Lämplighet innebär att informationssäkerheten och dess styrning står i samklang med er organisations övergripande mål.
Tillräcklighet innebär att den styrning som ni tidigare beslutat om och ger uttryck för i era styrdokument (till exempel policyer, riktlinjer och handlingsplaner), fortfarande räcker till för att hantera era informationssäkerhetsrisker.
Verkan innebär att beslutade säkerhetsåtgärder har trätt i kraft, det vill säga att de existerar, och fungerar tillfredsställande och därmed minskar riskerna kring er informationssäkerhet.
Syftet med att övervaka (även kallat ”monitorera”) och mäta är att få reda på om ert systematiska informationssäkerhetsarbete, riskhanteringsarbete samt alla beslutade säkerhetsåtgärder är:
Genom löpande övervakning och mätning kan ni få bättre kunskap om ert informationssäkerhetsläge. Dessutom får ni möjlighet att upptäcka brister där säkerhetsåtgärder kan behöva korrigeras. Informationen från övervakning och mätning ligger också till grund för granskningar, och för ledningens genomgång.
Skillnaden mellan övervakning och mätning är följande:
Ni bör separera ansvaret för mätning och övervakning från själva analysen och utvärderingen, eftersom det krävs olika typer av kompetens vid genomförandet.
Övervakning av informationssäkerheten kan ske på flera olika nivåer, och kan dessutom ske med olika tidsperspektiv. Övervakningen kan även vara en del av er incidenthantering och händelser som noteras i någon form av logg bör hanteras enligt uppsatta rutiner.
Några exempel på övervakningsnivåer:
En typ av övervakning som ofta är automatiserad, och i huvudsak bygger på loggning av händelser i era it‑system.
Övervakning av att era beslutade säkerhetsåtgärder existerar, och att de fungerar tillfredsställande. Varje enskild beslutad säkerhetsåtgärd innehåller inslag av sådant som ni kan övervaka, så genom manuell eller automatiserad övervakning kan ni se ifall en åtgärd existerar och fungerar tillfredsställande i olika delar av er organisation.
Utöver säkerhetsåtgärderna behöver man övervaka olika delar i själva ledningssystemet. Här handlar det om att övervaka de övergripande, styrande mekanismerna.
Några exempel på typer av övervakning:
Används för att övervaka era it‑system, främst gällande drift och tillgänglighet. Driftövervakningen ska till exempel larma ifall en hårddisk går sönder, om temperaturen i en server stiger onormalt eller när en viss webbplats slutar fungera.
Kan innebära att en fil (oftast en textfil) lagrar uppgifter om en viss händelse, registrerar tidpunkt och agerande resurser. Loggning kan man nästan alltid skräddarsy och anpassa efter sina behov. Loggning gör det möjligt att övervaka aktiviteter i operativsystem, databashanterare, applikationsservrar och applikationer. Denna typ av loggning kan med fördel även inkludera era användares aktiviteter i de olika systemen.
Avser all övervakning som utförs av personer, men gäller främst på taktisk och strategisk nivå. Övervakningen ska se till så att alla säkerhetsåtgärder finns på plats, och att det systematiska informationssäkerhetsarbetet ger avsedd verkan. Man kan även kontrollera att underlag och beslut för en viss typ av behörighet är korrekta, eller att man hanterar nya risker mot en specifik verksamhet eller informationstillgång (genom en riskanalys, till exempel).
När det gäller mätning bör ni noga överväga vad ni vill mäta, eftersom det är ineffektivt, missvisande och kostsamt att mäta antingen för mycket eller fel saker. Innan ni påbörjar en mätning behöver ni säkerställa att det finns resurser, så att ni kan ta hand om resultatet från mätningen.
För att nå fram till gångbara resultat behöver ni därför definiera:
Ni kan till exempel använda mätning för att utvärdera det systematiska informationssäkerhetsarbetet, eller för att kunna redovisa den ökade förmågan inom området för ledning och medarbetare.
Mognadsmätning och benchmarking är två olika metoder för att utvärdera informationssäkerhetsläget inom organisationen. Vi beskriver de två metoderna mer utförligt nedan.
