Lyssna

Verksamhetsanalys

Den här vägledningen fokuserar på informationssäkerhetens interna perspektiv. Detta innebär att man analyserar sin verksamhet i tre delar: interna intressenter, interna förutsättningar och informationstillgångar.
Film: Verksamhetsanalys - https://www.youtube.com/embed/tuaeTB2MeOo

Analysera er verksamhet i tre steg

För att ni ska kunna utforma styrningen av organisationens informationssäkerhet på ett så lämpligt och kostnadseffektivt sätt som möjligt så krävs olika typer av analyser.

I denna vägledning får ni hjälp att analysera er verksamhet i tre olika delar, eller steg:

  • 1. Interna intressenter - personer inom organisationen

    Interna intressenter är personer (befattningar) eller enheter inom er organisation som påverkar eller påverkas av hur informationssäkerheten styrs. Var och en av dessa intressenter har någon form av behov, förväntningar eller krav som rör informationssäkerheten och dess styrning. Genom analysen identifierar ni vilka intressenterna är och vilka krav de har på hur ni utformar ert informationssäkerhetsarbete.

  • 2. Interna förutsättningar - förhållanden som påverkar utformningen

    Interna förutsättningar är de förhållanden, utöver interna intressenter, inom er organisation som ni behöver ha i åtanke när ni utformar informationssäkerheten och dess styrning. Var och en av dessa interna förutsättningar har någon form av påverkan på hur ni bäst bör utforma informationssäkerheten och dess styrning för er organisation. Genom analysen identifierar ni såväl dessa förutsättningar som deras påverkan.

    Exempel på interna förhållanden kan vara var verksamheten bedrivs geografiskt, om verksamheten bedrivs på flera ställen och ägarförhållanden.

  • 3. Informationstillgångar ­- den information som ska skyddas

    Informationstillgångar är den information som verksamheten hanterar och som ni därmed ska skydda med hjälp av informationssäkerhet, inklusive de resurser som behandlar informationen (exempelvis it‑system). Med hjälp av analysen identifierar ni vilka tillgångar som finns, så att de kan få rätt sorts skydd – en viktig utgångspunkt för det vidare arbetet.

Analysera övergripande, inte i detalj

I inledningsskedet är det viktigt att inte fastna allt för länge i analyserna. För att komma igång med själva arbetet så kan ni analysera de olika delarna av organisationen relativt snabbt och på en övergripande nivå. Sedan kan ni med fördel återkomma till analysresultaten, uppdatera dem med ny information och vid behov fylla i fler detaljer.

Exempel på tidsåtgång för denna analys:

  • Avsätt en arbetsdag för att kartlägga och analysera interna intressenter
  • Avsätt en arbetsdag för att kartlägga och analysera interna förutsättningar
  • Avsätt en arbetsdag för att kartlägga och analysera informationstillgångar.

Dra nytta av tidigare analyser

Ibland finns det tidigare genomförda analyser av organisationens olika verksamheter. Var noga med att kolla upp detta, för i sådana fall kan ni dra nytta av och utgå från dessa. Ett typiskt exempel på tidigare analyser är listor på system eller informationstillgångar som er organisation gjort i andra sammanhang.

Det finns vägledning och verktyg för varje analysdel

Den här vägledningen är indelad i de tre delarna Interna intressenter, Interna förutsättningar och Informationstillgångar. För varje del finns en beskrivning av hur analysen går till samt exempel på hur den kan se ut.

Till varje del finns ett tillhörande stöd i form av en Excelmall som ni kan använda i arbetet. Excelmallen Verktyg Analys Verksamhet innehåller exempel och viss automatisering. Var och en av de tre delarna har en egen flik i verktyget. Ni kan använda verktyget både vid själva analystillfället och som dokument över analysresultatet.

Analysernas resultat – grunden i informationssäkerhetsarbetet

Denna analys syfte är att vara grunden när ni utformar informationssäkerhetens styrning inom er organisation. Mer konkret innebär det att det sammanlagda resultatet från samtliga analyser (av omvärld, verksamhet, risk, samt gap-analys) ska styra dels hur er organisation väljer att angripa informationssäkerhetsfrågan, dels vilka säkerhetsåtgärder ni behöver för att skydda er information.

