Begreppet handlingsplan kan användas på många olika sätt i många olika sammanhang. Alla organisationer planerar på något sätt sin verksamhet, och har namn på de olika typer av planer som finns i organisationen. Begreppet CISO:s handlingsplan används i Metodstödet för att beskriva en sammanställning av samtliga informationssäkerhetsrelaterade aktiviteter som ni planerar att genomföra i organisationen utifrån beslutade prioriteringar, oavsett vilken annan plan de förts in i.
För dig som CISO är CISO:s handlingsplan ett viktigt verktyg för att få överblick och kunna följa upp att organisationen verkligen genomför de aktiviteter som ni har planerat in. Du använder den också för att kunna kommunicera samlat med ledningen och med organisationens verksamheter om vad som behöver göras.
CISO:s handlingsplan kan sägas vara det färdmedel som ni använder för att förflytta organisationen från ett nuläge till det önskade läge som ni har beskrivit i era informationssäkerhetsmål.
I CISO:s handlingsplan samlas både de aktiviteter som du planerar att genomföra för att införa och förvalta ert systematiska informationssäkerhetsarbete och alla de aktiviteter runt om i organisationen som syftar till att anpassa eller förbättra säkerhetsåtgärder för informationsbehandling (se Använda organisationens säkerhetsåtgärder). De aktiviteter som skrivs in i CISO:s handlingsplan ska leda till att ni uppnår era beslutade informationssäkerhetsmål (se Utforma: Informationssäkerhetsmål).
I CISO:s handlingsplan beskriver du varje aktivitet – vad ni vill genomföra, vilka som är ansvariga, vilka resurser som är allokerade och vilken tidsram som är beslutad. Ledningen, eller den som ledningen delegerat till, beslutar sedan CISO:s handlingsplan i sin helhet med alla eller valda delar av föreslagna aktiviteter och att det finns resurser för att genomföra dem. Det är vanligt att detta arbete görs i samband med eller inom ramen för den ordinarie verksamhetsplaneringen.
Observera att CISO:s handlingsplan inte är en ”önskelista”, med ett antal aktiviteter som enbart du som CISO tycker är nödvändiga och vill genomföra. Den behöver vara förankrad och beslutad och det är viktigt att du hanterar och säkerställer att relevanta kollegor förstår CISO:s handlingsplans status i relation till organisationens ordinarie planerings- och uppföljningscykler, andra planeringsdokument, verksamhetsplaner, budget med mera.
För att få effekt behöver informationssäkerhetsaktiviteter föras in organisationens planeringsstruktur så att de uppmärksammas och hanteras där de hör hemma. Om det finns flera planer än en i organisationen så är det viktigt att du som CISO samverkar med de som är ansvariga för dessa så att du har kontroll över de informationssäkerhetsrelaterade aktiviteterna, så att du kan bidra med stöd till dem som genomför aktiviteten och följa upp att den genomförs på ett ändamålsenligt sätt. Du behöver kunna ställa samman CISO:s handlingsplan och rapportera status för samtliga informationssäkerhetsrelaterade aktiviteter (se Följa upp: Ledningens genomgång).
Informationssäkerhetsrelaterade aktiviteter kan ingå i planer inom andra områden, som exempelvis generell säkerhet, kvalitetsstyrning, it eller digitalisering. Detta är positivt för organisationens informationssäkerhet och bidrar till att informationssäkerheten integreras med andra områden.
It-system kan till exempel vara organiserade i objekt enligt en förvaltningsmodell med årliga förvaltningsplaner. Dessa innehåller i regel aktiviteter och budgetar som beslutas av objektägare. Detta ger en god grund för att få in relevanta säkerhetsåtgärder och andra informationssäkerhetsrelaterade aktiviteter på ett integrerat sätt i organisationens it-styrning.
Du som CISO har också din egen planering av vilka säkerhetsåtgärder för styrning (se Utforma: Säkerhetsåtgärder) som behöver införas eller förbättras och vilka aktiviteter det innebär. Dessa behöver finnas med i planeringen för den del av er verksamhet som arbetar med ert systematiska informationssäkerhetsarbete.
En koncern eller stor organisation kan ha ett flertal planer som beslutas av avdelningschefer, nämnder, dotterbolagschefer eller motsvarande. Återigen: se till så att CISO:s handlingsplan förhåller sig till organisationens ordinarie verksamhetsplanering, och den organisationsstruktur och de ansvarsområden som finns så du får med dina säkerhetsrelaterade aktiviteter på ett bra sätt.
