Lyssna

Omvärldsanalys

För att ni ska kunna utforma styrningen av informationssäkerheten i er organisation på ett kostnadseffektivt sätt så behöver ni göra olika typer av analyser. Den här vägledningen fokuserar på det externa perspektivet, där ni identifierar er organisations omvärld i tre delar: först externa intressenter, sedan externa förutsättningar och slutligen rättsliga krav.
Film: Omvärldsanalys - https://www.youtube.com/embed/FAwc2hwUo-8

Följande ingår i omvärldsanalysen

Den här vägledningen fokuserar på en analys av er organisations omvärld, vilket även kallas för det externa perspektivet. Ordet ”omvärld” syftar på allt som ligger utanför organisationens direkta kontroll, men som ändå antingen påverkar eller påverkas av organisationens informationssäkerhet.

Genom denna analys identifierar ni vilka rättsliga krav som gäller för er organisation, så att ni kan utforma organisationens informations­säkerhet enligt gällande lagar och regler.

Följande ingår inte i omvärldsanalysen

Det finns en annan vägledning för analys av sådant som ligger innanför organisationens kontroll. Den analysen – av er egen verksamhet – sker därmed inte i denna omvärldsanalys.

Även risker och hot som kan inträffa ska ni hantera separat i en riskanalys. Det gör ingenting ifall analyserna överlappar varandra, det viktigaste är att ni inte råkar utelämna något väsentligt.

Analysens tre steg

Ni analyserar organisationens omvärld och det externa perspektivet i tre olika delar, eller steg:

  • 1. Externa intressenter – personer utanför organisationen

    Externa intressenter är personer, grupper eller organisationer utanför den egna organisationen, som påverkar eller påverkas av er organisations informationssäkerhet. Var och en av dessa intressenter har någon form av behov, förväntningar, krav eller annan påverkan i relation till informationssäkerheten och dess styrning.

    Genom att göra denna analys identifierar ni vilka intressenterna är, vilka krav de har och hur de påverkar eller påverkas. När ni har gjort det så kan ni ta med det i beräkningen när ni utformar informationssäkerhetsarbetet.

  • 2. Externa förutsättningar – förhållanden som påverkar utformningen

    Externa förutsättningar är de förhållanden i organisationens omvärld, utöver externa intressenter och rättsliga krav, som ni behöver tänka på när ni utformar styrningen av informationssäkerheten. Det kan exempelvis röra sig om politiska och tekniska förutsättningar.

    Var och en av dessa förutsättningar har någon form av påverkan på hur ni bäst bör utforma informationssäkerheten och dess styrning för organisationen. Analysen identifierar därför vilka de externa förutsättningarna är och hur de kan påverka er.

  • 3. Rättsliga krav – lagar, förordningar och föreskrifter

    Rättsliga krav är de krav som är kopplade till informationssäkerhet, i form av olika författningar som exempelvis lagar, förordningar, myndigheters föreskrifter samt lokal kommunal reglering. Vissa rättsliga krav gäller samtliga organisationer i såväl Sverige som Europa, medan andra endast gäller en viss bransch eller en viss typ av organisation.

    Kraven kan i stort delas in i två kategorier:

    1. Krav som gäller hur informationssäkerhetsarbetet ska utformas
    2. Krav på hur skydd för vissa typer av information ska utformas.

    Efter att ha identifierat vilka rättsliga krav som är viktiga för er ska ni beakta dessa när ni utformar informationssäkerheten i er organisation.

Analysera övergripande, inte i detalj

I inledningsskedet är det viktigt att inte fastna alltför länge i analyser. För att komma igång med arbetet så kan ni analysera de olika delarna av omvärlden relativt snabbt och på en övergripande nivå. Detta lägger en bra grund för det fortsatta arbetet. Sedan kan ni med fördel återkomma till analysresultaten, uppdatera dem med ny information och vid behov fylla i fler detaljer.

Dra nytta av tidigare analyser

Ibland har organisationer tidigare genomförda analyser av omvärlden. Var noga med att kolla upp detta, för i sådana fall kan ni dra nytta av och utgå från dessa.

Ett typiskt exempel på tidigare analyser är listor på, eller tolkningar av, rättsliga krav som er organisation har gjort i andra sammanhang.

Det finns en vägledning och ett verktyg för varje analysdel

Den här vägledningen är indelad tre delar: Externa intressenter, Externa förutsättningar och Rättsliga krav. För varje del finns en beskrivning av hur analysen går till och exempel på hur den ser ut.

