Lyssna

Genomföra och efterleva

Denna vägledning ger en översikt över aktiviteter för att tillämpa de styrningar ni har utformat. Den kan därför ses som ett övergripande samlingsdokument för metodsteget Använda. Mer specifikt stöd finns i vägledningarna Använda informationsklassning samt Använda utbildning och kommunikation.

Vanliga svenska titlar på den som samordnar informationssäkerhetsarbetet är informationssäkerhetssamordnare, informationssäkerhetsstrateg eller informationssäkerhets­koordinator. I MSB:s metodstöd för systematiskt informationssäkerhetsarbete har vi kallat den person som är ansvarig för samordningen av informations­säkerheten för CISO, en förkortning efter den engelska titeln chief information security officer. Vi har valt att använda CISO eftersom det är kort, koncist och gör texten lättare att läsa.

Implementera informationssäkerhetens styrning

I metodstödets del Använda får ni stöd i hur organisationen ska tillämpa den styrning av informationssäkerhet som ni tagit fram med stöd av delen Utforma. Vilka aktiviteter som er organisation ska genomföra och efterleva har ni angett i er handlingsplan och i era styrdokument.

Om man liknar arbetet i förra delen (Utforma) med ett ritbord, så är den här delen (Använda) själva verkstaden.

Tänk på att du i praktiken inte befinner dig ett metodsteg utan använder de olika metodstegen vid behov; du kan ha behov av att både utforma, använda, göra nya inventeringar och analyser samt följa upp verksamheten samtidigt. Vi vill därför här betona att när oförutsedda händelser och förändringar inträffar så ska ni givetvis hantera dessa löpande.

Resultaten från samtliga delar i Utforma är ingångsvärden till Använda.

Särskilt viktiga är:

  • Årlig handlingsplan för informationssäkerhet (från Utforma Handlingsplan).
  • Styrdokument i form av informationssäkerhetspolicy, riktlinjer, instruktioner eller andra styrdokument (från Utforma Styrdokument).
  • När kan arbetet med att genomföra och efterleva starta?

    Vad som ska göras har ni redan fastställt – dels i den årliga handlingsplanen, dels i era styrdokument för informationssäkerhet.

    Om ni har gjort följande, så kan arbetet sättas ingång av utsedda aktörer:

    • Valt lämpliga säkerhetsåtgärder som omfattas av beslutade styrdokument.
    • Beslutat en handlingsplan för det första året.
  • Vem ansvarar för att genomföra?

    Det är ett ständigt arbete att genomföra aktiviteter i handlingsplanen och att arbeta i enlighet med styrdokumenten. Arbetet pågår hela tiden i organisationen, av en mängd olika roller.

    Vissa aktiviteter kan den som är CISO ansvara för och genomföra. Huvudansvaret för de flesta aktiviteter bör dock ligga hos andra aktörer i organisationen. Det är viktigt att ansvaret är fastställt i handlingsplanen respektive i styrdokumenten.

En omvärld i ständig förändring kräver bevakning och förberedelse

Organisationer och deras omvärld är i ständig förändring, och det kommer alltid att inträffa mer eller mindre oförutsedda händelser. Det kan exempelvis vara nya hot som uppkommer, nya rättsliga krav som införs, säkerhetsåtgärder som inte får förväntad effekt och så vidare.

Mycket av arbetet handlar därför om att bevaka händelseutvecklingen, och om att förbereda sig inför denna.

Vägledningen innehåller följande fem delar:

  1. Genomföra handlingsplanens aktiviteter
  2. Efterleva styrdokument
  3. Hantera större händelser och förändringar
  4. CISO:s roll och arbetsuppgifter
  5. Dokumentera

1. Genomföra handlingsplanens aktiviteter

Genomförandet av aktiviteterna i den årliga handlingsplanen löper i bästa fall på som planerat. Ett antal olika orsaker kan dock medföra att genomförandet av en aktivitet inte går enligt plan. Aktiviteten kanske till och med äventyras på grund av exempelvis resurs­förändringar, frånvaro, omprioriteringar eller tekniska problem.

Förändringar eller oplanerade händelser kan leda till att enskilda aktiviteter behöver ändras, att de avstannar eller att de förskjuts till nästkommande års handlingsplan.

Handlingsplanens aktiviteter kan förändras – så följ upp regelbundet!

Aktiviteterna i handlingsplanen är olika. De kan vara av olika art och storlek, ha olika personer som är ansvariga, ingå i andra handlingsplaner och så vidare. Det är dock ändå bra att ha en sammanhållen bevakning och uppföljning av alla informations­säkerhets­relaterade aktiviteter i organisationen.

