Styrdokument

Vägledning inom Utforma

Vanliga svenska titlar på den som samordnar informationssäkerhetsarbetet är informationssäkerhetssamordnare, informationssäkerhetsstrateg eller informationssäkerhets­koordinator. I MSB:s metodstöd för systematiskt informationssäkerhetsarbete har vi kallat den person som är ansvarig för samordningen av informations­säkerheten för CISO, en förkortning efter den engelska titeln chief information security officer. Vi har valt att använda CISO eftersom det är kort, koncist och gör texten lättare att läsa.

Styrdokument på olika nivåer

Beslutade styrdokument reglerar informationssäkerhetsrelaterade aktiviteter i en organisation. Styrdokumenten kan exempelvis ange vilka aktiviteter som ni behöver bedriva, samt var, hur, när, och av vem de ska bedrivas. Dokumenten kan även sammanställa vilka krav som är obligatoriska (så kallade ”ska-krav”) och vilka som är rekommenderande (så kallade ”bör-krav”). 

Styrdokument för informationssäkerhet reglerar området på olika nivåer: från ledningens övergripande viljeinriktning i en informationssäkerhetspolicy, via organisationens övergripande regelverk, till mer detaljerade instruktioner som rör specifika säkerhetsåtgärder (till exempel fysisk åtkomst till en viss lokal, eller hantering av en viss brandvägg). Styrdokumenten kan direkt eller indirekt kopplas till de säkerhetsåtgärder som ni har valt för organisationen.

Att skapa och kommunicera styrdokument för informationssäkerhet är en av de viktigaste arbetsuppgifterna för den som är CISO – eftersom man i dessa dokument beskriver hur informationssäkerheten ska se ut och bedrivas i organisationen.

Analyserna är styrdokumentens ingångsvärden

Resultaten från de analyser som ni har gjort i analysfasen är ingångsvärdena till era styrdokument.

Särskilt viktiga analyser är:

• Identifiera och analysera Verksamhet.
• Identifiera och analysera Omvärld, del Rättsanalys – exempelvis dataskyddsförordningen som ställer krav på vissa styrdokument.
• Identifiera och analysera gap – med de säkerhetsåtgärder som organisationen valt.
• Resultatet från Utforma informationssäkerhetsmål – eftersom de strategiska målen ska finnas med i informationssäkerhetspolicyn.

Ett annat viktigt ingångsvärde är organisationens befintliga styrdokument samt regelverk eller praxis för att utforma styrdokument.

Vid utformningen av styrdokument är det även viktigt att känna till och ta hänsyn till relevanta nationella och/eller bransch- och sektorspecifika regler och rekommendationer som rör informationssäkerhet och närliggande områden.

Styrdokumentens avsändare och målgrupp

Ett styrdokument har alltid en avsändare (även kallat beslutfattare) och en definierad målgrupp som tydligt uttrycker vem/vilka styrdokumentet gäller för.

Styrdokument kan ha olika detaljeringsgrad – de kan därmed antingen vara övergripande och visionära, eller konkreta och detaljerade. De kan både innehålla bindande ska-krav, och/eller vägledande och rekommenderande bör-krav.

Styrdokumentens ansvariga utgivare

Det är som regel en juridisk organisation som beslutar och ger ut styrdokument, som till exempel ett bolag, en myndighet eller en förening. Styrdokumenten kan dock delas av flera juridiska parter, som exempelvis av flera bolag i en koncern, eller av ett flertal nämnder i en kommun.

Styrdokument kan också ges ut gemensamt mellan ett flertal organisationer, till exempel i en viss bransch eller sektor – men då måste det finnas formella beslut hos varje enskild juridisk organisation.

Efterlevnad av styrdokument bör bevakas och följas upp. För vägledning kring detta se Använda Genomförande och efterlevnad samt Följa upp och förbättra.

Viktigt för ett lyckat informationssäkerhetsarbete

Styrdokumenten är en av de viktigaste hörnstenarna i ett lyckat informations­säkerhets­arbete. I styrdokumenten kan ni ange vad ni ska genomföra och bedriva – och hur det ska gå till.

Med styrdokument kan den som är CISO bygga upp en legitimitet, för såväl sin egen roll som för informations­säkerhets­arbetet. Vid ett eventuellt hinder, som exempelvis bristande agerande från olika roller i organisationen (t. ex. en chef som inte tar sitt ansvar) eller vid liknande konflikter, så är det givetvis en fördel om det finns beslutade styrdokument att hänvisa till.