Till varje del finns det också ett verktyg i form av en Excelmall som ni kan använda i arbetet. Excelmallen Verktyg: Analysera organisationens omvärld, innehåller exempel och viss automatisering. Var och en av de tre delarna har en egen flik i verktyget. Ni kan använda verktyget både vid själva analystillfället och för dokumentation av analysresultatet.

Analysernas resultat – grunden i informationssäkerhetsarbetet

Denna analys syfte är att vara grunden när ni utformar informationssäkerhetens styrning inom er organisation. Mer konkret innebär det att det sammanlagda resultatet från samtliga analyser (av omvärld, organisation, risk, samt gap-analys) ska styra dels hur er organisation väljer att angripa informationssäkerhetsfrågan, dels vilka säkerhetsåtgärder ni behöver för att skydda er information.

Så: utformning av organisation (ansvar och roller) för informationssäkerhet, inklusive policy, riktlinjer, rutiner, processer och åtgärder– allt detta utgår från dessa analyser.

Om ni vill ha en mer sammanfattande bild av analysresultatet kan ni sammanställa samtliga analysers resultat i ett separat dokument. Ett sådant dokument kan ni sedan använda som grund i ett så kallat ”business case” för det systematiska informationssäkerhetsarbetet.

1. Analysera organisationens externa intressenter

Externa intressenter är personer, grupper och organisationer utanför er organisation, som antingen påverkar eller påverkas av hur informationssäkerheten styrs.

Var och en av dessa intressenter har någon form av påverkan, behov, förväntningar eller krav i relation till informationssäkerheten och dess styrning.

Notera

Rättsliga krav hanteras separat i en annan del av omvärldsanalysen (del 3), trots att externa intressenter står bakom de rättsliga kraven. Däremot hanterar vi krav från avtal i denna del.

Analysera externa intressenter så här:

  1. Använd verktyget: Öppna Excelmallen/verktyget ”Analysera organisationens omvärld”. Välj sedan fliken som heter ”1. Externa Intressenter”.
  2. Identifiera samtliga viktiga externa intressenter: Utgå från tabellen nedan, samt från era egna erfarenheter eller andra källor. Växla gärna perspektiv mellan lokala, regionala, nationella och internationella intressenter för att få en mer komplett bild.
  3. Diskutera intressenternas roller: Diskutera de externa intressenternas roller, alltså hur de påverkar och påverkas av informationssäkerheten och styrningen av den.
  4. Identifiera intressenternas krav: Identifiera intressenternas påverkan, behov, förväntningar och krav, exempelvis med hjälp av dokumentgranskning, diskussion, möten, intervjuer eller enkätundersökningar. Dokumentera det ni kommer fram till i verktyget (Excelmallen).
Tabell IA1:1: Externa intressenter och deras påverkan

Kategori

Intressent (exempel)

Krav, roll eller påverkan

Ägare
  • Aktieägare
  • Moderbolag
  • Regeringen (departement)

Ägarna kan ha krav på er organisations inriktning, vilket påverkar informationssäkerheten.

De har ofta direkta krav på själva arbetet med informationssäkerhet, exempelvis i form av en formulering i ett styrelsebeslut för ett aktiebolag, eller i ett regleringsbrev för en statlig myndighet.

Kunder
  • Kunder
  • Brukare
  • Användare
  • Avnämare
  • Den eller de som konsumerar organisationens produkter eller tjänster

Dessa intressenter är orsaken till att er organisation existerar.

De kan vara intresserade av informationssäkerheten i en tjänst eller produkt, eller av hur organisationen hanterar deras uppgifter.

Vissa organisationer kan även ha anledning att ställa krav på sina kunders informations­säkerhet.

Leverantörer
  • Leverantörer
  • Underleverantörer
  • Outsourcingpartner
  • Insourcingpartner
  • Molntjänsteleverantörer
  • Affärspartner
  • Säkerhetsleverantörer

En organisation är beroende av leverantörer för att kunna fungera.

Ni kan ibland behöva ställa krav på era leverantörers sätt att arbeta med informationssäkerhet, så att deras leverans är säker.

Vissa leverantörer kanske till och med levererar just säkerhets­lösningar till er.