Mognadsmätning är en metod för att på ett strukturerat sätt och över tid redovisa organisationens utveckling inom informationssäkerhetsområdet. Mätningen ska kunna upprepas, för att på så sätt skapa jämförbara resultat som kan visa på förbättring och ökad mognad i både processer och medvetenhet gällande informationssäkerhet.
Man genomför en mognadsmätning med hjälp av mognadsmodeller, på engelska kallat ”maturity model”. Det finns flera modeller att utgå ifrån för att mäta mognad, till exempel inom ramverken COSO och COBIT. Oavsett vilken modell ni väljer att använda, så är det avgörande att ni väljer ut rättvisande indikatorer som ger möjlighet till graderade svar. Detta för att kunna redovisa en förflyttning på mognadsskalan.
När ni ska genomföra en mognadsmätning så är det viktigt att ni beslutar om huruvida mätningen ska avse själva styrningen av informationssäkerhetsarbetet, eller resultatet av styrningen – det vill säga den faktiska informationssäkerheten. Ett tredje alternativ är förstås att kombinera de båda.
Benchmarking är ett strukturerat sätt för att kunna identifiera egna förmågor, sina egna styrkor och svagheter inom informationssäkerhetsområdet. Detta kan sedan jämföras med andra organisationer, eller mot en allmänt vedertagen praxis.
Benchmarking ger en ögonblicksbild av läget, som det ser ut just här och nu. Det finns flera kommersiella aktörer som gör årliga sammanställningar, vilket i sig är en form av benchmarking, av organisationers informationssäkerhetsläge baserat på organisationernas egna självskattningar.
Det är ledningen som ska säkerställa att organisationens informationssäkerhetsmål är upprättade och att dessa följer organisationens strategiska inriktning.
Ni bör besluta om målen för informationssäkerhetsarbetet i samband med att ni utformar ledningssystemet eller inleder det systematiska arbetet med informationssäkerhet. När ni har beslutat vilka mål ni ska ha så bör ni även definiera vilka specifika kriterier ni ska använda för att visa om målet är uppfyllt eller inte.
Inför ledningens genomgång ska ni utvärdera informationssäkerhetsmålen, och dessutom mäta uppfyllelsen. Därefter redovisar ni måluppfyllnaden för ledningen, som en del av ledningens genomgång.
När ledningen har kontrollerat uppfyllelsen av målen så är det bra att även utvärdera själva målformuleringarna. Behöver ni förändra några mål utifrån graden av uppfyllnad, eller kanske möjligheten att mäta dem?
Slutligen ska ni dokumentera måluppfyllnaden, samt eventuella förslag till förändringar av målen, så att det sedan kan hanteras vidare. Se metodstödet som heter Utforma mål för vägledning och stöd.
Uppföljning av organisationens riskhantering omfattar både arbetssätt för riskhantering (se Utforma Riskhantering), styrande och stödjande dokument och hur dessa tillämpas och efterlevs. Detta kan innebära granskning och utvärdering av:
Uppföljning kan göras genom att granska riskregister och i dialog med riskägare och av dessa utsedda personer. Brister i riskhanteringen och dess efterlevnad kan föranleda förbättringsåtgärder, till exempel revidering av dokument, metoder, verktyg, kriterier för riskbedömning och riskacceptans, den övergripande riskbilden eller utbildnings- och kommunikationsinsatser.
Uppföljningen omfattar också granskning av risker. Är det vissa områden som innehåller många eller allvarliga risker? Har det identifierats risker som inte omfattas av den organisationsövergripande riskbilden? Finns det allvarliga risker som inte kunnat behandlas på grund av. ekonomiska, tekniska, organisatoriska eller andra skäl?
Vid uppföljning av organisationens riskhantering och risker bör det ske med underlag från eller i samband med uppföljning av närliggande områden som informationsklassning, kontinuitetshantering, riskhantering (av eventuellt andra områden) och incidenthantering. Vid granskning av risker bör jämförelser göras med inträffade incidenter – har det till exempel inträffat incidenter som inte tagits upp som risker?
Resultatet utgör underlag till ledningens genomgång (se Följa upp och förbättra Ledningens genomgång).
Följande nivåer (liten, mellan, stor) kan ni se som exempel över vad ni bör utvärdera. Utgå från hur stora resurser ni har beslutat er för att avsätta för själva utvärderingen.