Ni bör därför följa upp status för de olika aktiviteterna regelbundet, med fördel en gång i kvartalet. För att underlätta detta arbete kan ni skapa nya kolumner för aktiviteternas status med lämpliga tidsintervall i Verktyg Utforma Handlingsplan.

2. Efterleva styrdokument

I era styrdokument ska de säkerhetsåtgärder som ni har valt finnas med (se Utforma Styrdokument). Syftet är förstås att uppnå efterlevnad av styrdokumenten, det vill säga att styrdokumentens målgrupper agerar som det är tänkt.

Styrdokumenten bör dock inte återspegla den aktuella situationen, om inte denna är den önskade nivån, vilket vi poängterade i vägledningen Utforma Styrdokument. Utan i stället bör reglerna (åtminstone delar av) vara framåtriktade och uttrycka ett önskat läge. Detta innebär förstås att delar av reglerna kan vara svåra eller omöjliga att efterleva innan förutsättningar för efterlevnad finns.

Varför efterlevs inte reglerna?

Att reglerna inte efterlevs kan bero på olika saker, till exempel kan reglerna innebära större utmaningar än man tänkt, resurser kan vara otillräckliga och prioriteringar kan ändras. När man börjar implementera säkerhetsåtgärder praktiskt så kan det helt enkelt visa sig att de till exempel inte har förväntad effekt, att de inte täcker säkerhetsbehovet, att de är överflödiga eller att de behöver justeras.

Brist på efterlevnad kan också bero på okunskap, eller brist på kommunikation. I dessa fall behöver man stödja berörda aktörer på lämpligt sätt, till exempel i form av genomgångar, praktiskt deltagande, utbildning eller kompletterande skriftligt material (som instruktioner och vägledningar).

Att inte styrdokument efterlevs kan också bero på själva reglerna, till exempel för att de har orealistiska krav eller inte är anpassade efter organisationen. I dessa fall behöver ni ändra och anpassa reglerna. Detta bör ni dock inte göra löpande, eftersom styrdokumenten beslutas vid vissa bestämda tillfällen.

Därför bör ni i stället dokumentera eventuella behov av att förändra regler eller säkerhetsåtgärder. Dokumentera behoven i era styrdokument löpande (eller så fort de uppstår), så att ni kan göra förändringarna inför nästa revidering.

Tydliga ansvarsområden och målgruppsanpassade styrdokument

Ansvaret för de olika säkerhetsåtgärderna behöver vara tydligt uppdelat, och styrdokumenten som reglerar detta ansvar bör vara målgruppsanpassade.

Det är också viktigt att ni ger rätt form av utbildning och kommunikation till respektive roll, så att dessa i sin tur kan ta ansvar för att uppnå efterlevnad (för mer utförlig information om detta, se vägledningen Använda Utbildning och kommunikation).

Hur era styrdokument efterlevs och hur väl era säkerhetsåtgärder fungerar bör ni dokumentera noggrant, då det är en viktig input till den kommande utvärderingen (Utvärdering (Följa upp och förbättra) är den sista delen av detta metodstöd).

3. Hantera större händelser och förändringar

Informationssäkerhetsarbetet kan dessvärre påverkas av oförutsedda händelser eller förändringar i organisationen och dess omvärld. Detta innebär att de interna och externa förutsättningar som ni har identifierat i analysfasen till vissa delar förändrats eller inte längre gäller.

Exempel på större händelser och förändringar som kan påverka informations­säkerhets­arbetet:

  • Omorganisation
  • Uppköp, ombildningar eller fusioner av bolag
  • Personförändringar på viktiga positioner (till exempel byte av VD eller GD)
  • Förändringar i rättsliga krav
  • Förändringar av krav hos kunder eller andra intressenter
  • Större förändringar i hotbild
  • Allvarliga incidenter
  • Anskaffning av större it­‑system
  • Outsourcing av it‑drift (eller andra kritiska delar)
  • Politiska förändringar
  • Förändringar i den nationella säkerheten.

Förändringar motiverar riskanalyser

Ofta motiverar större förändringar behovet av en eller flera riskanalyser, för att kunna förstå de nya förutsättningarna. Om förändringar eller händelser är organisations­övergripande så kan man behöva göra en ny övergripande riskanalys som baseras på de nya förutsättningarna. Därmed kan man behöva initiera en ny analysfas tidigare än planerat.

