råd och forum inom andra områden, som till exempel generell säkerhet, risk eller kvalitet.

Ni bör reglera rådets eller forumets syfte, deltagande roller, mötesfrekvens och så vidare i ett styrdokument som är beslutat.

Viktiga roller i råd eller forum för informationssäkerhet

Roller som kan ingå i ett råd eller forum för informationssäkerhet är:

  • Verksamhetsrepresentanter (till exempel för avdelningar, dotterbolag eller förvaltningar)
  • It-säkerhetschef (eller motsvarande)
  • Andra nyckelroller inom it
  • Närliggande stödfunktioner (till exempel säkerhet, kvalitet, juridik, risk, compliance)
  • Personuppgiftsombud eller dataskyddsombud

Aktiviteter för råd eller forum för informationssäkerhet

Några exempel på aktiviteter för dessa råd är:

  • principdiskussioner
  • erfarenhetsutbyte
  • omvärldsbevakning
  • insamling av behov och utmaningar från olika delar av organisationen
  • framtagning av dokument
  • föredrag och workshoppar med både interna och inbjudna externa talare.

Ni kan även behandla beslutande ärenden i rådet eller forumet, ifall dessa omfattas av CISO:s mandat. Övriga deltagare fungerar då som rådgivare och diskussionspartners inför ett beslut. Att samråd med deltagare i ett råd ska ske inför ett visst beslut kan med fördel även vara reglerat i CISO:s mandat.

Resultatet

Ni kan skriva in ansvarsområden, samordningen av informations­säkerhets­arbetet, roller samt råd och forum för informationssäkerhet i Verktyg Utforma Organisation.

Referens till standarder i 27000-serien:

  • SS-EN ISO/IEC 27001:2022: kap 5.3
  • SS-EN ISO/IEC 27002:2022: kap 5.2-5.6

Ledning och styrning

Den här vägledningen ger stöd till dig som CISO när det gäller att utforma en relation med din ledning. I vägledningen berörs hur du lär känna din ledning och hur ni tillsammans etablerar ett gott samarbete för att leda och styra informationssäkerhetsarbetet.

Ledningar som gör skillnad

Ledningens agerande, inte minst att fatta beslut, sätta frågorna på agendan och själv vara en förebild, legitimerar frågorna och har mycket stor betydelse för hur informationssäkerhetsarbetet kommer att utvecklas i organisationen. Att införa ett systematiskt informationssäkerhetsarbete är att leda ett förändringsarbete som påverkar organisationen på många sätt, och detta kräver ett samarbete och mellan ledning och CISO.

Fördelar med, och vad som kännetecknar en ledning som gör skillnad är att den:

  • Är lyssnande och nyfiken. Ledningen är villig att öka sin kunskap i området för att kunna fatta bra beslut (se avsnittet Ledningens behov av information och kunskap).
  • Utser en CISO och ger denne tydligt mandat och ansvar.
  • Förstår och beslutar en strategisk inriktning för informationssäkerhet. Ledningen förstår nyttan med informationssäkerhet och att den utifrån denna står bakom strategiska mål och tillvägagångssätt, som normalt uttrycks och publiceras i organisationens informationssäkerhetspolicy.
  • Tilldelar resurser till området. Resurser ska vara i paritet med målsättningar och ambitioner. Det kan vara initiala resurser och återkommande som i årliga handlingsplaner.
  • Är en förebild i organisationen. Ledningen agerar och gör uttalanden i enlighet med den strategiska inriktningen och för upp dessa frågor på agendor i olika sammanhang. Dessa är viktiga signalvärden som andra i organisationen anammar och tar efter och som legitimerar och sätter frågorna på agendan.
  • Vill hålla sig informerad och föra en kontinuerlig dialog med dig som CISO. Detta gäller både informell dialog och i mer formella former som enligt Ledningens genomgång.

Informationssäkerhetsarbetet är inte heller ett självändamål, utan syftar till att stötta organisationen i sin strävan att nå sina mål. För ledningen innebär det ett strategiskt och långsiktigt perspektiv och för dig som CISO innebär det att stötta och informera så att ledningen får rätt förutsättningar för det.

Hur ser ledningen ut?

I metodstödet refereras det generellt till organisationens ledning. Beroende på om organisationen är ett aktiebolag, en statlig myndighet en kommun eller något annat så skiljer sig organisationens ledning och styrning.

En organisations högsta beslutande organ är vanligtvis en styrelse (eller nämnd) som tar strategiska beslut och som utser organisationens högsta chef styr organisationen. Chefen kan beroende på organisation benämnas för exempelvis verkställande direktör (VD), generaldirektör (GD) eller kommundirektör (KD). Chefen leder i regel en ledningsgrupp som i sig är rådgivande till chefen som själv fattar besluten. En ledningsgrupp är ofta sammansatt av representanter för de huvudsakliga verksamheterna och kompetensområdena i organisationen. Med ”ledningen” avses i den här vägledningen en organisations högsta ledning som i regel utgörs av den högsta chefen som rapporterar till en styrelse och som har en rådgivande ledningsgrupp.

I till exempel koncerner och kommuner som utgörs av flera bolag eller nämnder kan ledningsstrukturen vara komplex, vilket ofta innebär att du som CISO, själv eller genom samordnare eller liknande, behöver möta flera olika ledningar i samma organisation. Här blir det extra viktigt att anpassa mötet till målgruppen så att ledningar på alla nivåer får relevant information och kunskap.

Ta reda på vem som utgör ledningen i din organisation och på vilka sätt organisationen styrs. De formella aspekterna, såsom mandat att fatta beslut, är i allmänhet lätta att ta reda på genom att läsa formella strategier, styrdokument och verksamhetsplaner och -budgetar, delegationsordningar med mera.

I alla organisationer finns också mer eller mindre informella aspekter av ledning och styrning. Vilka personer är tongivande i ledningsgruppen, vilka informella ledare finns i organisationen, och finns det outtalade prioriteringar och principer för hur saker ska ske i organisationen? Till skillnad från den formella styrningen är det i allmänhet svårare att identifiera den informella styrningen. Den går inte att läsa sig till, du behöver lära känna organisationen på djupet. Här handlar det mycket om att lära känna och lyssna till olika roller och känna in stämningar, till exempel då man har presentationer för ledningsgrupper eller styrelser, eller genom att höra med någon som är van vid att göra detta i organisationen.

Att stötta en ledning som gör skillnad

Det första och viktigaste steget är att ledningen får insikt i betydelsen av och nyttan med informationssäkerhet. Du som är nytillsatt CISO bör därför ha som en första prioritet att få tid hos ledningen för att diskutera dessa frågor, känna in var ledningen befinner sig och komma överens om hur informationssäkerhetsarbetet kan och bör bedrivas på ett lämpligt sätt i organisationen. Ett första möte kan handla om en dialog där ni berättar för varandra vad ni upplever som viktigt för organisationen, hur ni ser på informationssäkerhet och vad ni ser som ert gemensamma första steg. Det här hjälper er att tillsammans tydliggöra kopplingen mellan satsningar på informationssäkerhet och organisationens strategiska mål och visioner.

Ledningars kunskapsnivå och förståelse för informationssäkerhet varierar. Initialt kan du som CISO behöva ge ledningen en grundläggande information och kunskap om informationssäkerhet för att sedan kunna diskutera nyttan för den egna organisationen (se avsnitt nedan Ledningens behov av information och kunskap). CISO:s kommunikation med ledningen bör alltid anpassas till den egna ledningen och den egna organisationen (se sista avsnittet Kommunikation med ledningen).

Kopplingen till organisationens visioner, mål och strategier och vad som för närvarande är prioriterat är viktig. Informationssäkerhet har inget egenvärde, utan ska stödja och förbättra organisationens resultat, effektivitet, konkurrensförmåga, att efterleva rättsliga krav med mera. I många fall är en god informationssäkerhet en förutsättning för digitala tjänster och det finns ofta informationssäkerhetsaspekter i redan prioriterade områden i organisationen. Genom att koppla informationssäkerheten till organisationens strategiska, taktiska och operativa inriktning och verksamheter, så skapas en förståelse för dess nytta och betydelse för organisationen.

Ett annat sätt att öka medvetenheten är att illustrera vad bristande informationssäkerhet kan medföra. Spel, övningar och riskanalyser som görs i workshopform med ledningar som visar på möjliga konsekvenser för organisationen är ofta hjälpsamma. När en ledning får fundera på vad ett längre avbrott av ett kritiskt system innebär öppnar det ofta för konstruktiv dialog.

Information om inträffade incidenter vid rätt tidpunkt och i rätt sammanhang kan också hjälpa ledningen. Dessa är till skillnad från fiktiva scenarier och övningar reella och visar på faktiska brister och konsekvenser. Det kan också handla om incidenter som inträffat på andra håll i samhället, gärna i en liknande organisation som den egna där det ”lika gärna kunde drabba oss”.

Det är alltid viktigt, och ofta nödvändigt, att samverka med närliggande stödverksamheter. Kommunikation med ledningen kan också med fördel göras tillsammans med andra som har liknande eller överlappande intressen, exempelvis dataskyddsombud, risk manager eller kvalitetschef. Informationssäkerhet är inte, och ska inte ses som, ett enskilt separat spår i organisationen, utan i slutänden något som förbättrar och möjliggör dess kärnverksamheter. En stor fördel kan därför vara att samarbeta med en chef eller representant från en kritisk kärnverksamhet som står nära verksamhetsnyttan.

För att ledningen ska kunna fatta informerade beslut är det viktigt att den kontinuerligt informeras och ges möjlighet att följa och påverka arbetet. En viktig del av CISO:s uppdrag är därför att skapa arbetssätt som regelbundet involverar ledningen. För att detta ska fungera över tid behöver ledningens totala arbetsbelastning och förutsättningar i övrigt vägas in i arbetet. CISO:s förståelse för ledningens arbete är lika viktig som ledningens förståelse för informationssäkerhetsarbetet.

Under svåra förhållanden kan fokus riktas åt andra håll, trots att behovet av informationssäkerhet egentligen bara ökar. Under coronapandemin, då många fler medarbetare började arbeta på distans, ökade en mängd informationssäkerhetsrelaterade hot och sårbarheter. I sådana situationer blir det ömsesidiga förtroendet extra viktigt och du som CISO bör sträva efter att stötta ledningen i att fatta säkra beslut på kort tid.

Ge ledningen tillräcklig information och kunskap

Ledningen behöver självklart inte ha en djup och specialiserad kunskap om informationssäkerhet och informationssäkerhetsarbete. Ledningens behov av kunskap ligger generellt på en strategisk nivå, men liksom övriga medarbetare behöver ledningen också ha konkret och praktisk kunskap om säker it- och informationshantering och kunna efterleva gällande regelverk. Detta är extra viktigt eftersom ledningen vanligtvis hanterar känslig och kritisk information, men också för att de fungerar som förebilder i organisationen.

Nedan presenteras ett antal områden som är typiska för vad en organisations ledning behöver ha kunskap inom. Vikt och prioritet av de olika områdena kan variera mellan organisationer. Ledningar varierar i grad av kunskapsnivå och mognad och det är som alltid viktigt att man vid information och utbildning anpassar innehållet till den mottagande målgruppen – ta reda på vad just din ledning behöver.

När det gäller det löpande arbetet behövs alltid återkommande avstämningar med ledningen kring inriktning och resultat i informationssäkerhetsarbetet. Detta benämns i standarden ”ledningens genomgång”, läs mer om den i Följa upp och förbättra Ledningens genomgång.

Grundläggande informationssäkerhet

Grundläggande kunskaper om informationssäkerhet innefattar:

  • vad informationssäkerhet är, att det inte endast handlar om it utan om all information, att det omfattar aspekterna konfidentialitet, riktighet och tillgänglighet,
  • vad ett systematiskt informationssäkerhetsarbete innebär,
  • konkret och praktisk kunskap om att hantera information, datorer, internet och sociala medier, mobiler med mera och att känna till och efterleva gällande regelverk.

Nyttor med informationssäkerhet

Motiv för informationssäkerhet formuleras ofta som problem – som hot, sårbarheter, risker och incidenter. Problemen kan istället formuleras som nyttor, vilka syftar till att bidra till att organisationen kan nå sina mål. Nyttor kan exempelvis kategoriseras så här:

  • Efterlevnad av rättsliga krav
  • Möjliggörande av digitala tjänster
  • Minskade incidentkostnader
  • Kvalitet, effektivitet och ordning och reda
  • Förtroende och konkurrensförmåga

Den sistnämnda nyttan kan påverkas av de övriga nyttorna ovan som till exempel kan bidra till att organisationens varumärke och förtroende stärks. Vissa synliga satsningar på informationssäkerhet kan direkt verka förtroendehöjande, det kan handla om allt ifrån ett publicerat utdrag ur en informationssäkerhetsrevision till en implementerad säker betalningslösning,

Kunskap om organisationens informationssäkerhet

Ledningen behöver kontinuerligt uppdateras om hur tillståndet är gällande organisationens informationssäkerhet. Här är ett antal typiska områden som berör detta och som ledningen behöver hålla sig informerad om:

  • Informationstillgångar. Vilka är de mest kritiska och känsliga informationstillgångarna i organisationen?
  • Externa krav. Vilka lagkrav finns på organisationens informationssäkerhet? Vilka andra externa krav finns? Hur väl efterlever organisationen dessa?
  • Risker. Vilka är de högsta informationssäkerhetsriskerna? Vilka risker är specifika för vår organisation, och vilka delas med samhället i stort och vår bransch/sektor?
  • Skyddsnivå. Hur ser organisationens skyddsnivå ut? Är den tillräcklig eller finns allvarliga brister och sårbarheter? Har gapanalyser genomförts gentemot etablerade ramverk eller standarder som exempelvis ISO/IEC 27000?
  • Incidenter. Har allvarliga incidenter inträffat, eller återkommer vissa incidenter ofta? Har incidenter inträffat hos samarbetspartners som till exempel it-leverantörer? Hur har incidenterna hanterats?
  • Revisioner. Har informationssäkerhetsrelaterade revisioner genomförts? Vilka resultat har dessa gett, positivt och negativt?
  • Säkerhetsmedvetenhet. Hur är medvetenheten om informationssäkerhet och risker med digitalisering och it-användning i organisationen? Hos medarbetare eller chefer generellt, inom särskilt viktiga funktioner såsom it-funktionen?
  • Informationssäkerhetsarbetet. Hur arbetar man idag med informationssäkerhet i organisationen? Hur planerar och arbetar CISO för att organisationen ska arbeta mot ett systematiskt informationssäkerhetsarbete?

Svaren på dessa frågor är hela tiden i rörelse, och är färskvaror. Det är mycket upp till dig som CISO att ha koll på dessa tillstånd och att löpande informera ledningen (se nedan Kommunikation med ledningen).

Dialog med ledningen

Dialogen med ledningen bör ske på ett formellt och planerat sätt, men även i viss utsträckning på ett informellt och oplanerat plan. Det är viktigt att en öppen och ärlig relation med ledningen så att du som CISO inte drar dig för att spontant kontakta ledningen, vilket ibland kan vara mycket viktigt. Genom en löpande kontakt finns goda förutsättningar att upprätthålla relationen med ledningen.

Initialt, eller om det inte gjorts tidigare, bör du som CISO se till att ledningen och du själv har en gemensam strategisk målbild för organisationens informationssäkerhet. Det är viktigt att ni har samma bild av vart ni vill komma och vilken ambitionsnivå arbetet ska ha.

När ni har kommit överens om de strategiska målen kan ni diskutera vägen dit. Här är det viktigt att involvera de delar av organisationen som påverkas av dessa beslut. Det här handlar om till exempel årsvisa delmål och principiella tillvägagångssätt (såsom vilka roller och ansvar som ska finnas, om vissa ramverk och standarder ska tillämpas med mera). Som stöd i detta arbete kan metodstödets vägledning och verktyg för målgrafer användas (se Utforma Informationssäkerhetsmål). Det kan underlätta att modellera mål i visuell form, där det tydliggörs hur mål hänger ihop och hur de ska nås över kort och lång sikt.

De strategiska målen och de principiella arbetssätten formuleras sedan lämpligen i organisationens informationssäkerhetspolicy (se Utforma Styrdokument). Om mål och strategiska tillvägagångssätt och principer beslutas, publiceras och kommuniceras inom och utanför organisationen, så synliggörs dessa och det skapas bättre förutsättningar att nå målen och följa arbetssätten.

Läs mer om den löpande formella kommunikationen med ledningen i Följa upp och förbättra Ledningens genomgång.

Framtagning av information till ledningen

Framtagning av information till ledningen kan göras i samband med formella möten som ledningens genomgång, eller vid spontana möten och förfrågningar från ledningen. Mycket av den information och kunskap som ledningen bör vara intresserad av är de kunskapstyper som tagits upp i avsnittet Ledningens behov av information och kunskap ovan.

Mycket underlag kan hämtas från resultaten av de fyra typerna av analyser i metodstödets Identifiera och analysera Verksamhetsanalys, Omvärldsanalys, Riskanalys och Gapanalys. Andra källor till förändringar i organisationens förhållanden och förutsättningar kan vara resultat från revisioner, intern kontroll, mätningar, incidentrapporter, genomförda informationsklassningar och riskanalyser med mera.

Förändringar bevakas kontinuerligt av dig som CISO, du noterar dem och vidtar åtgärder vid behov. Du behöver löpande hålla ledningen underrättad om händelser och avvikelser som påverkar organisationens situation och förutsättningar, exempelvis nya lagförslag, förändrad riskbild eller inträffade incidenter. Resultat ska inte dyka upp som överraskningar vid ett planerat möte i slutet av en period.

Du som CISO vill alltid kunna svara på hur det står till med informationssäkerheten. Att organisationen ännu har obesvarade frågor står inte i vägen för det, sikta på att kunna svara på det ni som organisation vet – och vad ni ännu inte vet. Ett tips är att använda de enkla verktygen i metodstödet (se Verktygslådan under varje metodsteg) som grund för att ha en uppdaterad dokumentation över utvecklingen.

Presentationer för ledningen

Tiden för presentationer för ledningen är ofta mycket kort och ledningen befinner sig mitt i en strid ström av frågor som den på kort tid måste sätta sig in och ta ställning till eller besluta om. Det är därför en utmaning att få presentationen eller mötet effektivt och givande för alla. Här är några generella tips för presentationer för ledningar som kan användas vid ledningens genomgång (se Följa upp och förbättra Ledningens genomgång) eller i andra sammanhang:

  • Förbered och planera noga. Tiden är som sagt ofta begränsad, och det gäller därför att förbereda presentationen noga och gärna öva i förväg. Viktigt är att lämna utrymme för frågor och diskussioner och att vara beredd på att ledningen kan vilja fördjupa en eller ett par frågor. Ta också hänsyn till mötesformen, storlek på bildskärm med mera så att presentationen syns och hörs ordentligt av samtliga.
  • Anpassa efter målgruppen. Försök att ”tala ledningens språk”. Möt ledningen på dess kunskapsnivå och undvik tekniska termer och fördjupningar. Fokusera på verksamhetsnytta och använd begrepp som används i organisationen.
  • Fokusera. I vissa fall är uppdraget att ge en allmän presentation om informationssäkerhet. Ibland kan det dock vara en fördel att fokusera på vissa delar av informationssäkerhet, eller att hänga upp presentationen på en särskild händelse som en incident eller en ny lagstiftning.
  • Välj lämpligt format. Använd kända format och strukturer som är brukliga i organisationen som till exempel Powerpoint- eller Word-mallar. Avgör också om det endast ska vara en muntlig presentation med stöd av Powerpoint eller om den även ska kompletteras med en skriftlig rapport.
  • Stäm av med ledningen innan. Ovanstående punkter bör om möjligt stämmas av med någon i ledningen så att presentationen motsvarar förväntningarna. Efterhand lär du dig hur ledningen vill ha information presenterad.
  • Förstå och håll tider! Ha också en reservplan redo om den tid du fått kortas ned på grund av förseningar eller dylikt.
  • Var tydlig och ärlig. Skönmåla inte, även om det kan kännas enkelt att säga det du tror att ledningen vill höra. Tveka inte att tydligt beskriva risker och brister om det verkligen behövs.
  • Redovisa oklarheter. Osäkerheter finns runt det mesta inom området, exempelvis rörande risker, kostnader, tidsuppskattningar. Var noga med att redovisa osäkerheter istället för att gissa och ge illusionen av att uppskattningar är mer säkra än de är.
  • Använd om möjligt alternativa presentationsformer. Om det finns tid, använd gärna presentationsformer som är illustrativa och som aktiverar och engagerar åhörarna. Det kan till exempel vara spel, övningar och scenarier som visar på konsekvenser för verksamheter, till exempel allvarliga och långvariga it-avbrott.

I avsnittet Att stötta en ledning som gör skillnad ovan tas fördelar upp med att samverka med andra relevanta roller i organisationen. Det kan innebära fördelar att göra det även vid specifika presentationer för ledningen, för att visa på gemensamma problem och behov och/eller att betona verksamhetsnyttan. Dessutom kan det vara både enklare och effektivare att få till ett möte där ni diskuterar gemensamt istället för två eller flera separata möten.

Denna vägledning ska språkgranskas.

Informationssäkerhetsmål

Det huvudsakliga syftet med att utforma informationssäkerhetsmål är att skapa en enighet internt avseende vilken nivå på informationssäkerhet som ni som organisation ska sträva mot. Denna vägledning kan hjälpa er att formulera och strukturera alla informations­säkerhets­relaterade mål – både kortsiktiga och långsiktiga.

Vanliga svenska titlar på den som samordnar informationssäkerhetsarbetet är informationssäkerhetssamordnare, informationssäkerhetsstrateg eller informationssäkerhets­koordinator. I MSB:s metodstöd för systematiskt informationssäkerhetsarbete har vi kallat den person som är ansvarig för samordningen av informations­säkerheten för CISO, en förkortning efter den engelska titeln chief information security officer. Vi har valt att använda CISO eftersom det är kort, koncist och gör texten lättare att läsa.

Tydliga mål underlättar för CISO

Att skapa tydliga informationssäkerhetsmål underlättar för den som är CISO. Målen är grundläggande för att ni internt ska kunna förstå, prioritera och genomföra sådana aktiviteter som leder till ett systematiskt och förbättrat informationssäkerhetsarbete.

Informationssäkerhetsmålen delas in i två typer: strategiska mål och kortsiktiga mål. De strategiska målen kan ni föra in i organisationens informationssäkerhetspolicy (se Utforma Styrdokument), medan de kortsiktiga målen ska föras in i er (vanligen årliga) handlingsplan (se Utforma Handlingsplan).

Vissa av målen, främst de strategiska, kan ni med fördel dela med era externa intressenter.

Analyserna är informationssäkerhetsmålens ingångsvärden

Resultaten från de analyser som ni har gjort i analysfasen är ingångsvärdena till de informationssäkerhetsmål ni tar fram.