1. Liten – en miniminivå som alla organisationer bör genomföra:
2. Mellan – en mellannivå, där ni utöver ”liten” lägger till följande:
3. Stor – högsta nivån, där ni utöver ”liten” och ”mellan” även lägger till följande:
I detta steg har ni utvärderat om ni uppfyller era mål för informationssäkerhet, så som ni tidigare definierat målen (se Utforma Mål). Resultatet av arbetet som ni har utfört i detta steg är en analyserad utvärdering. Det ger en bild av er organisations allmänna tillstånd gällande informationssäkerhet samt det systematiska informationssäkerhetsarbetets lämplighet, tillräcklighet och verkan.
Resultatet utgör ett underlag till ledningens genomgång. Resultatet leder även till bättre underbyggda beslut kring framtida satsningar, inriktningar och prioriteringar inom er organisation.
Det är viktigt att ni återför resultatet till övriga delar av det systematiska informationssäkerhetsarbetet, som ett underlag för exempelvis:
Målet är att åstadkomma ständiga förbättringar, vilket leder till en ökad mognad inom informationssäkerhetsområdet.
MSB har utvecklat olika verktyg som kan användas som stöd i arbetet med att följa upp och förbättra. Beskrivningar av dess hittar du nedan.
Ett sätt att följa upp och förbättra är att göra en efterlevnadskontroll. MSB har utvecklat ett eget verktyg för efterlevnadskontroll som du återfinner under rubriken "Verktyg", nedan. Det här verktyget är tänkt att fungera som en hjälp för din organisation att stämma av er efterlevnad av standarden SS/EN ISO 27001, Bilaga A: Säkerhetsåtgärder. Till varje kontrollpunkt kopplas ett eller flera krav. Resultatet får du i form av ett spindeldiagram som ger en snabb visuell överblick av organisationens efterlevnad.
Vi tar gärna emot synpunkter och förslag på förbättringar.
Detta verktyg är uppbyggt kring ett antal frågor om hur långt arbetet kommit i olika avseenden. När frågorna besvarats får organisationen automatisk återkoppling om nivån på sitt systematiska informationssäkerhetsarbete samt om utvecklingsområden. Detta kompletteras med hänvisningar till relevant stödmaterial som finns för de olika områdena. Sammantaget får organisationen underlag för framtida planering och beslut kring utvecklingen av informationssäkerhetsarbetet.
Infosäkkollen kan användas regelbundet för att följa organisationens utveckling. I återkommande perioder kan resultaten rapporteras in till MSB för att få kompletterande återkoppling och möjlighet att jämföra sig med andra organisationer.
Infosäkkollen hittar du på: https://www.msb.se/infosakkollen.
Mognadsdialogen är ett pedagogiskt verktyg för uppföljning av organisationens systematiska informationssäkerhetsarbete. Genom dialog skapas förståelse och samsyn om organisationens nuläge och vägen framåt. Det skapar ökat engagemang och möjligheter för ledning och CISO att tillsammans ”göra rätt saker på rätt sätt”.
Mognadsdialogen passar de flesta organisationer och visar hur moget det systematiska och resultatinriktade informationssäkerhetsarbetet är utifrån fyra mognadsnivåer. Ju mer effektivt arbetet bedrivs desto högre mognadsresultat. Resultatet ger återkoppling på hur effektivt organisationen arbetar med att skydda sin information utifrån behov, krav och förutsättningar.
Under en workshop arbetar nyckelpersoner i organisationen fram en gemensam bild av nuläget genom att jämföra sig med fördefinierade mognadsnivåer inom sex viktiga perspektiv inom informationssäkerhet. Workshopen genomförs utan externt stöd och kan ledas av organisationens CISO eller motsvarande. Till hjälp finns workshopmaterial i powerpoint-format så att workshopdeltagarna smidigt kan ta sig igenom hela Mognadsdialogen.
Det här verktyget är tänkt att fungera som en hjälp för din organisation att stämma av er efterlevnad av standarden SS/EN ISO 27001, Bilaga A: Säkerhetsåtgärder.
Vägledningar:
Utvärdera och följa uppDatum:
25 juni 2024