Granskare
  • Tillsynsmyndigheter för olika branscher
  • Datainspektionen
  • Riksrevisionen
  • Säkerhetspolisen
  • Finansiella revisorer (med it‑revision)
  • Europeiska och internationella institutioner (med tillsyn eller granskande funktioner)

Er organisation granskas av olika intressenter, som i allt större utsträckning har i uppgift att kontrollera hur er informations­säkerhet är upprättad.

Era granskare har varierande krav och förväntningar, men ni behöver kunna styrka att ni efterlever olika typer av säkerhets­krav.

Konkurrenter
  • Konkurrenter – som driver en liknande verksamhet, eller som på annat sätt konkurrerar med er organisation

Ibland kan konkurrenter försöka att ta del av känsliga uppgifter om er organisation, era kunder eller ert säkerhetsarrangemang utan att be om lov för att kunna konkurrera bättre. I värsta fall kan de försöka sabotera för er organisation eller för ert säkerhetsarrangemang.

Den ideala utformningen av er informationssäkerhet kan därmed bero på hur era konkurrenter har utformat sin informationssäkerhet.

Allmänhet och media
  • Allmänheten
  • Medborgare
  • Invånare
  • Media som tidningar och TV
  • Internetrelaterad media

Förtroende är centralt för alla organisationer, och allmänheten kan ha uppfattningar om huruvida er informationssäkerhet är bra eller dålig, samt om ni som organisation är pålitliga.

Värdet av ert varumärke beror därmed på vad allmänheten anser.

Övriga
  • Övriga

Denna tabell innehåller endast exempel på kategorier av externa intressenter.

Komplettera med eventuella andra externa intressenter av vikt, och beskriv hur de påverkar eller påverkas av er informationssäkerhet och dess utformning.

(Angripare, Hotande aktörer)
  • Hackers
  • Aktivistgrupper
  • Utpressare

(Dessa intressenter hanteras inte i denna analys. De hanteras separat under Riskanalys.)

(Lagstiftare)
  • Europaparlamentet
  • Riksdagen
  • Statliga myndigheter
  • Kommuner

(Dessa intressenter hanteras inte i denna analys. De hanteras separat under Rättsliga krav.)

2. Analysera organisationens externa förutsättningar

Externa förutsättningar är de förhållanden i omvärlden (det vill säga utöver externa intressenter) som på något sätt påverkar eller påverkas av informationssäkerhetens styrning och som ni därför behöver ha i åtanke när ni utformar den. Var och en av dessa förutsättningar har med andra ord någon form av inverkan på hur ni bäst bör utforma informationssäkerheten och dess styrning.

Notera

Rättsliga krav hanteras separat i en annan del av omvärldsanalysen (del 3), trots att de kan sägas vara externa förutsättningar.

Analysera externa förutsättningar så här:

  1. Använd verktyget: Öppna Excelmallen/verktyget ”Analysera organisationens omvärld”. Välj sedan fliken som heter ”2. Externa förutsättningar”.
  2. Identifiera vilka externa förutsättningar som finns: Utgå från tabellen nedan, egna erfarenheter eller andra källor för att identifiera samtliga viktiga externa förutsättningar. Växla gärna perspektiv mellan lokala, regionala, nationella och internationella förutsättningar för att få en mer komplett bild.
  3. Diskutera förutsättningarnas påverkan: Diskutera hur förutsättningarna påverkar och påverkas av informationssäkerheten och styrningen av den.
  4. Identifiera förutsättningarnas krav: Identifiera förutsättningarnas påverkan, och vad dessa innebär för er informationssäkerhetsstyrning och utformningen av den. Utgå till exempel från dokumentgranskning, diskussion, möten, intervjuer eller enkätundersökningar. Dokumentera det ni kommer fram till i verktyget (Excelmallen).
Tabell IA1:2: Externa förutsättningar och dess påverkan

Extern förutsättning

Typ av påverkan

Tekniska förutsättningar

Den tekniska utvecklingen och utvecklingen inom informationsteknik har stark inverkan på informationssäkerheten, både i form av nya hot och nya lösningar.

Exempel på innovationer inom informationsteknik som kan påverka:

  • Molntjänster ställer nya krav på hur informationssäkerheten kan styras.
  • Virtuell och förstärkt verklighet (VR, AR) där kunder kan ta del av en produkt eller tjänst på helt nytt sätt.
  • Sakernas internet (Internet of Things, IoT) där saker (produkter) är uppkopplade och därmed behöver ha god informationssäkerhet.
  • Nya sätt att identifiera användare (autentisering) som via fingeravtryck, röst, ansiktsform.