Så: utformning av organisation (ansvar och roller) för informationssäkerhet samt policy, riktlinjer, rutiner, processer och åtgärder för informationssäkerhet – allt detta utgår från dessa analyser.

Om ni vill ha en mer sammanfattande bild av analysresultatet kan ni sammanställa samtliga analysers resultat i ett separat dokument. Ett sådant dokument kan ni sedan använda som grund i ett så kallat ”business case” för det systematiska informationssäkerhetsarbetet.

1. Analysera organisationens interna intressenter

Interna intressenter är personer (befattningar) eller enheter inom er egen organisation som antingen påverkar eller påverkas av informationssäkerheten och dess styrning. Var och en av dessa intressenter har någon form av behov, förväntningar eller krav i relation till er informations­­säkerhet.

Analysera de interna intressenterna så här:

  1. Använd verktyget: Öppna Excelmallen/verktyget ”Analysera Verksamheten”. Välj sedan fliken som heter ”1. Interna intressenter”.
  2. Identifiera alla viktiga interna intressenter: Utgå från tabell 1 nedan, samt från era egna erfarenheter eller andra källor.
  3. Diskutera intressenternas roller: Diskutera intressenternas roller, alltså hur de påverkar och påverkas av er informationssäkerhet och dess styrning.
  4. Identifiera intressenternas krav: Identifiera vilka behov, förväntningar och krav era intressenter har, exempelvis med hjälp av diskussioner, möten, intervjuer eller enkätundersökningar. Dokumentera det ni kommer fram till i verktyget (Excelmallen).

Tabell IA2:1: Exempel på intressenter och krav

Kategori

Intressent

Krav, roll

Beslutsfattare
  • Styrelse
  • Ledning
  • VD, GD
  • Ekonomichef, personalchef

Beslutar om och styr över hur ni ska bedriva ert arbete med informations­säkerhet. Krav på kostnadseffektivitet och ändamålsenlighet.

Objektägare
  • Objektägare
  • Processägare
  • Informationsägare
  • Systemägare

Ställer krav gällande informationssäkerhet för objektet eller objekten som de ”äger”. Behöver ofta stöd för att förstå hur de ska ställa sina krav.

Stödenheter
  • It‑enhet
  • Personalenhet
  • Fastighetsenhet
  • Registratur
  • Juristfunktion

Är föremål för styrning av informationssäkerhet samt ansvarar för vissa säkerhets­arrangemang.

Medarbetare

 
  • Anställda
  • Konsulter
  • Praktikanter
  • Medarbetare med speciella roller

Tar till sig och rättar sig efter regler. Vill kunna arbeta produktivt, oavsett gällande säkerhets­åtgärder.

Informationssäkerhet
  • CISO
  • It‑säkerhetsansvarig
  • Säkerhetschef
  • Säkerhetskoordinator

Utformar styrningen av informationssäkerheten och ser till att den på olika sätt implementeras i organisationen.

2. Analysera organisationens interna förutsättningar

Interna förutsättningar är olika förhållanden, utöver interna intressenter, inom er egen organisation som ni behöver ha i åtanke när ni utformar informationssäkerheten och dess styrning. Var och en av dessa förutsättningar har således någon form av påverkan på hur ni bäst bör utforma informationssäkerheten.

Interna förutsättningar kan vara nästan vad som helst inne i er organisation som påverkar eller påverkas av utformningen eller styrningen av det systematiska informations­säkerhetsarbetet. Exempel på sådana förutsättningar finns i tabell 2 nedan.

