Vanliga svenska titlar på den som samordnar informationssäkerhetsarbetet är informationssäkerhetssamordnare, informationssäkerhetsstrateg eller informationssäkerhetskoordinator. I MSB:s metodstöd för systematiskt informationssäkerhetsarbete har vi kallat den person som är ansvarig för samordningen av informationssäkerheten för CISO, en förkortning efter den engelska titeln chief information security officer. Vi har valt att använda CISO eftersom det är kort, koncist och gör texten lättare att läsa.
Syftet med en handlingsplan är att tydliggöra hur organisationen ska gå från behov till faktisk åtgärd, det vill säga att eliminera eller reducera de informationssäkerhetsrelaterade risker och brister som ni identifierat i analysfasen. Handlingsplanen kan också innehålla mål och aktiviteter som är kopplade till delar av det systematiska arbetet med informationssäkerhet, till exempel att se över roller och ansvar eller ta fram en process för riskhantering.
En handlingsplan gäller oftast för ett år i taget.
Tänk på att även dokumentera de aktiviteter som ni redan nu ser att ni behöver genomföra men inte har möjlighet att förverkliga under den tidsperiod som handlingsplanen sträcker sig.
För CISO är handlingsplanen därmed ett viktigt stöd, eftersom den gör det möjligt att säkerställa att organisationen verkligen genomför och följer upp de aktiviteter som ni har planerat in.
Resultaten från de analyser som ni har gjort i analysfasen är ingångsvärdena till er handlingsplan. Särskilt viktig är gap-analysen, eftersom denna så konkret uttrycker vilka brister som finns – det vill säga gapet mellan behov och nuläge (se Analys gap).
Brister i gap-analysen är baserade på övriga analyser i metodsteget Identifiera och analysera, främst omvärldsanalysen (rättsliga krav) och riskanalysen. De aktiviteter som ni väljer att ta upp i handlingsplanen avser att minska eller eliminera de risker eller brister som ni påvisat, eller att se till så att ni börjar efterleva målen i form av rättsliga och andra externa krav.
Ett annat, mer direkt ingångsvärde är de kortsiktiga informationssäkerhetsmål som ni formulerat i Utforma informationssäkerhetsmål. Observera att man sällan kan uppnå alla dessa mål under den tidsperiod som handlingsplanen avser, och därför kan man behöva prioritera bland de kortsiktiga målen. Denna vägledning ger stöd i att prioritera kortsiktiga informationssäkerhetsmål, och därmed att välja vilka aktiviteter som ska ingå i er handlingsplan.
Fler ingångsvärden till handlingsplanen är de förutsättningar som finns för att genomföra det ni vill. Det handlar om de personer i er organisation som har ansvar för den verksamhet som berörs och därmed ansvarar för de aktiviteter som behöver genomföras. Dessa personer kan även ansvara för andra typer av aktiviteter som pågår eller planeras, och som påverkar möjligheten för er att genomföra era kortsiktiga mål. Det handlar även om vilka resurser som finns tillgängliga för de aktiviteter som ni vill föra in i handlingsplanen.
Handlingsplanens funktion är att säkerställa så att ni genomför de aktiviteter som ni har valt ut för att förbättra informationssäkerheten i er organisation under den tidsperiod som handlingsplanen avser (vanligtvis ett år).
Aktiviteterna i en handlingsplan kan syfta till att:
Aktiviteterna ska avse att nå de årliga målen i Utforma informationssäkerhetsmål.
En handlingsplan bör följa eller vara en del av organisationens redan existerande sätt att leda, styra och följa upp verksamheten genom att integreras i exempelvis verksamhetsplaner och verksamhetsbudgetar. Detta gör så att ni kan äska och budgetera resurser, på samma sätt som vid aktiviteter av annan karaktär.
Det är därmed lämpligt att låta handlingsplanen följa organisationens verksamhetsstyrning – vilken ofta löper på årlig basis. Denna vägledning utgår från att handlingsplanen är årlig, men det går givetvis att låta den omfatta både längre och kortare tidsperioder. Det viktigaste är att handlingsplanen omfattar en fastställd tidsperiod, så att ni kan styra och följa upp de aktiviteter som den omfattar.
Kortsiktiga mål och tillhörande aktiviteter behöver ni prioritera och föreslå i er handlingsplan som ska innehålla årliga mål och årliga aktiviteter. Man kan sällan genomföra allt under det första året som omfattas av handlingsplanen vilket innebär att ni måste prioritera bland de kortsiktiga målen. Längre fram i denna vägledning kan ni läsa om hur ni kan tänka vid prioriteringen av aktiviteter.
Ibland kan man behöva väga nyttan med en föreslagen aktivitet mot kostnaden för aktiviteten. Detta kan ni göra i en strukturerad analys, en så kallad kostnads-nyttoanalys. Se vägledningen Kostnads-nyttoanalys för mer information.