Förväxla inte styrdokument med annan dokumentation

Observera att styrdokument inte är samma sak som dokumentation av annat slag. Var därför noga så att ni inte blandar ihop styrdokument med dokumentationen av ert informationssäkerhetsarbete. En dokumentation av vilka intressenter som en organisation har, eller dokumentation från en riskanalys är således inte ett styrdokument.

Medan en handlingsplan avser att hantera och åtgärda bristerna i er informationssäkerhet, (se Utforma Handlingsplan), så ska era styrdokument reglera vilka säkerhetsåtgärder ni ska ha, oavsett om de är införda redan eller inte. (se Identifiera och analysera gap).

Olika benämningar på styrdokument

En organisation har som regel en beslutad struktur för styrdokument. Strukturen inkluderar vanligtvis olika typer av och benämningar på styrdokument som får finnas, samt regler för vad som ska ingå i en viss typ av styrdokument och vilka roller som kan fatta beslut om vilka styrdokument. Ofta finns detta reglerat i ett övergripande ”styrdokument för styrdokument”.

Några vanliga benämningar på, och ibland synonymer till, styrdokument är:

• policy
• riktlinjer
• anvisningar
• instruktioner

Dessa benämningar kan ibland bilda en hierarki, där innebörden av de olika typerna inom en viss organisation skiljer sig åt vad gäller beslutsnivåer, omfattning, ska- och bör-krav med mera.

Om det inte finns en beslutad struktur i organisationen så finns det antagligen en informell praxis för utformning av styrdokument. Oavsett bör styrdokumenten för informationssäkerhet följa den struktur för styrdokument som gäller i just er organisation. Observera att ordet ”policy” förekommer i vissa regelverk, om den benämningen inte förekommer (eller förekommer på en annan nivå än relevanta regelverk avser) i er organisation blir det viktigt att säkerställa att det är tydligt vilket styrdokument som motsvarar regelkravet.

Vägledningens terminologi för styrdokumentens nivåer

Denna vägledning använder nedanstående benämningar för styrdokumentens olika nivåer. Ta fasta på innebörden av innehållet i det styrdokument som ska utformas utifrån vägledningen och benämn det enligt den struktur för styrdokument som gäller i just er organisation:

• Informationssäkerhetspolicy: Avser ledningens viljeinriktning med informationssäkerhet.
• Riktlinjer: Avser organisationsövergripande regler och rekommendationer, och kan innehålla både ska- och bör-krav.
• Instruktioner: Avser vilka regler och rekommendationer som är specifika för en viss verksamhet, teknisk plattform eller situation. Kan även vara en fördjupning av en specifik riktlinje. Kan innehålla både ska- och bör-krav.

Informationssäkerhetspolicy – det mest centrala dokumentet

En informations­säkerhetspolicy beslutas av ledningen (VD, GD, eller styrelse) och avser ledningens viljeinriktning med informations­säkerheten. Allt informationssäkerhetsarbete i en organisation ska utgå ifrån en informations­säkerhets­policy, vilket gör den till det mest centrala dokumentet för informationssäkerhet.

Informationssäkerhetspolicyn ska rikta sig till alla funktioner och medarbetare i organisationen, och även ofta externt. Det bör med andra ord vara öppen information som kan publiceras såväl internt som externt, till exempel på både intranät och extern webbplats. En informations­säkerhets­policy ska vända sig till hela organisationen, och kan (bör) därför vara gemensam för en koncern med flera dotterbolag, eller för en kommun med flera nämnder.

Utforma informationssäkerhetspolicyn

En informationssäkerhetspolicy är ett strategiskt dokument med en livslängd på cirka 3–5 år. Den måste därmed vara någorlunda stabil över tid, och bör inte behöva uppdateras varje år. Samtidigt är det ett dokument inom ett mycket föränderligt område, så det kan vara en utmaning att hitta rätt balans när man formulerar innehållet.

Som dokument ska informationssäkerhetspolicyn vara relativt kortfattad, ungefär 1–5 sidor lång. Därmed måste den innehålla en kärnfull, konkret och inte allt för utsvävande text. Vidare ska policyn vara anpassad efter just er organisation – inte bara innehålla allmänna uttryck som är hämtade från mallar eller andra organisationer. Ha i åtanke att alla i organisationen ska kunna läsa och förstå innehållet, vilket ställer höga krav på ordval och formuleringar.