Analysera de interna förutsättningarna så här:

  1. Använd verktyget: Öppna Excelmallen/verktyget ”Analysera Verksamheten”. Välj sedan fliken som heter ”2. Interna förutsättningar”.
  2. Identifiera alla interna förutsättningar av vikt: Utgå från tabell 2 (nedan), samt från era egna erfarenheter eller andra källor.
  3. Diskutera förutsättningarnas påverkan: Diskutera hur förutsättningarna påverkar och påverkas av er informationssäkerhet och dess styrning.
  4. Identifiera förutsättningarnas krav: Identifiera förutsättningarnas påverkan, och vad de betyder för utformningen av informationssäkerhetsstyrningen. Utgå till exempel från dokumentgranskning, diskussioner, möten, intervjuer eller enkätundersökningar. Dokumentera det ni kommer fram till i verktyget (Excelmallen).
Tabell IA2:2: Exempel på interna förutsättningar och dess påverkan

Intern förutsättning

Typ av påverkan

Policyer, mål och strategier i organisationen

Befintliga policyer, mål och strategier avslöjar ofta var er organisation är på väg. Därför måste informations­säkerhetens styrning och mål vara anpassade till detta.

Verksamhetsstyrning

Befintlig styrning och planering av er verksamhet.

Exempel på fenomen som påverkar styrningen av er informations­säkerhet:

  • förvaltningsmodellen för it
  • planeringsprocessen för verksamhet
  • budgetprocessen
  • sätt att leda och styra.

Organisationens struktur

Strukturen avslöjar era interna ansvarsområden, roller, rapporteringsvägar och process vid beslutsfattande. Denna struktur styr därmed förutsättningarna för utformningen av ansvar och befogenheter inom er informationssäkerhet.

Organisationens kultur

Er kultur avslöjar vad som fungerar och vad som förväntas internt gällande styrningen av informationssäkerhet. Vissa organisationer är vana med en vag målstyrning, medan andra kräver en mer detaljerad styrning.

Organisationens processer

Såväl era processer för styrning som era processer för organisationen i stort (exempelvis inköp, rekrytering, produkt- och tjänsteutveckling, marknadsföring, leverans och klagomål) påverkar och påverkas av styrningen av informationssäkerhet.

Organisationens resurser

Resurserna avser främst tillgången till personal och finansiella medel samt dess påverkan.

Standarder och riktlinjer i organisationen

Befintliga standarder som ni har valt att jobba efter som kan påverka eller påverkas av er informationssäkerhet och dess styrning.

Kompetens inom organisationen

Vilken kompetens finns var inom er organisation? Detta påverkar vilket ansvar som ni kan dela ut, och vilka typer av säkerhetsåtgärder som kan tänkas fungera ändamålsenligt.

Kommunikation inom organisationen

 

Era kommunikationsvägar och sätt att kommunicera är centralt för styrningen av er informationssäkerhet. Alltså: ha era befintliga sätt att kommunicera internt i åtanke när ni utformar informationssäkerheten och dess styrning.

Organisationens infrastruktur

 

Befintlig infrastruktur och teknik, inklusive informations­teknik, påverkar i hög grad informationssäkerheten och dess styrning. Observera att ni ska hantera specifika informationstillgångar i nästa del av analysen (del 3).

3. Analysera organisationens informationstillgångar

Informationstillgångar är organisationens information och de resurser som behandlar informationen, exempelvis genom att ta emot, lagra, bearbeta, visa eller kommunicera den. Exempel på sådana resurser är it‑system.

Informationstillgångar – det som ni ska skydda

Informationstillgångar är de tillgångar som informationssäkerheten ska skydda. Det är därför viktigt att identifiera alla väsentliga tillgångar, så att de kan få rätt typ av skydd.

Välj fokus för analysen

Vad som är en informationstillgång för just er bör ni avgöra själva inför denna analys. En del organisationer identifierar och namnger enskilda informationsmängder, andra utgår ifrån sina respektive it‑system (exempelvis it‑tjänster eller applikationer).

Vad är en kritisk tillgång?

Alla informationstillgångar är inte lika centrala för er. I praktiken kan det därför vara så att ni behöver dra en tydlig gräns för hur central en tillgång ska vara för att komma med i analysen.

Syftet med att inventera sina informationstillgångar

Syftet med att inventera era informationstillgångar är att få en sammanställning över vad ni ska skydda med hjälp av informationssäkerhet. Denna sammanställning kan ni sedan använda för att identifiera vilka säkerhetsåtgärder som ni behöver införa för att skapa rätt sorts skydd. Denna identifiering sker tillsammans med respektive tillgångs ”ägare”, förslagsvis genom informations­klassificering.