En handlingsplan ska vara ett beslutat dokument. Ni ska beskriva varje aktivitet i detalj: vad ni vill genomföra, vilka som är ansvariga, vilka resurser som är allokerade och vilken tidsram som är bestämd. Ledningen, eller den ledningen delegerat till, ska sedan fastställa handlingsplanen, och samtidigt säkerställa att det finns resurser för att genomföra de aktiviteter som tas upp. Det är vanligt att detta arbete görs inom ramen för den ordinarie verksamhetsplaneringen.
Observera att handlingsplanen inte får devalveras till någon sorts ”önskelista”, med ett fåtal aktiviteter som enbart CISO tycker är nödvändiga och vill genomföra. Däremot kan och bör du som CISO ha framförhållning med din egen planering av vad som bör finnas med i den kommande handlingsplanen.
Det är ytterst viktigt att du hanterar och löser frågan om handlingsplanens status i relation till organisationens ordinarie planerings- och uppföljningscykler, andra planeringsdokument, verksamhetsplan, budget med mera.
Informationssäkerhetsrelaterade aktiviteter kan ingå i handlingsplaner inom andra områden, som exempelvis generell säkerhet, kvalitetsstyrning och it eller digitalisering. Detta kan vara positivt för organisationens informationssäkerhet och bidra till att informationssäkerheten integreras med andra områden. Som CISO bör du ha vetskap om och kanske även kontroll över sådana informationssäkerhetsrelaterade aktiviteter för att kunna samverka med de som är ansvariga för dessa handlingsplaner.
En koncern eller stor organisation kan ha ett flertal handlingsplaner som beslutas av dotterbolagschefer, avdelningschefer, nämnder eller motsvarande. Återigen: se till så att dessa handlingsplaner passar in i organisationens ordinarie verksamhetsplanering, så att de kan anpassas efter den organisationsstruktur och de ansvarsområden som finns.
Om det finns fler handlingsplaner så är det viktigt att du som är CISO har kontroll över de informationssäkerhetsrelaterade delarna i dessa – och eventuellt operativt koordinerar dem.
It-system kan vara organiserade i objekt enligt en förvaltningsmodell med årliga förvaltningsplaner. Dessa innehåller i regel aktiviteter och budgetar som beslutas av objektägare. Detta ger en god grund för att få in relevanta säkerhetsåtgärder och andra informationssäkerhetsrelaterade aktiviteter på ett integrerat sätt i organisationens it-styrning.
Aktiviteterna i en handlingsplan kan vara av olika slag och storlek. Allt från några timmars arbete för en person – till ett projekt som varar i flera månader med en omfattande bemanning.
Hur man utformar aktiviteter kan bero på praktiska förhållanden och traditioner inom den egna organisationen. Viktigast är att aktiviteterna är väl avgränsade och tydligt beskrivna så att det går att specificera åtgången av tid och resurser.
Det är ofta ansvarsområdet som styr själva omfattningen av en aktivitet. Exempel: en översyn av samtliga rutiner vid anställning och avslut av anställning sätts samman i en aktivitet i handlingsplanen i form av ett projekt med personalchefen som projektägare och ansvarig för aktiviteten.
Ett annat relevant skäl att definiera en aktivitets omfattning på ett visst sätt kan vara att en extern leverantör erbjuder aktiviteten i fråga som en färdigpaketerad tjänst.
Val av aktiviteter till handlingsplanen kan variera beroende på organisationens mognad. För en organisation som nyligen påbörjat sitt systematiska informationssäkerhetsarbete kan handlingsplanen i stort sett enbart bestå av aktiviteter som är grundläggande för att komma igång. Exempel på sådana aktiviteter är framtagning av en informationssäkerhetspolicy och organisation för informationssäkerhet.
För en organisation som är informationssäkerhetsmässigt mogen kan aktiviteterna istället handla om att förbättra det systematiska informationssäkerhetsarbetet och att förbättra säkerhetsåtgärder.
Observera att aktiviteter som är kopplade till rättsliga krav, som exempelvis Dataskyddsförordningen, måste hanteras av alla organisationer – oavsett mognadsgrad.
Handlingsplanens aktiviteter kan innefatta åtgärder som direkt är kopplade till bristen på, eller avsaknaden av, säkerhetsåtgärder enligt er gap-analys (specificeras nedan). De kan också syfta till att skapa ett systematiskt informationssäkerhetsarbete i enlighet med detta metodstöd, exempelvis styrdokument eller klassningsmodell.
Du som CISO bör vara ansvarig för samtliga aktiviteter som har koppling till det styrningen av det systematiska informationssäkerhetsarbetet.
En aktivitet kan vara likställd med, eller en delmängd av, en säkerhetsåtgärd i gap-analysen. Därmed kan en aktivitet:
En organisation har inte alltid ekonomisk eller praktisk möjlighet att ta hand om alla brister i en och samma handlingsplan. Särskilt problematiska är sådana aktiviteter som ska genomföras under en väldigt begränsad tid.
Ni behöver därför göra prioriteringar internt, där ni bestämmer vilka aktiviteter som ni ska genomföra den kommande perioden eller det kommande året – och vilka ni kan genomföra längre fram i tiden.
