MSB:s Metodstöd är framtaget för att stötta organisationer i att bedriva ett systematiskt informationssäkerhetsarbete. Metodstödet i sin tur bygger på de internationella standarderna i ISO/IEC 27000-serien.
Ett systematiskt och riskbaserat informationssäkerhetsarbete, vad innebär det och varför är det viktigt? Information är en av de viktigaste resurserna inom alla organisationer, den är vital för att en verksamhet ska fungera. Att arbeta med informationssäkerhet har därför blivit nödvändigt, och det kräver att organisationen arbetar systematiskt och riskbaserat.
Ett systematiskt arbetssätt innebär att organisationen arbetar strukturerat på ett sätt som är i förväg planerat för att säkra sin information.
Att arbetet är riskbaserat betyder att organisationen proaktivt och kontinuerligt identifierar, förebygger, hanterar och följer upp organisationens risker och agerar utifrån dessa.
Genom att göra det kan organisationen förebygga eller mildra negativa effekter som kan påverka verksamheten vid någon form av incident.
Metodstödet är framtaget för att stötta organisationer i deras systematiska informationssäkerhetsarbete. Arbetet utifrån Metodstödet sker genom att använda vägledningarna under de fyra stegen i den ordning som passar din organisation bäst. Det är organisationens förutsättningar som styr var du börjar, och flera aktiviteter kan genomföras parallellt.
Metodstödets fyra steg
Metodstödet beskriver arbetssätt som, genom din anpassning till din organisations specifika förutsättningar, ger organisationens information tillräckligt skydd.
Metodstödets delar
Under varje steg i Metodstödet finns ett antal vägledningar som beskriver vad som behöver göras och hur det kan genomföras. Till vägledningarna finns bland annat mallar, utbildningsmaterial och ibland exempel från olika organisationer. Metodstödet innehåller många olika stöd och det är inte avsett att läsas ”från början till slut” - använd det istället som ett uppslagsverk där du kan hitta stöd för det du just nu vill göra.
För att snabbt skaffa dig en överblick över vad som behöver göras kan du läsa
Metodstödet - en översikt (pdf).
Om du vill ha praktiska råd och tips på hur ett systematiskt informationssäkerhetsarbete kan gå till så finns de i bilagan Framgångsfaktorer och exempel.
Webbkurs i taktisk informationssäkerhet ger tips och råd för att komma igång och komma vidare med det systematiska informationssäkerhetsarbetet inom din organisation.
För att tidigt bygga dialog med ledningen om ert systematiska informationssäkerhetsarbete kan du använda dig av
Ledningens roll inom informationssäkerhet - ett stöd för dig med en ledande funktion (pdf).
Metodstödet för systematiskt informationssäkerhetsarbete är en samling vägledningar och verktyg som finns för att förtydliga hur ett systematiskt informationssäkerhetsarbete kan utformas. Metodstödet bygger på standardserien ISO/IEC 27000. Metodstödet innehåller, förutom vägledningar och verktyg, råd, tips och mallar. Metodstödet är logiskt uppbyggt i tydliga steg efter en ”idealiserad” bild av hur arbetet kan bedrivas, men eftersom det systematiska informationssäkerhetsarbetet i praktiken pågår inom flera områden samtidigt i en verksamhet så är de olika delarna fristående för att erbjuda den flexibilitet och fortlöpande utvecklingsstöd som organisationer behöver.
Metodstödet består av fyra olika metodsteg som tillsammans bildar helheten av det systematiska informationssäkerhetsarbetet. Dessa är: Identifiera och analysera, Utforma, Använda, och, Följa upp och förbättra. Som komplement till dessa kommer det löpande att tas fram Utbildningsmaterial, fördjupningsdokument och komplement i en Kunskapsbank samt en samling Exempel.
Ja, det går bra. Materialet är fritt att sprida och återanvända enligt licensformen Creative Commons (Erkännande). ”Creative Commons Erkännande 4.0 Internationella Publika Licens” (CC BY 4.0), https://creativecommons.org/licenses/by/4.0/legalcode.sv.