Sociala förutsättningar

Sociala och kulturella förutsättningar anger vad som anses bra och acceptabelt. Det kan gälla attityder i samhället, folkhälsa och utbildnings­nivå, men även den allmänna situationen i samhället.

Exempel där sociala förutsättningar kan påverka:

  • Den grad av övervakning och loggning som individer i samhället accepterar.
  • Hur lätt eller svårt det är att nå individerna i ett samhälle med informationen om informationssäkerhet.

Ekonomiska förutsättningar  

Externa ekonomiska och finansiella förutsättningar påverkar också utrymmet för informationssäkerhet. Kanske särskilt gällande resurser, men det kan även gälla nationalekonomiska faktorer som ränteläge, inflation, efterfrågan på produkter och tjänster, valuta­kurs­ändringar och liknande.

Exempel där externa ekonomiska förutsättningar kan påverka:

  • Ränteläget kan vid investeringsbedömning påverka kostnaden för finansiering av it‑säkerhetstekniska lösningar som löper över lång tid, så att de blir mer eller mindre kostnadseffektiva
  • Den allmänna efterfrågan på den typ av produkter eller tjänster som ni tillhandahåller kan stiga, och då medföra att ytterligare resurser behöver satsas på informationssäkerhet.

Politiska förutsättningar

I politiskt styrda organisationer är det viktigt att ta med dessa förutsättningar i analysen då de kan påverka er informationssäkerhet och dess utformning.

Politiska förutsättningar kan även resultera i rättsliga krav som tas om hand som i den rättsliga delen av analysen.

Miljömässiga förutsättningar

 

Miljömässiga förutsättningar är klimat, väder, vind, ekologi och hållbarhetsfrågor som kan påverka er informationssäkerhet och dess utformning.

Exempel där miljömässiga förutsättningar kan påverka:

  • Om extremt väder förväntas kan detta påverka möjligheten till datakommunikation om ledningar faller ned.
  • Klimatet kan påverka var det är säkrast och mest ekonomiskt att förlägga en hall för it-drift.
  • Brand, översvämning och jordbävning är andra exempel på miljömässiga förutsättningar.

Övriga förutsättningar

Denna tabell innehåller endast exempel på kategorier av externa förutsättningar.

Komplettera med eventuella andra externa förutsättningar av vikt, och beskriv hur de påverkar eller påverkas av er informationssäkerhet och dess utformning.

(Rättsliga förutsättningar)

(Dessa förutsättningar hanteras inte i denna analys. De hanteras separat under Rättsliga krav.)

3. Analysera organisationens rättsliga krav

Rättsliga krav är de krav som är kopplade till informationssäkerhet i olika typer av författningar, som lagar, förordningar, myndigheters föreskrifter samt lokal kommunal reglering.

Syftet med att analysera vilka rättsliga krav som gäller och hur de ska tolkas är att skapa förutsättningar för att ni ska kunna efterleva kraven. Att inte efterleva de rättsliga kraven kan äventyra informationssäkerheten och leda till allvarliga konsekvenser för er organisation – som förlorat förtroende, skadestånd eller viten av olika slag.

När ni har analyserat färdigt så ska ni använda resultaten för att utforma er informations­säkerhet så att ni lever upp till de rättsliga krav som gäller. Detta gör ni bland annat genom att koppla vissa säkerhetsåtgärder till en viss typ av information, och använda i samband med informationsklass.

Kraven som gäller avtal och förpliktelser kopplade till externa intressenter hanteras inte här utan som en del av externa intressenter, så vida det inte rör sig om legala krav. 

Olika krav för olika organisationer

Vilka rättsliga krav som finns för er organisation beror på bland annat:

  • typ av organisation (till exempel privat, offentlig)
  • bransch (till exempel vattenförsörjning, internetleverantör)
  • vilken information organisationen hanterar (ekonomisk information, företagshemligheter, säkerhetsskyddad information, personuppgifter).

Kraven gäller dels säkerhetsarbetet, dels skydd för olika informationstyper

De rättsliga kraven för informationssäkerhet kan delas in i två kategorier:

  • krav som gäller hur informationssäkerhetsarbetet ska utformas
  • krav på hur skydd för vissa typer av information ska utformas.