Prioritera de aktiviteter som har bäst effekt. Sträva efter en balans mellan följande två typer:
Det kan även finnas andra faktorer som kan påverka prioriteringen av aktiviteter till handlingsplanen. I samband med val av aktiviteter i handlingsplanen bör ni ställa exempelvis följande frågor:
Tänk på att ni kan göra en kostnads-nyttoanalys för såväl hela handlingsplanen som för enskilda aktiviteter. En kostnads-nyttoanalys kan underlätta prioriteringen av aktiviteter (se Kostnads-nyttoanalys).
För att underlätta genomförandet av en handlingsplan så är det viktigt att alla berörda delar av organisationen är med vid framtagandet. På så sätt blir de aktörer som kommer att påverkas medvetna om kommande aktiviteter och förändringar i ett tidigt skede – ha som målsättning att ingenting som står i handlingsplanen ska komma som en ”överraskning” för någon som aktiviteten eller förändringen berör. Särskilt viktigt är förstås samverkan med de som sätts som ansvariga för aktiviteter, så att de kan få med det i sin planering och budgetarbete.
Aktiviteter i handlingsplanen innebär ibland inköp av konsulttjänster eller produkter, och i dessa fall är det bra att i tid engagera organisationens upphandlingsfunktion.
En handlingsplan består huvudsakligen av de aktiviteter som den omfattar, med följande information om varje aktivitet:
För mindre aktiviteter räcker det oftast med denna information. Lite större, mer omfattande och/eller komplexa aktiviteter kräver som regel en djupare beskrivning – exempelvis i form av uppdragsbeskrivningar och projektdirektiv. En del beskrivningar kan ni lägga in som bilagor till handlingsplanen.
Tänk på att ta höjd för oförutsedda kostnader, så kallade kringkostnader, som mer eller mindre alltid uppstår. Som exempel kan den personal som enligt handlingsplanen är avsedd för arbetet med en viss aktivitet bli upptagen (till exempel i reaktivt arbete med incidenter).
Det är bra att göra särskilda noteringar för samband eller beroenden mellan aktiviteter – till exempel om en aktivitet endast kan börja när en annan aktivitet tagit slut. Notera även beroenden från aktiviteter och händelser som sker utanför handlingsplanen.
Illustrera med fördel aktiviteterna i handlingsplanen grafiskt, till exempel med hjälp av ett Gantt-schema. I ett sådant schema kan ni visualisera alla beroenden och flöden mellan aktiviteterna (se figur 1).
Figur 1: Aktiviteterna i handlingsplanen kan beskrivas grafiskt exempelvis i form av ett Gantt-schema.
Resultatet av en del aktiviteter i handlingsplanen kan medföra vissa förändringar för funktioner och medarbetare i organisationen. Även under handlingsplanens genomförande kan vissa aktiviteter medföra händelser som påverkar olika grupper internt, till exempel driftsstörningar vid uppgraderingar. Det är därför bra om ni i god tid planerar in och kommunicerar ut vilka förändringar som ni kommer att genomföra och, om det är möjligt, även tidpunkt för genomförandet. Det är nödvändigt både för att förändringarna ska accepteras, och för att alla nya eller förändrade lösningar ska fungera och kunna användas som det är tänkt.
Ni kan även behöva kommunicera med de externa aktörer som kan komma att påverkas av aktiviteterna i er handlingsplan – till exempel vid själva genomförandet av en aktivitet eller av dess resultat. Det kan handla om att delge viss information till exempelvis kunder, leverantörer, affärspartner, medborgare, fysiska besökare eller besökare på er externa webbplats.
Tänk på att alla former av kommunikationsfrågor alltid bör konsulteras med organisationens kommunikationsavdelning eller motsvarande.
Ni behöver följa upp både handlingsplanen och de aktiviteter som den omfattar. Uppföljning behöver göras kontinuerligt och över hela den tid som handlingsplanen sträcker sig. Utan kontinuerlig uppföljning finns stor risk att mål och aktiviteter inte hinns med. Det är även bra att ha förutbestämda kontrollpunkter när handlingsplanen kan justeras. Allt detta bör koordineras med organisationens ordinarie planerings- och uppföljningscykler.
Resultatet av uppföljningen är viktig input för nästa (års-)cykels analys och utformning. Inte minst för att ni ska kunna föra in alla icke-genomförda aktiviteter i nästa handlingsplan – så att dessa kan prioriteras och bli genomförda nästa år.
Förverkligandet av handlingsplanen och dess resultat (eller brist på resultat) är relevant för metodsteget Följa upp och förbättra, och bör tas upp i Ledningens genomgång.
Under genomförandet av handlingsplanen bör CISO bevaka hur de olika aktiviteterna fortlöper (se Använda Genomförande och efterlevnad).
Observera att ni kan behöva rapportera stora problem eller avvikelser under genomförandet till ledningen.
Ni kan skriva in er handlingsplan i verktyget Utforma Handlingsplan
Verktyg för handlingsplan.
Vägledningar:
Handlingsplan, Genomföra och efterlevaDatum:
25 juni 2024