Informationssäkerhetspolicyn bör (i enlighet med ISO-standarden SS-EN ISO/IEC 27002) innehålla följande:

• Definition av informationssäkerhet.
• Strategiska mål med informationssäkerhet (se Utforma Informationssäkerhetsmål).
• Principer för informationssäkerhetsarbetet.
• Ansvar och roller för informationssäkerhetsarbetet (se Utforma Organisation).
• Hantering av avvikelser och undantag.

Förankra informationssäkerhetspolicyn

Det är mycket viktigt att ni förankrar informationssäkerhetspolicyn – särskilt i ledningen – så att ni som organisation verkligen kan stå för innehållet. Representanter från organisationens olika delar bör därför medverka vid (eller åtminstone ha insyn i) framtagningen så att alla känner en delaktighet från början, inte minst personerna som sitter i ledningsgruppen.

Informationssäkerhetspolicyn kan vara en del av en generell säkerhetspolicy. Däremot får den inte enbart vara en del av en it-policy, digitaliseringsstrategi eller liknande. Detta hindrar förstås inte att delar av informationssäkerhetspolicy även finns med i sådana dokument.

Eventuella terminologiproblem med ordet ”policy”

Själva termen informationssäkerhetspolicy är väl etablerad, och finns till exempel med i ISO-standarderna SS-EN ISO/IEC 27001 och SS-EN ISO/IEC 27002.

Så även om ordledet ”policy” (i informationssäkerhetspolicy) bryter mot er övriga struktur av styrdokument så kan det löna sig att försöka göra ett undantag, eftersom begreppet är så pass vedertaget.

Om ni inte kan göra ett undantag i det här fallet så får ni givetvis döpa dokumentet till något annat som fungerar för er, förslagsvis informationssäkerhets­­strategi, informations­säkerhets­program eller liknande.

Underliggande styrdokument: riktlinjer och instruktioner

Underliggande regelverk, eller styrdokument specificerar den övergripande informationssäkerhetspolicyn.

Denna vägledning särskiljer två sorters underliggande styrdokument:

• Riktlinjer – är organisationsövergripande. Exempel: Interna krav på längd och utformning av ett lösenord.
• Instruktioner – är begränsade till en specifik teknisk plattform eller lokala förhållanden. Kan även innebära en fördjupning eller ökad detaljeringsgrad av riktlinjer.
  

Utforma riktlinjer och instruktioner

När ni utformar en regel eller en rekommendation så kan det öka förståelsen och acceptansen av denna om ni förklarar varför just detta är viktigt. Det behöver också framgå tydligt vad som är krav och vad som är information, i synnerhet när det gäller obligatoriska krav (så kallade ”ska-krav”). Det går att strukturera styrdokumenten på ett sätt som tydliggör detta, exempelvis genom att visualisera riktlinjernas krav i tabellform.

När ni utformar en instruktion så är det bra att se till så att benämningarna på instruktionen i fråga inte motsäger några övergripande riktlinjer.

Två saker är särskilt viktiga att tänka på när ni utformar riktlinjer och instruktioner för informationssäkerhet:

1. Ta avstamp i utvalda säkerhetsåtgärder

Riktlinjer och instruktioner måste ta avstamp i samtliga säkerhetsåtgärder som er organisation har valt ut. Trots att en viss säkerhetsåtgärd redan existerar och är fullt fungerande idag, så kan man råka ”glida” ifrån den om det inte finns krav eller regler som fastslår att det ska fungera på ett visst sätt. Om en nyligen vald säkerhetsåtgärd inte ännu är införd eller fungerar som den ska, så bör även detta regleras genom riktlinjer eller instruktioner. Man kan även styra det med villkor, som att man innan en säkerhetsåtgärd är på plats får agera på ett temporärt sätt, eller med ett dispensförfarande.

I viss mån ska därmed riktlinjer och instruktioner, på samma sätt som en informations­säkerhets­policy, ge uttryck för mål och ambitioner för ett önskat tillstånd – snarare än att vara en beskrivning av nuläget. På så sätt kan dessa styrdokument fungera som en drivkraft för ett förändrat beteende hos olika aktörer i organisationen, och även gentemot externa leverantörer. Det gäller att hitta rätt balans här – roller i organisationen får inte känna att det är omöjligt att efterleva styrdokumenten.