Arbeta tillsammans med juridisk expertis

Utvecklingen av rättsliga krav som direkt eller indirekt rör informationssäkerhet går mycket snabbt. Detta medför att det är väldigt svårt att avgöra och räkna upp exakt vilka de aktuella rättsliga kraven är i denna vägledning. Därför måste ni som organisation göra detta arbete.

Identifiera de gällande rättsliga krav som rör informationssäkerhet genom att, tillsammans med juridisk expertis, upprätta en lista på vilka författningar och lagrum som gäller för er organisation och som direkt eller indirekt ställer krav på er informationssäkerhet.

Även om det kan gå att söka i databaser över gällande författningar och ange relevanta sökord så måste ni kombinera detta med expertkunskap – exempelvis om vilka krav som ställs och var de finns för just er typ av organisation, bransch och den information som ni hanterar.

Analysera: hur ni ska leva upp till de rättsliga kraven?

När relevanta rättsliga krav är identifierade är nästa steg att analysera hur ni ska omsätta dessa krav på en övergripande nivå. Denna diskussion kan exempelvis handla om olika typer av säkerhetsåtgärder, eller om hur kraven ska påverka hur informationssäkerheten styrs och organiseras i er organisation.

Eftersom vissa rättsliga krav är relativt övergripande, medan andra är mer specifika, står det inte alltid direkt uttryckt i det rättsliga kravets text vad som behöver göras. Därför måste kraven diskuteras och tolkas. För att kunna göra denna analys på ett bra sätt krävs kompetens om bland annat organisationen, informationssäkerhet och juridik.

Analysera de rättsliga kraven så här:

  1. Använd verktyget: Öppna Excelmallen/verktyget ”Analysera organisationens omvärld”. Använd sedan fliken ”3. Rättsliga krav”.
  2. Identifiera vilka rättsliga krav som gäller för verksamheten: Identifiera samtliga gällande rättsliga krav, som direkt eller indirekt ställer krav på er informationssäkerhet. Utgå från den här vägledningstexten, juridisk expertis och egna erfarenheter. Växla gärna perspektiv mellan rättsliga krav som gäller hela Europa, hela Sverige, den egna branschen, er organisationstyp, den verksamhet som bedrivs, och de kategorier av information som hanteras. 
    Dokumentera följande i mallen:
    1. ID: Ge varje krav en unik identifierare, förkortat ID. Då kan ni lättare hitta tillbaka till dem längre fram
    2. Författning Lagrum: Ange vilken författning och eventuellt vilket specifikt lagrum (paragraf, artikel, avsnitt) som ni har identifierat.
    3. Typ av krav: Välj i menyn om kravet är av sådan karaktär att det ställer krav på direkta säkerhetsåtgärder eller om det ställer krav på informationssäkerhetsarbetet i allmänhet.
    4. Krav (lydelse/sammanfattning): Återge det rättsliga kravets lydelse genom att citera författningen. Om det av utrymmesskäl är mer praktiskt så kan ni formulera en sammanfattning av kravet.
  3. Analysera de rättsliga kraven: När alla relevanta krav är identifierade ska ni diskutera och tolka samt dokumentera kraven i Excelmallen under ”Krav/påverkan”. Ange även hur det aktuella kravet påverkar informationssäkerhetens styrning och utformning, eller vilka säkerhetsåtgärder som det ger upphov till.

Verktyg

Verktyg inom Analysera

Analysera organisationens omvärld (.xlsx)

52 kB

Detta verktyg kan användas för omvärldsanalys.

Vägledningar:

Omvärldsanalys

Datum:

13 juni 2024
Vill du hellre skriva ut vägledningen så finns det en utskriftsvänlig version.

Revideringshistorik

  • Revideringshistorik för Omvärldsanalys
    13 juni 2024
      Ändringar:
    • Mindre strukturella förändringar.
    09 februari 2018
      Ändringar:
    • Första versionen publicerades.
Uppdaterad: 13 juni 2024 klockan 15:43 Publicerad: 13 juni 2024 klockan 15:43
Kontakta sidansvarig: informationssakerhet@msb.se

Övriga vägledningar inom Analysera

Verksamhetsanalys

Den här vägledningen fokuserar på informationssäkerhetens interna perspektiv.

Riskbild

En riskbild ger en grov bild av vilka risker som organisationen i stort bedöms vara utsatt för och hur allvarliga dessa är.

Gapanalys

Identifiera skillnaden mellan den informations­säkerhets­nivå som ni behöver uppnå och den faktiska nivån.