Gäller förändringen endast en begränsad del av organisationen, som en delverksamhet eller ett system, så motiverar detta endast en begränsad riskanalys och/eller klassning av eventuellt tillkommande informationstillgångar.

Riskanalys kan leda till reviderade säkerhetsåtgärder

Analyser av förändrade förutsättningar kan i sin tur innebära en revidering av såväl utvalda säkerhetsåtgärder som pågående handlingsplan. Man kan behöva omfördela resurser för att kunna möta de nya förutsättningarnas krav.

Vissa förändringar kan påverka förutsättningarna för informations­säkerhets­arbetet drastiskt, till exempel ifall ledningsgruppen eller andra nyckelpersoner inte förstår sig på eller slutar att prioritera informationssäkerhetsfrågorna. I dessa fall kan man tyvärr behöva lägga mycket energi på att försöka få ledningens eller nyckel­personernas engagemang och förståelse.

4. CISO:s roll och arbetsuppgifter

Aktiviteter i handlingsplanen kan ha CISO som utförare eller ansvarig. CISO är utförare av de typer av aktiviteter och säkerhets­åtgärder som utgör delar av det systematiska arbetet med informations­säkerhet, det vill säga ledningssystemet.

CISO bör dock inte belasta sin arbetstid med för mycket arbetsuppgifter av operativ karaktär som kan genomföras av andra. I stället behöver CISO merparten av sin tid åt att koordinera och styra det löpande arbetet med organisationens informations­säkerhet.

Detta arbete innebär att kommunicera med andra, särskilt i syfte att förklara och inspirera för att lyckas få hela organisationen att arbeta i samma riktning. Om CISO lägger ned för mycket av sin arbetstid i ett eller ett fåtal projekt, så blir rollen tyvärr osynlig för den övriga organisationen vilket är kontraproduktivt.

CISO:s olika funktioner

Nedan listar vi ett antal löpande funktioner som en CISO kan – och bör – ha. Funktionerna kan även gälla gentemot externa aktörer i relevanta fall, till exempel gentemot leverantörer.

Några vanliga funktioner hos en CISO:

  • Bevakande
  • Stödjande
  • Deltagande
  • Kontrollerande
  • Responderande
  • Dokumenterande
  • Rapporterande

För samtliga av dessa funktioner är det viktigt att ha lämpliga kommunikations­kanaler som CISO kan använda för att kommunicera med olika roller. Kommunikation är viktigt och en ständigt återkommande uppgift för CISO (se vägledningen Använda Utbilda och kommunicera för mer information om kommunikation).

Att skapa råd eller forum för informationssäkerhet är ett bra sätt att ha en regelbunden kommunikation med olika roller. I råd och forum ges tillfälle att ta upp aktuella frågor och diskutera strategiska val. (se vägledningen Utforma Organisation för att få mer information om skapandet av råd och forum).

Tabell A2:1: Beskrivning av CISO:s funktioner

CISO:s funktion:

Beskrivning:

Utförande

Aktiviteter i handlingsplanen och styrdokument med CISO som utförare. Vanligen delar av det systematiska informations­säkerhets­arbetet (som att genomföra analyser, ta fram styrdokument eller genomföra utbildning).

Deltagande

Deltagande i praktiskt arbete. Viktigt att prioritera:

  • kritiska och aktuella projekt (som t.ex. GDPR)
  • arbete som görs för första gången (som t.ex. piloter)
  • arbete som kan ha strategisk och långsiktig betydelse (som t.ex informations­klassning).

Stödjande

Att löpande stödja roller, projekt och liknande är viktigt för att underlätta genomförande och efterlevnad. Detta kan ske på många olika sätt, till exempel genom muntliga eller fysiska möten, ge tips på webbresurser, utbildningar, kontakter, skriftliga vägledningar med mera. Särskilt viktigt är det att ge stöd till personer som är nya i sina roller (läs mer om detta i metodstödet Utbilda och kommunicera).

Bevakande

Det är mycket viktigt att CISO kontinuerligt bevakar händelse­utvecklingen, både internt och externt. Det handlar om att följa hur det går med genomförande och efterlevnad av handlingsplan och styrdokument, men också annat som kan påverka informations­säkerheten. Till exempel:

  • Förändringar och händelser i omvärlden, såsom hot, incidenter, rättsliga krav, ny teknik och så vidare.
  • Interna förändringar och händelser, till exempel i organisationen, styrdokument, prioriteringar, incidenter och liknande.