Den som tar fram en plan ansvarar också för att aktiviteterna genomförs, det vill säga att det finns utsedda aktivitetsansvariga som har tillräckliga resurser att genomföra aktiviteterna inom överenskommen tid samt att uppföljning sker. Dialogen mellan den som är ansvarig för en plan och den som är aktivitetsansvarig är viktig för att förmedla information om status i aktiviteterna och kunna agera till exempel genom att rapportera uppåt i organisationen om det blir förseningar eller andra problem så att planen inte följs.
Oavsett var aktiviteterna beslutas behöver det pekas ut någon som är ansvarig för aktiviteten. Beroende på aktivitetens omfattning och innehåll kan den aktivitetsansvariga vara samma person som den som är ansvarig för säkerhetsåtgärd (se Utforma organisationens säkerhetsåtgärder) eller till exempel en projektledare som ansvarar för att aktiviteten införs på uppdrag av en verksamhetsansvarig som har ansvaret för säkerhetsåtgärden.
Aktiviteterna kan vara av olika slag och storlek. Allt från några timmars arbete för en person till ett projekt som varar i flera månader, med en omfattande bemanning.
Hur man utformar aktiviteter kan bero på praktiska förhållanden och traditioner inom den egna organisationen. Viktigast är att aktiviteterna är väl avgränsade och tydligt beskrivna så att det går att specificera åtgången av tid och resurser. Det behöver också vara tydligt när aktiviteten ska vara klar och lämnas över för förvaltning.
Det är ofta linjeansvaret som styr själva omfattningen av en aktivitet. Exempel: en översyn av samtliga rutiner vid anställning och avslut av anställning sätts samman som en aktivitet i CISO:s handlingsplan i form av ett projekt med personalchefen som projektägare och ansvarig för aktiviteten.
Ett annat relevant skäl att definiera en aktivitets omfattning kan vara att en extern leverantör erbjuder aktiviteten ifråga som en färdigpaketerad tjänst.
Vilka aktiviteter man väljer ut till CISO:s handlingsplan vid en viss tidpunkt varierar beroende på organisationens behov och mognad. För en organisation som nyligen påbörjat sitt systematiska informationssäkerhetsarbete kan CISO:s handlingsplan i stort sett enbart bestå av aktiviteter som är grundläggande för att komma igång med det systematiska informationssäkerhetsarbetet. Exempel på sådana aktiviteter är framtagning av en informationssäkerhetspolicy och hur organisationen för informationssäkerhet utformas.
För en organisation som är informationssäkerhetsmässigt mogen, och som har kommit längre i sitt arbete, handla aktiviteterna istället om att förbättra det systematiska informationssäkerhetsarbetet och att förbättra de säkerhetsåtgärder för informationsbehandlingar som inte fullt ut uppfyllde organisationens behov när de följdes upp.
Observera att aktiviteter som är kopplade till att skydda informationen utifrån rättsliga krav, som exempelvis Dataskyddsförordningen, måste hanteras av alla organisationer – oavsett mognadsgrad.
Handlingsplanernas aktiviteter innefattar åtgärder som direkt är kopplade till brister i, eller avsaknaden av, säkerhetsåtgärder enligt er gapanalys (se nedan, samt Analysera organisationens säkerhetsåtgärder). De kan alltså syfta till att skapa ett systematiskt informationssäkerhetsarbete i enlighet med detta metodstöd, exempelvis styrdokument eller klassningsmodell, eller att införa eller förbättra säkerhetsåtgärder för informationsbehandlingar, till exempel behörighetshantering eller lås och larm.
Du som CISO är ansvarig för att samordna samtliga aktiviteter som har koppling till styrningen av det systematiska informationssäkerhetsarbetet. Det kan innebära att du själv är aktivitetsansvarig för vissa aktiviteter, att de genomförs och deras resultat.
En aktivitet kan vara likställd med, eller en delmängd av, en säkerhetsåtgärd i gapanalysen. Här är tre exempel på hur aktiviteter och säkerhetsåtgärder kan hänga samman:
En organisation har inte alltid ekonomisk eller praktisk möjlighet att ta hand om alla brister på en gång.
Ni behöver därför göra prioriteringar internt, där ni bestämmer vilka aktiviteter som ni ska genomföra den kommande perioden eller det kommande året – och vilka ni kan genomföra längre fram i tiden.
Prioritera de aktiviteter som har bäst effekt. Sträva efter balans.
