Informationssäkerhet

Informationssäkerhet omfattar såväl organisatorisk, logisk och fysisk säkerhet och skyddsaspekter eftersom information hanteras i dessa dimensioner i dess olika form. 

Informationssäkerhet i synnerhet har under senare tid blivit ett växande område i takt med att informationssamhället expanderat i användning och utveckling av IT. Utveckling medför att hot och risker förändras vilket kräver att vi kontinuerligt måste bedriva analys- och riskhanteringsprocesser, för att över tid säkerställa skyddsnivåer för informations- och informationsbehandlingsresurser.

Organisatoriska aspekter av informationssäkerhet är en del som ökar samtidigt som användning och utveckling har sin gång. Verksamheter och dess medarbetare och partners har behov av säkerhetspolicyer, riktlinjer, instruktioner, rutiner och väl utvecklade ansvars- och avtalsförhållanden inom aktuella områden för att lyckas. Det är till exempel direkt avhjälpande att införa regler för hantering av verksamhetens materiella och immateriella resurser i förhållandet mellan att vara anställd och hur användning av verksamhetens resurser för privata ändamål får göras. Detsamma gäller för extern in- och påverkan för verksamheten, så att alla parter vet vad som ska gälla.

Idag är inte säkerhet ett lagkrav, till skillnad mot exempelvis miljö eller arbetsmiljö. Det gör att det kan vara utmanande att nå mål och visioner. Oftast hamnar säkerhets- och skyddsarbetet reglerat i avtal och förbindelser – och utgör på det sättet krav för ingående parter eller så finns närliggande andra kravkällor som exempelvis personuppgiftslagen som ställer krav för skydd av personuppgifter eller arbetsmiljö vilket ger närmevärden till krav för att bedriva säkerhets och skyddsarbete. Detta bottnar i kunskap och medvetenhet, den inhämtas genom att bedriva kontinuerlig analys, riskhanteringsarbete och ha omvärldsbevakning. Att verksamheten ansluter sig till att arbeta efter normgivande sammanställningar som till exempel standarden 27000 kan utgöra omfattande och grundläggande interna krav.

När man diskuterar säkerhet handlar det många gånger om regler, bestämmelser och rutiner. Medarbetare ser inte helheten alla gånger och detta bidrar till att införande av säkerhets- och skyddsmekanismer inte alltid får den genomslagskraft som krävs. Säkerhets- och skyddsarenan är betydligt mer omfattande än så – och det handlar om att över tid säkerställa verksamhetens fortlevnad efter de mål och visioner som finns. Regler och bestämmelser som finns utgör del av att nå verksamhetens mål på ett effektivt, mer kontrollerat sätt och med ett minimum av störningar.

Säkerhets- och skyddsarbetet bör vara en integrerad del av verksamhetsplaneringen, ingå i kvalitetsarbetet och vara ett stöd både för verksamheten och anställda. För att säkerställa sin verksamhet bör verksamhetsledningen arbeta jämsides standarden 27000 vilket är ett Ledningssystem för informationssäkerhet. Serien omfattar att säkerställa en verksamhet och dess processer i organisatorisk, fysisk och logisk mening.

Läs om 27000-serien via länken SIS – standardiseringen i Sverige.

En policy är högsta ledningens avsiktsförklaring som skapas utifrån värdegrunder. En policy är ett styrdokument som leder till en mängd olika och tillhörande dokument typer. Policyn anger ramverket för vilka riktlinjer, instruktioner, anvisningar etc. som ska gälla inom en verksamhet. En policystruktur kan även utgöra eller benämnas som verksamhetens ledningssystem som innehåller bland annat politiska, organisatoriska, ekonomiska och administrativa mekanismer som förvaltas för att vara i linje med verksamhetens uppsatta och olika mål.

Dokumentstruktur i verksamheters ledningssystem är vanligen mycket olika. Som exempel finns verksamheter som skriver policy i PM format, vilket ett globalt samfund med rätt kan reagera på, eftersom PM per defacto beskrivs som en näst intill flyktig minnesanteckning. Verksamheter flätar samman olika dokumenttyper som policy och riktlinjer, vilket bland annat innebär att läsaren måste ta del av ett ganska omfattande material fastän denne har intresse för enstaka delar. Det blir otydligt att fläta samman ledningens uttalanden med riktlinjer eller annan dokumenttyp. Det har stor betydelse i olika mening att information förmedlas i rätt format och via rätt forum bl. a ska subjekt kunna förvänta sig vad de tar del av och att det då är tydligt.

Det är alltså av betydelse för en verksamhet att bestämma form, format och innehåll för styrande dokument för att policystruktur tillika ledningssystem ska vara tydligt.