Särskilt viktiga analyser är:

  • Riskanalysen (se Analys Risk).
  • Gap-analysen (se Analys gap) – eftersom denna konkret uttrycker vilka brister som finns, det vill säga gapet mellan era behov och nuläget.

Andra viktiga ingångsvärden för er organisation är befintliga mål och visioner som har bäring på informationssäkerhet, till exempel rörande annan säkerhet, kvalitet och it eller digitalisering.

Ta hänsyn till andra strategier, visioner och planer

Såväl era strategiska som kortsiktiga informationssäkerhetsmål bör harmonisera med sättet som ni vanligtvis arbetar med mål i er organisation – exempelvis genom strategier och årliga verksamhetsplaner.

Det är också viktigt att beakta era nationella och bransch- eller sektorspecifika visioner, strategier, mål och handlingsplaner. 

Informationssäkerhetsmål på lång sikt (3–5 år)

Strategiska informationssäkerhetsmål är långsiktiga mål, som ska uttrycka era interna mål och er viljeinriktning med den interna informationssäkerheten på lite längre sikt (inom cirka 3–5 år). De strategiska målen har ett viktigt symbolvärde, och visar i vilken riktning ni ska sträva.

De strategiska målen behöver inte vara mätbara, utan kan vara övergripande eller visionära. Givetvis kan de lika gärna vara både konkreta och mätbara, för så länge de är långsiktiga så är de strategiska. Exempel: ”Vår organisation ska vid (en viss tidpunkt) vara certifierad mot ISO-standarden SS-EN ISO/IEC 27001”.

Effektmål och resultatmål är strategiska mål

Det finns två sorters strategiska mål – effektmål och resultatmål:

  • Effektmål: Anger vilken effekt ni eftersträvar på lång sikt genom ert informations­säkerhets­arbete. Dessa mål handlar om hur ni ska stödja och förbättra organisationen – ni kanske vill ha högre kvalitet, en stabilare produktion, efterleva rättsliga krav, få tryggare medarbetare eller ökat förtroende från kunder och så vidare. Exempel: ”Vårt mål är att stödja eller främja verksamheter i organisationen”.
  • Resultatmål: Anger vilka resultat ni eftersträvar på lång sikt genom ert informations­säkerhets­arbete. Dessa mål handlar mer övergripande om hur ni som organisation långsiktigt ska arbeta med informationssäkerhet. Exempel: ”Vårt mål är att arbeta på ett systematiskt sätt, utifrån en viss standard eller med informationsklassning”.

Dokumentation av strategiska mål

De strategiska målen kan ni föra in i den informationssäkerhetspolicy som ledningen kommer att besluta (se Utforma Styrdokument). På detta sätt behöver ingen dokumentera eller fatta beslut om era strategiska mål separat.

Givetvis kan ni även sammanfatta era strategiska mål i fler dokument än informations­säkerhetspolicyn, till exempel i era övergripande säkerhetspolicyer eller strategier för it och digitalisering. Det är till och med fördelaktigt att målen för informationssäkerhet finns med som en naturlig del av flera olika strategiska dokument, så länge att alla strategiska mål i dokumenten harmoniserar med varandra. Det är av stor vikt att era interna mål inte motsäger eller står i konflikt med varandra, och detta bör du som CISO bevaka ur perspektivet informationssäkerhet.

Kommunikation av strategiska mål

Var noga med att sprida de strategiska målen internt och till era externa intressenter. Överväg även om det finns fördelar med att även sprida dem till allmänheten (till exempel via er externa webbplats).

Ibland kan man dock behöva hålla vissa strategiska mål konfidentiella. Exempel: Om ni vill hemlighålla ett certifieringsmål av konkurrensskäl, så ska ni undvika att ta med detta i några offentliga dokument. Informationssäkerhetspolicyn bör alltid kunna vara åtkomlig för allmänheten. För att säkerställa att ni når ut till de som berörs av era strategiska mål bör ni ta stöd av er kommunikationsavdelning eller motsvarande.

Undvik behovet av uppdatering av strategiska mål

Formulera era strategiska mål så att de får en giltighet på cirka 3–5 år. Ni ska med andra ord inte behöva omformulera era mål på grund av några enskilda, ibland oförutsedda, händelser.

Informationssäkerhetsmål på kort sikt (1–2 år)

Kortsiktiga informationssäkerhetsmål är mål som direkt eller indirekt uttrycker hur ni som organisation på cirka 1–2 år, ska arbeta för att uppnå era långsiktiga strategiska mål. De kortsiktiga målen ska vara konkreta och ha en tydlig koppling till de analyser som ni har gjort. Exempel: Hur ska ni eliminera eller reducera de risker och brister som ni kartlagt i gap-analysen, eller hur ska ni efterleva specifika rättsliga krav?

Ni kan formulera era kortsiktiga mål genom att uttrycka vilka specifika säkerhetsåtgärder som ska finnas på plats, att de ska fungera på ett visst sätt, eller att de ska användas av en angiven mängd användare (t.ex. i procent).

Ett kortsiktigt mål kan antingen omfatta en specifik säkerhetsåtgärd, en utvald del av en specifik säkerhetsåtgärd eller ett flertal olika säkerhetsåtgärder. De kortsiktiga målen kan även vara likställda med åtgärdsmålen i ISO-standarder som SS-EN ISO/IEC 27001 (bilaga A) och SS-EN ISO/IEC 27002.

Kortsiktiga mål enligt modellen Smart

Eftersom kortsiktiga mål är konkreta, så går det vanligtvis att utforma dem enligt vedertagna krav. Smart är ett exempel på en vanlig modell för just målformulering.

Smart står för:

  • Specifikt: Det ska vara tydligt vad målet är.
  • Mätbart: Det ska vara tydligt hur målet ska mätas.
  • Accepterat: Av den som har ansvar för att uppfylla målet.
  • Realistiskt: Målet ska vara möjligt att uppnå.
  • Tidsatt: Det ska vara tydligt när målet ska vara uppfyllt.

Med andra ord ska era mål och aktiviteter vara så pass konkreta att ni kan bedöma om de uppfyllts eller inte efter den angivna tidsperioden – detta gör nämligen målen mätbara.

Årliga mål i handlingsplanen

För att uppnå era kortsiktiga mål så behöver ni omsätta dem i konkreta aktiviteter. Detta gör ni i en handlingsplan. I planen ska det synas vilka aktiviteter som kopplas till vilka mål. (se Utforma Handlingsplan). De mål som ni väljer att ta med i er handlingsplan kallas då för årliga mål.

Ni fattar således viktiga beslut om era årliga mål i samband med att ni skapar en handlingsplan. Detta ger er i sin tur ett underlag som gör det möjligt att se vilka kortsiktiga mål ni ska prioritera, och vilka mål ni ska försöka uppnå under nästkommande år genom olika aktiviteter.

Visuella målgrafer – för strukturering av kortsiktiga mål

De kortsiktiga informationssäkerhetsmål som ni vill uppnå inom cirka 1–2 år ska antingen direkt eller indirekt vara delmål till de långsiktiga strategiska mål som ni vill uppnå inom 3–5 år.

Det kan alltså förekomma beroenden mellan såväl kortsiktiga som strategiska mål, ibland kan ni behöva uppnå ett flertal kortsiktiga mål för att uppnå ett långsiktigt, och vice versa. Detta faktum kan ibland leda till komplexa förhållanden och så kallade målhierarkier, vilket kan göra det svårt att få överblick. Exempel: Vilka kortsiktiga mål måste ni uppnå för att kunna uppfylla ett långsiktigt mål?

Ett smidigt sätt att strukturera era interna mål är att skapa visuella målgrafer som tydliggör dessa samband. I Verktyg Utforma Målgraf finns det stöd för att göra målgrafer och exempel på hur sådana kan se ut.

En strukturering av organisationens mål kan hjälpa er att prioritera vilka aktiviteter som ni ska genomföra i nästkommande handlingsplan, eftersom ni genom att visualisera beroenden och dylikt gör det lättare att se vad ni behöver göra först.

Struktureringen av mål är viktig vid beslutsfattande

Om ni är noga med att strukturera era mål i målgrafer så kommer ni att se ett samband, eller ”en röd tråd”, mellan era övergripande strategiska mål och de enskilda aktiviteter som ni har beskrivit i handlingsplanen.

Därmed kan det vara effektivt att visa era målgrafer för era beslutsfattare, till exempel inför beslutandet av en kommande handlingsplan eller i samband med ledningens genomgång. Särskilt viktigt är det att visa ledningen att vissa aktiviteter på kort sikt är nödvändiga för att uppnå strategiska mål på lång sikt – inte minst genom att de finns uttryckta i er informations­säkerhets­policy.

Att skapa visuella målgrafer ska ni dock inte se som en nödvändighet – utan snarare som ett möjligt stöd eller verktyg i det fortlöpande arbetet att formulera och strukturera era informations­säkerhets­mål.

Måluppföljning av årliga mål i handlingsplanen

Gör årligen en måluppföljning, förslagsvis i samband med uppföljningen av den årliga handlingsplanen (se Utforma handlingsplan).

Eftersom de strategiska målen är beslutade av organisationens ledning, så behöver de få återkoppling – särskilt kring hur det interna arbetet med att nå målen fortgår. Ett lämpligt tillfälle för att lägga fram en sådan återkoppling är vid ledningens genomgång.

Strategiska mål är som sagt inte alltid mätbara, men för att kunna påvisa er progression mot de strategiska målen så kan ni använda en målgraf. Målgrafen visar tydligt ifall ni har lyckats uppnå de kortsiktiga mål som på lång sikt kommer att leda mot era strategiska mål.

Sammanfatta resultaten i strategiska dokument

För in och strukturera era:

  • strategiska mål i informationssäkerhetspolicyn (se Utforma Styrdokument).
  • årliga mål i handlingsplanen (se Utforma Handlingsplan).
  • informationssäkerhetsmål i en målgraf (se Verktyg Utforma målgraf).

Referens till standarder i 27000-serien:

  • SS-EN ISO/IEC 27001:2022, avsnitt 6.2

Styrdokument

Denna vägledning handlar om att skapa styrdokument för informationssäkerhet. Styrdokument är beslutade dokument som reglerar organisationens informationssäkerhetsrelaterade aktiviteter.

Vanliga svenska titlar på den som samordnar informationssäkerhetsarbetet är informationssäkerhetssamordnare, informationssäkerhetsstrateg eller informationssäkerhets­koordinator. I MSB:s metodstöd för systematiskt informationssäkerhetsarbete har vi kallat den person som är ansvarig för samordningen av informations­säkerheten för CISO, en förkortning efter den engelska titeln chief information security officer. Vi har valt att använda CISO eftersom det är kort, koncist och gör texten lättare att läsa.

Styrdokument på olika nivåer

Beslutade styrdokument reglerar informationssäkerhetsrelaterade aktiviteter i en organisation. Styrdokumenten kan exempelvis ange vilka aktiviteter som ni behöver bedriva, samt var, hur, när, och av vem de ska bedrivas. Dokumenten kan även sammanställa vilka krav som är obligatoriska (så kallade ”ska-krav”) och vilka som är rekommenderande (så kallade ”bör-krav”). 

Styrdokument för informationssäkerhet reglerar området på olika nivåer: från ledningens övergripande viljeinriktning i en informationssäkerhetspolicy, via organisationens övergripande regelverk, till mer detaljerade instruktioner som rör specifika säkerhetsåtgärder (till exempel fysisk åtkomst till en viss lokal, eller hantering av en viss brandvägg). Styrdokumenten kan direkt eller indirekt kopplas till de säkerhetsåtgärder som ni har valt för organisationen.

Att skapa och kommunicera styrdokument för informationssäkerhet är en av de viktigaste arbetsuppgifterna för den som är CISO – eftersom man i dessa dokument beskriver hur informationssäkerheten ska se ut och bedrivas i organisationen.

Analyserna är styrdokumentens ingångsvärden

Resultaten från de analyser som ni har gjort i analysfasen är ingångsvärdena till era styrdokument.

Särskilt viktiga analyser är:

  • Identifiera och analysera Verksamhet.
  • Identifiera och analysera Omvärld, del Rättsanalys – exempelvis dataskyddsförordningen som ställer krav på vissa styrdokument.
  • Identifiera och analysera gap – med de säkerhetsåtgärder som organisationen valt.
  • Resultatet från Utforma informationssäkerhetsmål – eftersom de strategiska målen ska finnas med i informationssäkerhetspolicyn.

Ett annat viktigt ingångsvärde är organisationens befintliga styrdokument samt regelverk eller praxis för att utforma styrdokument.

Vid utformningen av styrdokument är det även viktigt att känna till och ta hänsyn till relevanta nationella och/eller bransch- och sektorspecifika regler och rekommendationer som rör informationssäkerhet och närliggande områden.

Styrdokumentens avsändare och målgrupp

Ett styrdokument har alltid en avsändare (även kallat beslutfattare) och en definierad målgrupp som tydligt uttrycker vem/vilka styrdokumentet gäller för.

Styrdokument kan ha olika detaljeringsgrad – de kan därmed antingen vara övergripande och visionära, eller konkreta och detaljerade. De kan både innehålla bindande ska-krav, och/eller vägledande och rekommenderande bör-krav.

Styrdokumentens ansvariga utgivare

Det är som regel en juridisk organisation som beslutar och ger ut styrdokument, som till exempel ett bolag, en myndighet eller en förening. Styrdokumenten kan dock delas av flera juridiska parter, som exempelvis av flera bolag i en koncern, eller av ett flertal nämnder i en kommun.

Styrdokument kan också ges ut gemensamt mellan ett flertal organisationer, till exempel i en viss bransch eller sektor – men då måste det finnas formella beslut hos varje enskild juridisk organisation.

Efterlevnad av styrdokument bör bevakas och följas upp. För vägledning kring detta se Använda Genomförande och efterlevnad samt Följa upp och förbättra.

Viktigt för ett lyckat informationssäkerhetsarbete

Styrdokumenten är en av de viktigaste hörnstenarna i ett lyckat informations­säkerhets­arbete. I styrdokumenten kan ni ange vad ni ska genomföra och bedriva – och hur det ska gå till.

Med styrdokument kan den som är CISO bygga upp en legitimitet, för såväl sin egen roll som för informations­säkerhets­arbetet. Vid ett eventuellt hinder, som exempelvis bristande agerande från olika roller i organisationen (t. ex. en chef som inte tar sitt ansvar) eller vid liknande konflikter, så är det givetvis en fördel om det finns beslutade styrdokument att hänvisa till.

Förväxla inte styrdokument med annan dokumentation

Observera att styrdokument inte är samma sak som dokumentation av annat slag. Var därför noga så att ni inte blandar ihop styrdokument med dokumentationen av ert informationssäkerhetsarbete. En dokumentation av vilka intressenter som en organisation har, eller dokumentation från en riskanalys är således inte ett styrdokument.

Medan en handlingsplan avser att hantera och åtgärda bristerna i er informationssäkerhet, (se Utforma Handlingsplan), så ska era styrdokument reglera vilka säkerhetsåtgärder ni ska ha, oavsett om de är införda redan eller inte. (se Identifiera och analysera gap).

Olika benämningar på styrdokument

En organisation har som regel en beslutad struktur för styrdokument. Strukturen inkluderar vanligtvis olika typer av och benämningar på styrdokument som får finnas, samt regler för vad som ska ingå i en viss typ av styrdokument och vilka roller som kan fatta beslut om vilka styrdokument. Ofta finns detta reglerat i ett övergripande ”styrdokument för styrdokument”.

Några vanliga benämningar på, och ibland synonymer till, styrdokument är:

  • policy
  • riktlinjer
  • anvisningar
  • instruktioner

Dessa benämningar kan ibland bilda en hierarki, där innebörden av de olika typerna inom en viss organisation skiljer sig åt vad gäller beslutsnivåer, omfattning, ska- och bör-krav med mera.

Om det inte finns en beslutad struktur i organisationen så finns det antagligen en informell praxis för utformning av styrdokument. Oavsett bör styrdokumenten för informationssäkerhet följa den struktur för styrdokument som gäller i just er organisation. Observera att ordet ”policy” förekommer i vissa regelverk, om den benämningen inte förekommer (eller förekommer på en annan nivå än relevanta regelverk avser) i er organisation blir det viktigt att säkerställa att det är tydligt vilket styrdokument som motsvarar regelkravet.

Vägledningens terminologi för styrdokumentens nivåer

Denna vägledning använder nedanstående benämningar för styrdokumentens olika nivåer. Ta fasta på innebörden av innehållet i det styrdokument som ska utformas utifrån vägledningen och benämn det enligt den struktur för styrdokument som gäller i just er organisation:

  • Informationssäkerhetspolicy: Avser ledningens viljeinriktning med informationssäkerhet.
  • Riktlinjer: Avser organisationsövergripande regler och rekommendationer, och kan innehålla både ska- och bör-krav.
  • Instruktioner: Avser vilka regler och rekommendationer som är specifika för en viss verksamhet, teknisk plattform eller situation. Kan även vara en fördjupning av en specifik riktlinje. Kan innehålla både ska- och bör-krav.

Informationssäkerhetspolicy – det mest centrala dokumentet

En informations­säkerhetspolicy beslutas av ledningen (VD, GD, eller styrelse) och avser ledningens viljeinriktning med informations­säkerheten. Allt informationssäkerhetsarbete i en organisation ska utgå ifrån en informations­säkerhets­policy, vilket gör den till det mest centrala dokumentet för informationssäkerhet.

Informationssäkerhetspolicyn ska rikta sig till alla funktioner och medarbetare i organisationen, och även ofta externt. Det bör med andra ord vara öppen information som kan publiceras såväl internt som externt, till exempel på både intranät och extern webbplats. En informations­säkerhets­policy ska vända sig till hela organisationen, och kan (bör) därför vara gemensam för en koncern med flera dotterbolag, eller för en kommun med flera nämnder.

Utforma informationssäkerhetspolicyn

En informationssäkerhetspolicy är ett strategiskt dokument med en livslängd på cirka 3–5 år. Den måste därmed vara någorlunda stabil över tid, och bör inte behöva uppdateras varje år. Samtidigt är det ett dokument inom ett mycket föränderligt område, så det kan vara en utmaning att hitta rätt balans när man formulerar innehållet.

Som dokument ska informationssäkerhetspolicyn vara relativt kortfattad, ungefär 1–5 sidor lång. Därmed måste den innehålla en kärnfull, konkret och inte allt för utsvävande text. Vidare ska policyn vara anpassad efter just er organisation – inte bara innehålla allmänna uttryck som är hämtade från mallar eller andra organisationer. Ha i åtanke att alla i organisationen ska kunna läsa och förstå innehållet, vilket ställer höga krav på ordval och formuleringar.

Informationssäkerhetspolicyn bör (i enlighet med ISO-standarden SS-EN ISO/IEC 27002) innehålla följande:

  • Definition av informationssäkerhet.
  • Strategiska mål med informationssäkerhet (se Utforma Informationssäkerhetsmål).
  • Principer för informationssäkerhetsarbetet.
  • Ansvar och roller för informationssäkerhetsarbetet (se Utforma Organisation).
  • Hantering av avvikelser och undantag.

Förankra informationssäkerhetspolicyn

Det är mycket viktigt att ni förankrar informationssäkerhetspolicyn – särskilt i ledningen – så att ni som organisation verkligen kan stå för innehållet. Representanter från organisationens olika delar bör därför medverka vid (eller åtminstone ha insyn i) framtagningen så att alla känner en delaktighet från början, inte minst personerna som sitter i ledningsgruppen.

Informationssäkerhetspolicyn kan vara en del av en generell säkerhetspolicy. Däremot får den inte enbart vara en del av en it-policy, digitaliseringsstrategi eller liknande. Detta hindrar förstås inte att delar av informationssäkerhetspolicy även finns med i sådana dokument.

Eventuella terminologiproblem med ordet ”policy”

Själva termen informationssäkerhetspolicy är väl etablerad, och finns till exempel med i ISO-standarderna SS-EN ISO/IEC 27001 och SS-EN ISO/IEC 27002.

Så även om ordledet ”policy” (i informationssäkerhetspolicy) bryter mot er övriga struktur av styrdokument så kan det löna sig att försöka göra ett undantag, eftersom begreppet är så pass vedertaget.

Om ni inte kan göra ett undantag i det här fallet så får ni givetvis döpa dokumentet till något annat som fungerar för er, förslagsvis informationssäkerhets­­strategi, informations­säkerhets­program eller liknande.

Underliggande styrdokument: riktlinjer och instruktioner

Underliggande regelverk, eller styrdokument specificerar den övergripande informationssäkerhetspolicyn.

Denna vägledning särskiljer två sorters underliggande styrdokument:

  • Riktlinjer – är organisationsövergripande. Exempel: Interna krav på längd och utformning av ett lösenord.
  • Instruktioner – är begränsade till en specifik teknisk plattform eller lokala förhållanden. Kan även innebära en fördjupning eller ökad detaljeringsgrad av riktlinjer.

Utforma riktlinjer och instruktioner

När ni utformar en regel eller en rekommendation så kan det öka förståelsen och acceptansen av denna om ni förklarar varför just detta är viktigt. Det behöver också framgå tydligt vad som är krav och vad som är information, i synnerhet när det gäller obligatoriska krav (så kallade ”ska-krav”). Det går att strukturera styrdokumenten på ett sätt som tydliggör detta, exempelvis genom att visualisera riktlinjernas krav i tabellform.

När ni utformar en instruktion så är det bra att se till så att benämningarna på instruktionen i fråga inte motsäger några övergripande riktlinjer.

Två saker är särskilt viktiga att tänka på när ni utformar riktlinjer och instruktioner för informationssäkerhet:

1. Ta avstamp i utvalda säkerhetsåtgärder

Riktlinjer och instruktioner måste ta avstamp i samtliga säkerhetsåtgärder som er organisation har valt ut. Trots att en viss säkerhetsåtgärd redan existerar och är fullt fungerande idag, så kan man råka ”glida” ifrån den om det inte finns krav eller regler som fastslår att det ska fungera på ett visst sätt. Om en nyligen vald säkerhetsåtgärd inte ännu är införd eller fungerar som den ska, så bör även detta regleras genom riktlinjer eller instruktioner. Man kan även styra det med villkor, som att man innan en säkerhetsåtgärd är på plats får agera på ett temporärt sätt, eller med ett dispensförfarande.

I viss mån ska därmed riktlinjer och instruktioner, på samma sätt som en informations­säkerhets­policy, ge uttryck för mål och ambitioner för ett önskat tillstånd – snarare än att vara en beskrivning av nuläget. På så sätt kan dessa styrdokument fungera som en drivkraft för ett förändrat beteende hos olika aktörer i organisationen, och även gentemot externa leverantörer. Det gäller att hitta rätt balans här – roller i organisationen får inte känna att det är omöjligt att efterleva styrdokumenten.

