Den här vägledningen ger en översikt över arbetet med att utvärdera organisationens systematiska informationssäkerhetsarbete, särskilt gällande lämplighet, tillräcklighet och verkan av hur arbetet styrs och bedrivs. Den kan därför ses som ett övergripande samlingsdokument för metodsteget Följa upp och förbättra.
Mer specifikt stöd finns i övriga vägledningar inom Följa upp och förbättra:
Informationssäkerhetsarbetet i er organisation följs upp på olika sätt, med olika tidsintervall och på olika nivåer i organisationen. När ni utformar era arbetssätt (se Utforma) ingår det alltid att också utforma hur arbetssätten ska kunna följas upp. Behövs inte mer frekvent uppföljning sker den ofta årligen.
När ni anpassar valda säkerhetsåtgärder ska ni också se till att säkerhetsåtgärderna följs upp, utvärderas och förbättras (se Använd organisationens säkerhetsåtgärder). Tidsaspekten här varierar beroende på säkerhetsåtgärdens karaktär. Instruktioner kan till exempel följas upp årligen eller punktvis medan en it-säkerhetsåtgärd kanske innehåller en ständigt påslagen övervakning.
Det finns olika metoder för att samla in underlag för uppföljning, några metoder berörs närmare i Övervaka och mäta. Ytterligare stöd för att följa upp säkerhetsåtgärder finns i Följ upp organisationens säkerhetsåtgärder.
I den här vägledningen finns stöd för att följa upp informationssäkerhetsarbetet på en strategisk nivå, den nivå som ska rapporteras till ledningen (se Ledningens genomgång).
För att kunna rapportera om ert informationssäkerhetsarbetes lämplighet, tillräcklighet och verkan behöver du sammanställa nedanstående underlag.
Lämplighet innebär att informationssäkerheten och dess styrning står i samklang med er organisations övergripande mål.
Har ni till exempel övergripande mål som handlar om att tillhandahålla något som är väldigt beroende av information eller de system som hanterar information på ett tryggt, tillförlitligt sätt eller med hög kvalitet bör informationssäkerheten styras så att den övergripande leveransen kan genomföras på ett önskvärt sätt. Se Utforma: Ledning och styrning samt Informationssäkerhetsmål.
Tillräcklighet innebär att den styrning som ni tidigare beslutat om och ger uttryck för i era styrdokument (till exempel policyer, riktlinjer, instruktioner och i förbättringsaktiviteter i handlingsplaner), räcker för att hantera era informationssäkerhetsrisker.
Underlag för att bedöma detta finns till exempel i riskbilden i Analysera: Riskbild och från riskanalyser som genomförts i organisationen.
Verkan innebär att beslutade säkerhetsåtgärder dels har införts, det vill säga att de existerar, dels att de fungerar tillfredsställande, så att de minskat riskerna i er informationsbehandling så att ni därmed har uppnått tillräcklig informationssäkerhet.
Underlag för detta är såväl resultaten från gapanalysen i Analysera organisationens säkerhetsåtgärder som övergripande strategiska sammanställningar av den löpande uppföljning som beslutats för varje anpassad säkerhetsåtgärd (se Använd organisationens säkerhetsåtgärder).
Det är ledningen som ska säkerställa att organisationens informationssäkerhetsmål är upprättade och att dessa följer organisationens strategiska inriktning.
Organisationen bör besluta om målen för informationssäkerhetsarbetet i samband med att ni inleder det systematiska arbetet med informationssäkerhet. När ni har beslutat vilka mål ni ska ha bör ni även definiera hur ni ska visa om målet är uppfyllt eller inte.
Inför ledningens genomgång ska ni utvärdera hur väl informationssäkerhetsmålen uppnås. Därefter redovisar ni måluppfyllelsen för ledningen, som en del av ledningens genomgång.
När ledningen har kontrollerat uppfyllelsen av målen så är det bra att även utvärdera själva målformuleringarna. Behöver ni förändra några mål utifrån graden av uppfyllnad, eller kanske möjligheten att mäta dem?
Slutligen ska ni dokumentera måluppfyllelsen, samt eventuella förslag till förändringar av målen, så att dessa sedan kan hanteras vidare. Se metodstödet som heter Utforma: Informationssäkerhetsmål för vägledning och stöd.
Uppföljning av organisationens riskhantering omfattar både arbetssätt för riskhantering (se Utforma: Riskhantering), styrande och stödjande dokument och hur dessa efterlevs. Några exempel på vad detta kan innebära granskning och utvärdering av:
Uppföljning kan göras genom att granska riskregister och i dialog med riskägare och personer som riskägarna utsett. Brister i riskhanteringen och dess efterlevnad kan föranleda förbättringsåtgärder, till exempel revidering av dokument, metoder, verktyg, kriterier för riskbedömning och riskacceptans, den övergripande riskbilden eller utbildnings- och kommunikationsinsatser.
Uppföljningen omfattar också granskning av risker. Finns det områden som innehåller många eller allvarliga risker? Har ni identifierat risker som inte omfattas av den organisationsövergripande riskbilden? Finns det allvarliga risker som inte kunnat behandlas på grund av ekonomiska, tekniska, organisatoriska eller andra skäl?
Uppföljning av organisationens riskhantering och risker bör göras med underlag från eller i samband med uppföljning av närliggande områden som informationsklassning, kontinuitetshantering, riskhantering på andra områden och incidenthantering. Vid granskning av risker bör jämförelser göras med incidenter som har inträffat. Har det till exempel inträffat incidenter som inte tagits upp som risker? Stämde riskanalysens bedömningar av konsekvenserna överens med de faktiska konsekvenserna av incidenten?
Följande nivåer (liten, mellan, stor) kan ni se som exempel på hur ni kan avgränsa omfattningen av utvärderingen. Utgå från de resurser ni har att avsätta för själva utvärderingen.
I detta steg har ni utvärderat om ni uppfyller era mål för informationssäkerhet, så som ni tidigare definierat målen (se Utforma: Informationssäkerhetsmål). Det ger en bild av er organisations allmänna tillstånd gällande informationssäkerhet samt det systematiska informationssäkerhetsarbetets lämplighet, tillräcklighet och verkan.
Resultatet utgör ett underlag till ledningens genomgång. Det ger även bättre underbyggda beslut kring framtida satsningar, inriktningar och prioriteringar av informationssäkerheten inom er organisation.
Det är viktigt att ni återför resultatet som underlag till övriga delar av det systematiska informationssäkerhetsarbetet, exempelvis:
Målet är att åstadkomma ett arbetssätt med ständiga förbättringar och en högre mognad inom informationssäkerhetsområdet.