Organisation

Vanliga svenska titlar på den som samordnar informationssäkerhetsarbetet är informationssäkerhetssamordnare, informationssäkerhetsstrateg eller informationssäkerhets­koordinator. I MSB:s metodstöd för systematiskt informationssäkerhetsarbete har vi kallat den person som är ansvarig för samordningen av informations­säkerheten för CISO, en förkortning efter den engelska titeln chief information security officer. Vi har valt att använda CISO eftersom det är kort, koncist och gör texten lättare att läsa.

Analyserna är ingångsvärdena till utformningen av organisation

Resultaten från de analyser som ni har gjort i analysfasen är ingångsvärdena som ni behöver för att utforma er organisation för informationssäkerhet.

Särskilt viktiga analyser är:

• Eventuella rättsliga krav på er organisation, dess ingående roller och ansvar (se Analys Omvärld)
• Interna intressenter och deras roller, krav och förväntningar (se Analys Verksamhet).

Interna dokument som beskriver området är viktiga

Andra viktiga ingångsvärden är eventuella interna dokument som beskriver er organisation och alla interna roller, ansvarsområden, mandat och beslutsvägar.

Några exempel på sådana dokument:

• organisationsbeskrivningar
• befattningsbeskrivningar
• styrdokument
• arbetsordning
• delegationsbeslut.

Ni kan behöva komplettera dessa dokument med intervjuer, dels för att bättre lära känna organisationen, dels få förståelse för hur vissa personer arbetar i sina roller.

Ansvar för informationssäkerhet

Grundprincipen är att ansvaret för själva informationssäkerhetsarbetet ska följa det ordinarie verksamhetsansvaret. Detta gäller ända från ledning ner till enskilda medarbetare.

Denna princip innebär att den person som är ansvarig för ett visst verksamhets­område också är ansvarig för själva informationssäkerheten inom det specifika området. En verksamhet kan bedrivas i en organisatorisk del (t.ex. avdelning, sektion eller enhet), ett löpande arbetsflöde (t.ex. process) eller ett tidsbegränsat arbete (t.ex. projekt).

De personer som arbetar specifikt med informationssäkerhet har en viktig stöd­funktion i sin organisation – ungefär på samma sätt som de personer som har stödfunktioner inom andra verksamhetsområden, som ekonomi, personal (hr) eller kommunikation.

Dessa personer ansvarar för att själva arbetet med informationssäkerhet fungerar på ett lämpligt sätt. De ska däremot inte ha ett formellt ansvar för informations­säkerheten, utan det huvudsakliga syftet med detta ansvar och arbete är i stället att stötta ledningen, verksamhetscheferna och medarbetarna. Så ansvarsområdet är alltså att se till så att ledning, verksamhetschefer och medarbetare i sin tur tar ansvar för informationssäkerheten i sin verksamhet.

CISO-rollen

CISO-rollens huvudsakliga arbetsuppgifter: leda och samordna säkerhetsarbetet

Den som är CISO har som sagt det övergripande ansvaret att leda och samordna arbetet med informationssäkerhet i en organisation. Huvudansvaret för själva informationssäkerheten följer som sagt verksamhetsansvaret, och ligger därmed inte på rollen som CISO.

I detta metodstöd kan CISO få stöd för ledning och samordning att skapa och driva ett systematiskt arbetssätt för informationssäkerhet i organisationen.

Några strategiska delar av arbetet som du får hjälp med i detta metodstöd:

• Att analysera omvärlden och den egna organisationen avseende informationssäkerhet.
• Att utveckla informationssäkerhetsområdet genom att utforma och förvalta era dokument, planer, modeller med mera inom informationssäkerhet
• Att stödja den egna organisationen att efterleva, genomföra och använda utformade dokument, planer och modeller – till exempel genom olika metoder, vägledningar, utbildningar, kravställning och konkret deltagande.
• Att kontrollera och följa upp informationssäkerheten internt

Strategiskt arbete jämfört med operativ problemlösning

CISO ansvarar för detta arbete som helhet, vilket innebär att det till stora delar är strategiskt. Det strategiska perspektivet är viktigt för att kunna skapa ett systematiskt arbete som är anpassat till organisationen och hållbart över tid. Annars är det lätt att ägna för mycket tid åt operativ problemlösning.

Det strategiska perspektivet gäller oavsett storlek på och typ av organisation. Skillnaden är att CISO i stora organisationer kanske enbart arbetar strategiskt, medan rollen i mindre organisationer arbetar operativt i större utsträckning.

Vi rekommenderar att mellanstora eller stora organisationer har en utsedd CISO på heltid. Detta kan givetvis även mindre organisationer ha, särskilt ifall dessa har informations- eller it‑intensiva verksamheter, som till exempel är vanligt i mindre kommuner.