Se till att samtliga säkerhetsåtgärder som ni valt ut i er gap-analys kommer med, får täckning samt kopplas till lämplig målgrupp (se Identifiera och analysera gap).

2. Målgruppsanpassa riktlinjer och instruktioner

Ni bör anpassa era riktlinjer och instruktioner till olika målgrupper, även om de är organisationsövergripande. Genom att anpassa riktlinjerna eller instruktionerna efter målgruppen så ökar chanserna för att alla förstår innehållet.

Det ska tydligt framgå i styrdokumentet vem den primära målgruppen är, det vill säga vilka roller eller grupper som dokumentet riktar sig till och vilka som förväntas efterleva dess regler och rekommendationer. Exempel på olika målgrupper:

  • Alla medarbetare
  • Objektägare (informationsägare, systemägare)
  • It-verksamhet
  • CISO eller informationssäkerhetsorganisationen.

Det är lämpligt att samla alla regler som gäller för en viss målgrupp i ett och samma styrdokument, eller ett och samma kapitel i ett styrdokument. Det går såklart att skapa flera dokument som riktar sig till olika mottagare, eller samlingsdokument med flera avsnitt eller kapitel som riktar sig till olika målgrupper. Det viktigaste är att ni är explicita – ha som mål att en medarbetare aldrig ska behöva leta efter en viss regel i flera dokument eller på flera olika ställen i ett allt för omfattande dokument.

Som stöd vid framtagning av styrdokumenten, eller för att koppla ett styrdokument mot en viss säkerhetsåtgärd eller målgrupp, kan ni använda Verktyg Utforma Styrdokument.

Förankra riktlinjer och instruktioner

På samma sätt som vid framtagningen av informationssäkerhetspolicyn är det viktigt att riktlinjer och instruktioner förankras hos alla som ska efterleva dessa. Representanter från samtliga målgrupper bör därför medverka vid framtagningen, eller åtminstone få en chans att tycka till genom exempelvis remisser internt.

Beslut kring riktlinjer som ska gälla för hela er organisationen bör fattas av ledningen, medan specifika instruktioner kan beslutas av chefer vars verksamhet de kommer att gälla, till exempel verksamhetschefer, objektägare eller processägare. Översikt: innehållet i riktlinjer och instruktioner

Tabell U3:1: Exempel på vad riktlinjer och instruktioner i stort kan innefatta för respektive målgrupp. 

Målgrupp

Exempel på innehåll i riktlinjer och instruktioner

Alla medarbetare

Riktlinjer: Allmänna regler och rekommendationer som rör hantering av information och it, så som användning av internet, e-post och sociala medier, bärbara datorer, låsa datorn, pappershantering på kontoret, beteende vid resor och i offentliga miljöer med mera.

Instruktioner: Regler och rekommendationer för specifika situationer, lokala verksamheter och roller i organisationen, användare av specifika system och så vidare. Instruktionerna kan beslutas av chef för lokal verksamhet, plattform, objektägare och dylikt.

Objektägare (informationsägare, systemägare)

Riktlinjer: Regler och rekommendationer för informations- och system­klassning, behörighetshantering, ändringshantering, användar­instruktioner, riskanalyser, incidenthantering och kontinuitets­hantering.

Instruktioner: Eventuell reglering av specifika objekt (enligt riktlinjerna ovan ska objektägare utfärda instruktioner för användare av objektet.

It-verksamhet

Riktlinjer: Reglering av de it-relaterade säkerhetsåtgärderna rörande exempelvis styrning av åtkomst, kryptering, driftsäkerhet och kommunikationssäkerhet. Regleringar kan relatera till, eller baseras på ramverk för it-säkerhet så som CIS Critical Security Controls.

Instruktioner: Exempelvis reglering av specifika it-processer eller

it-resurser så som brandväggar eller operativsystem. Dessa kan utfärdas av it-säkerhetsansvarig och beslutas av exempelvis it-chef.

CISO och informations-säkerhetsorganisation

Riktlinjer: Det systematiska arbetet med informationssäkerhet kan med fördel regleras i styrdokument för att ge det en formell status. Kan innehålla alla delar av styrningen, exempelvis dokumentstruktur, organisation, informationsklassning och utvärderingar.

Instruktioner: Specifik reglering av informationssäkerhetsarbetet, så som informationssäkerhetsråd eller specifika verktyg som används.

 Referens till relevanta ISO-standarder i 27000-serien:

  • SS-EN ISO/IEC 27001:2022, avsnitt 5.2.
  • SS-EN ISO/IEC 27002:2022, kapitel 5.1

Riskhantering

Riskhantering är en central del i det systematiska informationssäkerhetsarbetet. Förutsättningarna för säker hantering av information förändras ständigt - nya risker tillkommer och identifierade risker förändras. Ett systematiskt arbete med riskhantering innebär att organisationen har ett enhetligt arbetssätt för att identifiera, analysera, värdera, och behandla samt följa upp risker så att organisationen över tid kan upprätthålla en tillräcklig nivå av informationssäkerhet.

Vad är en risk?

Risk definieras på olika sätt och arbetet med risker (riskhantering) kan utformas på många olika sätt. Att arbeta med risk är något som inte enbart görs inom informationssäkerhetsarbetet. Det finns också andra delar i en verksamhet där man behöver arbeta med risk. Exempel på dokument som ger stöd och ställer krav på arbete med risk: SS-ISO 31000, SS-ISO/IEC 27005, RSA (Risk- och sårbarhetsanalys enligt MSB:s föreskrifter), FISK (Förordningen om intern styrning och kontroll).

Gemensamt för olika sätt att se på risker är att risk beskrivs som en bedömning av sannolikheten för att man inte uppnår sina mål och de konsekvenser det får. Vad som är målet varierar utifrån situation, till exempel är målet när man ska gå över gatan att man ska göra det utan att orsaka en trafikolycka eller själv bli påkörd. Vilka som är en organisations mål beror på vilken organisation det rör sig om och i vilken del av verksamheten som risken ska förstås. Exempel på mål i en organisation kan vara: att göra en viss vinst, ha medarbetare som trivs på jobbet, eller att implementera ett nytt it-system. Målet med informationssäkerhetsarbetet är att skydda information från obehörig åtkomst (konfidentialitet), att den förändras obehörigt, förvanskas eller förstörs (riktighet) och se till så att den är åtkomlig för de som är behöriga att få tillgång till den när de behöver den (tillgänglighet).

Hur man väljer att arbeta med risk beror på organisationens behov. För att kunna jämföra risker mellan olika verksamhetsområden inom organisationen bör man helst se till att alla använder samma eller åtminstone liknande sätt att arbeta med riskerna på.

I metodstödet har vi valt att inte definiera olika begrepp. Istället förklarar vi dem på ett generellt sätt och på det sätt vi använder begreppen i metodstödet. Alla organisationer behöver själva välja vilket sätt att definiera och arbeta med risker som passar dem bäst.

Begreppsförklaringar:

Nedan följer en lista på begrepp som används i metodstödets vägledningar om risk (se också Identifiera och analysera Riskbild, Använda Riskanalys) och hur vi har valt att använda begreppen. Observera att det inte är några definitioner, utan begreppsförklaringar.

  • Risk – resultatet av bedömningen av sannolikheten för och konsekvensen av att inte uppnå mål.
  • Informationssäkerhetsrisk – att inte uppnå målet att skydda information tillräckligt.
  • Riskhantering – att planera, införa och följa upp riskarbete.
  • Riskbedömning/ riskanalys – strukturerat arbetssätt att identifiera förhållanden som kan hindra organisationen att uppnå mål.
  • Riskbild – sammanställning och värdering av organisationens övergripande risker i syfte att ge stöd vid genomförande av riskanalys.
  • Analysobjekt – det som ska analyseras. Kan ha olika omfattning beroende på analysens syfte och deltagarnas kompetenser.
  • Hot – en tänkbar negativ händelse utanför analysobjektet som kan påverka det.
  • Sårbarhet – brist hos analysobjektet som hotet kan nyttja som ger en konsekvens.
  • Konsekvens – skada på analysobjektet om risken inträffar.
  • Sannolikhet – hur troligt det är att risken inträffar.
  • Identifiera risker – identifiera vilka hot som kan påverka analysobjektet och vilka sårbarheter som gör att hotet kan realiseras.
  • Värdera risker – bedöma konsekvens och sannolikhet för att hotet kan realiseras utifrån förutbestämda kriterier och nivåer.
  • Behandla risker – risker hanteras genom att de antingen; accepteras, undviks, överförs eller reduceras på olika sätt.
  • Åtgärdsplan– dokument som används för att följa upp beslutade säkerhetsåtgärder. Kan också benämnas riskbehandlingsplan för att specificera att åtgärderna är resultat av en riskbedömning.
  • Riskregister – sammanfattningar av vilka riskanalyser som gjorts och status i riskbehandlingen.
  • Riskägare – den som ansvarar för risken och behöver se till att säkerhetsåtgärder införs.
  • Risksamordnare – den som har övergripande ansvar för organisationens riskhantering.

Vad är en informationssäkerhetsrisk?

I det systematiska informationssäkerhetsarbetet brukar man skilja mellan:

  1. risker (och möjligheter) för själva ledningssystemet för informationssäkerhet, och
  2. risker med en viss informationsbehandling till exempel information som ingår i en upphandling, ett informationssystem, en verksamhet eller motsvarande.

Detta för att det i det första fallet där man identifierar risker med det systematiska arbetssättet kan vara bra att förutom risker också titta på vilka möjligheter och styrkor organisationen har som kan användas för att bedriva ett effektivt arbete med informationssäkerhet.

I det andra fallet är fokus istället enbart på att identifiera risker med en viss informationsbehandling så att man kan införa tillräckliga säkerhetsåtgärder.

Varför göra riskanalys?

Riskanalys görs för att förstå vilka händelser som kan påverka ett analysobjekt negativt, vilka konsekvenser det får och hur sannolikt det är att det händer. Syftet är att använda resultatet från analysen för att införa åtgärder som helt tar bort risken, minskar sannolikheten att den inträffar eller minskar konsekvensen om den inträffar. Under vissa omständigheter kan man välja att acceptera risken som den är.

När ska man inte göra riskanalys utan hot- och riskanalys, risk- och sårbarhetsanalys eller  risk-, hot- och sårbarhetsanalys? Dessa analyser används ibland synonymt och ibland för att visa på var fokus i analysen ska ligga utifrån vad som är syftet med analysen. Enklast är att utgå från grundbegreppet. En hotanalys syftar till att bättre förstå vilka hot som kan drabba ens verksamhet samt vilka eller vad som orsakar hoten. En sårbarhetsanalys fokuserar mest på vilka brister vi själva har för att förstå vad vi kan göra för att minska dem.

En annan fundering som många organisationer har är om riskanalyser ska vara kvalitativa, kvantitativa, eller en kombination av båda. I den här vägledningen utgår vi från ett kvalitativt angreppssätt vilket vi bedömer är det vanligaste och mest lämpliga inom informationssäkerhet. På grund av områdets komplexitet och ständiga förändring är det svårt att skapa underlag till riskanalyser som är exakta (till exempel baseras på statistik). En erfarenhetsbaserad bedömning av förhållanden i och utanför den egna organisationen och dess informationsbehandling ger ofta bra underlag för att kunna bedöma och behandla risker.  

Det går att använda numeriska värden för att beskriva nivåer även om bedömningarna från början är kvalitativa. Numeriska värden kan sättas på både konsekvens- och sannolikhetsnivåer, och sedan användas för att beräkna en risknivå. Risknivån är produkten av faktorerna konsekvens och sannolikhet (dvs. R = K x S). Risknivån är ett värde som visar hur allvarlig risken är. 

Det som är viktigt att komma ihåg när man använder numeriska värden för nivåerna och gör beräkningar där värdena symboliserar ett kvalitativt värde är att det inte är ”korrekta” matematiska beräkningar man gjort för det kvalitativa värdet utan att de numeriska värdena snarare används för att ge en tydlig presentation av riskens värde.

Arbeta med informationssäkerhetsrisker

Vägledningen är utformad för att stödja det cykliska arbetet som återfinns i alla delar av det systematiska informationssäkerhetsarbetet (se Figur 1).

 Figur 1: Riskhanteringen relaterat till metodstödets steg.

  

 

Figur 1: Riskhanteringen relaterat till metodstödets steg.

Den här vägledningen ger stöd i att utforma organisationens riskhantering och består av två delar:

  • Utforma och etablera riskhanteringsarbete
  • Utforma riskanalysmodellen

Att arbeta med informationssäkerhet är att arbeta med risk. Standardserien SS-EN ISO/IEC 27000 som metodstödet baseras på är i sig riskbaserad, det vill säga att alla åtgärder som införs syftar till att minimera eller helt eliminera identifierade risker, vilket särskiljer ISO/IEC 27000 från andra standarder för ledningssystem som till exempel kvalitet (SS-EN ISO 9001), miljö (SS-EN ISO 14001) och kontinuitetshantering (SS-EN ISO 22301).

Det är organisationens hantering av informationssäkerhetsrisker som är i fokus i denna och övriga vägledningar om risk i metodstödet (se Identifiera och analysera Riskbild och Använda Riskanalys). Metodstödets vägledningar om risk bygger till stora delar på vad som sägs i standarderna SS-EN ISO/IEC 27001 (krav) och SS-ISO/IEC 27005 (riskhantering). Denna vägledning motsvarar i stort det som i SS-ISO/IEC 27005 benämns som Context establishment, vilket innebär att ta fram förutsättningarna för ett bra riskarbete.

I metodstödet används begreppet riskanalys synonymt med begreppet riskbedömning i standarder för riskhantering (SS-ISO/IEC 27005 och SS-ISO 31000). Det vill säga att i metodstödets begrepp riskanalys ingår också riskidentifiering och riskvärdering. Valet att inte använda begreppet riskbedömning har gjorts med hänsyn till hur termen riskanalys förstås i Sverige, och att det i metodstödet finns flera andra analyser vilka också syftar till att förstå olika delar av en verksamhet mer djupgående genom analysmetod.

Utforma och etablera organisationens riskhantering

När du utformar organisationens riskhantering för informationssäkerhetsrisker, börja med att identifiera om organisationen har ett arbetssätt för hur risker i olika delar av verksamheten identifieras, värderas och behandlas. Finns något arbetssätt för riskhantering redan etablerat i organisationen så bedöm om du kan använda det som det är, anpassa det eller om du behöver ta fram ett anpassat arbetssätt för hantering av informationssäkerhetsrisker i din organisation.

När du utformar hanteringen av informationssäkerhetsrisker behöver du dokumentera:

  • relationen till organisationens övriga riskhantering
  • ansvar och roller
  • en riskanalysmodell
  • hur riskbehandling utförs
  • vilken utbildning och kommunikation som behövs för att bedriva riskarbetet i organisationen.

Förutom ovan punkter finns andra arbetssätt eller stöd som en del organisationer bedömer användbara. Ett sådant stöd är att skapa en riskbild som övergripande beskriver och värderar risker som hela organisationen kan drabbas av (se Identifiera och analysera Riskbild).

Ledningens inriktning av arbetet med riskhanteringen kan ingå i en policy (säkerhets-, informationssäkerhets- eller riskpolicy) medan mer detaljerade delar kan finnas i riktlinje- eller instruktionsdokument (se Utforma Styrdokument). Exempelvis behöver man här reglera vilka riskanalyser som ska genomföras, hur ofta de som genomföras, samt vem som har ansvar för att initiera, genomföra och följa upp riskarbetet i stort och enskilda riskanalyser.

Det går att benämna och visualisera arbetet med riskhantering som en riskhanteringsprocess även om vi inte gör det i metodstödet.

Relationen till organisationens övriga riskhantering

Eftersom risker finns överallt i en organisation är det första som bör fastställas, förslagsvis i policyn, vilka typer av risker som riskhanteringen ska omfatta.

Informationssäkerhetsrisker, det vill säga risker som kan kopplas till organisationens informationsbehandling, är en del av alla de risker som en organisation står inför. Andra risker som en organisation kan vara intresserad av att ha kontroll över kan vara kopplade till medarbetares fysiska och psykiska hälsa, finansiella risker, risker relaterade till att inte uppnå satta verksamhetsmål eller tillhandahålla utlovade leveranser, brister i fastigheter och andra fysiska tillgångar.

Organisationer har olika sätt att styra, olika mognadsgrad och tradition när det gäller riskhantering. I många organisationer saknas en samlad riskhantering och riskanalyser genomförs på olika sätt beroende på sammanhang, till exempel används ett sätt för att bedöma risker i projekt, ett för arbetsmiljörisker och ett för finansiella risker. 

För att underlätta arbetet med att analysera risker och för att ledningen ska kunna jämföra risker mellan olika verksamheter är det lämpligt att det finns en gemensam modell för hur organisationens alla riskanalyser genomförs oavsett var i organisationen och vilken sorts risk som analyseras. Behandlingen av informationssäkerhetsrisker bör därför vara integrerat, eller i alla fall samordnat, med organisationens generella riskhantering och inte utgöra ett eget sidospår.

Precis som att hanteringen av informationssäkerhetsincidenter och kontinuitet för informationsbehandling måste samordnas med hur organisationen hanterar incidenter och kontinuitet (se Utforma Kontinuitetshantering för informationstillgångar och Utforma Incidenthantering) så måste arbetet med hantering av informationssäkerhetsrisker koordineras med övrig riskhantering.

I arbetet med att skapa och etablera riskhantering för informationssäkerhetsrisker behöver du som CISO utgå från din organisations nuvarande arbete med risker och det finns i grunden två alternativ:

  1. Arbeta för att informationssäkerhetsrisker ska ingå i befintlig riskhantering
  2. Ta fram riskhantering för informationssäkerhetsrisker och arbeta för att skapa en generell riskhantering i organisationen

Ansvar och roller

Ansvar inom riskhantering bör följa samma grundprincip som ansvaret för informationssäkerhet, dvs. ansvaret för risker följer det ordinarie verksamhetsansvaret medan särskilt utpekade roller (CISO med flera.) stödjer de verksamhetsansvariga i deras riskarbete (se Utforma Organisation). Riskägare kallas den som ansvarar för risker i sin verksamhet. Den som ansvarar för att samordna organisationens riskhantering, stödja och följa upp arbetet kallas ofta risksamordnare.

Riskägare

Riskägare är ansvariga för alla risker i sitt ansvarsområde och därmed också informationssäkerhetsrisker. De ansvarar för den operativa riskhanteringen där risker identifieras, värderas, och behandlas i enlighet med fastställda rutiner. Riskägare är exempelvis verksamhetsansvariga i linjeorganisationen (till exempel avdelning eller enhet), informationsägare, systemägare, processägare eller projektägare. Beroende på hur organisationen ser ut så kan förekomsten av riskägare variera, det är dock viktigt att tänka på vilka nivåer i linjeorganisationen som riskägare ska finnas. Riskägarens ansvar och mandat behöver tydliggöras i styrdokument, förslagsvis rollernas ansvarsprofiler (eller motsvarande).

Riskägare ansvarar för den operativa riskhanteringen inom sin verksamhet, vilket innefattar:

  • Säkerställa att riskanalyser genomförs enligt fastställd analysmodell.
  • Upprätta och genomföra åtgärdsplaner samt följa upp dessa.
  • Lyfta risker som riskägaren inte kan omhänderta utifrån sitt ansvar och mandat.

Risker uppkommer och existerar sällan helt i linje med den struktur av riskägare som skapats i organisationen. Risker delas med andra riskägare i organisationen och med externa aktörer, exempelvis driftsleverantörer. Behandling av risker som delas med andra kan därför sällan göras enbart i den egna verksamheten, utan kräver samverkan med och kravställning mot andra aktörer i och utanför den egna organisationen.

Eftersom riskägare ofta är chefer och ledare bör dessa utse personer som kan stödja dem i vissa delar av den operativa riskhanteringen, som till exempel att genomföra riskanalyser och följa upp att åtgärder som beslutats av riskägaren införs enligt åtgärdsplanen samt samverka med organisationens risksamordnare.

Risksamordnare

Risksamordnaren har det övergripande ansvaret att utforma och förvalta organisationens riskhantering, samt stödja riskägare och andra i deras arbete med risk. Risksamordnaren kan också benämnas ”risk manager” eller riskchef. Om riskhanteringen enbart omfattar informationssäkerhetsrisker är det lämpligen CISO som innehar rollen som risksamordnare. Risksamordnaren kan ses som en funktion och arbetet kan omfatta allt ifrån en deltidstjänst till flera heltidsanställda personer.  

Risksamordnaren har det övergripande ansvaret för organisationens riskhantering, vilket innefattar:

  • Utforma och förvalta organisationens riskhantering och riskanalysmodell.
  • Samverka med ansvariga för närliggande områden såsom kontinuitetshantering, incidenthantering, kvalitetsstyrning eller andra riskområden (om sådana finns).
  • Stödja riskägare och de personer som dessa utsett att stödja dem i operativ riskhantering genom att tillhandahålla vägledningar, utbildningar och ge direkt stöd vid frågor.
  • Sammanställa och underhålla organisationens riskbild och riskregister.
  • Redovisa risker och riskhanteringen till ledningen.

Liksom hos riskägare ska ansvar och mandat hos risksamordnarfunktionen tydliggöras i styrdokument, exempelvis ansvars- och delegationsordning, ansvarsprofil eller motsvarande.

Utformning av riskanalysmodellen

Riskanalysmodellen är organisationens stöd för att få jämförbara resultat från riskanalyser inom olika verksamheter. Modellen är en viktig del av riskhanteringen.

Riskanalysmodellen ska ge stöd för hur organisationen arbetar med att identifiera, värdera och behandla sina risker. Att arbeta utifrån modellen ska hjälpa organisationen att besvara de fyra frågorna ”Vad kan hända?”, ”Vad blir konsekvenserna?”, ”Hur sannolikt är det?” och ”Hur kan vi minska risken?”.

Modellen behöver därför ge stöd för hur man vid riskarbete i organisationen:

  1. fastställer analysobjektet  
  2. identifierar risker
  3. värderar risker utifrån konsekvens och sannolikhet
  4. genomför riskbehandling

Man kan välja att ha riskbehandlingen utanför riskanalysmodellen, men här har vi valt att inkludera riskbehandlingen i modellen för att tydligt visa att syftet med riskarbetet är att införa åtgärder som minskar risken.

Det är viktigt att riskanalysmodellen utformas på ett sätt som uppfyller organisationens behov, ger stöd i riskanalysarbetet och är enkel att använda. Den tid du lägger på att utforma en för organisationen bra modell får du igen senare genom att arbetet upplevs lätt och resultatet blir välanvänt och uppskattat.   