Se till att samtliga säkerhetsåtgärder som ni valt ut i er gap-analys kommer med, får täckning samt kopplas till lämplig målgrupp (se Identifiera och analysera gap).

2. Målgruppsanpassa riktlinjer och instruktioner

Ni bör anpassa era riktlinjer och instruktioner till olika målgrupper, även om de är organisationsövergripande. Genom att anpassa riktlinjerna eller instruktionerna efter målgruppen så ökar chanserna för att alla förstår innehållet.

Det ska tydligt framgå i styrdokumentet vem den primära målgruppen är, det vill säga vilka roller eller grupper som dokumentet riktar sig till och vilka som förväntas efterleva dess regler och rekommendationer. Exempel på olika målgrupper:

• Alla medarbetare
• Objektägare (informationsägare, systemägare)
• It-verksamhet
• CISO eller informationssäkerhetsorganisationen.

Det är lämpligt att samla alla regler som gäller för en viss målgrupp i ett och samma styrdokument, eller ett och samma kapitel i ett styrdokument. Det går såklart att skapa flera dokument som riktar sig till olika mottagare, eller samlingsdokument med flera avsnitt eller kapitel som riktar sig till olika målgrupper. Det viktigaste är att ni är explicita – ha som mål att en medarbetare aldrig ska behöva leta efter en viss regel i flera dokument eller på flera olika ställen i ett allt för omfattande dokument.

Som stöd vid framtagning av styrdokumenten, eller för att koppla ett styrdokument mot en viss säkerhetsåtgärd eller målgrupp, kan ni använda Verktyg Utforma Styrdokument.

Förankra riktlinjer och instruktioner

På samma sätt som vid framtagningen av informationssäkerhetspolicyn är det viktigt att riktlinjer och instruktioner förankras hos alla som ska efterleva dessa. Representanter från samtliga målgrupper bör därför medverka vid framtagningen, eller åtminstone få en chans att tycka till genom exempelvis remisser internt.

Beslut kring riktlinjer som ska gälla för hela er organisationen bör fattas av ledningen, medan specifika instruktioner kan beslutas av chefer vars verksamhet de kommer att gälla, till exempel verksamhetschefer, objektägare eller processägare. Översikt: innehållet i riktlinjer och instruktioner

Tabell U3:1: Exempel på vad riktlinjer och instruktioner i stort kan innefatta för respektive målgrupp. 

Målgrupp	Exempel på innehåll i riktlinjer och instruktioner
Alla medarbetare	Riktlinjer: Allmänna regler och rekommendationer som rör hantering av information och it, så som användning av internet, e-post och sociala medier, bärbara datorer, låsa datorn, pappershantering på kontoret, beteende vid resor och i offentliga miljöer med mera.
	Instruktioner: Regler och rekommendationer för specifika situationer, lokala verksamheter och roller i organisationen, användare av specifika system och så vidare. Instruktionerna kan beslutas av chef för lokal verksamhet, plattform, objektägare och dylikt.
Objektägare (informationsägare, systemägare)	Riktlinjer: Regler och rekommendationer för informations- och system­klassning, behörighetshantering, ändringshantering, användar­instruktioner, riskanalyser, incidenthantering och kontinuitets­hantering.
	Instruktioner: Eventuell reglering av specifika objekt (enligt riktlinjerna ovan ska objektägare utfärda instruktioner för användare av objektet.
It-verksamhet	Riktlinjer: Reglering av de it-relaterade säkerhetsåtgärderna rörande exempelvis styrning av åtkomst, kryptering, driftsäkerhet och kommunikationssäkerhet. Regleringar kan relatera till, eller baseras på ramverk för it-säkerhet så som CIS Critical Security Controls.
	Instruktioner: Exempelvis reglering av specifika it-processer eller it-resurser så som brandväggar eller operativsystem. Dessa kan utfärdas av it-säkerhetsansvarig och beslutas av exempelvis it-chef.
CISO och informations-säkerhetsorganisation	Riktlinjer: Det systematiska arbetet med informationssäkerhet kan med fördel regleras i styrdokument för att ge det en formell status. Kan innehålla alla delar av styrningen, exempelvis dokumentstruktur, organisation, informationsklassning och utvärderingar.
	Instruktioner: Specifik reglering av informationssäkerhetsarbetet, så som informationssäkerhetsråd eller specifika verktyg som används.