Inventera informationstillgångarna så här:

  1. Använd verktyget. Öppna Excelmallen/verktyget ”Analysera Verksamheten”. Välj sedan fliken som heter ”3. Informationstillgångar”.
  2. Identifiera och inventera viktiga informationstillgångar. Ni kan inventera era informationstillgångar på lite olika sätt. Här är två exempel:
    1. Använd befintliga listor: Om det finns några befintliga listor över era informationstillgångar så kan ni använda dessa. Till exempel från it‑sidan (där det finns listor över it‑system och dylikt).
    2. Gör en egen inventering: Genom exempelvis processkartläggning kan ni göra en egen inventering av vilken information som är kritisk för specifika delar av er verksamhet, eller för olika interna processer.
  3. Dokumentera informationstillgångarna. Dokumentera följande:
    1. ID: För att det ska vara lättare att identifiera informationstillgångarna i ett senare skede så behöver ni ge varje informationstillgång en unik identifierare. Se exempel i verktyget (Excelmallen) eller välj ett annat sätt som passar er organisation.
    2. Benämning: Namnge era informationstillgångar, till exempel ”Agresso” eller ”Abonnentuppgifter”.
    3. Beskrivning: Beskriv hur ni använder tillgången (eller tekniken) i fråga. Till exempel ”Lönesystem” eller ”Kundrelationssystem som levereras av (X) som molntjänst”.
    4. Information/data: Beskriv vilken typ av information/data som det handlar om, till exempel ”Känsliga personuppgifter”.
    5. Kritisk: Skriv ”Ja” vid de tillgångar som är helt centrala och kritiska för er organisation. Detta svar innebär att ni kan prioritera dessa när ni sedan ska hantera tillgången. Notera att denna typ av prioritering inte passar alla organisationer. Ni avgör därmed själva ifall ni ska använda denna definition eller inte.
    6. Ägare och kontakt: Ange vilken person eller funktion i er organisation som ansvarar för informationstillgången i fråga, samt ange kontaktinformation till denna. Denna information kan ni sedan använda när ni ska kontakta informationsägarna för att genomföra informationsklassificering

Ovservera

Ni kan utöka inventeringen av informationstillgångar, samt Excelverktyget, så att de täcker in kravet på förteckning över tillgångar som ska ha skydd enligt dataskydds­förordningen (GDPR) och/eller Säkerhetsskyddslagen. I fallet dataskyddsförordningen ska vissa specifika uppgifter dokumenteras för varje informationstillgång, vilket framgår av den regleringens artikel 30. Gällande säkerhetsskyddslagstiftningen var extra uppmärksam på att inte dokumentera detaljer som gör att sammanställningen blir skyddsvärd utifrån Sveriges (rikets) säkerhet.

Verktyg

Verktyg inom Analysera

Analysera verksamheten (.xlsx)

52 kB

Detta verktyg kan användas för verksamhetsanalys.

Vägledningar:

Verksamhetsanalys

Datum:

13 juni 2024
Vill du hellre skriva ut vägledningen så finns det en utskriftsvänlig version.

Revideringshistorik

  • Revideringshistorik för Verksamhetsanalys
    13 juni 2024
      Ändringar:
    • Mindre strukturella förändringar.
    09 februari 2018
      Ändringar:
    • Första versionen publicerades.
Uppdaterad: 13 juni 2024 klockan 15:15 Publicerad: 13 juni 2024 klockan 15:15
Kontakta sidansvarig: informationssakerhet@msb.se

Övriga vägledningar inom Analysera

Omvärldsanalys

Den här vägledningen fokuserar på det externa perspektivet, där ni identifierar er organisations omvärld i tre delar.

Riskbild

En riskbild ger en grov bild av vilka risker som organisationen i stort bedöms vara utsatt för och hur allvarliga dessa är.

Gapanalys

Identifiera skillnaden mellan den informations­säkerhets­nivå som ni behöver uppnå och den faktiska nivån.