Modellen du tar fram behöver beskriva:

  • Hur analysobjektet fastställs.
  • Hur risker identifieras.
  • Hur värdering av risker sker med hjälp av:
    • för organisationen lämpligt antal konsekvensnivåer med användbara kriterier att bedöma konsekvens utifrån
    • för organisationen lämpligt antal sannolikhetsnivåer med användbara kriterier att bedöma sannolikhet utifrån
    • en riskmatris som skapas genom att kombinera konsekvensnivåer och sannolikhetsnivåer.
    • Hur riskbehandling genomförs.
    • Stödmaterial som hjälper organisationen att genomföra riskanalyser och ta fram en åtgärdsplan.

Det finns ett enkelt verktyg för att dokumentera organisationens riskanalysmodell med kriterier och nivåer för riskvärdering, organisationens riskmatris, samt kriterier och nivåer för riskacceptans. Verktyget hittas i verktygslådan, se Verktyg Utforma Kriterier och nivåer för riskvärdering. De antal nivåer, kategorier med mera som finns inlagt i verktyget ska ses som exempet och måste definieras och fastställas utifrån hur den egna organisationen väljer att utforma sitt arbete med risker.

Fastställa analysobjektet

Det är riskägaren som bestämmer vad riskanalysen ska omfatta och dess syfte. Ibland behöver den som genomför riskanalysen justera analysobjektets omfattning utifrån den kunskap de som medverkar i riskanalysen har. Ett analysobjekt kan också behöva delas upp i mindre delar för att riskanalysarbetet ska bli praktiskt genomförbart.

Syftet med riskanalysen behöver också vara tydligt innan analysen påbörjas. Inom informationssäkerhet är syftet med de riskanalyser som görs att identifiera vilka säkerhetsåtgärder som behöver införas för att säkerställa att informationen skyddas tillräckligt.

Mer om att fastställa analysobjekt, se Använda Riskanalys.

Identifiera risker

Att beskriva en risk så att den blir tillräckligt begriplig och avgränsad för att kunna värderas är inte alltid lätt. Det kräver övning och erfarenhet. Det finns dock några tips på hur man kan tänka för att identifiera risker och beskriva dem på ett sätt som underlättar vidare riskarbete. Det tydligaste sättet att beskriva risker är att använda formatet:

På grund av (orsaker) inträffar risken (händelse) vilket leder till (konsekvenser).

Mer om att identifiera risker, se Använda riskanalys.

Fastställa kriterier för riskvärdering

En hörnsten i utformningen av organisationens riskhantering är att fastställa utifrån vilka kriterier risker ska värderas. Det är viktigt att risker värderas på ett så likartat sätt som möjligt i hela organisationen eftersom risker är underlag för beslut och prioritering. Obefintliga eller otydliga kriterier kan få följden att likvärdiga risker värderas olika och därmed prioriteras olika eller till och med att låga risker värderas högre än allvarliga risker. Detta kan få till följd att organisationen lägger resurser på att införa onödiga eller otillräckliga säkerhetsåtgärder.

Konsekvenskategorier och -nivåer

Vilka kategorier som organisationen bedömer konsekvens utifrån är beroende av dess verksamhet. Kategorierna speglar vad som är viktigt för organisationen. Vilka kategorier som är viktiga i din organisation kan du till exempel finna i visionsdokument, verksamhetsidéer och värdegrunder. Du kan också identifiera viktiga kriterier genom externa och interna krav som finns på din organisation (se Identifiera och analysera Verksamhetsanalys, Identifiera och analysera Omvärldsanalys).

Nedan finner du några exempel på vanliga konsekvenskategorier:

  • Ekonomisk förlust (exempelvis: minskade intäkter, ökade kostnader, skada på tillgångar).
  • Negativ påverkan på, eller avbrott i, verksamheten.
  • Överträdelse/bristande efterlevnad av rättsliga krav.
  • Skadat varumärke/minskat förtroende.
  • Skada på annan organisation/omgivande samhället.
  • Personskada.
  • Miljöskada.

Konsekvenskategorierna kan ha beroenden till varandra, till exempel kan minskat förtroende leda till minskade intäkter och därmed ekonomisk förlust. Det går att skapa kategorier på olika sätt, det viktiga är att de är relevanta för den egna organisationen och att de är tydligt formulerade.

När kategorierna är identifierade behöver lämpliga nivåer identifieras. Också här är det organisationens förutsättningar som styr hur många nivåer som ska finnas och vad nivåerna står för.  

Antalet konsekvenskategorier och -nivåer bör inte vara för många, det kan skapa onödig komplexitet. Ett vanligt och lämpligt antal nivåer är tre till sex.

När ni har fastställt ett lämpligt antal nivåer för organisationen behöver ni ge nivåerna namn, nummer och/eller färger. Till exempel: försumbar, måttlig, betydande, allvarlig, eller 1, 2, 3, 4, eller grön, gul, orange, röd.

Tillsammans kan konsekvensnivåerna och konsekvenskategorierna bilda en konsekvensmatris vilket illustreras i Figur 4. Matrisen är ett exempel på hur man kan definiera konsekvensnivåer och konsekvenskategorier. Den ska alltså inte ses som fullständig. Se fler exempel på konsekvenskategorier i listan ovan.

 Figur 2: Exempel på konsekvensnivåer och -kategorier

Figur 2: Exempel på konsekvensnivåer och -kategorier

Nivåer och kategorier för värdering av konsekvenser bör vara samma, eller åtminstone jämförbara, för all bedömning av konsekvens i organisationen till exempel vid konsekvensbedömningar i informationsklassning, incidenthantering och kontinuitetshantering (se Utforma Klassningsmodell, Utforma Incidenthantering, Utforma Kontinuitetshantering för informationstillgångar).   

Sannolikhetsnivåer

Sannolikhet är ett mått som beskriver hur troligt, eller med vilken frekvens, en viss händelse kan inträffa i framtiden. För att undvika godtyckliga och alltför subjektiva bedömningar av sannolikheter vid riskanalyser är det viktigt att definiera och fastställa sannolikhetsnivåer. Dessa kan med fördel ha benämningar i likhet med de nämnda uttrycken ovan, men det viktiga är att de definieras i form av intervaller i tid. Ett exempel med fyra sannolikhetsnivåer illustreras i Figur 3.

 Figur 3: Exempel på sannolikhetsnivåer

Figur 3: Exempel på sannolikhetsnivåer

Antalet sannolikhetsnivåer bör inte vara för många då det kan skapa onödig komplexitet, men heller inte för få då det kan ge för låg precision som följd. Ett vanligt och lämpligt antal nivåer är tre till sex. Tillsammans med konsekvensnivåerna bildar sannolikhetsnivåerna en riskmatris. De är vanligt men inte nödvändigt att antalet nivåer för konsekvens och sannolikhet är desamma.

Nivåer och kategorier för värdering av sannolikhet bör vara samma, eller åtminstone jämförbara, för all bedömning av sannolikhet i organisationen till exempel vid sannolikhetsbedömningar i informationsklassning, incidenthantering och kontinuitetshantering (se Utforma Klassningsmodell, Utforma Incidenthantering, Utforma Kontinuitetshantering för informationstillgångar).   

Riskmatris och risknivåer

Genom att kombinera värdena på konsekvensnivåerna och sannolikhetsnivåerna bildas en riskmatris (se Figur 5).

 Figur 4: Exempel på en riskmatris.

Figur 4: Exempel på en riskmatris.

Risknivån anger riskens storlek och är en kombination av riskens konsekvens och sannolikhet. Risknivåerna kan uttryckas numeriskt (till exempel 1–4) och/eller med ett namn (till exempel Låg–Medel–Hög–Extremt hög).

I exemplet i Figur 5 finns fyra risknivåer som uttrycks med ett namn och numeriskt:

  • L – Låg risk (1 och 2)
  • M – Medelhög risk (3-6)
  • H – Hög risk (8-12)
  • EH – Extremt hög risk (16)

När organisationen bestämmer risknivåer kan konsekvens och sannolikhet viktas olika. Det är vanligt att konsekvenser får en högre viktning än sannolikheten så att risker med hög konsekvens och låg sannolikhet får ett högre riskvärde. Till exempel att risker med allvarlig konsekvens (4) och låg sannolikhet (1) i Figur 5 då kan ges riskvärdet ”Hög” istället för ”Medel”. Även risker med försumbar konsekvens (1) men mycket hög sannolikhet (4) kan ges riskvärdet ”Hög” istället för ”Medel” i Figur 5. Detta kan göras för att verkligen uppmärksamma de risker som ger hög konsekvens och de händelser som upprepas så ofta att de sammanlagt påverkar verksamheten.

Riskbehandling

Införa säkerhetsåtgärder

De risker en riskanalys resulterat i ska åtgärdas på något sätt. Risker kan:

  • Accepteras (risken bibehålls).
  • Undvikas (till exempel att befintlig eller planerad aktivitet avbryts).
  • Överföras (till exempel genom försäkring som täcker konsekvenserna).
  • Reduceras (genom säkerhetsåtgärder).

Riskägaren ansvarar för att risker åtgärdas i det egna ansvarsområdet. Hur detta görs kan styras genom krav på vilka risker riskägaren kan acceptera och vilka risker som behöver behandlas (se avsnittet nedan Kriterier för riskacceptans).

Man kan välja att åtgärda risker genom att undvika dem, det vill säga avbryta något man gör, göra något på ett helt annat sätt eller inte alls göra det man tänkt.

Det kan också finnas möjlighet i vissa fall att åtgärda risken genom att överföra den, till exempel genom att teckna en försäkring som täcker kostnaden för delar eller hela konsekvensen av att risken inträffar.

Det vanligaste sättet att åtgärda risker är genom reducering (eller eliminering) med hjälp av säkerhetsåtgärder. En viss säkerhetsåtgärd kan reducera både sannolikheten och konsekvensen. En viss säkerhetsåtgärd kan också användas för att behandla flera olika risker.

Reducering av risker kan ske genom:

  • Förebyggande åtgärder: Säkerhetsåtgärder som införs och då hindrar att risken uppstår eller att konsekvensen blir lägre när risken inträffar.
  • Hanterande åtgärder: Säkerhetsåtgärder som tas fram för att användas när risken inträffar och som gör organisationen bättre på att hantera situationen som uppstår när risken inträffar.

Hur riskägaren väljer att åtgärda risken behöver beslutas och dokumenteras. Detta görs lämpligen i en åtgärdsplan. Åtgärdsplanen behöver innehålla vilken åtgärd som ska införas, ansvarig för att införa åtgärden, samt när den ska vara införd. Man kan även välja att följa upp hur det går att införa åtgärder genom att visa på status för olika åtgärder i åtgärdsplan, till exempel genom att följa upp om åtgärden införs enligt plan, är något försenad eller om man stött på stora problem.  

Det är inte alltid möjligt att reducera hela risken. Antingen för att det inte finns några säkerhetsåtgärder, eller för att man bedömer att man inte kan eller behöver åtgärda hela risken. Det är därför bra att bedöma risknivån efter att säkerhetsåtgärderna införts Den risknivå som blir kvar kallas ofta kvarstående risk.

Säkerhetsåtgärder som väljs ligger inte alltid under riskägarens kontroll, utan det kan vara andra funktioner i organisationen som ansvarar för att införa dessa (till exempel en it-avdelning eller fastighetsservice) eller en extern aktör (till exempel en molntjänstleverantör). När man inför säkerhetsåtgärder bör man i första hand välja sådana som organisationen redan godkänt och beslutat om. Om det saknas så behöver en dialog föras med den som kommer att beröras, till exempel åtgärden att införa en brandvägg för att skydda ett informationssystem görs i samverkan med it-avdelningen eftersom de vet vilka brandväggar som organisationen har samt fördelar och nackdelar med olika typer av brandväggar för det aktuella informationssystemet. Säkerhetsåtgärder för att reducera risker kan därför innefatta intern och extern kravställning och behov av dialog innan beslut om vilka säkerhetsåtgärder som ska införas.

Kriterier för riskacceptans

Riskacceptans är regler som en organisation beslutar gällande vilka risker som kan tillåtas att kvarstå utan att de åtgärdas och vilka risker som måste åtgärdas på något sätt. Det ger riskägaren stöd i hur den ska agera utifrån den risknivå som framkommit i en riskanalys.

Figur 6 visar exempel på risknivå och när riskägaren får acceptera, när en risk med en viss risknivå ska vara åtgärdad, till vem inom organisationen riskägaren behöver informera om risker på en viss risknivå, samt var risken ska dokumenteras. I exemplet kan endast risker på den lägsta nivån accepteras av riskägaren. Krav på olika aspekter av hantering av risker kan varieras för de risknivåer där risken inte kan accepteras av riskägaren.

 Figur 5: Exempel på kriterier för riskacceptans.

Figur 5: Exempel på kriterier för riskacceptans.

När risker ska lyftas

Det finns två situationer när en riskägare behöver informera andra om de risker som framkommit vid riskanalys. Den ena situationen är när ansvaret att införa säkerhetsåtgärden ligger inom en annan verksamhet.

Den andra situationen är när riskägaren upptäcker att en risk som identifierats kan få så stora konsekvenser för andra verksamheter än den egna eller att konsekvenserna för den egna verksamheten blir så stora att riskägaren själv inte kommer att kunna hantera situationen om den inträffar. En sådan situation är till exempel om riskägaren för ett it-system upptäcker att utbytet till nyare teknik inte kan göras inom beslutad tid utan att det gamla it-systemet behöver användas en längre tid och sannolikheten att det får problem som gör att det inte fungerar finns. Riskägaren för it-systemet (systemägaren) behöver berätta detta för riskägaren (informationsägaren) för den verksamhet som behöver informationen i it-systemet. Om problem i it-systemet ger konsekvenser utanför verksamheten behöver informationsägaren lyfta risken, förslagsvis tillsammans med systemägaren, att dennes verksamhet kanske inte kan nå sina mål.

Förutsättningarna för när en risk ska lyftas och till vem behöver framgå av regelverken för riskhantering. Vanliga sätt att lyfta risker är till chef ovanför och/eller till risksamordnaren.

Riskregister

Ett riskregister är en sammanställning över genomförda riskanalyser och status i riskbehandlingen.

Varje riskägare kan med hjälp av ett eget riskregister hålla kontroll på sina risker. I en mindre organisation kan det dock räcka med ett riskregister för hela organisationen. I de flesta organisationer fungerar det bäst att varje riskägare använder ett eget riskregister men att viss information samlas i ett centralt riskregister för att få en överblick över organisationens alla riskanalyser. Det centrala registret kan användas som utgångspunkt för uppföljning och presentation vid ledningens genomgång (se Följa upp och förbättra Ledningens genomgång).

Det riskregister som varje riskägare håller kan till exempel innehålla riskanalysens namn, resultatet av riskanalysen utifrån antal risker i olika risknivå, status gällande åtgärder i åtgärdsplaner, och referenser till själva riskanalysen och åtgärdsplanen med mera. Det finns ett enkelt riskregister som kan användas för detta, se verktyget Verktyg Använda Riskregister. Verktyget ger en bra utgångspunkt men måste anpassas efter varje organisations behov och förutsättningar.

Fördelen med att sammanställa information om organisationens risker i ett centralt riskregister är att få en överblick över de risker som organisationen har, vem som är riskägare och hur många risker på respektive risknivå den ansvarar för, hur det går att införa säkerhetsåtgärder och vilka åtgärdsansvariga som arbetar med att minska organisationens risker.

Tänk på att skydda material om organisationens risker

Nu när vi har utformat vår riskhantering och tagit fram en riskanalysmodell tänk på att resultatet av genomförda riskanalyser kan innehålla mycket känslig information. Riskregistret och ibland även åtgärdsplaner kan också innehålla känslig information. Klassa alltid informationen och hantera den i enlighet med organisationens hanteringsregler.  

Arbetet med att ta fram riskbilden kan i vissa delar av framtagandet också vara känslig men det är bra att den slutgiltiga versionen ändå går att dela med sig av för att underlätta organisationens riskanalysarbete (se Identifiera och analysera Riskbild).

Utbildning och kommunikation

Utformningen av organisationens riskhantering, inklusive ansvar, roller, riskanalysmodell, inte minst kriterier för riskbedömning och övrigt stöd samt eventuella verktyg som ska användas måste kommuniceras på ett tydligt sätt till riskägare och andra berörda roller. Vissa delar, som exempelvis kriterier för riskbedömning, kan byggas in i riskverktyg och användas under själva riskanalysen (se Verktyg Använda Dokumentera riskanalys). Verktyg kan också användas som stöd vid uppföljning av risker.

Utbildningsbehovet relaterat till riskhantering behöver analyseras utifrån det ansvar olika roller har och finnas med i organisationens utbildnings- och kommunikationsplan för informationssäkerhet (se Använda Utbilda och kommunicera).

Klassningsmodell

I den här vägledningen får du stöd i arbetet med att utforma en modell för klassning av information. Klassning hjälper en organisation att värdera sin information på ett enhetligt sätt utifrån interna och externa krav på konfidentialitet, riktighet och tillgänglighet. Resultatet av klassningen ger, tillsammans med riskbedömningen, underlag för att välja tillräckliga säkerhetsåtgärder för informationen.

Vad är informationsklassning?

Informationsklassning innebär att man på ett enhetligt sätt värderar organisationens information utifrån vilka konsekvenser ett otillräckligt skydd skulle kunna få (se Använda Klassning av information).

Vad är en klassningsmodell?

En klassningsmodell består av en klassningsmatris och stödmaterial för att kunna genomföra informationsklassning.

Klassningsmodellen används för att värdera organisationens information på ett enhetligt sätt utifrån aspekterna konfidentialitet, riktighet och tillgänglighet. Värderingen av information görs utifrån vilka konsekvenser otillräckligt skydd av informationen skulle kunna få för organisationen.  

Klassningsmodellen hjälper organisationen att värdera sin information så att de kan välja tillräckliga säkerhetsåtgärder så att informationen inte får ett för lågt skydd. Värderingen bidrar också till att information inte överskyddas, vilket kan bli både kostsamt och göra hanteringen av informationen onödigt krånglig. Värderingen görs utifrån ett antal konsekvensnivåer och aspekterna konfidentialitet, riktighet och tillgänglighet.

I standarden SS-EN ISO/IEC 27000:2020 definieras dessa begrepp:

  • Konfidentialitet: egenskap som innebär att information inte tillgängliggörs eller avslöjas för obehöriga individer, objekt eller processer (Svensk ANM. I Terminologi för informationssäkerhet (SIS-TR 50) definieras ”konfidentialitet” som ’skydd mot obehörig insyn’).
  • Riktighet: egenskap som innebär att vara korrekt och fullständig (Svensk ANM. Enligt svensk terminologi för informationssäkerhet (SIS-TR 50) definieras ”riktighet” som ’skydd mot oönskad förändring’).
  • Tillgänglighet: egenskapen att vara åtkomlig och användbar på begäran av ett behörigt objekt (Svensk ANM. I Terminologi för informationssäkerhet (SIS-TR 50) definieras ”tillgänglighet” som ’åtkomst för behörig person vid rätt tillfälle’).

Den klassningsmodell som organisationen tar fram används i första hand av dem med ett utpekat ansvar för en viss verksamhet och den information som hanteras där. Ansvariga roller är exempelvis verksamhets­ansvariga, processägare, objektägare (information och it-system) och projektägare. Dessa ansvarar alla för att den information som hanteras i respektive verksamhet har tillräckligt skydd. Däremot är det inte så att det bara är dessa roller som ansvarar för att informationen hanteras korrekt. Alla, även medarbetare utan utpekat ansvar för information, behöver följa de regelverk som finns för hur information ska hanteras och kan också komma att behöva klassa information med hjälp av organisationens klassningsmodell.

Hur används resultatet från klassningen?

Informationsklassningen, som görs utifrån organisationens klassningsmodell, ska bidra till att informationen skyddas så att endast behöriga personer och system får ta del av informationen (krav på konfidentialitet), att vi kan lita på att den inte är manipulerad eller felaktigt förändrad (krav på riktighet) och att den finns när behöriga efterfrågar den (krav på tillgänglighet).

Behovet av skydd för informationen uppfylls sedan genom att man inför säkerhetsåtgärder. Valet av säkerhetsåtgärder utgår från klassningsresultatet och de risker man identifierat i riskbedömningen. För att få en effektiv förvaltning kan man koppla säkerhetsåtgärder till klassningsmatrisens konsekvensnivåer och därmed skapa så kallade skyddsnivåer. Detta beskrivs i vägledningarna Utforma Välj säkerhetsåtgärder och skapa skyddsnivåer och Använda Klassning av information.

Ingångsvärden

Om organisationen har en modell för att bedöma risker med kriterier och nivåer utgå från dessa. Om modellen för riskbedömning behöver utvecklas eller inte finns, tar du utgångspunkt i de analyser som gjorts i analysfasen för att identifiera kriterier och nivåer för att klassa er information. Det finns ett stort värde i att ha överensstämmelse i kriterier och nivåer mellan organisationens modeller för risk och informationsklassning. Om de inte stämmer överens så bör du arbeta för att de ska göra det så långt som det är möjligt.

Om det finns modeller för att klassa inom andra områden i organisationen, till exempel arkiv och säkerhetsskydd, behöver ni se till att er modell och era arbetssätt gällande informationsklassning kan hantera detta. Kontakta dem i din organisation som ansvarar för dessa modeller och bjud in dem till att delta i utvecklingen av klassningsmodellen och att samverka kring era respektive områden. 

Särskilt om klassning och säkerhetsskyddslagen

Säkerhetsskyddslagen gäller för den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige internationellt åtagande om säkerhetsskydd, i lagtexten benämnda som säkerhetskänslig verksamhet. Lagen ställer krav på att den som bedriver säkerhetskänslig verksamhet ska utreda behovet av säkerhetsskydd och göra en säkerhetsskyddsanalys. Verksamhetsutövare som lyder under säkerhetsskyddslagen ska klassificera information i enlighet med de fastställda nivåerna i säkerhetsskyddslagen.

Mer information om säkerhetsskyddslagen och aktuella föreskrifter och vägledningar finner du på Försvarsmaktens och Säkerhetspolisens hemsidor.

Utformning av klassningsmodellen

Det är viktigt att klassningsmodellen utformas på ett sätt som uppfyller organisationens behov, men också så att den är enkel att använda. Den tid du lägger på att utforma modellen får du igen senare i hela det systematiska informationssäkerhetsarbetet.

Det du behöver ta fram är:

  • Kriterier indelade i för organisationen lämpligt antal konsekvensnivåer som bedömningen ska ske utifrån.
  • En klassningsmatris med konsekvensnivåer (rader) och aspekterna konfidentialitet, riktighet och tillgänglighet (kolumner).
  • Stödmaterial som hjälper organisationen att använda klassningsmodellen och genomföra klassning av information.