Vad bra att du har hittat hit! Informationssäkerhet är en ständigt pågående process och metodstödet är utformat lite som kugghjul som till viss del driver varandra. Första cykeln med metodstödet kan ses som ett införande av ett systematiskt informationssäkerhetsarbete medan nästkommande cykler blir att arbeta mot ständiga förbättringar.
Vi rekommenderar att du börjar med att läsa igenom metodstödet i sin helhet, för att få en uppfattning om vad det handlar om. Vad du sedan börjar med är beroende på var du själv befinner dig kunskapsmässigt och hur organisationen du verkar i ser ut informationssäkerhetsmässigt. Ett bra sätt att börja om du inte har andra hänsyn att ta är genom att börja med att analysera, förslagsvis först Verksamhet och sedan Omvärld och så vidare.
Nej, i praktiken pågår arbetet ofta i flera av metodstegen samtidigt. För att ge stöd i det ständigt pågående förbättringsarbetet som verksamheten har behov av kan metodstödet användas som ett uppslagsverk. De olika delarna i metodstödet är fristående så att organisationen kan välja de metodsteg med tillhörande vägledningar, verktyg och kunskapsbank som passar verksamhetens aktuella behov. Metodstödet ger på så sätt både flexibilitet och fortlöpande utvecklingsstöd i det ständigt pågående förbättringsarbetet.
Absolut! Metodstödet för systematiskt informationssäkerhetsarbete är allmänt hållet för att passa alla organisationer, oavsett hur långt man har kommit med att införa ett systematiskt informationssäkerhetsarbete. Metodstödet kan användas som ett uppslagsverk för att ge stöd i det ständigt pågående förbättringsarbetet. Det är viktigt att komma ihåg att informationssäkerhet är en ständigt pågående process och varje ”runda” med metodstödet blir ett arbete mot ständig förbättring.
Självklart kan alla som är intresserade av att lära sig mer om systematiskt informationssäkerhetsarbete ta del av metodstödet, men metodstödet riktar sig främst till den som samordnar informationssäkerhetsarbetet. Vanliga benämningar för det är informationssäkerhetssamordnare, informationssäkerhetsstrateg, informationssäkerhetskoordinator eller informationssäkerhetschef men i metodstödet har vi valt att kalla denna person för CISO, det engelska Chief Information Security Officer.
Det är viktigt att anpassa det systematiska informationssäkerhetsarbetet till den egna organisationens förutsättningar. Det innebär bland annat att arbetet med informationssäkerhet behöver integreras i organisationens löpande och ordinarie verksamhet. Exempel på saker som kan behöva anpassas är vissa ordval, rollbenämningar eller motsvarande. Metoder eller arbetssätt som redan finns etablerade i organisationen som fungerar och är accepterade kan användas även i det systematiska informationssäkerhetsarbetet. Dock vill vi poängtera här att syftet med det som ska uppnås, alltså säkerheten, aldrig får anpassas bort.
Metodstödet kommer att ständigt förbättras och utvecklas. Nya texter och verktyg kommer att tillkomma. Succesivt kommer vägledningarna och verktygen att kompletteras med utbildningsmaterial, fördjupningstexter och kompletterande texter samt exempel från de organisationer som vill dela med sig.
Du får gärna lämna synpunkter på Metodstödet och tipsa oss om på vilka områden du skulle behöva mer stöd. Vi är också väldigt tacksamma om du vill dela med dig av goda exempel från din organisation. Vi kan inte lova att återkoppla personligen på dina synpunkter men alla synpunkter tas om hand och övervägs. Delar du med dig av goda exempel så kommer även dessa att övervägas för publicering. Om du inte uttryckligen vill att det ska framgå från vilken organisation exemplet kommer så kommer vi att anonymisera det du skickar in. Dina synpunkter och exempel skickar du till informationssakerhet@msb.se.