Den gapanalys som genomförs här tar sin utgångspunkt i standarden SS-EN ISO/IEC 27001 och de säkerhetsåtgärder som återfinns i bilaga A. Med utgångspunkt i dessa behöver ni identifiera de säkerhetsåtgärder som ni ska använda. Tänk på att det kan finnas säkerhetsåtgärder som är relevanta för er men som inte finns med i standarden.
I gap-analysen kan ni antingen utgå ifrån samtliga säkerhetsåtgärder som finns i SS-EN ISO/IEC 27001 bilaga A eller om ni har genomfört de andra analyserna (verksamhetsanalys, omvärldsanalys och övergripande riskanalys) först så utgår ni ifrån dessa och väljer säkerhetsåtgärder som ska ingå i gapanalysen utifrån resultaten som ni har fått vid de analyserna.
Att genomföra de andra analyserna (verksamhetsanalys, omvärldsanalys och övergripande riskanalys) är ett krav om ni vill efterleva ISO‑standarden SS‑EN ISO/IEC 27001.
Gör gap-analysen övergripande för hela verksamheten. Vid behov kan ni givetvis göra den för en utvald del av verksamheten. Normalt tar det mellan två och fem arbetsdagar att genomföra en gapanalys.
Om det är första gången som ni gör gapanalys så kan ni göra den i följande två steg:
Steg 1 är förberedande och behöver bara göras en gång, men steg 2 kan ni behöva se över och komplettera om eller när det framkommer nya resultat i andra analyser.
Om ni gör gapanalysen utifrån alla säkerhetsåtgärder i bilaga A utan att i detta skede avgöra vilka som är relevanta för er organisation så hoppar ni i detta skede över att fastställa och motivera (nästa rubrik). Om ni däremot har genomfört de andra analyserna och är mogna att även välja ut för er organisation relevanta säkerhetsåtgärder så går ni nu vidare med att fastställa och motivera relevanta säkerhetsåtgärder.
Genom att fastställa och motivera relevanta säkerhetsåtgärder skapar ni det så kallade SoA (Statement of Applicability eller UoT Uttalande om Tillämplighet). Detta kan göras i samband med gapanalysen eller i efterhand med utgångspunkt i genomförd gapanalys och resultatet från de andra analyserna (verksamhetsanalys, omvärldsanalys och övergripande riskanalys).
Fastställ och motivera relevanta säkerhetsåtgärder genom att välja ut lämpliga åtgärder från ISO‑standarden SS-EN ISO/IEC 27001. Därefter ska ni motivera varför ni väljer eller varför ni väljer bort en åtgärd.
Efter detta är det dags för att komplettera er lista med sådana säkerhetsåtgärder som andra analyser har visat att ni behöver, till exempel åtgärder som speglar särskilda rättsliga krav.
När ni har en färdig lista med säkerhetsåtgärder som ni ska använda i gapanalysen, så börjar ni med själva gapanalysen. För varje säkerhetsåtgärd som ni har beskrivit så behöver ni nu avgöra huruvida åtgärden existerar eller inte, samt om den fungerar tillfredsställande eller inte sett i relation till det behov som ni har identifierat eller upplever.
Om ni bedömer att en åtgärd inte existerar eller inte fungerar tillfredsställande så ska ni även gradera hur allvarlig bristen är. Beskriv även nuläget för varje bristande åtgärd, samt eventuella tänkbara förbättringar som skulle kunna motverka bristen.
För att kunna göra en bra gapanalys behöver ni information om såväl säkerhetsåtgärderna som ni redan använder, som de som ni ska börja använda. Eftersom åtgärderna är av olika karaktär och dessutom riktar sig till olika delar av er organisation så kan ni för detta ändamål behöva hämta in uppgifter från olika håll.
Ni behöver både samla in tidigare dokumenterad information och samtala med relevanta interna intressenter. Därför är det bra att genomföra gapanalysen i form av en workshop, där interna intressenter representerar olika verksamheter.
I en del organisationer fungerar det bättre att identifiera vilka medarbetare som kan lämna relevant information och i stället intervjua dessa.
Resultatet av gapanalysen är en lista över vilka säkerhetsåtgärder som ni ska tillämpa, samt en beskrivning av åtgärdernas aktuella status. Listan beskriver om dessa åtgärder redan existerar, samt om de fungerar på ett tillfredsställande sätt eller inte.
Gapanalysen visar även hur pass allvarliga säkerhetsåtgärdernas eventuella brister är, hur nuläget ser ut, och vad ni behöver göra för att överbrygga gapet mellan aktuell och önskad situation. Analysresultatet kan ni sedan använda för att prioritera bland och planera in lämpliga säkerhetsåtgärder för informationssäkerhet.
Utifrån listan med säkerhetsåtgärder enligt ISO‑standarden SS-EN ISO/IEC 27001 bedömer ni vilka säkerhetsåtgärder som är relevanta i er organisation. Er lista med fastställda säkerhetsåtgärder kallas för uttalande om tillämplighet vilket förkortas SOA – efter engelskans statement of applicability
Er lista skapar ni utifrån kunskapen om de behov er organisation har av säkerhetsåtgärder. När detta är gjort behöver ni se över och komplettera listan om eller när det framkommer något nytt som motiverar några andra åtgärder, exempelvis utifrån genomförda analyser (verksamhetsanalys, omvärldsanalys och övergripande riskanalys) eller om nya verksamheter tillkommer.
Så här fastställer du relevanta säkerhetsåtgärder:
Så här genomför du en gapanalys:
Detta verktyg kan användas för gapanalys.
Vägledningar:
GapanalysDatum:
20 juni 2024