Börja med att identifiera förutsättningar som påverkar utformningen av er klassningsmodell

Om din organisation har en modell för att bedöma risker med fastställda konsekvenskategorier och nivåer bör du i första hand utgå från dessa när du skapar klassningsmodellen. Om organisationen saknar en modell för bedömning av risk att utgå från behöver ni ta fram konsekvenskategorier och nivåer för klassningen. Samverka gärna med ansvarig för organisationens riskhantering, om en sådan finns, för att utforma modellerna så att de överensstämmer med varandra avseende kriterier och nivåer.

För att skapa kriterier och nivåer, börja med att samla ihop vad du vet om verksamhetens behov utifrån de analyser som gjorts så som omvärldsanalys, verksamhetsanalys, riskanalys (se Identifiera och analysera) och säkerhetsskyddsanalys.

Nedan beskriver vi hur du tar fram konsekvenskategorier, nivåer och  skapar din klassningsmodell.

Definiera konsekvenskategorier

När du definierar konsekvenskategorier utgår du från värden som är viktiga för din organisation att upprätthålla eller undvika. Vilka kategorier som är viktiga i din organisation kan du till exempel finna i visionsdokument, verksamhetsidéer och värdegrunder. Utgå också från de externa och interna krav som finns på din organisation och som du identifierade i analysfasen (se Identifiera och analysera Verksamhetsanalys, Omvärldsanalys).

Nedan finner du några exempel på sådana konsekvenskategorier:

  • Ekonomisk förlust (exempelvis: minskade intäkter, ökade kostnader, skada på tillgångar)
  • Negativ påverkan på, eller avbrott i, verksamheten
  • Överträdelse/bristande efterlevnad av rättsliga krav
  • Skadat varumärke/minskat förtroende
  • Skada på annan organisation/omgivande samhället
  • Personskada
  • Miljöskada

Kategorierna ovan ska ses som exempel och inte en fullständig lista.

Konsekvenskategorierna kan ha beroenden till varandra, till exempel kan minskat förtroende leda till minskade intäkter och därmed ekonomisk förlust. Det går att skapa kategorier på olika sätt, det viktiga är att de är relevanta för den egna organisationen och att de är tydligt formulerade.

Förutom organisationens egen värdering behöver ni också titta på vilka rättsliga krav samt andra externa och interna krav som organisationen omfattas av utifrån vilka konsekvenser de kan få för er (se Identifiera och analysera Verksamhetsanalys, Omvärldsanalys). Till exempel kan det finnas rättsliga och externa krav på att viss typ av information ska skyddas särskilt och/eller skadestånd kopplat till undermåligt skydd. Om ni har avtal med externa parter som ställer krav på att viss information ska skyddas på ett visst sätt behöver det också vägas in. De interna kraven kommer från verksamheten, exempelvis från bedömningar av hur kritisk viss verksamhet är och därmed den information som behövs där (se Identifiera och analysera Verksamhetsanalys).

Definiera konsekvenskriterier

För varje konsekvenskategori behöver ni hitta tydliga kriterier för er organisation. Till exempel kan det i en organisation vara helt oacceptabelt med en ekonomisk förlust på över 2 miljoner kronor, eller en avvikelse på över 20% av budget. Då blir detta den högsta nivån.

På samma sätt definierar du för varje konsekvenskategori vad som är en nivå som är acceptabel. Till exempel kan en förlust på upp till 100 000 kronor eller 5% av budget (vilket skulle kunna vara den summa som får beslutas av första linjens chef) vara acceptabelt.

Vad gör skillnad mellan det lägsta och det högsta värdet i organisationen? Se om du kan hitta mönster som kan hjälpa dig att avgöra lämpliga nivåindelningar. Till exempel gällande ekonomisk förlust: mellan 100 000 och 500 000 kronor eller 10% av budget (vilket skulle kunna vara den summa som får beslutas av andra linjens chef) utgör den näst lägsta nivån. Om den högsta nivån då är 2 miljoner kronor och uppåt eller 20% av budget så förstår man att det behövs någon eller några nivåer däremellan för att få en bra gradering. Till exempel skulle fyra nivåer kunna vara lämpligt gällande ekonomisk förlust men för att veta om fyra nivåer är lagom för er matris behöver du titta vidare på alla konsekvenskategorier och hitta mönster i dem. I andra konsekvenskategorier kanske du kommer fram till fler eller färre nivåer.

Välj och harmonisera konsekvensnivåer

Er klassningsmodell ska innehålla ett lämpligt antal konsekvensnivåer. För få nivåer gör det svårt att få en tillräckligt nyanserad bild, men för många nivåer gör klassningen onödigt komplicerad.

Utgå från de kriterier och nivåer ni har hittat i de olika konsekvenskategorierna. Har ni lika många nivåer för alla så har ni troligen hittat konsekvensnivåerna för er matris. Om ni däremot har olika många nivåer behöver ni harmonisera antalet genom att justera konsekvenskriterierna i de olika kategorierna till ni hittar det antal nivåer som passar i er organisation.

Innan ni fastställer era konsekvensnivåer behöver ni också kontrollera att rättsliga krav och krav från externa aktörer inte tappats bort.

När ni har fastställt ett lämpligt antal nivåer för organisationen behöver, ger ni nivåerna lämpliga namn, nummer och/eller färger, till exempel försumbar, måttlig, betydande och allvarlig eller 1, 2, 3 och 4 eller grön, gul, orange, röd.

Nedan visas ett exempel på tre olika konsekvenskategorier och fyra olika nivåer för bedömning av risk, hämtat ur metodstödets del Identifiera och analysera Riskanalys

 Exempelmatris för riskanalys hämtad ut metodstödet del om riskanalys

Figur 1: Exempel på matris med konsekvenskriterier och konsekvensnivåer för riskanalys.

Utvärdera kriterier och nivåer

Nu har ni tagit fram ett antal konsekvenskategorier, kriterier och nivåer. För att se att de fungerar för att värdera informationen i er organisation behöver ni utvärdera. Är det lagom många nivåer för er information? Är konsekvenskategorierna begripliga?

Detta bör ske i samverkan med personer som kan identifiera och värdera olika typer av konsekvenser som brister i, eller förlust av, konfidentialitet, riktighet och tillgänglighet kan medföra. Representanter från organisationens olika verksamheter bör delta i utvärderingen.

Utvärderingen kan göras på olika sätt. Nedan beskriver vi hur arbetet kan göras under en workshop.

Workshopen kan lämpligen ledas av dig som är CISO, eller motsvarande. Förbered gärna diskussionsfrågor, till exempel

  • Vad hanterar vi för information?
  • Hur klarar vi oss om vi inte kommer åt den här informationen, om vi inte kan lita på att den här informationen är korrekt, eller om någon obehörig fått tillgång till den?
  • Är kategorierna och nivåerna tillräckliga för den information vi hanterar?

Från Verksamhetsanalysen kan ni hämta uppgifter om vilken information ni hanterar, exempelvis personuppgifter, kunduppgifter, ekonomisk data, journaler eller olika rapporter. Där kan ni också hämta uppgifter om vilka krav verksamheten har på informationen.

När ni testar modellen utgå ifrån olika informationstyper och informationsmängder (se Använda: Klassning av information för definitioner) och utvärdera hur konsekvenskategorier, kriterier och nivåer fungerar för den information ni hanterar.

För varje informationsmängd som ni använder för att testa modellen, fråga er vad skulle hända om:

  • Om obehörig kommer åt informationen?
  • Om informationen är felaktig?
  • Om informationen inte är tillgänglig?

När ni testat matrisen utvärderar ni vad ni kommit fram till och hur klassningsmatrisen fungerade för verksamhetens behov. Om det visar sig att flera informationsmängder hamnar ”mellan” nivåer behöver nivåerna justeras utifrån det, om någon nivå inte används alls kan den kanske tas bort (och övriga kanske döpas om), om väldigt mycket information hamnar på samma nivå kanske den behöver delas upp i flera nivåer. Under utvärderingen kan ni också identifiera information som med fördel kan klassas organisationsgemensamt (se Använda Klassning av information).

Dokumentera er klassningsmatris

När ni utvärderat och kommit fram till att de konsekvenskategorier, nivåer och kriterier ni valt är lämpliga för den information er organisation hanterar så ska ni dokumentera dessa i en klassningsmatris. Er klassningsmatris kan skapas i Verktyget Utforma Klassningsmodell.

Eftersom en klassningsmatris kan utformas på olika sätt har vi tagit fram flera olika exempel som presenteras nedan. Det är viktigt att dessa matriser ses som just exempel. Ni ska alltid utforma er egen matris utifrån de interna och externa krav som finns på er organisations information så att den fungerar i er verksamhet.

Klassningsmatris A – Fyra nivåer (se exempel A här)

   

Konfidentialitet

Riktighet

Tillgänglighet

4

Grad av konsekvens

K4

Information där förlust av konfidentialitet innebär… (Se exempel A).

R4

Information där förlust av riktighet innebär… (Se exempel A).

T4

Information där förlust av tillgänglighet innebär… (Se exempel A).

3

Grad av
konsekvens

K3
Information där förlust av konfidentialitet innebär… (Se exempel A).

R3
Information där förlust av riktighet innebär… (Se exempel A).

T3
Information där förlust av tillgänglighet innebär… (Se exempel A).

2

Grad av
konsekvens

K2
Information där förlust av konfidentialitet innebär… (Se exempel A).

R2
Information där förlust av riktighet innebär… (Se exempel A).

T2
Information där förlust av tillgänglighet innebär… (Se exempel A).

1

Grad av
konsekvens

K1
Information där förlust av konfidentialitet innebär… (Se exempel A).

R1
Information där förlust av riktighet innebär… (Se exempel A).

T1
Information där förlust av tillgänglighet innebär… Se exempel A).

 

Klassningsmatris B – tre nivåer (se exempel B)

 

Konfidentialitet

Riktighet

Tillgänglighet

Grad av konsekvens (2)

K2
(Se exempel B).

R2
(Se exempel B).

T2
(Se exempel B).

Grad av konsekvens (1)

K1
(Se exempel B).

R1
(Se exempel B).

T1
(Se exempel B).

Grad av konsekvens (0)

K0
(Se exempel B).

R0
(Se exempel B).

T0
(Se exempel B).

 

Klassningsmatris C – Fem nivåer, där säkerhetsskydd ingår men hanteras särskilt (se exempel C)

 

Konfidentialitet

Riktighet

Tillgänglighet

 

Sveriges säkerhet

Säkerhetsskydd

 

Information som omfattas av Säkerhetsskyddslagen. Särskild hantering.


Information som omfattas av Säkerhetsskyddslagen. Särskild hantering.

 

Information som omfattas av Säkerhetsskyddslagen. Särskild hantering.

 
 
 
 

Grad av

konsekvens

 

K4

Information som vid obehörig spridning kan leda till… (Se exempel C).

R4

Konsekvensen av obehörig förändring av informationen är… (Se exempel C).

T4

Informationen kan tillåtas vara icke tillgänglig under… (Se exempel C).

 

Grad av

konsekvens

K3

Information som vid obehörig spridning kan leda till… (Se exempel C).

R3

Konsekvensen av obehörig förändring av informationen är… (Se exempel C).

 

 

T3

Informationen kan tillåtas vara icke tillgänglig under… (Se exempel C).

 

Grad av

konsekvens

K2

Information som vid obehörig spridning kan leda till… (Se exempel C)..

R2

Konsekvensen av obehörig förändring av informationen är… (Se exempel C).

 

T2

Informationen kan tillåtas vara icke tillgänglig under… (Se exempel C).

 

Grad av

konsekvens

K1

Information som vid obehörig spridning kan leda till… (Se exempel C).

 

R1

Konsekvensen av obehörig förändring av informationen är… (Se exempel C).

 

T1

Informationen kan tillåtas vara icke tillgänglig under… (Se exempel C).

 

Nivån med den särskilda hanteringen för säkerhetsskyddsklassificerade uppgifter som vi lagt längst upp i denna matris kan naturligtvis adderas till vilken annan matris som helst. Nivån används under informationsklassning när man stöter på information som man är osäker på om den berörs av säkerhetsskyddslagstiftningen. Det blir en tydlighet i att man ska kontakta säkerhetsskyddschefen för vidare utredning och hantering. I samarbete med säkerhetsskyddschefen kan man även intregrera klassning som görs utifrån säkerhetsskyddet i matrisen.

De tre exemplen hittar du i Kunskapsbanken till vänster. 

 Arbetssätt för att ta fram en klassningsmatris

Figur 2: Arbetssätt för att ta fram en klassningsmatris

Utforma stödmaterial

För att klassningsmodellen ska få effekt behöver den också användas i organisationen. Stödmaterialet underlättar för organisationens medarbetare att använda den framtagna matrisen och klassa sin information.

Vad som behövs för att genomföra klassning

För att kunna klassa information behöver man förstå varför klassning ska genomföras, vad klassning innebär, vem som ska genomföra den och hur den ska genomföras.

Vad som behövs för att klassa information:   

  • Klassningsmatrisen och beskrivningar av innebörden av konsekvensnivåerna.
  • Instruktioner för hur klassningen genomförs.

Förutom den klassningmatris som ni utformat behöver ni stödmaterial i form av instruktioner och mallar. I stödmaterialet behöver också framgå hur märkning av klassad information ska göras, och en sammanställning av organisationsgemensamt klassad information (om sådan har gjorts, se Använda Klassning av information).  Om ni använder er av skyddsnivåer behövs också en beskrivning av kopplingen mellan klassningsmodellen och skyddsnivåerna (se Utforma Välj säkerhetsåtgärder och skapa skyddsnivåer).

Beslut och införande av klassningsmodellen

Eftersom klassningsmodellen har en central roll i det systematiska informationssäkerhetsarbetet och påverkar hela organisationen bör den beslutas och finnas med i de interna regelverken (se Utforma Styrdokument).

I styrdokumenten bör det framgå:

  • Att all information ska klassas (informationssäkerhetspolicy).
  • Vem som ansvarar för att klassning sker (riktlinjer, ansvar och roller).
  • Hur och när klassning ska genomföras (klassningsmodellen och tillhörande stödmaterial).

 

När modellen är beslutad behöver den införas i organisationen och kommer då att påverka informationssäkerhetsarbetet i stort. Ni kan exempelvis behöva se över befintligt utbildningsmaterial och ta fram utbildningsmaterial för de målgrupper som behöver känna till mer om klassning, till exempel de som ansvarar för att information klassas, de som genomför informationsklassningen och de som deltar i klassningsarbetet.

Om du som CISO får stöd av andra personer med att klassa informationen hos olika verksamheter behöver du ägna tid åt att utbilda dem. Som en del av utbildningen kan de vara med när du genomför klassningar och du kan vara med eller finnas tillgänglig för frågor om de behöver stöd de första gångerna de själva genomför klassning med verksamheten.

Lägg upp en plan för hur du ska utvärdera att modellen och stödet fungerar. Be de som hjälper dig med det operativa klassningsarbetet att dokumentera svårigheter de upplever när de stödjer verksamheten med klassning. Låt dem bidra med förbättringar. Var lyhörd.

Referens till standarder i 27000-serien:

SS-EN ISO/IEC 27002:2022: avsnitt 5.12 Klassning av information

Välj säkerhetsåtgärder och skapa skyddsnivåer

Den här vägledningen beskriver hur du väljer säkerhetsåtgärder för att skydda din organisations information. Den beskriver också hur du kan gruppera dessa i skyddsnivåer och koppla dem mot konsekvensnivåerna i organisationens klassningsmodell.

Vad är en säkerhetsåtgärd?

För att nå syftet med informationsklassningen, nämligen att informationen ska skyddas, behöver ni efter informationsklassningen genomföra riskbedömning och därefter införa tillräckliga säkerhetsåtgärder.

Enligt SIS TR50 är säkerhetsåtgärder en ”identifierad uppsättning åtgärder för att möta en organisations risker”. Det betyder att säkerhetsåtgärderna behöver anpassas utifrån vilken information organisationen har, hur och var den hanteras, samt riskerna med hanteringen.

I standarden (SS-EN ISO/IEC 27002:2022) finns ett antal säkerhetsåtgärder beskrivna. Vissa av dem kan ses om en del av styrningen av informationssäkerhetsarbetet medan andra är konkreta åtgärder för att ge skydd i hantering av information. En säkerhetsåtgärd kan vara:

  • Organisatorisk: att man fördelar ansvar, roller och mandat i organisationen så att informationen skyddas mot felaktig hantering (vem gör vad för att undvika att saker hamnar mellan stolarna).
  • Administrativ: att man skapar styrdokument, rutiner eller liknande samt genomför utbildningar som stöd för säker informationshantering.
  • Fysisk: att ha lås, larm, dörrar, fönster och motsvarande som skyddar information och informationssystem mot obehörig fysisk åtkomst.
  • Teknisk: att olika it-lösningar används för att skydda informationen, till exempel antivirus, behörighetssystem, säkerhetsloggning och säkerhetskopiering.

Olika säkerhetsåtgärder behöver ofta kombineras för att ge tillräckligt skydd till lägsta möjliga kostnad. Exempelvis kan man behöva kombinera utbildning (administrativ säkerhetsåtgärd) kring till exempel phishing via e-post med att införa skydd mot skadlig kod (teknisk säkerhetsåtgärd) som kan upptäcka och minska konsekvenserna av attacken om någon ändå skulle klicka på en skadlig länk.

En säkerhetsåtgärd kan skydda mot brister i alla tre aspekterna (konfidentialitet, riktighet och tillgänglighet) medan andra åtgärder skyddar mot brist i en eller två av aspekterna. När du identifierar säkerhetsåtgärder bedömer du vilken eller vilka av aspekterna som åtgärden skyddar mot brister i (Verktyget Utforma Skapa skyddsnivåer).

Vad är en skyddsnivå?

Vi kallar att samla ett antal säkerhetsåtgärder som ger tillräckligt skydd för information som klassats till en viss konsekvensnivå för skyddsnivå. Det är viktigt att komma ihåg att även om säkerhetsåtgärderna i skyddsnivåerna är kopplade till klassningens konsekvensnivåer så är det riskbedömningen som avgör vilka säkerhetsåtgärder som ska införas.

Syftet med att samla säkerhetsåtgärder i skyddsnivåer är att underlätta förvaltning av säkerhetsåtgärderna. Skyddsnivåerna underlättar för organisationen att hitta de åtgärder som redan är godkända, istället för att behöva föreslå nya säkerhetsåtgärder för att ge tillräckligt skydd vid varje ny informationshantering. Organisationens resurser kommer kunna användas mer effektivt om inte varje ny informationshantering resulterar i nya säkerhetsåtgärder som behöver godkännas och förvaltas.  

Det underlättar också för användarna att de efter informationsklassning och riskbedömning kan förutse vilka säkerhetsåtgärder de ska använda när information hanteras i olika situationer.

 Hur klassningsmatrisens konsekvensnivåer relaterar till säkerhetsåtgärder i skyddsnivåer

Figur 1: Hur klassningsmodellens konsekvensnivåer relaterar till skyddsnivåer och hur man kan beskriva vilka säkerhetsåtgärder som gäller för olika skyddsnivåer och vilka aspekter säkerhetsåtgärden skyddar mot brister i. 

Ingångsvärden

Särskilt viktiga delar från Metodstödet är:

  • Resultat från gapanalys och Uttalande om tillämplighet ( UoT/SOA) om sådant finns (Identifiera och analysera Gapanalys).
  • Organisationens informationsklassningsmodell (Utforma Klassningsmodell).
  • Resultat från riskbedömningar (Identifiera och analysera Riskanalys).
  • Andra ingångsvärden är också de säkerhetsåtgärder organisationen redan infört.

Att utforma skyddsnivåer

Man ska alltid införa säkerhetsåtgärder som skyddar informationen tillräckligt. Det går bra att för varje tillfälle välja vilka säkerhetsåtgärder som ska införas men det kan vara mer effektivt att strukturera godkända säkerhetsåtgärder i skyddsnivåer. Oavsett hur man väljer att göra så är riskbedömningen avgörande för vilka säkerhetsåtgärder man slutligen väljer att använda för att skydda informationen.

Här beskriver vi hur behovet av säkerhetsåtgärder som ger tillräckligt skydd väljs och hur dessa säkerhetsåtgärder kan organiseras i skyddsnivåer.

Identifiera och förtydliga säkerhetsåtgärder

I standarden (SS-EN ISO/IEC 27001:2022, bilaga A och SS-EN ISO/IEC 27002:2022) beskrivs säkerhetsåtgärder för allt informationssäkerhetsarbete. Säkerhetsåtgärderna i standarden beskrivs i olika detaljeringsgrad. Vissa säkerhetsåtgärder ser likadana ut för all information, medan andra kommer att behöva variera i styrka beroende på skyddsbehov. Vissa säkerhetsåtgärder behöver ni förtydliga utifrån era förutsättningar medan ni kan ta andra direkt från standarden. Vissa säkerhetsåtgärder i standarden har mer att göra med styrningen av informationssäkerhetsarbetet medan andra syftar till att ge ett direkt skydd för informationen utifrån var och hur den hanteras.  

Till exempel: Säkerhetsåtgärden ”A 5.1 Policyer för Informationssäkerhet: Ett regelverk för informationssäkerhet som inkluderar informationssäkerhetspolicy ska […]” har att göra med den övergripande styrningen av informationssäkerhetsarbetet och gäller all information. Organisationen ska ha ett gemensamt regelverk för informationssäkerhet och ansvaret att ta fram och förvalta det kan läggas på en roll, så som organisationens CISO.

Andra säkerhetsåtgärder, så som ”A 8.13 Säkerhetskopiering av information: Säkerhetskopior av information, program […] i enlighet med överenskomna regler för säkerhetskopiering” varieras utifrån organisationens behov. Om organisationen har information med höga krav på riktighet eller tillgänglighet så behöver säkerhetsåtgärden anpassas efter det. Skyddsnivåerna underlättar då hanteringen. Om organisationens klassningsmodell har tre konsekvensnivåer skapar ni lämpligen tre skyddsnivåer och anpassar säkerhetsåtgärderna för säkerhetskopiering efter dessa genom att bestämma regler för när fullständig respektive begränsad säkerhetskopiering ska tas för olika information, program och system, samt hur och hur ofta säkerhetskopiorna ska verifieras. Genom era interna regler har ni i detta fall detaljerat era krav på säkerhetsåtgärder. Det behövs också regler för hur säkerhetskopiorna ska skyddas mot brister i konfidentialitet, riktighet och tillgänglighet. Hur skyddet utformas kan variera beroende på resultatet av informationsklassning och riskbedömning.  