Om CISO arbetar med informationssäkerhet på deltid, så bör de andra arbetsuppgifterna vara närliggande. Till exempel inom andra säkerhetsområden (än informationssäkerhet), eller inom skydd av kvalitet, personuppgifter och/eller data.

Klarlägg CISO-rollen i ett organisationsövergripande dokument

Det är viktigt att ni tydliggör och klarlägger CISO:s roll i ett beslutat och organisationsövergripande dokument. Exempel på ett sådant dokument är en så kallad ansvarsprofil eller befattnings­beskrivning (beroende på vad ni vanligtvis tillämpar i er organisation).

Det ska således finnas beskrivet vilka beslutade arbetsuppgifter, vilket mandat samt vilken rapporteringsplikt som ingår i rollen som CISO. Särskilt viktigt är det att ni beskriver mandat och rapporteringsplikt, så att det inte råder någon tveksamhet kring detta – särskilt ifall det skulle bli en intern tvist eller konflikt, till exempel om CISO behöver påvisa brister där den som har ansvar för verksamheten inte fullföljer sitt ansvar.

Dessa klargöranden får därför inte vara löst formulerade, och det är lämpligt att koppla ihop dem med befintliga och redan beslutade styrdokument. Detta eftersom styrdokumenten reglerar vad som får och inte får göras avseende organisationens informationssäkerhet (se Utforma Styrdokument).

Mandat som CISO

Exempel på mandat som en CISO kan ha:

• Att kravställa vid till exempel utvecklingsprojekt.
• Att utföra intern granskning/kontroll att styrdokument efterlevs.
• Att rapportera interna brister i efterlevnaden av styrdokument.
• Att godkänna eventuella undantag från styrdokument, alternativt yttra sig inför eventuella undantag.
• Att godkänna specifika informationssäkerhetslösningar (det vill säga tolka ifall de uppfyller styrdokument), alternativt yttra sig inför godkännande.
• Att stoppa aktiviteter som strider mot styrdokument, alternativt att rapportera aktiviteter som strider mot styrdokument.

Rapporteringsplikt som CISO

Det bör även vara formellt fastslaget hur och när CISO ska rapportera. Rapporteringsplikt ska givetvis finnas till närmaste chef, men även till ledning (VD, GD eller styrelse) oavsett var CISO organisatoriskt är placerad.

Hur rapporteringen ska gå till bör regleras:

• Rapporteringens mottagare – till vilken eller vilka interna roller?
• Rapporteringens form – muntligt och/eller skriftligt, räcker det med ett mejl, eller ska det finnas ett särskilt rapportformat och så vidare?
• Rapporteringens frekvens – hur ofta ska CISO rapportera, exempelvis en gång om året, i halvåret eller i månaden?

CISO-rollens organisatoriska placering

Vilken organisatorisk placering av CISO som är lämplig beror på lite olika faktorer, bland annat på organisationens typ, storlek, bransch- eller sektorstillhörighet. Generellt sett så bör CISO alltid vara placerad nära ledningen.

Organisatoriskt sett innebär detta ofta att CISO är placerad i en ledningsstab, till exempel i VD-stab eller GD-stab. Idealet är att CISO är direkt underställd ledning, och att CISO rapporterar direkt till denna.

Är CISO placerad på stab (eller motsvarande) finns ofta en eller två chefsnivåer mellan CISO-funktionen och ledningen. Detta går dock att lösa genom att CISO ändå rapporterar direkt till ledningen.

I en större organisation placeras CISO ofta i en enhet eller grupp, till exempel inom:

• säkerhet
• kvalitet
• juridik
• GRC (Governance, Risk, Compliance).

Det är viktigt att CISO:s strategiska funktion är åtskild från organisationens interna it‑produktion, eftersom en CISO är både kravställande och granskande gentemot denna. Det är möjligt att placera CISO-rollen i en strategisk it‑funktion, till exempel i en CIO‑stab eller liknande om hänsyn tas till detta. 

Arbetsuppgifter som CISO

I stora organisationer kan CISO ha personalansvar för ett antal underställda roller, till exempel för informationssäkerhetsspecialister eller -handläggare. I detta fall är informations­säkerhets­chef en lämplig benämning på CISO.

För att CISO ska lyckas med organisationens informationssäkerhetsarbete är det viktigt att hela organisationen förstår CISO-rollens uppgifter och stöttar den person som är CISO. Dessutom behöver CISO ett nätverk för informationssäkerhet. Upprätta därför specifika råd och forum för informationssäkerhet, där såväl CISO som de andra rollerna av vikt kan samlas regelbundet.

För CISO är grundprincipen att informationssäkerhetsansvaret följer verksamhetsansvaret viktig. Det är också viktigt att CISO sprider denna kunskap internt – framförallt till de personer som har det egentliga ansvaret för organisationens informationssäkerhet.

