Lyssna

Analysera

Ett systematiskt informationssäkerhetsarbete måste alltid anpassas efter en organisations specifika omständigheter. Därför är det viktigt att analysera både omvärlden och den egna verksamheten för att känna till nuläget och vad som sätter ramarna för er.

Identifiera och analysera

Avsnittetbestår av fyra delar:

  • Verksamhetsanalys

    Verksamhetsanalysen innefattar identifiering av verksamhetens väsentliga informa­tionstillgångar samt kartläggning av interna intressenter (som beslutsfattare, objekt­sägare, medarbetare, stödenheter) och förutsättningar (som mål, strategier, organisa­tionsstruktur, infrastruktur).

  • Omvärldsanalys

    Omvärldsanalysen innefattar identifiering av externa krav, inklusive rättsliga krav, (som författningar, kontrakt och avtal) samt kartläggning av externa intressenter (som ägare, kunder, leverantörer, granskare) och förutsättningar (som branschspecifika, tekniska, sociala, miljömässiga, politiska).

  • Riskbild

    Riskanalysen identifierar informationssäkerhetsrisker och kan användas verksamhets­övergripande eller för ett enskilt analysobjekt. Riskerna mot informationssäkerheten tas fram genom en systematisk och kreativ process.

  • Gapanalys

    Gapanalysen kan genomföras med utgångspunkt i resultat från analys av verksamhet, omvärld samt risk men också genomföras utan att de andra analyserna först genomförts. Gapanalys sker sedan med utgångspunkt i de valda säkerhetsåtgärderna, om detta är gjort, eller med utgångspunkt i samtliga säkerhetsåtgärder från standarden SS-EN ISO/IEC 27001, bilaga A (finns med i verktyget). Gapanalysen avser gapet mellan de säkerhetsåtgärder man tar utgångspunkt i och nuvarande status på respektive säkerhetsåtgärd.

Tillsammans säkerställer analyserna att informationssäkerheten i verksamheten utformas med utgångspunkt i ett tydligt definierat nuläge.

I vilken ordning ni genomför analyserna är beroende på vilka förutsättningar som råder i organisationen och vad som ni kommer fram till är mest framgångsrikt i er organisation.

Resultatet av analyserna är en lista på interna och externa förutsättningar och aktörer samt hur det ska påverka informationssäkerhetsarbetets utformning i nästa steg. Dessutom upprättas en lista på informationstillgångar som ska skyddas, vilka risker de ska skyddas mot, samt valda säkerhetsåtgärder och status på dessa. Informationen används i huvudsak senare i metodsteget Utforma.

Vägledningar inom Analysera

Verksamhetsanalys

Den här vägledningen fokuserar på informationssäkerhetens interna perspektiv.

Omvärldsanalys

Den här vägledningen fokuserar på det externa perspektivet, där ni identifierar er organisations omvärld i tre delar.

Riskbild

En riskbild ger en grov bild av vilka risker som organisationen i stort bedöms vara utsatt för och hur allvarliga dessa är.

Gapanalys

Identifiera skillnaden mellan den informations­säkerhets­nivå som ni behöver uppnå och den faktiska nivån.

Revideringshistorik

  • Revideringshistorik för Analysera
    11 juni 2024
      Ändringar:
    • Mindre strukturella förändringar.
      Introduktionsfilmerna har flyttats till respektive vägledning.
    11 juni 2021
      Ändringar:
    • Länkar till korta introduktionsfilmer om respektive analys publicerade i inledningen.
    09 februari 2018
      Ändringar:
    • Första versionen publicerades
Uppdaterad: 11 juni 2024 klockan 10:04 Publicerad: 11 juni 2024 klockan 10:04
Kontakta sidansvarig: informationssakerhet@msb.se