Säkerhetsåtgärder i skyddsnivåer

Din organisation har en klassningsmodell med ett visst antal konsekvensnivåer. För att säkerställa tillräckligt skydd för informationen inför du säkerhetsåtgärder. För att underlätta hanteringen av detta kan du välja att skapa skyddsnivåer som motsvarar klassningsmodellens konsekvensnivåer. I dessa skyddsnivåer för du sedan in säkerhetsåtgärder som ska ge information som klassats till respektive konsekvensnivå lämpligt skydd. Utifrån en organisations verksamhet kan det finnas anledning att ha flera skyddsnivåer kopplade till en konsekvensnivå i klassningsmodellen. Detta då klassningen ger en grov värdering av informationens skyddsbehov och organisationen har identifierat att det är mer effektivt för dem att ha fler specifika skyddsnivåer istället för att arbeta med villkor och undantag för olika informationshantering.

Ett sätt att identifiera vilka säkerhetsåtgärder som ger tillräckligt skydd för olika konsekvensnivåer i klassningsmodellen är att genomföra en workshop. Förutom CISO:s kunskap kan du behöva ta hjälp av till exempel it-säkerhetschef, säkerhetschef, annan säkerhetspersonal och specialister inom it och juridik. För att identifiera vissa säkerhetsåtgärder kan du arbeta tillsammans med chefer och specialister inom fastighet, HR och upphandling.

Fokusera på de säkerhetsåtgärder som direkt berör hantering av information. Både de där samma säkerhetsåtgärd ger tillräckligt skydd för all information och de säkerhetsåtgärder som behöver införas i olika grad (styrka) för olika skyddsnivåer. Tänk på att en säkerhetsåtgärd kan skydda mot brister i alla tre aspekterna (konfidentialitet, riktighet och tillgänglighet) medan andra åtgärder skyddar mot brist i en eller två av aspekterna. Att veta vilken aspekt som en säkerhetsåtgärd skyddar mot brister i underlättar vid val av säkerhetsåtgärder.

Till exempel: Säkerhetsåtgärden ”5.9 Förteckning över information och andra relaterade tillgångar: För identifierad information […] bör ägarskapet [...]” är en säkerhetsåtgärd som ser likadan ut oberoende av nivå. Den innebär att det finns någon som har ansvar för att information som hanteras i en viss situation har tillräckligt skydd. Den här säkerhetsåtgärden kan man se som en del av styrningen av informationssäkerhetsarbetet, medan nästa krav i standarden ”A 5.10 Tillåten användning av information och andra relaterade tillgångar” beskriver att säkerhetsåtgärderna behöver anpassas utifrån den information som hanteras. Den som ansvarar för informationshanteringen ansvarar då för att ta fram till exempel dokumentation som beskriver hur informationen får hanteras i det specifika fallet. Hur säkerhetsåtgärderna ska varieras i styrka utifrån de olika skyddsnivåerna  så att de ger skydd mot brister i alla tre aspekterna (konfidentialitet, riktighet och tillgänglighet) behöver beskrivas. Exempel på regler gällande informationsbehandling vid posthantering skulle kunna innehålla krav på hur man ska kommunicera beroende på innehållet i det som ska skickas, alltså vilket skyddsbehov informationen har. Reglerna beskriver när man till exempel får skicka vanligt brev, när man ska använda sig av rekommenderat brev, och när man ska använda sig av personlig överlämning med identitetskontroll och signering.

I Verktyget Utforma Skyddsnivåer möjlighet att lägga till vilka aspekter (konfidentialitet, riktighet och tillgänglighet) respektive säkerhetsåtgärd skyddar mot brist i samt vilka säkerhetsåtgärder som kan varieras beroende på nivå och vilka som är generella och inte bör varieras.

Om behovet av riskbedömning

Riskbedömningen för en viss informationshantering genomförs efter informationsklassningen och resulterar i att man väljer de säkerhetsåtgärder som ger informationen tillräckligt skydd i den specifika situationen. När man arbetar med skyddsnivåer gör man en riskbedömning i samband med att en säkerhetsåtgärd godkänns för en viss skyddsnivå. När man använder skyddsnivåer behöver man göra riskbedömning utifrån den informationshantering som ska genomföras och de säkerhetsåtgärder som är godkända för skyddsnivån. Syftet med riskbedömningen är att säkerställa att de godkända säkerhetsåtgärderna är tillräckliga för den information som hanteras i den specifika situationen. Gör informationshanteringen i den specifika situationen att en viss säkerhetsåtgärd inte behövs så kan riskbedömningen användas som underlag för att visa att säkerhetsåtgärden inte behövs.

 Olika arbetssätt för riskbedömning i förhållande till val av säkerhetsåtgärder

Figur 2: Olika arbetssätt för när riskbedömning görs i förhållande till val av säkerhetsåtgärder beroende på om man har infört skyddsnivåer i organisationen eller inte.

Vad är grundskydd?

Med grundskydd menar vi den nivå av säkerhetsåtgärder som organisationen beslutat ska införas om det inte ges särskilt undantag. Det kan vara administrativa säkerhetsåtgärder, till exempel rutiner om att man alltid ska genomföra en viss utbildning innan man får börja arbeta med en viss sorts information. Grundskyddet kan också gälla för infrastruktur och it-system som då minst ska ha vissa säkerhetsåtgärder införda om man inte särskilt utifrån informationsklassning och riskbedömning bedömer att en lägre nivå är tillräcklig. Det bör dock finnas mycket goda skäl och argument för att få frångå en grundskyddsnivå. Genom att besluta att en av skyddsnivåerna är en grundskyddsnivå så kan man effektivisera hanteringen genom att i grundskyddsnivån införa säkerhetsåtgärder som ska användas i första hand.

Vilka säkerhetsåtgärder som utgör grundskyddet varierar beroende på organisation. På vilken skyddsnivå en organisation väljer att lägga grundskyddet beror på hur mycket information med ett visst skyddsbehov man hanterar. De säkerhetsåtgärder som behövs och som inte erbjuds av grundskyddet måste införas vid varje  informationshantering, både manuell och för enskilda it-system. Varje verksamhet behöver också utifrån informationsklassning och riskbedömning om de säkerhetsåtgärder som ingår i grundskyddet räcker eller om man måste tillföra egna säkerhetsåtgärder. Organisationen kan alltså välja att arbeta med tillägg och undantag gällande säkerhetsåtgärder. Vilka säkerhetsåtgärder som ska ingå i den skyddsnivå som organisationen valt som grundskyddsnivå och vilka som efter behov ska införas beror på en avvägning utifrån riskbedömning, nytta och kostnad.  Exempel på säkerhetsåtgärder som kan ingå i grundskyddet är lagringsytor anpassade efter skyddsbehov, behörighetshantering och säkerhetsloggning.

Utvärdera skyddsnivåerna

I Verktyget Utforma Skapa skyddsnivåer kan ni skriva in vilka säkerhetsåtgärder som ska gälla för respektive skyddsnivå. I kolumnen ID Säk.åtg. kan en referens skapas till aktuella säkerhetsåtgärder i Identifiera och analysera Gapanalys (UoT/SOA).

När ni har placerat era säkerhetsåtgärder i de olika skyddsnivåerna behöver ni avgöra om de är tillräckliga. För varje säkerhetsåtgärd som ni valt för en viss nivå bedöm om den:

  • Skyddar tillräckligt utifrån klassningsmodellens konsekvensnivåer och de risker ni identifierat.
  • Enskilt ger tillräckligt skydd eller behöver kombineras med annan/andra säkerhetsåtgärder (organisatorisk, administrativ, fysisk, teknisk säkerhetsåtgärd).
  • Skyddar mot brister i en eller flera av aspekterna (konfidentialitet, riktighet och/eller tillgänglighet).
  • Gäller för all informationshantering eller enbart i specifika situationer, som till exempel vid behandling av personuppgifter eller för it-system som är uppkopplat mot extern part.

Om en säkerhetsåtgärd inte är tillräcklig behöver den förbättras. Saknas säkerhetsåtgärder behöver de tas fram. Gå igenom de säkerhetsåtgärder ni har fastställt i Identifiera och Analysera Gapanalys (UoT/SoA) och som ni utifrån informationsklassning och riskbedömning identifierar behöver skalas upp i styrka, kombineras med annan säkerhetsåtgärd eller bytas ut.

Att säkerställa skydd för information som delas med andra organisationer eller externa leverantörer

När information delas med eller förvaras hos en annan organisation eller en extern leverantör är det viktigt att se till att informationen inte får lägre skydd än den har eller skulle ha fått i er egen organisation. Det kan vara lätt att tänka att det är klassningsmodellen som ska jämföras men eftersom klassningsmodellen utformas utifrån organisationernas olika behov (så att den är begriplig och användbar för organisationen som ska använda den) så är det bättre att titta på säkerhetsåtgärderna. Detta görs genom att man jämför de egna säkerhetsåtgärderna med den andra organisationens säkerhetsåtgärder för att säkerställa att skyddet är lika bra.

Innan ni ger någon annan organisation eller leverantör åtkomst till er information behöver ni identifiera vilka säkerhetsåtgärder ni själva ansvarar för och vilka säkerhetsåtgärder den andra parten ansvarar för. Det kan också tillkomma behov av nya säkerhetsåtgärder eftersom det innebär nya risker att lämna över information för teknisk bearbetning eller att dela information vid gemensamma projekt. I de flesta samarbeten behöver ni reglera vem som ansvarar för vilka säkerhetsåtgärder i avtal så att det tydligt framgår vem som ansvarar för vilka säkerhetsåtgärder, oavsett om säkerhetsåtgärderna är organisatoriska, administrativa, fysiska eller tekniska.

Denna vägledning ska språkgranskas. 

Handlingsplan

Denna vägledning ger stöd i att skapa en handlingsplan för informations­säkerhets­relaterade aktiviteter, som ska beskriva de aktiviteter som ni ska genomföra. Handlingsplanen ska innehålla detaljerad information om varje aktivitet – till exempel vem som är ansvarig för själva genomförandet, samt resurser och tidplan för aktiviteten.

Vanliga svenska titlar på den som samordnar informationssäkerhetsarbetet är informationssäkerhetssamordnare, informationssäkerhetsstrateg eller informationssäkerhets­koordinator. I MSB:s metodstöd för systematiskt informationssäkerhetsarbete har vi kallat den person som är ansvarig för samordningen av informations­säkerheten för CISO, en förkortning efter den engelska titeln chief information security officer. Vi har valt att använda CISO eftersom det är kort, koncist och gör texten lättare att läsa.

Handlingsplanen är ett viktigt verktyg

Syftet med en handlingsplan är att tydliggöra hur organisationen ska gå från behov till faktisk åtgärd, det vill säga att eliminera eller reducera de informationssäkerhetsrelaterade risker och brister som ni identifierat i analysfasen. Handlingsplanen kan också innehålla mål och aktiviteter som är kopplade till delar av det systematiska arbetet med informationssäkerhet, till exempel att se över roller och ansvar eller ta fram en process för riskhantering.

En handlingsplan gäller oftast för ett år i taget.

Tänk på att även dokumentera de aktiviteter som ni redan nu ser att ni behöver genomföra men inte har möjlighet att förverkliga under den tidsperiod som handlingsplanen sträcker sig.

För CISO är handlingsplanen därmed ett viktigt stöd, eftersom den gör det möjligt att säkerställa att organisationen verkligen genomför och följer upp de aktiviteter som ni har planerat in.

Analyserna är handlingsplanens ingångsvärden

Resultaten från de analyser som ni har gjort i analysfasen är ingångsvärdena till er handlingsplan. Särskilt viktig är gap-analysen, eftersom denna så konkret uttrycker vilka brister som finns – det vill säga gapet mellan behov och nuläge (se Analys gap).

Brister i gap-analysen är baserade på övriga analyser i metodsteget Identifiera och analysera, främst omvärldsanalysen (rättsliga krav) och riskanalysen. De aktiviteter som ni väljer att ta upp i handlingsplanen avser att minska eller eliminera de risker eller brister som ni påvisat, eller att se till så att ni börjar efterleva målen i form av rättsliga och andra externa krav.

Ett annat, mer direkt ingångsvärde är de kortsiktiga informationssäkerhetsmål som ni formulerat i Utforma informationssäkerhetsmål. Observera att man sällan kan uppnå alla dessa mål under den tidsperiod som handlingsplanen avser, och därför kan man behöva prioritera bland de kortsiktiga målen. Denna vägledning ger stöd i att prioritera kortsiktiga informations­säkerhets­mål, och därmed att välja vilka aktiviteter som ska ingå i er handlingsplan.

Fler ingångsvärden till handlingsplanen är de förutsättningar som finns för att genomföra det ni vill. Det handlar om de personer i er organisation som  har ansvar för den verksamhet som berörs och därmed ansvarar för de aktiviteter som behöver genomföras. Dessa personer kan även ansvara för andra typer av aktiviteter som pågår eller planeras, och som påverkar möjligheten för er att genomföra era kortsiktiga mål. Det handlar även om vilka resurser som finns tillgängliga för de aktiviteter som ni vill föra in i handlingsplanen.

Handlingsplanens funktion och omfattning

Handlingsplanens funktion är att säkerställa så att ni genomför de aktiviteter som ni har valt ut för att förbättra informationssäkerheten i er organisation under den tidsperiod som handlingsplanen avser (vanligtvis ett år).

Aktiviteterna i en handlingsplan kan syfta till att:

  • eliminera eller minska identifierade informations­säkerhets­relaterade brister som sammanställts i Analys gap.
  • skapa eller förvalta ett systematiskt informationssäkerhetsarbete, det vill säga stegen i detta metodstöd.

Aktiviteterna ska avse att nå de årliga målen i Utforma informationssäkerhetsmål.

Följ befintliga sätt att leda, styra och följa upp verksamheten

En handlingsplan bör följa eller vara en del av organisationens redan existerande sätt att leda, styra och följa upp verksamheten genom att integreras i exempelvis verksamhetsplaner och verksamhetsbudgetar. Detta gör så att ni kan äska och budgetera resurser, på samma sätt som vid aktiviteter av annan karaktär.

Det är därmed lämpligt att låta handlingsplanen följa organisationens verksamhetsstyrning – vilken ofta löper på årlig basis. Denna vägledning utgår från att handlingsplanen är årlig, men det går givetvis att låta den omfatta både längre och kortare tidsperioder. Det viktigaste är att handlingsplanen omfattar en fastställd tidsperiod, så att ni kan styra och följa upp de aktiviteter som den omfattar.

Välj ut aktiviteter till handlingsplanen

Kortsiktiga mål och tillhörande aktiviteter behöver ni prioritera och föreslå i er handlingsplan som ska innehålla årliga mål och årliga aktiviteter. Man kan sällan genomföra allt under det första året som omfattas av handlingsplanen vilket innebär att ni måste prioritera bland de kortsiktiga målen. Längre fram i denna vägledning kan ni läsa om hur ni kan tänka vid prioriteringen av aktiviteter.

Ibland kan man behöva väga nyttan med en föreslagen aktivitet mot kostnaden för aktiviteten. Detta kan ni göra i en strukturerad analys, en så kallad kostnads-nyttoanalys. Se vägledningen Kostnads-nyttoanalys för mer information.

Beslut och validitet

En handlingsplan ska vara ett beslutat dokument. Ni ska beskriva varje aktivitet i detalj: vad ni vill genomföra, vilka som är ansvariga, vilka resurser som är allokerade och vilken tidsram som är bestämd. Ledningen, eller den ledningen delegerat till, ska sedan fastställa handlingsplanen, och samtidigt säkerställa att det finns resurser för att genomföra de aktiviteter som tas upp. Det är vanligt att detta arbete görs inom ramen för den ordinarie verksamhets­planeringen.

Observera att handlingsplanen inte får devalveras till någon sorts ”önskelista”, med ett fåtal aktiviteter som enbart CISO tycker är nödvändiga och vill genomföra. Däremot kan och bör du som CISO ha framförhållning med din egen planering av vad som bör finnas med i den kommande handlingsplanen.

Det är ytterst viktigt att du hanterar och löser frågan om handlingsplanens status i relation till organisationens ordinarie planerings- och uppföljningscykler, andra planeringsdokument, verksamhetsplan, budget med mera.

Informationssäkerhet i andra handlingsplaner

Informationssäkerhetsrelaterade aktiviteter kan ingå i handlingsplaner inom andra områden, som exempelvis generell säkerhet, kvalitetsstyrning och it eller digitalisering. Detta kan vara positivt för organisationens informationssäkerhet och bidra till att informationssäkerheten integreras med andra områden. Som CISO bör du ha vetskap om och kanske även kontroll över sådana informationssäkerhetsrelaterade aktiviteter för att kunna samverka med de som är ansvariga för dessa handlingsplaner.

Ett flertal underliggande handlingsplaner

En koncern eller stor organisation kan ha ett flertal handlingsplaner som beslutas av dotterbolagschefer, avdelningschefer, nämnder eller motsvarande. Återigen: se till så att dessa handlingsplaner passar in i organisationens ordinarie verksamhetsplanering, så att de kan anpassas efter den organisationsstruktur och de ansvarsområden som finns.

Om det finns fler handlingsplaner så är det viktigt att du som är CISO har kontroll över de informationssäkerhetsrelaterade delarna i dessa – och eventuellt operativt koordinerar dem.

It-system kan vara organiserade i objekt enligt en förvaltningsmodell med årliga förvaltningsplaner. Dessa innehåller i regel aktiviteter och budgetar som beslutas av objektägare. Detta ger en god grund för att få in relevanta säkerhetsåtgärder och andra informations­säkerhetsrelaterade aktiviteter på ett integrerat sätt i organisationens it-styrning.

Aktiviteternas omfattning och form

Aktiviteterna i en handlingsplan kan vara av olika slag och storlek. Allt från några timmars arbete för en person – till ett projekt som varar i flera månader med en omfattande bemanning.

Hur man utformar aktiviteter kan bero på praktiska förhållanden och traditioner inom den egna organisationen. Viktigast är att aktiviteterna är väl avgränsade och tydligt beskrivna så att det går att specificera åtgången av tid och resurser.

Det är ofta ansvarsområdet som styr själva omfattningen av en aktivitet. Exempel: en översyn av samtliga rutiner vid anställning och avslut av anställning sätts samman i en aktivitet i handlingsplanen i form av ett projekt med personalchefen som projektägare och ansvarig för aktiviteten.

Ett annat relevant skäl att definiera en aktivitets omfattning på ett visst sätt kan vara att en extern leverantör erbjuder aktiviteten i fråga som en färdigpaketerad tjänst.

Välj aktivitet efter mognadsgrad

Val av aktiviteter till handlingsplanen kan variera beroende på organisationens mognad. För en organisation som nyligen påbörjat sitt systematiska informationssäkerhetsarbete kan handlings­planen i stort sett enbart bestå av aktiviteter som är grundläggande för att komma igång. Exempel på sådana aktiviteter är framtagning av en informations­säkerhetspolicy och organisation för informationssäkerhet.

För en organisation som är informationssäkerhetsmässigt mogen kan aktiviteterna istället handla om att förbättra det systematiska informations­säkerhets­arbetet och att förbättra säkerhetsåtgärder.

Observera att aktiviteter som är kopplade till rättsliga krav, som exempelvis Dataskydds­förordningen, måste hanteras av alla organisationer – oavsett mognadsgrad.

Olika typer av aktiviteter

Handlingsplanens aktiviteter kan innefatta åtgärder som direkt är kopplade till bristen på, eller avsaknaden av, säkerhetsåtgärder enligt er gap-analys (specificeras nedan). De kan också syfta till att skapa ett systematiskt informationssäkerhetsarbete i enlighet med detta metodstöd, exempelvis styrdokument eller klassningsmodell.

Du som CISO bör vara ansvarig för samtliga aktiviteter som har koppling till det styrningen av det systematiska informationssäkerhetsarbetet.

Aktiviteter kopplat till gap-analysen

En aktivitet kan vara likställd med, eller en delmängd av, en säkerhetsåtgärd i gap-analysen. Därmed kan en aktivitet:

  1. Tillsammans med andra aktiviteter införa en säkerhetsåtgärd. När fler av aktiviteterna i en handlingsplan tillsammans har som mål att öka medvetenheten om informationssäkerhet i organisationen – kan aktiviteterna exempelvis utgöras av utbildningar eller kampanjer (se säkerhetsåtgärd 7.2.2).
  2. Införa ett flertal säkerhetsåtgärder. När en viss aktivitet i en handlingsplan har som mål att skapa en organisationsövergripande process för exempelvis incidenthantering (se säkerhetsåtgärderna 16.1.1–16.1.7).

Prioritera aktiviteter som har bäst effekt

En organisation har inte alltid ekonomisk eller praktisk möjlighet att ta hand om alla brister i en och samma handlingsplan. Särskilt problematiska är sådana aktiviteter som ska genomföras under en väldigt begränsad tid.

Ni behöver därför göra prioriteringar internt, där ni bestämmer vilka aktiviteter som ni ska genomföra den kommande perioden eller det kommande året – och vilka ni kan genomföra längre fram i tiden.

Prioritera de aktiviteter som har bäst effekt. Sträva efter en balans mellan följande två typer:

  1. Aktiviteter som minskar eller eliminerar de mest kritiska (det vill säga mest allvarliga och betydande) bristerna enligt er gap-analys.
  2. Aktiviteter som är resursmässigt genomförbara enligt de förutsättningar som ni beskriver i handlingsplanen.

Andra faktorer som kan påverka prioritering

Det kan även finnas andra faktorer som kan påverka prioriteringen av aktiviteter till handlingsplanen. I samband med val av aktiviteter i handlingsplanen bör ni ställa exempelvis följande frågor:

  • Finns det områden eller satsningar som prioriteras i organisationen, till exempel e-tjänster, mobilt arbete eller nytt affärsområde?
  • Ger vissa aktiviteter ett symbolvärde internt eller externt?
  • Finns snabba lösningar (”lågt hängande frukter”) som kan ge goda exempel på kort tid, till exempel i form av pilotprojekt?
  • Finns långsiktiga aktiviteter som ni bör påbörja i tid, även om resultatet för dessa kommer längre fram i tiden?
  • Finns skäl att genomföra aktiviteterna i en viss ordning, exempelvis på grund av tekniska, organisatoriska eller pedagogiska omständigheter?

Tänk på att ni kan göra en kostnads-nyttoanalys för såväl hela handlingsplanen som för enskilda aktiviteter. En kostnads-nyttoanalys kan underlätta prioriteringen av aktiviteter (se Kostnads-nyttoanalys).

Framtagning och utformning av en handlingsplan

För att underlätta genomförandet av en handlingsplan så är det viktigt att alla berörda delar av organisationen är med vid framtagandet. På så sätt blir de aktörer som kommer att påverkas medvetna om kommande aktiviteter och förändringar i ett tidigt skede – ha som målsättning att ingenting som står i handlingsplanen ska komma som en ”överraskning” för någon som aktiviteten eller förändringen berör. Särskilt viktigt är förstås samverkan med de som sätts som ansvariga för aktiviteter, så att de kan få med det i sin planering och budgetarbete.

Aktiviteter i handlingsplanen innebär ibland inköp av konsulttjänster eller produkter, och i dessa fall är det bra att i tid engagera organisationens upphandlingsfunktion.