Internt bör ni utnyttja de kontakter som ni har och begära regelbundna statusrapporter, till exempel muntlig rapportering vid möten i råd och forum för informationssäkerhet. Det är självklart viktigt att ni nätverkar, vidareutbildar er, deltar på konferenser och dylikt för att hålla er uppdaterade med eventuella nyheter inom området.

CISO kan inte i detalj bevaka teknisk händelseutveckling och status, men det går att begära in rapporter och sammanställningar av exempelvis revisioner, loggar, incidenter, tester med mera (både internt och ofta även från leverantörer eller partner). Mer information om övervakning finns i delen Följa upp och förbättra.

Responderande

Händelser, förändringar, avvikelser och brister som ni upptäcker efterhand behöver ni dokumentera så att de hanteras i nästa årscykel. Detta ska ske via Utvärdering, se avsnitt 5. Dokumentera (nedan).

Vissa händelser kräver respons och medverkan av CISO. Förutom det som vi tog upp i avsnitt 3. Hantera större händelser och förändringar (ovan) så kan även mindre händelser vara kritiska och brådskande. Brådskande händelser måste ni i så fall hantera omedelbart eller åtminstone under periodens gång.

CISO kan ha en aktiv roll i detta arbete, både i lärande och stödjande syfte. Ni behöver särskilda säkerhetsåtgärder för att hantera kritiska incidenter eller kriser – och verkliga händelser är ett bra tillfälle att testa dessa i skarpt läge.

5. Dokumentera

Det är viktigt att ni löpande dokumenterar händelser, förändringar och iakttagelser. Detta för att ni ska kunna hantera händelsen och senare kunna lära av erfarenheten (se Följa upp och förbättra) samt ha underlag för att ta fram kompletterande regler på områden där sådana saknats. På sikt kan detta arbetssätt leda till både bättre informationssäkerhet och ett bättre systematiskt informationssäkerhets­arbete.

All dokumentation som ni tar fram under året bör ingå i underlaget för er kommande utvärdering (se Följa upp och förbättra). Utvärderingen genererar troligen lämpliga aktiviteter för nästkommande årscykel.

Det finns inget särskilt verktyg framtaget för att dokumentera händelser, förbättringsförslag och så vidare. Vi rekommenderar att ni gör dokumentationen i respektive verktyg, vilka vi listat i tabell 2.

Kritiska eller brådskande händelser måste ni hantera, eventuellt omedelbart, och dokumentera (listas i tabellen ovan, se kategorin Responderande). Andra, okritiska händelser behöver ni endast dokumentera, så att ni kan ta hand om dessa vid ett senare tillfälle.

Tabell A2:2: Guide: Hitta rätt verktyg för att dokumentera förändring

Typ av förändring:

Namn på metodstödets verktyg:

Interna förändringar

Analysera organisationen

Omvärldsförändringar

Analysera organisationens omvärld

Förändringar i hotbild och risker

Analysera risker

Förändringar i behov av säkerhetsåtgärder

Analysera gap

Avvikelser i efterlevnad

Utforma styrdokument

Förändringsbehov i styrdokument

Utforma styrdokument

(Behov av) förändringar i organisationen

Utforma organisationen

Status på aktiviteter i handlingsplan

Utforma handlingsplan

Förändringsbehov mål

Utforma informationssäkerhetsmål

Förändringsbehov i klassningsmodell

Utforma klassningsmodell

Referens till standarder i 27000-serien

SS-EN ISO/IEC 27001:2022: Kapitel 8 (Verksamhet)
SS-EN ISO/IEC 27002:2022: Hela (säkerhetsåtgärder som är valda av organisationen).

Verktyg

Verktyg inom Utforma, Använda

Utforma Handlingsplan (.xlsx)

18 kB

Verktyg för handlingsplan.

Vägledningar:

Handlingsplan, Genomföra och efterleva

Datum:

25 juni 2024
Vill du hellre skriva ut vägledningen så finns det en utskriftsvänlig version.

Revideringshistorik

Uppdaterad: 20 juni 2024 klockan 09:37 Publicerad: 20 juni 2024 klockan 09:37
Kontakta sidansvarig: informationssakerhet@msb.se

Övriga vägledningar inom Använda

Riskanalys

Riskanalysen genomförs utifrån den riskanalysmodell som organisationen har tagit fram.

Klassning av information

I den här vägledningen beskrivs hur arbetet med att klassa organisationens information genomförs.

Utbilda och kommunicera

Den här vägledningen ger stöd i att utbilda och kommunicera informations­säker­hets­relaterade frågor.