Klarlägg andra roller av vikt för informationssäkerheten i styrdokument

Precis som med CISO-rollen bör ni uttrycka informationssäkerhetansvaret i styrdokument – till exempel i informationssäkerhetspolicy och i riktlinjer (se Utforma Styrdokument). Denna beskrivning bör innefatta samma grundprincip som vi gått igenom ovan.

Beskriv vilket faktiskt ansvar för organisationens informationssäkerhet som gäller vissa specifika roller i organisationen, exempelvis:

• VD eller generaldirektör (GD)
• Verksamhetschefer (för avdelning, enhet, sektion eller grupp)
• Processägare
• Informationsägare
• Objektägare eller systemägare
• Projektägare
• Enskilda medarbetare.

Informationssäkerhetsrelaterat ansvar kan vara lagstadgat

Vissa andra funktioner i organisationen kan också ha ansvar som behöver uttryckas särskilt, till exempel it‑avdelning, personalavdelning (hr-avdelning) och inköpsavdelning. I dessa fall är det cheferna för dessa funktioner som ska ha det formella informationssäkerhets­ansvaret.

Informationssäkerhetsrelaterat ansvar hos vissa roller kan till och med vara lagstadgat. Det kan gälla både roller som har verksamhetsansvar, till exempel person­uppgifts­ansvarig, och stödjande roller som till exempel säkerhetsskyddschef.

CISO och andra nyckelroller i en informationssäkerhetsorganisation

Syftet med att samordna informationssäkerhetsarbetet är att se till så att hela organisationen tar ett gemensamt ansvar för informationssäkerheten. Det är därför mycket viktigt att den person som är CISO bygger upp ett nätverk med samtliga roller som är relevanta för organisationens informationssäkerhetsarbete. Detta underlättar i sin tur själva samordningen av informationssäkerhetsarbetet – det vill säga det ansvar som ligger på CISO. 

Under verktyg finns "Nyckelroller inom informationssäkerhet - CISO:s vänner" där vi samlat intervjuer med roller som CISO kan dra nytta av. 

Tillsammans bildar dessa en så kallad informationssäkerhetsorganisation. Exempel på typiska roller av vikt finner du i tabell 1 nedan.

Råd och forum för informationssäkerhet

För att kunna bedriva och samordna arbetet med informationssäkerhet så bör det finnas grupperingar som träffas regelbundet. Behovet av sådana är särskilt stort i större organisationer, eftersom det är många personer som arbetar med säkerhetsfrågorna. Dessutom kan såväl de organisatoriska som de geografiska avstånden vara större.

Råd och forum är en bra resurs för CISO, som i dessa kan få och ge regelbunden rådgivning, och dessutom utbyta erfarenheter och synpunkter från andra viktiga roller i organisationen. CISO-rollen bör vara ordförande och sammankallande för dessa råd.

En annan fördel är att ett formellt instiftat råd eller forum kan ge informations­säkerhetsfrågorna en ökad tyngd och legitimitet, exempelvis vid uttalanden, interna remisser och rådgivning till ledningen. Frågor rörande informations­säkerhet kan även ingå i råd och forum inom andra områden, som till exempel generell säkerhet, risk eller kvalitet.

Ni bör reglera rådets eller forumets syfte, deltagande roller, mötesfrekvens och så vidare i ett styrdokument som är beslutat.

Viktiga roller i råd eller forum för informationssäkerhet

Roller som kan ingå i ett råd eller forum för informationssäkerhet är:

• Verksamhetsrepresentanter (till exempel för avdelningar, dotterbolag eller förvaltningar)
• It-säkerhetschef (eller motsvarande)
• Andra nyckelroller inom it
• Närliggande stödfunktioner (till exempel säkerhet, kvalitet, juridik, risk, compliance)
• Personuppgiftsombud eller dataskyddsombud

Aktiviteter för råd eller forum för informationssäkerhet

Några exempel på aktiviteter för dessa råd är:

• principdiskussioner
• erfarenhetsutbyte
• omvärldsbevakning
• insamling av behov och utmaningar från olika delar av organisationen
• framtagning av dokument
• föredrag och workshoppar med både interna och inbjudna externa talare.

Ni kan även behandla beslutande ärenden i rådet eller forumet, ifall dessa omfattas av CISO:s mandat. Övriga deltagare fungerar då som rådgivare och diskussionspartners inför ett beslut. Att samråd med deltagare i ett råd ska ske inför ett visst beslut kan med fördel även vara reglerat i CISO:s mandat.

Resultatet

Ni kan skriva in ansvarsområden, samordningen av informations­säkerhets­arbetet, roller samt råd och forum för informationssäkerhet i Verktyg Utforma Organisation.