Handlingsplanens innehåll

En handlingsplan består huvudsakligen av de aktiviteter som den omfattar, med följande information om varje aktivitet:

  • Aktivitet (namn och kort beskrivning)
  • Årliga informationssäkerhetsmål (ett eller flera)
  • Säkerhetsåtgärd (en eller flera)
  • Prioritet
  • Kostnader och resurser
  • Ansvarig
  • Startdatum
  • Slutdatum

För mindre aktiviteter räcker det oftast med denna information. Lite större, mer omfattande och/eller komplexa aktiviteter kräver som regel en djupare beskrivning – exempelvis i form av uppdragsbeskrivningar och projektdirektiv. En del beskrivningar kan ni lägga in som bilagor till handlingsplanen.

Tänk på att ta höjd för oförutsedda kostnader, så kallade kringkostnader, som mer eller mindre alltid uppstår. Som exempel kan den personal som enligt handlingsplanen är avsedd för arbetet med en viss aktivitet bli upptagen (till exempel i reaktivt arbete med incidenter).

Notera beroenden mellan aktiviteter

Det är bra att göra särskilda noteringar för samband eller beroenden mellan aktiviteter – till exempel om en aktivitet endast kan börja när en annan aktivitet tagit slut. Notera även beroenden från aktiviteter och händelser som sker utanför handlingsplanen.

Illustrera med fördel aktiviteterna i handlingsplanen grafiskt, till exempel med hjälp av ett Gantt-schema. I ett sådant schema kan ni visualisera alla beroenden och flöden mellan aktiviteterna (se figur 1).

 Figur 1 

Figur U5:1: Aktiviteterna i handlingsplanen kan beskrivas grafiskt exempelvis i form av ett Gantt-schema.

Kommunikation i ett tidigt skede – för inkludering

Resultatet av en del aktiviteter i handlingsplanen kan medföra vissa förändringar för funktioner och medarbetare i organisationen. Även under handlingsplanens genomförande kan vissa aktiviteter medföra händelser som påverkar olika grupper internt, till exempel driftsstörningar vid uppgraderingar. Det är därför bra om ni i god tid planerar in och kommunicerar ut vilka förändringar som ni kommer att genomföra och, om det är möjligt, även tidpunkt för genomförandet. Det är nödvändigt både för att förändringarna ska accepteras, och för att alla nya eller förändrade lösningar ska fungera och kunna användas som det är tänkt.

Ni kan även behöva kommunicera med de externa aktörer som kan komma att påverkas av aktiviteterna i er handlingsplan – till exempel vid själva genomförandet av en aktivitet eller av dess resultat. Det kan handla om att delge viss information till exempelvis kunder, leverantörer, affärspartner, medborgare, fysiska besökare eller besökare på er externa webbplats.

Tänk på att alla former av kommunikationsfrågor alltid bör konsulteras med organisationens kommunikations­avdelning eller motsvarande.

Uppföljning av handlingsplanen

Ni behöver följa upp både handlingsplanen och de aktiviteter som den omfattar. Uppföljning behöver göras kontinuerligt och över hela den tid som handlingsplanen sträcker sig. Utan kontinuerlig uppföljning finns stor risk att mål och aktiviteter inte hinns med. Det är även bra att ha förutbestämda kontrollpunkter när handlingsplanen kan justeras. Allt detta bör koordineras med organisationens ordinarie planerings- och uppföljningscykler.

Resultatet av uppföljningen är viktig input för nästa (års-)cykels analys och utformning. Inte minst för att ni ska kunna föra in alla icke-genomförda aktiviteter i nästa handlingsplan – så att dessa kan prioriteras och bli genomförda nästa år.

Förverkligandet av handlingsplanen och dess resultat (eller brist på resultat) är relevant för metodsteget Följa upp och förbättra, och bör tas upp i Ledningens genomgång.

Under genomförandet av handlingsplanen bör CISO bevaka hur de olika aktiviteterna fortlöper (se Använda Genomförande och efterlevnad).

Observera att ni kan behöva rapportera stora problem eller avvikelser under genomförandet till ledningen.

Resultat

Ni kan skriva in er handlingsplan i verktyget Utforma Handlingsplan

Referens till standarder i 27000-serien:

  • SS-EN ISO/IEC 27001:2022: kap 6.2 och kap 8.1.

Kontinuitetshantering för informationstillgångar

Vad är kontinuitetshantering?

Kontinuitetshantering handlar om att planera för att upprätthålla sin verksamhet på en tolerabel, det vill säga för organisationen acceptabel, nivå oavsett vilken störning den utsätts för. Med kontinuitetshantering kan organisationer snabbare återhämta sig från och mildra konsekvenserna av en inträffad händelse (se Figur 1). Det innebär kortare störningsperioder i verksamheten och förhindrar att personella, ekonomiska, funktionella och informationsrelaterade värden går förlorade.

Arbetet kan bedrivas för att efterleva lagkrav eller kontrakt, men görs främst för att kunna upprätthålla verksamheten och därmed uppnå organisationens mål samt att bibehålla omvärldens förtroende även under störningar. För att kunna göra det behöver man veta vilken verksamhet som måste upprätthållas även under störning.

 Kontinuitetshanteringens två syften

Figur 1: Kontinuitetshanteringens två syften.

Det finns en ledningssystemsstandard för kontinuitetshantering som har samma struktur som standarden för ledningssystem för informationssäkerhet. Den här vägledningen ger en översikt över hur arbetet med kontinuitetshantering i en organisation kan införas som en del av det systematiska informationssäkerhetsarbetet.

Mer information om kontinuitetshantering och stöd i arbetet finns i MSB:s stöd för Kontinuitetshantering, www.msb.se/kontinuitetshantering.    

Ingångsvärden

Resultaten från samtliga analyser som gjorts i analysfasen är ingångsvärden till arbetet med kontinuitetshantering, samt vissa delar från utformafasen av informationssäkerhetsarbetet. Särskilt viktigt är:

  • Identifiering av kritiska informationstillgångar (Identifiera & Analysera Verksamhet)
  • Genomförda klassningar av information (se Utforma Klassningsmodell och Använda Klassning av informationstillgångar) och de resultat som framkommit avseende konsekvens för verksamheten om tillgängligheten begränsas under kortare eller längre tid. Tänk på att problem avseende konfidentialitet och riktighet i många fall resulterar i att informationen inte är tillgänglig under den tid det tar att utreda vad problemet beror på.

Samverkan mellan styrning av kontinuitetshantering och informationssäkerhet

Det systematiska informationssäkerhetsarbetet bör vara integrerat med, eller åtminstone samordnat med, organisationens arbete med kontinuitetshantering. Inte minst är detta viktigt eftersom de flesta organisationers information till stor del är digital och ofta mycket kritisk för organisationen.

Om det finns ett etablerat arbetssätt för kontinuitetshantering i organisationen bör du som CISO och övriga som arbetar med informationssäkerhet bidra med informationssäkerhetsaspekterna i arbetet. Bestäm hur ni ska arbeta för att få ut mest av de olika arbetssätten, välj att samverka eller integrera de båda områdena i ett gemensamt arbetssätt.

Om det inte finns ett etablerat arbetssätt för kontinuitetshantering i organisationen kan du som CISO verka för att ett sådant skapas. För att kunna skapa arbetssätt för kontinuitetshantering behövs information om vilka konsekvenser som kan uppstå i olika verksamheter vid störning. Ofta kan scenarier, skrivbordsövningar eller övningar där existerande arbetssätt testas öka intresset och förståelsen för kontinuitetshantering. Liksom för informationssäkerheten i stort är ledningens medvetenhet och engagemang avgörande för att lyckas med kontinuitetsarbetet.

Om det saknas ett kontinuitetsarbete blir det extra viktigt att du som CISO identifierar hur verksamhetens krav på kontinuitet gällande informationstillgångar ska hanteras inom era existerande arbetssätt för att utveckla, förvalta och drifta it-system.

Aktiviteter som informationsklassning, riskbedömning och bedömningar av incidenter har liksom kontinuitetshantering vissa delar gemensamt, exempelvis att göra konsekvensbedömningar. En organisation bör därför ha gemensamma, eller åtminstone kompatibla, kriterier och nivåer för bedömning av konsekvenser. Har organisationen kommit långt på något av dessa områden så kan övriga områden dra nytta av detta.

Har man inte en etablerad kontinuitetshantering för information i organisationen så är en fungerande klassning av informationstillgångar en bra grund för kravställning mellan verksamheter och främst it-funktioner (se Utforma Klassningsmodell och Använda Klassning av informationstillgångar).

Kritiska resurser som berör informationssäkerhet?

Börja med att identifiera vilka delar av verksamheten som är mest kritisk och behöver fungera oavsett störning. De resurser som verksamheten är beroende av kan vara av alla möjliga slag, exempelvis personal, verktyg, råvaror, lokaler och basala behov som vatten och elektricitet. Ofta är det även resurser i form av informationstillgångar av olika slag, det vill säga information och (främst) it-resurser. Det kan vara exempelvis verksamhetsspecifika och administrativa system, e-post, filer, molntjänster och hårdvara som PC, servrar, telefoner, nätverk med mera. Även mindre störningar i organisationens it-infrastruktur kan innebära att allt it-stöd försvinner, och avsaknad av internet innebär i regel att en mängd tjänster är otillgängliga, som till exempel molntjänster (lagring, program, drift), e-post och informationsinhämtning.

I dagens digitaliserade samhälle är ett fungerande it-stöd och anslutning till internet helt avgörande för att de flesta organisationer ska kunna bedriva sina verksamheter. Till exempel för att kunna kalla in extrapersonal måste man ha tillgång till kontaktuppgifter som troligen finns lagrade i it-miljön och för att nyttja lokaler måste passersystemet fungera. Utvecklingen med internet of things och cyberfysiska system innebär att fler typer av tillgångar och resurser är beroende av fungerande it, och ofta internetanslutningar, än tidigare.

Störningar i resurser som räknas till informationstillgångar innebär främst brister gällande tillgänglighet. Brister i tillgänglighet kan emellertid medföra brister i riktighet, exempelvis om inte rätt version av en programvara eller uppdaterad information inte finns tillgänglig. Även konfidentialitet kan vara en viktig aspekt som kan kopplas till kontinuitetshantering. Om organisationen misstänker att obehöriga fått åtkomst till information kan en åtgärd vara att göra informationen otillgänglig för alla tills man får kontroll över situationen.

Kontinuitetshantering för informationstillgångar

Arbetet med kontinuitetshantering bör som minst innefatta samhällsviktig verksamhet och det som krävs för att organisationen ska kunna utföra sitt uppdrag. Det konkreta arbetet med att skapa förutsättningar för kontinuitet kan ses som en cyklisk ”mini-PDCA” (Plan-Do-Check-Act) för varje relevant verksamhet och innefattar bland annat att:

  • Förbereda arbetet
  • Genomföra konsekvensanalys
  • Genomföra riskbedömning
  • Identifiera och införa säkerhetsåtgärder
  • Kommunicera, testa och öva
  • Vidareutveckla arbetet

För beskrivning av vad varje del innebär se Lathund för arbete med kontinuitetshantering (bild 12-27) på www.msb.se/kontinuitetshantering.

Tänk på att vissa av de analyser och planer ni tar fram kan innehålla känslig information. Exempelvis kan återställandeplaner innehålla detaljerade beskrivningar av it-miljön som bara de som behöver bör komma åt. De kan också innehålla kontaktuppgifter till personer eller funktioner som inte bör spridas eller ge information om sårbarheter som inte åtgärdats. Denna information kan vara värdefull för någon som vill misskreditera eller på annat sätt skada verksamheten.

Åtgärder före störning

Besluta om alla verksamheter ska ingå i arbetet med kontinuitetshantering eller om bara de som i era analyser identifierats som kritiska ska ingå. Om organisationens kritiska verksamheter inte är identifierade kan du utgå från genomförda informationsklassningar.

De verksamheter som identifierar ett högt behov av tillgänglighet ska analysera vilka åtgärder de behöver införa för att minska konsekvensen av störningar och den tid som störningen påverkar verksamheten. Kom ihåg att sådana åtgärder och alternativa arbetssätt också behöver ta hänsyn till de krav som finns på konfidentialitet och riktighet.

Tänk på att de förebyggande åtgärderna kan vara administrativa, fysiska och tekniska.

Till de administrativa åtgärderna räknas till exempel att de verksamheter som ska ha kontinuitetsplaner har alternativa arbetssätt att ta till när problem uppstår. Det är viktigt att man övar dessa och utvärderar både arbetssätt och behovet av resurser för att kunna arbeta på alternativt sätt. Exempel på alternativa arbetssätt är att använda telefon, papper och penna istället för it-system.

Till de fysiska åtgärderna räknas till exempel att förvara viktig information, blanketter och kontaktlistor utskrivna på papper i ett brandsäkert skåp.

Till de tekniska åtgärderna räknas till exempel dubblering av it-system på olika sätt och funktionalitet för efterregistrering av information. Dubblering av it-system kan exempelvis innebära att ett reservsystem tar över om det ordinarie inte fungerar, detta kan ske automatiskt eller manuellt. Funktionalitet för efterregistrering kan erbjuda möjlighet att manuellt registrera sådant som annars registreras automatiskt, till exempel  registrera i annans namn eller fylla i datum tidigare än dagens datum.

Åtgärder under störning

Störningar beror ofta på en incident av något slag.  Lyckas inte incidentorganisationen återställa normal verksamhet på den tid som är acceptabel för verksamheten kan man behöva besluta om att gå in i krishantering (se Utforma Incidenthantering). Arbetet med att återställa sker utifrån framtagna planer, till exempel återställandeplaner eller incidentplaner. Dessa kan också ingå i kontinuitetsplanen.

Under tiden arbetar verksamheten utifrån framtagna alternativa arbetssätt, verksamhetens kontinuitetsplan. Det kan finnas olika alternativa arbetssätt beroende på hur lång störningen är. Hur lång tid en störning är acceptabel kan dock variera mellan olika verksamheter i organisationen, i vissa verksamheter kan det krävas ett chefsbeslut för att gå över till alternativa arbetssätt.

När normal drift är återställd behöver verksamheten få besked om att de kan gå tillbaka till normalt arbetssätt igen.

Ibland kan det för verksamheten normala sättet att sprida information och kommunicera också drabbas av störningar. Intranät, chatt och videokonferens eller telefoni kan slås ut. Planera för att ha alternativa kommunikationssätt och tänk på att alternativen även behöver upprätthålla verksamhetens krav på konfidentialitet och riktighet. I en stressad situation kan det vara extra viktigt att sändare och mottagare av information är rätt och kan verifieras. Informera och öva de olika kommunikationsalternativen så att medarbetarna kan använda dem och känner sig bekväma med det.

Åtgärder efter störning

Eftersom alternativa arbetssätt ofta innebär att information skapas och hanteras på andra sätt än normalt kan man behöva föra in informationen i efterhand, så kallad efterregistrering. Se till att efterregistreringen uppfyller krav på konfidentialitet, riktighet och tillgänglighet. Det vill säga att efterregisteringen görs av rätt personer, med tillräcklig kvalitet och tillräckligt snabbt.

Utvärdera att valda åtgärder har fungerat. Se till exempel över om:

  • De alternativa arbetssätten fungerade som det var tänkt
  • Nödvändig information fanns tillgänglig. Beslut fattades i rätt tid med tillräckliga underlag
  • Rätt information nådde berörda i rätt tid

Se sedan över det som inte fungerade och förbättra.

Särskilt om leverans av it-tjänster

Resurser i form av interna och externa it-relaterade tjänster ska ha återställningstider som möter verksamheternas behov. Det innebär att de krav verksamheten har måste kunna mötas av den eller de it-verksamheter som levererar dessa tjänster, vilka kan vara organisationsinterna eller -externa. Är it-verksamheten intern ska kraven kommuniceras på det sätt som är etablerat i organisationen, och om den är extern sker det ofta med tjänsteavtal, där SLA (Service Level Agreement) styr nivåer av tillgänglighet för it-tjänster. För kritiska tjänster kan det vara nödvändigt att etablera en gemensam kontinuitetshantering inklusive test- och övningsverksamhet med den externa leverantören.

Även om organisationen har en intern it-verksamhet så är denna mer eller mindre beroende av externa aktörer, som leverantörer av tjänster och produkter och konsultstöd. Det är därför viktigt att it-verksamheten ställer rätt krav på dessa tjänster och produkter som, direkt eller indirekt, har bäring på it-verksamhetens kontinuitet.

Att stödja organisationens kontinuitet handlar i en it-verksamhet främst om två saker:

  • Att införa förebyggande säkerhetsåtgärder för att klara kraven på återställningstider för respektive it-resurs utifrån verksamhetens krav.
  • Att ha en fungerande incident- och krishanteringsfunktion i it-verksamheten för att kunna hantera de störningar som inträffar.

Det är också viktigt att se till att it-verksamhetens olika delar vet vad de ska göra när de inte kan använda ordinarie arbetssätt.

När det gäller att minska återställningstider handlar det förebyggande arbetet till stora delar om att stärka robusthet och redundans, genom exempelvis säkerhetskopiering och dubblering av systemdrift. Det är dock inte endast teknisk redundans och backup som är viktigt, utan även att se till att det finns tillräckligt med personal och kompetens, manuella reservrutiner vid händelse av elkraftbortfall m.m.

Det är också viktigt att se till att ha en tillräcklig generell säkerhet i it-miljön mot skadlig kod, intrång, haverier etcetera vilka alla kan äventyra driftsäkerheten. Något så enkelt som att ha uppmärkta kablar gör att det går fortare att hitta vilken kabel som går var. Särskilt viktiga är den gemensamma it-infrastrukturen och den fysiska säkerheten i och kring datahallar och kablage- och kopplingsutrymmen som alla it-tjänster är beroende av. Det är inte bara allvarliga it-avbrott som kan äventyra leveransen av it-tjänster, utan även många upprepade mindre störningar.

Referens till standarder:

  • SS-EN ISO/IEC 27002:2022: 5.29, 5.30
  • ISO/IEC 27031 Information technology – Security techniques – Guidelines for information and communication technology readiness for business continuity
  • SS-EN ISO 22301:2019 Samhällssäkerhet – Ledningssystem för kontinuitet - Krav
  • SS 22304:2014 Samhällssäkerhet – Ledningssystem för kontinuitet – Vägledning till SS-EN ISO 22301

Incidenthantering

Om incidenthantering

Den här vägledningen ger stöd till  organisationer i att utveckla sitt  förebyggande arbete med informationssäkerhetsincidenter.

Incidenter kan definieras på olika sätt. En vanlig definition är ”en oönskad händelse med negativa konsekvenser”. Ibland räknas även sårbarheter som ännu inte lett till negativa konsekvenser in i begreppet. Andra begrepp som används för att beskriva incidenter är till exempel problem, avvikelse, tillbud och oönskad händelse. Dessa begrepp kan också användas för att hålla isär incidenter av olika allvarlighetsgrad. En informationssäkerhetsincident är en incident som inträffar när skyddet av informationen inte är tillräckligt så att informationens konfidentialitet, riktighet eller tillgänglighet påverkas negativt.

De flesta organisationer vill få kännedom om alla typer av incidenter eftersom incidenter av alla slag indikerar att något inte står rätt till. Kunskapen ger organisationen möjlighet att åtgärda uppkomna problem innan situationen förvärras. För att framgångsrikt minska konsekvenserna av incidenter behöver organisationen ha arbetssätt för att hantera alla situationer som avviker från det normala. Det krävs också ett tillåtande klimat i organisationen och att medarbetare uppmuntras att rapportera incidenter.

Informationssäkerhetsincidenter sker idag oftast kopplat till organisationens it-miljö (också kallade it-säkerhetsincidenter) Informationssäkerhetsincidenter kan också ske på grund av felaktig hantering av information utanför it-miljön, till exempel genom borttappade USB-minnen, kvarglömd information på papper eller whiteboards, eller för att någon pratar om något de inte ska.

Att organisationen har ett arbetssätt för incidenthantering är en viktig del i det systematiska informationssäkerhetsarbetet. Incidenthanteringsarbetet handlar om att förbättra organisationens förmåga att minimera risken för att incidenter uppstår, minska incidenters konsekvenser, utreda orsakerna till incidenten och därigenom förbättra skyddet så att liknande incidenter inte inträffar i framtiden.

I en del författningar finns krav på att incidenter av olika slag ska rapporteras till olika myndigheter. För att kunna rapportera behöver organisationen ha ett arbetssätt som stödjer att incidenter upptäcks, bedöms, åtgärdas och utreds samt att det framgår av arbetssättet hur rapporteringspliktiga incidenter rapporteras till rätt myndighet.

Den här vägledningen innehåller stöd i hur arbetet med att utforma, införa och förbättra arbetssätt för att omhänderta incidenter kan genomföras. Vägledningen ger också tips på vad du behöver tänka på när du utvecklar eller förbättrar organisationens arbete med informationssäkerhetsincidenter i relation till annan incidenthantering.

Ingångsvärden

I ditt arbete med att utforma eller förbättra organisationens hantering av informationssäkerhetsincidenter kan du använda resultaten från samtliga analyser som gjorts i analysfasen (Identifiera och Analysera Organisation, Verksamhet, Risk, Val av säkerhetsåtgärder och Gap).

Du kan också ha nytta av interna regelverk som redan utformats. Utgå från det arbetssätt som din organisation redan har för att hantera informationssäkerhetsincidenter eller andra incidenter, om organisationen har  sådana.

Särskilt användbara delar från Metodstödets steg Utforma är:

  • Organisation för informationssäkerhet (Utforma Organisation).
  • Informationssäkerhetspolicy, riktlinjer, instruktioner eller andra styrdokument (Utforma Styrdokument).

Undersök nuvarande arbetssätt

En förutsättning för att förstå om något ska ändras, och i så fall vad, är att undersöka hur organisationen arbetar med informationssäkerhetsincidenter eller om arbetssättet saknas, andra typer av incidenter idag. Börja därför analysera organisationens nuvarande arbetssätt för incidenthantering genom att ställa dig följande frågor:

  • Vad ska medarbetare som upptäcker en incident göra? Vet medarbetarna hur de ska agera?
  • På vilket sätt hanteras olika incidenter i organisationen?
  • Finns det roller definierade och vad ingår i rollens ansvar och mandat?
  • Vilka begrepp använder organisationen?
  • Hur får de som arbetar med incidenter eller motsvarande kännedom om incidenten?
  • Hur samverkar de som hanterar incidenter inom olika områden med varandra?
  • Hur arbetar de som åtgärdar och återställer incidenter? Hur är de organiserade?
  • Vilka problem finns med nuvarande arbetssätt?
  • Om de som arbetar med incidenter inte lyckas åtgärda dessa och dess konsekvenser, har organisationen bestämt hur överlämningen till exempelvis krisorganisationen ser ut?