Det kan även finnas andra faktorer som kan påverka prioriteringen av aktiviteter till CISO:s handlingsplan. I samband med val av aktiviteter i CISO:s handlingsplan bör ni ställa exempelvis följande frågor:
För att underlätta genomförandet av CISO:s handlingsplan så är det viktigt att alla berörda delar av organisationen är delaktiga i framtagandet. På så sätt blir de som kommer att påverkas medvetna om kommande aktiviteter och de förändringar genomförda aktiviteter kan resultera i, i ett tidigt skede – ha som målsättning att ingenting som står i CISO:s handlingsplan ska komma som en ”överraskning” för någon som aktiviteten eller förändringen berör. Särskilt viktigt är förstås samverkan med de som sätts som ansvariga för aktiviteter, så att de kan få med det i sin planering och budgetarbete.
Aktiviteter i handlingsplanerna innebär ibland inköp av konsulttjänster eller produkter, och i dessa fall är det bra att i tid engagera organisationens upphandlingsfunktion.
För varje prioriterad aktivitet bör följande information dokumenteras:
För mindre aktiviteter räcker det oftast med denna information. Lite större, mer omfattande eller komplexa aktiviteter kräver som regel en djupare beskrivning – exempelvis i form av uppdragsbeskrivningar eller projektdirektiv med tillhörande projektplan. Beskrivningarna kan ni lägga in som bilagor till CISO:s handlingsplan.
Tänk på att ta höjd för oförutsedda kostnader, så kallade kringkostnader, som mer eller mindre alltid uppstår. Som exempel kan den personal som enligt CISO:s handlingsplan är avsedd för arbetet med en viss aktivitet bli upptagen (till exempel i reaktivt arbete med incidenter eller omprioritering i verksamheten).
Det är bra att göra särskilda noteringar för samband eller beroenden mellan aktiviteter – till exempel om en aktivitet endast kan börja när en annan aktivitet tagit slut. Notera även beroenden från aktiviteter och händelser som sker utanför CISO:s handlingsplan.
Illustrera gärna aktiviteterna i CISO:s handlingsplan grafiskt, till exempel med hjälp av ett Gantt-schema. I ett sådant schema kan ni visualisera alla beroenden och flöden mellan aktiviteterna (se figur 1).
Figur 1: Aktiviteterna i handlingsplanen kan beskrivas grafiskt exempelvis i form av ett Gantt-schema.
Du som CISO behöver följa upp både CISO:s handlingsplan och de aktiviteter som den omfattar. Uppföljning behöver göras kontinuerligt och över den tid som planen sträcker sig. Utan kontinuerlig uppföljning finns risk att du onödigt sent upptäcker att aktiviteter inte hinns med (se Använda: Genomförande och efterlevnad).
Det är även bra att ha förutbestämda kontrollpunkter när planen kan justeras. Allt detta bör koordineras med organisationens ordinarie planerings- och uppföljningscykler.
Resultatet av uppföljningen är viktig input för nästa (års-)cykels analys och utformning. Inte minst för att ni ska kunna föra in aktiviteter som inte hunnits med i kommande planering så att dessa kan prioriteras och bli genomförda nästa år.
Förverkligandet av CISO:s handlingsplan och dess resultat (eller brist på resultat) är relevant för metodsteget Följa upp och förbättra, och bör tas upp i Ledningens genomgång.
Observera att ni kan behöva rapportera större problem eller avvikelser från planen till ledningen.
Ni kan skriva in er handlingsplan i verktyget Utforma Handlingsplan eller i det fall organisationen har ett planerings och uppföljningsverktyg så använder ni detta.
Resultatet av en del aktiviteter i CISO:s handlingsplan kan medföra förändringar för funktioner och medarbetare i organisationen. Även under genomförandet kan aktiviteter påverka olika grupper internt, till exempel om resultatet av en aktivitet är införandet av en säkerhetsåtgärd som innebär att ett datorsystem behöver startas om och inte finns tillgängligt under en viss tid. Det är därför bra om ni i god tid planerar in och kommunicerar ut vilka förändringar som ni kommer att genomföra och, om det är möjligt, även tidpunkt för genomförandet (se Använda organisationens säkerhetsåtgärder. Det är nödvändigt både för att förändringarna ska accepteras, och för att alla nya eller förändrade lösningar ska fungera och kunna användas som det är tänkt.
Ni kan även behöva kommunicera med de externa aktörer som kan komma att påverkas av aktiviteterna till exempel vid själva genomförandet av en aktivitet eller av dess resultat. Det kan handla om att delge viss information till exempelvis kunder, leverantörer, affärspartner, medborgare, fysiska besökare eller besökare på er externa webbplats.
Tänk på att alltid konsultera organisationens kommunikationsavdelning eller motsvarande om alla former av kommunikationsfrågor.
Verktyg för handlingsplan.
Vägledningar:
Handlingsplan, Genomföra och efterlevaDatum:
04 februari 2025