Stöd för systematiskt informationssäkerhetsarbete i organisationer

Myndigheter i samverkan (MSB, FRA, FMV, Försvarsmakten, Säkerhetspolisen, FMV, PTS, Polisen)
Upphovsman detta kapitel: MSB, https://www.informationssakerhet.se/
Licensierat under en Creative Commons Erkännande-DelaLika 4.0 Internationell Licens

Varför informationssäkerhet? Läs mer om(3:22 min):

 Metodstöd


MSB:s Metodstöd för systematiskt informationssäkerhetsarbete riktar sig till dig som arbetar med informationssäkerhet i en organisation, oavsett verksamhetsområde och storlek på  organisation. Metodstödet ska kunna användas om din organisation står i startgroparna för att införa det systematiska arbetssättet men också om din organisation redan har mycket på plats.

 

Analysera

Avsnittet består av fyra delar: 

  • Verksamhetsanalys 
  • Omvärldsanalys 
  • Riskbild
  • Gapanalys 

Tillsammans säkerställer analyserna att informationssäkerheten i verksamheten utformas med utgångspunkt i ett tydligt definierat nuläge. I vilken ordning ni genomför analyserna är beroende på vilka förutsättningar som råder i organisationen och vad som ni kommer fram till är mest framgångsrikt i er organisation.

 

Utforma

I Utforma skapas de huvudsakliga delar som behövs för verksamhetens systematiska informationssäkerhetsarbete. Dessa är uppdelade i nio delar:

  • Organisation 
  • Ledning och styrning
  • Informationssäkerhetsmål
  • Styrdokument
  • Riskhantering
  • Klassningsmodell
  • Välj säkerhetsåtgärder och skapa skyddsnivåer
  • Handlingsplan
  • Kontinuitetshantering för informationstillgångar
  • Incidenthantering

Hur delarna ska utformas beror på resultaten i metodsteget Identifiera och analysera. Som helhet bör dessa leda till strategiska Informationssäkerhetsmål och beskrivning av roller i säkerhetsarbetet (Organisation).

I Identifiera och analysera: Med stöd av gap-analysen utformas verksamhetens SoA (Statement of Applicability) som konkret uttrycker verksamhetens val av säkerhetsåtgärder och nuvarande brister.

 

Använda

När styrningen är utformad (Utforma) ska organisationen tillämpa den. 

Detta beskrivs i detta avsnitt som består av:

  • Riskanalys
  • Klassning av information
  • Genomföra och efterleva
  • Utbilda och kommunicera

Aktiviteter som ingår i Handlingsplan ska genomföras och Styrdokument ska efterlevas enligt utpekat ansvar i respektive dokument. Oförutsedda händelser och förändringar behöver hanteras. Stöd för detta ges i Genomföra och efterleva med fokus på CISO:s roll som kan vara utförande, deltagande, stödjande och bevakande eller responderande.

Att dokumentera hur arbetet fortlöper gällande Genomföra och efterleva, Utbilda och kommunicera och Klassningsmodell är viktigt för att kunna Följa upp och förbättra.

Löpande behöver information och kunskap om informationssäkerhet kommuniceras till olika delar i verksamheten, och stöd för detta ges i Utbildning och kommunikationStöd för att klassa informationstillgångar utifrån organisationens Klassningsmodell ges i Informationsklassning.

 

Följa upp och förbättra

Avsnittet består av två delar: 

  • Utvärdera och följa upp
  • Ledningens genomgång
Detta metodsteg vägleder om utformning av arbetssätt för uppföljning och förbättring av informationssäkerhetsarbetet och dess styrning.
 
Genom övervakning, mätning och måluppföljning erhålls uppgifter som stödjer utvärdering av ifall informations­säkerheten i stort är ändamålsenligt utformad, har avsedd verkan, samt att säkerhets­åtgärder existerar och fungerar tillfredsställande. Resultatet från utvärderingen ligger bland annat till grund för intern revision, ledningens genomgång samt som ingångsvärde till Identifiera och Analysera för nästa omtag i det systematiska informationssäkerhetsarbetet.
 
Med ledningens genomgång avses att ledningen ser över verksamhetens systematiska informationssäkerhetsarbete och dess styrning för att säkerställa dess fortsatta lämplighet, tillräcklighet och verkan. Genomgången sker oftast i form av ett möte, där informationssäkerhetsläget i verksamheten beskrivs av CISO, diskuteras av ledningen med utgångspunkt från specifika frågeställningar, samt där beslut tas i fråga om arbetets inriktning och resurser. Besluten kan gälla; förbättringar av informationssäkerheten, förändringar i sättet att styra informationssäkerheten och hur det beskrivs  i policyer och riktlinjer för informationssäkerhet, samt beslut om resurstilldelning. Besluten ger sammantaget ledningens inriktning för det fortsatta systematiska informationssäkerhetsarbetet.
 
Det som beslutas av ledningen efter ledningens genomgång ska sedan hanteras i Handlingsplan, eventuellt uppdaterade Styrdokument och som övrig input till Utforma.
 

Termbank

Välkommen till Termbanken för informationssäkerhet – MSB:s tjänst för att söka bland informationssäkerhetstermer! 

Termbanken för informationssäkerhet innehåller den nationella terminologin för informations- och cybersäkerhetsområdet. Bakom termbankens innehåll – termer, definitioner och andra upplysningar på svenska och termer på engelska – står MSB:s expertgrupp med representanter från privat och offentlig sektor, samt akademin – alla med lång erfarenhet av standardisering på området. MSB, som ansvarar för termbanken, följer språklagen och tar genom termbanken ansvar för det svenska fackspråket på området.