När du förstår hur organisationen arbetar idag kan du börja utforma, eller förbättra, arbetet med informationssäkerhetsincidenter.

Arbetssätt för att hantera incidenter

Incidenthantering består inte enbart av det arbete som görs för att lösa en uppkommen situation när en incident redan inträffat. Därför tar den här vägledningen både upp begreppet incidenthantering i det operativa arbetet och det arbete som görs för att utforma, utvärdera och förbättra samtliga arbetssätt som relaterar till informationssäkerhetsincidenter. På så sätt skapas en sammanhållen bild av allt arbete som organisationen gör på informationssäkerhetsområdet för att undvika, avhjälpa och minimera negativa effekter av incidenter samt för att utreda och åtgärda orsaken till incidenter.

I det operativa arbetet med incidenter ingår att

  • upptäckta incidenter anmäls i tekniska system eller manuellt av anmälare
  • ta emot och bedöma incidenter utifrån organisationens definierade bedömningskriterier
  • arbete med att åtgärda incidenter genomförs så att verksamhetens funktion återställs
  • utreda orsakerna till incidenter.

I incidenthantering ingår alltså både det arbete som organisationen behöver göra för att utforma och förbättra det operativa arbetet med informationssäkerhetsincidenter och det operativa arbetet i sig.

Incidenthanteringens olika delar

Figur 1: Bilden visar på incidenthanteringens olika delar. 

Arbetssättet som beskrivs här är generellt och passar alla organisationer. Omfattningen och innehållet i respektive del behöver varieras och utformas utifrån din organisations behov.

Utforma ansvar och arbetssätt

För att hanteringen av informationssäkerhetsincidenter ska fungera operativt och kunna följas upp behöver ett antal tydliga funktioner eller roller och dess arbetsuppgifter definieras i incidenthanteringsorganisationen. Det är viktigt att roller, ansvar och mandat är tydliga för att organisationen ska klara av att hantera den stressade situation som en incident kan innebära. I listan finns exempel på funktioner och en beskrivning av deras arbetsuppgifter.

Funktion

Beskrivning arbetsuppgifter/ansvar

Tips och råd

Incidentanmälare

Den som upptäcker en incident och som ska anmäla detta.

Exempel på anmälare: alla medarbetare, informationsägare, it-support, it-drift, Incident manager it, men även extern aktör som till exempel leverantör eller användare utanför organisationen

 

Incidentmottagare/operativ incidentsamordnare

Funktion i det operativa arbetet. Tar emot, bedömer och samordnar på ett övergripande sätt det operativa arbetet med incidenter. Säkerställer att incidenter åtgärdas om det behövs. Ser till att grundorsaken till incidenten utreds.

Utifrån behov och arbetssätt kan incidentmottagarna till exempel vara del av it-support eller en särskild incidentorganisation.

 

 

Incidentmottagarna kan, om organisationen finner det lämpligt, ha en mer aktiv roll under fasen åtgärda och återställa genom att till exempel bevaka att extern rapportering sker och föra logg. Mottagaren kan även ansvara för att genomföra grundorsaksanalyser när incidenten är över.

Åtgärdsansvarig

Ansvarar för steget åtgärda och återställa  i det operativa arbetet. Åtgärdsansvarigs uppgift är att på ett systematiskt sätt arbeta med att återställa normal verksamhet eller i alla fall så fungerande verksamhet som möjligt. Vem som är åtgärdsansvarig beror på var incidenten inträffar och vilka verksamheter som är påverkade. Vanliga åtgärdsansvariga är it-chef, eller i större organisationer chefer ansvariga för olika delar av it-miljön, fastighetschef eller personalchef.

 

 

Åtgärdsansvarig behöver ha personal som kan lösa inträffad incident. Behöver flera åtgärdsanavariga samordna sina arbeten behöver en person utses att leda arbetet. Att ha övat i förväg hur man ska återställa verksamheter man är ansvarig för samt att samordna sig underlättar när en incident som omfattar flera olika delar av organisationen inträffar.

Incidentägare

Ansvarig för en verksamhet där incidenten inträffar. Kan vara en verksamhetsansvarig eller ansvarig för ett visst it-system. I organisationer som använder begreppet riskägare bör det vara samma person.

 

 

Beroende på hur omfattande incidenten är kan flera verksamheter påverkas av att en incident inträffat någon annanstans. Här behöver vissa uppgifter genomföras av alla som påverkas medan den som ansvarar för verksamheten där incidenten uppkommit behöver ta en mer aktiv roll då denne eller någon den utser bör vara primär kontakt till åtgärdsansvarig.

Incidentsamordnare

En eller flera personer som har ett sammanhållande ansvar för det övergripande arbetet med incidenter och att alla sex stegen fungerar som de ska. Antingen för ett område, till exempel informationssäkerhetsincidenter, eller för all incidenthantering i organisationen.

 

 

Integrera

Det är värt att lägga tid på att få organisationen att arbeta så likartat som möjligt oavsett vilken typ av incident som inträffar. Det underlättar samarbetet när incidenter påverkar flera verksamheter om ni har ett liknande arbetssätt eller i alla fall ett arbetssätt som fungerar tillsammans med de andra arbetssätten. Oavsett bör olika verksamheter dra nytta av erfarenheter från varandra. För att utforma ett enhetligt arbetssätt behöver alla i organisationen som arbetar med incidenter samverka, exempelvis kvalitetsansvariga, arkivfunktionen, funktioner för säkerhet, it- support, it-drift, personal och fastighets- eller lokalservice.

Utse gärna en incidentsamordnare för informationssäkerhetsincidenter som har ansvar för att ta fram, anpassa och utvärdera hur organisationen arbetar med dessa. Incidentsamordnaren för informationssäkerhetsincidenter är också den som samverkar med incidentsamordnare i andra delar av organisationen om organisationen har flera.

Utforma det operativa arbetet med informationssäkerhetsincidenter

Du vet nu hur organisationen arbetar med informationssäkerhetsincidenter. Du vet också vem som ansvarar för vad, och hur arbetet med incidenter genomförs i andra delar av organisationen. Nu kan du utforma eller förbättra arbetssätt för det operativa arbetet med informationssäkerhetsincidenter.

För att underlätta läsningen kommer vi från och med nu använda begreppet incident för att beskriva informationssäkerhetsincidenter. Vi kommer också att använda begreppet incident oavsett allvarlighetsgrad det vill säga inte skilja mellan avvikelse, oönskad händelse eller incident. Kom ihåg att ni som organisation behöver sätta upp kriterier för hur ni ska skilja på olika incidenter utifrån allvarlighetsgrad för att kunna arbeta effektivt.

Det här avsnittet beskriver hur du utformar det operativa arbetet med att

  • upptäcka och anmäla
  • bedöma och besluta om åtgärd
  • åtgärda och återställa
  • identifiera grundorsaker.

Oavsett om du utformar arbetssätten från grunden eller förbättrar nuvarande arbetssätt kommer du för varje del behöva

  1. identifiera vilka roller som behöver agera och på vilket sätt
  2. utforma stödmaterial som beskriver hur arbetet ska gå till.

Upptäcka och anmäla

Grunden i det operativa incidentarbetet är att upptäcka incidenter och att få dem anmälda. Incidenter som upptäcks vid övervakning av it-miljön och incidenter som upptäcks av medarbetare eller andra användare måste komma till organisationens kännedom. Tänk på att anmälan i sig kan innehålla känslig information.

Det behövs ett arbetssätt för hur incidenter som upptäcks vid övervakning av it-miljön hanteras. Det kan till exempel innebära att de som övervakar också agerar som incidentmottagare eftersom de som övervakar bäst kan bedöma allvarlighetsgraden i de avvikelser de ser och bedöma om dessa ska skickas vidare för att åtgärdas.

När incidenter upptäcks av medarbetare eller andra användare måste de veta hur incidenterna ska anmälas. Arbetssättet behöver i förväg vara känt i organisationen så att alla vet att det är viktigt att anmäla och hur.

Oavsett hur incidenter ska anmälas är det bra att tänka igenom vilka uppgifter incidentmottagaren behöver för att kunna göra en första bedömning av incidenten och dess allvarlighetsgrad. Ofta räcker det med att anmälan innehåller:

  • Kort beskrivning av det problem som anmälaren upplevt.
  • Kort beskrivning av vad anmälaren eventuellt gjort för att försöka åtgärda problemet.
  • Kontaktuppgifter till anmälaren för att kunna ställa frågor om det behövs mer information.

Det viktiga är att incidentmottagaren blir uppmärksammad på att det hänt något och kan göra en första bedömning av situationen som uppstått. Det är bättre att det görs anmälningar om incidenter som vid senare bedömning inte visar sig vara en incident, än att en incident får pågå utan att någon anmäler den. Uppmuntra därför medarbetare att hellre anmäla en gång för mycket än en gång för lite. Det är också viktigt att ge återkoppling till anmälaren.

Om ni har ett systemstöd för att anmäla incidenter kan det ändå vara bra att skapa ett formulär i till exempel Word som kan användas som reservrutin om systemstödet inte fungerar. Formuläret kan också användas av anmälare som av någon anledning vill vara anonyma.

Incidenter som rör er information kan även inträffa hos externa aktörer, till exempel leverantörer. Därför är det viktigt att det framgår i de avtal ni har med leverantörer hur de ska agera om de upptäcker en incident som påverkar er. Specificera även i avtal hur de ska lösa incidenten och hur de ska informera er. Ställ också krav i avtalen på hur de ska samverka med er för att lösa incidenter hos någon av er som påverkar den andra organisationen.

Incidenter kan också upptäckas av kunder och allmänheten. Det behöver även finnas ett sätt för dem att anmäla det till er. Tänk på att rekommenderade kontaktvägar kanske inte alltid används. Därför behövs också tydlig intern information till de funktioner som hanterar vanliga kontaktvägar in i organisationen, så som till exempel registrator, receptionist eller liknande funktion om hur de ska agera om de får information om en informationssäkerhetsincident så att incidenten hamnar hos rätt incidentmottagare.  

Utbildning

Varje medarbetare bör få en genomgång av vad som är en incident och hur den anmäls (se material under Använda Utbildning och kommunikation). Det innebär att organisationen behöver ha ett tydligt sätt att anmäla incidenter och att detta kommunicerats.

För att medarbetarna ska kunna anmäla incidenter behöver de

  • förstå vikten av att anmäla incidenter
  • förstå vad som är tecken på en incident
  • ha kunskap om hur de anmäler incidenter.

De behöver också få kunskap om att

  • Incidenter hanteras hela tiden och är en del i normal verksamhet.
  • Det är viktigt att de som arbetar med att lösa en incident får möjlighet att arbeta ostört. Detta kan resultera i sämre service för lägre prioriterad verksamhet så länge incidenten pågår.
  • Medarbetare kan bli ombedda att hjälpa till vid incidenter genom att till exempel testa att de som användare kan arbeta normalt.

Bedöma och besluta

I det här steget sker arbetet med att ta emot anmälningar om att en incident inträffat och göra en första bedömning av om det rör sig om en incident eller inte.

Om det är en incident behöver incidentmottagaren bedöma hur allvarlig incidenten är. En bra grundprincip är därför att initialt bedöma allvarlighetsgraden av incidenten så att den motsvarar den skyddsnivå som satts på informationen som påverkas. Eftersom it-system får skyddsnivå utifrån den information det innehåller, används it-systemets skyddsnivå i det fall incidenten påverkar ett it-system. Skyddsnivån ger en indikation på incidentens allvarlighetsgrad (Se Använda Klassning av informationstillgångar).

De värden för konfidentialitet, riktighet och tillgänglighet som satts under klassning av informationen ger en god indikation på hur bråttom det är att agera. Organisationen kan också ha andra kriterier, till exempel en prioritetsordning mellan olika verksamheter eller it-system. Det ger också ett underlag för att kunna bedöma allvarlighetsgrad och påverkar hur bråttom det är att agera.

Om incidentmottagaren bedömer att incidenten behöver åtgärdas ska den lämnas vidare till rätt funktion inom organisationen. Incidentmottagarens roll behöver vara känd i organisationen och ha ett tydligt mandat så att ansvariga för den verksamhet som drabbas vet vad de kan få hjälp med. Incidentmottagaren behöver också  etablera en nära samverkan med åtgärdsansvariga.

För att inte tappa bort ärenden och veta deras status behöver incidentmottagaren registrera viktiga händelser och beslut till exempel allvarlighetsbedömning för incidenten, om incidenten överlämnats till åtgärdsansvarig, när incidenten upptäcktes och när den bedöms vara över, vem som genomför grundorsaksanalys och vad incidenten berodde på. Dokumentationen bör också kunna ge underlag för att se vilka incidenter som sker och hur mycket de kostar organisationen.

Incidentmottagaren behöver kunna

  • Bedöma om det är en incident eller om det rör sig om till exempel ett supportärende.
  • Hur allvarlig incidenten är.
  • Om incidenten behöver åtgärdas och var den ska åtgärdas.
  • Kommunicera med ansvarig för drabbad verksamhet.
  • Registrera annan relevant information om incidenten.

Åtgärda och återställa

Den som är åtgärdsansvarig ansvarar för arbetet med att åtgärda incidenten och samordnar de aktiviteter som behöver göras för att normal funktion ska återställas.

Det behövs helt olika kompetenser för att åtgärda och återställa informationssäkerhets­incidenter som berör it-system jämfört med andra incidenter som berör informations­säkerheten så som till exempel ett borttappat USB-minne med viktig information eller försvunnen post med känsliga uppgifter i.

I fall där incidenten inte berör it-miljön kan åtgärdsansvarig vara verksamhetsansvarig, CISO eller motsvarande. Det viktiga är att verksamheten som drabbas deltar i arbetet med att finna sätt att återställa verksamheten, utreda orsaker till varför det inträffat och förbättra sitt arbetssätt.

Den som ska åtgärda incidenter i it-miljön behöver ha kunskap om hur den är uppbyggd och vilka incidenter som kan sprida sig eller påverka andra delar av it-miljön än incidenten gjorde initialt. Ofta krävs djup kunskap om de it-system som drabbats och en generell kunskap om närliggande it-system.

Vid informationssäkerhetsincidenter i it-miljön behöver driftorganisationen ha förmågan att åtgärda incidenterna. Beroende på hur verksamheten är organiserad och incidentens omfattning kan åtgärdsansvarig vara till exempel chefen för it-enheten. Det kan också vara chefen för någon del av it-miljön om endast en avgränsad del av it-miljön drabbats. Även om det finns rutiner så att enskilda tekniker med stöd av återställandeplaner eller motsvarande kan återställa berört system är det chefen som är åtgärdsansvarig.

It-organisatisationen arbetar utifrån sina arbetssätt gällande vem som håller samman incidentarbetet, vilka som deltar att återställa drift och vilka som utreder vad som gått fel. Hur arbetet ska organiseras vid en incident beror på hur omfattande incidenten är och hur mycket den påverkar organisationen.  

Oberoende av var incidenten inträffar behövs ofta stöd från verksamheten för olika bedömningar och uppgifter som till exempel att prova att återställningen gått bra. Det kan även behövas stöd från jurister och personuppgiftsansvarig för att bedöma konsekvenserna av det inträffade. Om man behöver göra nya, oprövade, åtgärder för att lösa incidenten behöver detta riskbedömas innan så inte lösningen orsakar ännu värre konsekvenser.

För att incidenthanteringen ska fungera riktigt bra behöver de som arbetar med att åtgärda incidenter öva. Det kan göras på olika sätt. Till exempel genom mikroövningar, genom teoretisk genomgång av de rutiner man har eller genom att öva i en särskild it-miljö. Fördelen med mikroövningar är att de går att göra regelbundet eftersom de är enkla att genomföra, skapar medvetenhet om vad som kan hända och ger medarbetarna mental förberedelse och en vana att beskriva i ord vad som kan hända och hur man kan åtgärda det. Man kan också öva genom att skapa scenarier där någon del av verksamheten påverkas.

Det är bra att ha en övergripande plan för hur arbetet med att åtgärda incidenter ska bedrivas. Planen kan innehålla vilka interna och externa resurser som finns att tillgå för olika situationer, hur man arbetar för att uppnå uthållighet över tid, hur kompetensen för resurserna upprätthålls och hur arbetssätten övas. Den bör också innehålla information om vad som behöver göras om incidenten drar ut på tiden.

Under en incident behöver åtgärdsansvarig, den som utsetts att leda arbetet, säkerställa att

  • tillräckligt många resurser med rätt kompetens arbetar med att lösa incidenten.
  • arbetet sker strukturerat och dokumenteras.
  • beslut fattas om i vilken ordning olika åtgärder ska göras.
  • se till att det finns stöd från andra funktioner. Till exempel informationssäkerhetsspecialist, it-säkerhetsansvarig, peronuppgiftsansvarig eller jurist. Dessa behövs särskilt om ni bedömer att incidenten kräver att ni  tar till åtgärder som skulle kunna innebära att ni riskerar att förvärra situationen eller skapa nya incidenter.
  • verksamhetensansvarig hålls uppdaterad om hur arbetet fortskrider så att denne kan fatta nödvändiga beslut. Detta kan till exempel vara beslut om att aktivera verksamhetens kontinuitetshantering, begära stöd från krisorganisationen, och beslut om när man kan återgå till normalt arbetssätt.

För resurserna ska användas på bästa sätt kan åtgärdsansvarig behöva ha möjlighet att ge incidentmottagaren eller någon annan en mer aktiv roll under incidenten. Det kan vara att föra incidentlogg eller att hjälpa till med att informera berörda om vad som händer. En annan uppgift som någon utanför själva arbetet med att åtgärda incidenten kan göra är att bevaka om kraven för extern rapportering till tillsynsmyndighet eller motsvarande har uppnåtts.  

Om inte incidentorganisationen får kontroll över situationen och konsekvensen av det inträffade blir större än ordinarie verksamhet kan hantera behöver det finnas tydliga kriterier och rutiner i incidenthanteringsarbetet för när krisorganisationen ska aktiveras.

Identifiera grundorsaker

När incidenten är över och normal verksamhet pågått en tid ska grundorsaken till incidenten identifieras. Tänk på att inte vänta för länge. Risken är att de som har kännedom om arbetet glömmer viktiga detaljer.

Det är viktigt att få en så oberoende utredning som möjligt. Därför bör grundorsaksanalysen  utföras av någon som själv inte aktivt deltagit i att lösa incidenten och som inte tillhör den verksamhet som drabbats.

Syftet med grundorsaksanalysen är att förstå vad som orsakat incidenten och vad som påverkat hur den utvecklats. Det gäller både sådant som gick bra och det som gick mindre bra. Det är viktigt att finna orsaken och inte bara symptomen och ofta synliggör grundorsaksanalyser ett antal åtgärder som behöver införas för att undvika att incidenten upprepas. Att införa åtgärder kostar tid och resurser. Lägg dem på åtgärder som minskar risken att fler incidenter orsakas av samma anledning.

En grundorsaksanalys kan göras på olika sätt. Ett sätt är att fråga ”varför” fem gånger eller så många gånger det krävs för att hitta en orsak. Det finns också modeller med fasta kriterier att utgå från. Ofta finns det flera grundorsaker till att en incident uppkommit. Det kan till exempel handla om att befintliga tekniska säkerhetsåtgärder inte gav tillräckligt skydd, att arbetssätten inte fungerade som det var tänkt eller brister i interna styrdokument och stödmaterial.

Grundorsaksanalysen och förslag på åtgärder överlämnas till incidentägaren som sedan beslutar vad organisationen behöver göra för att incidenten inte ska upprepas. Incidentägaren kan behöva samverka, eller överlämna ansvaret, för att åtgärder som förhindrar upprepning av incidenten ska kunna införas.

Vissa föreslagna åtgärder behövs omedelbart medan andra kan åtgärdas senare och till exempel tas upp i årliga handlingsplaner (se Utforma Handlingsplan). Åtgärderna kan vara kortsiktiga, till exempel att ett it-system behöver startas om en gång i veckan. Det kan vara aktuellt om det exempelvis finns ett pågående projekt att byta ut systemet för att få en långsiktig lösning. Ibland kan incidenter bero på en bristande kravställning flera år tillbaka. Då är det viktigt att se till att arbetet med kravställning förbättras för kommande it-system.

Om det inträffar en incident där grundorsaken redan är känd men bättre säkerhetsåtgärder inte hunnit införas behövs ingen ny utredning. Däremot ska incidenten noteras så att åtgärderna ska kunna prioriteras utifrån de incidenter som verkligen uppstår.

Utvärdera och förbättra arbetet med incidenthantering

En organisations incidenthantering bör utvärderas regelbundet. Incidentsamordnaren har ett övergripande ansvar för att utvärderingar görs och för att ledningen får den information de behöver för att kunna prioritera resurser mellan olika delar i organisationen.

Exempel på vad som kan vara bra att utvärdera och åtgärder som kan behöva införas eller förbättras:

  • Hur väl har de som anmäler incidenter förstått var de ska anmäla och vilken information de behöver beskriva? Behöver utbildningsmaterial förbättras?
  • Hur bra fungerar incidentmottagarens bedömningar av allvarlighetsgrad och att överlämna incidenter som behöver åtgärdas till åtgärdsansvarig? Behövs mer utbildning, tydligare kriterier, utökad samverkan?
  • Hur väl har den externa rapporteringen fungerat? Har organisationen rapporterat de incidenter de ska enligt gällande föreskrifter?
  • Hur lång tid tar det från att en incident anmäls tills allt fungerar normalt igen? Finns flaskhalsar mellan överlämningar eller brister i arbetssätt som ger fördröjningar?
  • Hur väl fungerar de underlag, driftsdokumentation, återställandeplaner, incidentplaner eller motsvarande, som stöd för att felsöka och åtgärda incidenterna? Behöver mallar eller dokument uppdateras?
  • Kan man utifrån de sammanställda grundorsaksanalyserna se problem som har identifierats i alla eller en majoritet av utredningarna? Finns det kvalitetsbrister i arbetssätt som har med kravställning, utveckling, inköp, godkännande inför driftsättning eller motsvarande som behöver åtgärdas?

Referens till standarder i 27000-serien:

  • SS-EN ISO/IEC 27002:2022: Kapitel 5.26 Hantering av informationssäkerhetsincidenter.
  • SS ISO/IEC 27035:2012 Informationsteknik – Säkerhetstekniker - Styrning och hantering av informationssäkerhetsincidenter (ISO/IEC 27035:2011, IDT).
  • ISO/IEC 27035-1:2023 (eng.) Information technology – Information security incident management – Part 1: Principles and process.
  • ISO/IEC 27035-2:2023 (eng.) Information technology – Information security incident management – Part 2: Guidelines to plan and prepare for incident response (stöd i att utveckla steget åtgärda/återställa it-incidenter).

 

Licens