Policy omfattar

• Mål och vision
• Syfte
• Ansvar
• Omfattning

Policy kännetecknas av

• Värdegrund
• Tydlighet
• Roller och ansvar
• Kontroll av efterlevnad

En befattningsbeskrivning har till syfte att kort beskriva vad befattningen, rollen eller funktionen innebär och vad denne ska utföra. Befattningsbeskrivningen ska innehålla beskrivning om resurstilldelning, ansvar och dit hörande befogenheter samt vara en del som komplement till den anställdes anställningsavtal.

Befattningsbeskrivning är bra för kontroll av efterlevnad eller att använda underlaget för målstyrning, utveckling eller som ett förtydligande gentemot olika parter. Befattningsbeskrivningen kan i kombination med till exempel förbättrings- och utvecklingsarbete underlätta identifiering av behov av kompetens eller förändrad resurstilldelning.

Befattnings- och uppdragsbeskrivnings innehåll

• Beskrivning av roll och funktion
• Ansvar, omfattning och avgränsning
• Uppdragsbeskrivning och syfte
• Måluppfyllelsekriterier i förhållande till övergripande annan styrning
• Ansvarsförbindelse

Planeringsprocessen handlar inte bara om att bestämma vad som ska göras, hur vi ska bli bättre. Det är av stor betydelse att identifiera kunder och intressenter och ta in deras behov om förbättringar.

På liknande sätt identifiera och dokumentera interna avdelningar eller funktioners samverkan och ansvar sig emellan, som förtydliganden, förväntningar m.fl. Detta ger en beskrivning över nuläget och underlättar avsevärt vägarna fram till att omformulera befintliga eller att skapa nya mål.

I planeringsstadiet kan verksamheten använda sig av enkla verktyg som metodstöd som analys- och riskhanteringsprocess för att identifiera och kartlägga beroenden m.fl. åtgärder. Samverkan mellan ansvariga chefer och medarbetare bör resultera i möjliga lösningar och ta reda på grundorsaker till uppkommen problemformulering. Ledningen eller andra ansvariga bör direkt angripa avsaknad av planer, resurser eller analyser och se till att sådana processer kommer med redan i planeringsstadiet. Att till exempel kompetens och resurser står i jämgodhet med ansvar och uppgifter över tid eller att information och utbildning är gällande innan aktivitet påbörjas m.fl. områden.

Planeringsprocessen ska kännetecknas av

• Engagemang
• Tydliga roller och mandat
• Tydliga uppdragsbeskrivningar, styrdokument och omfattningar
• En korrekt världsbild
• God kännedom om utvecklings- och förändringsarbete

Planeringen bör vara ett underlag för löpande förbättringsarbete under året – genom löpande utvärdering, via fastställda rapporteringsmodeller.

Delar av denna planering kan också utgöra sammanställning och underlag för aktiviteter som ska hanteras under nästa kvartal eller verksamhetsår.

Exempel på planer

• Plan för revision av särskilda aktiviteter/områden, frekvens
• Plan för utbildning och informationskanaler
• Förvaltningsprocesser och ändringshantering
• Tilldelning av resurser, budget
• Plan för löpande granskning eller behov av kompetens m.fl.

Alla verksamheter behöver stöd i olika form och mening. Stöd används och är i bästa fall utformade efter de behov som finns inom verksamheten. De stöd som utformas inom verksamheten bör vara identifierade och godkända att använda. Vidare bör det finnas tydliga bestämmelser som beskriver hur stöd ska eller får användas.

Det finns flera strategiska utgångspunkter i stödfunktioner eftersom användandet av stöd skapar ett strukturerat sätt att arbeta på och påverkar kultur, beteenden, medvetenhet – ”Vi vet vart stödet finns, vad det omfattar, hur det fungerar och vad som gäller – Vi har till och med kännedom om hur våra processer hänger samman på ett tydligt sätt”. Att utforma stödfunktioner och processer bör vara en naturlig del av planeringsarbetet.

Fastställda stödsystem med tillhörande regler och bestämmelser för hantering kan till exempel vara

• Användning av datorer, nätverk och relaterade tjänster
• Telefoni och mobilanvändning
• Olika riskanalytiska metoder
• Stöd för klassificeringsmetod
• Instruktioner och anvisningar
• Incidenthanteringssystem
• Olika styrdokument
• Support/samverkan - praktiskt stöd från både interna och externa personer

Stöd- och eller stödsystem ska kännetecknas av

• Funktionalitet
• Tillit
• Enkelhet, så enkelt som möjligt
• Rätt kunskap och eller kompetens

En verksamhet kan beskrivas som en ändlig uppsättning sammanlänkade, återkommande organiserade aktiviteter och processer.

Verksamhetsprocesser karaktäriseras också utifrån en mängd olika och betydande inslag. Det kan vara värderingar hos enskilda medarbetare, krav, mångkulturella aspekter, värderingar, samarbetspartners förväntningar och ingångsvärden, nivåer etc. officiella eller inofficiella strukturer.

På grund av en verksamhets omfattning är det av stor vikt att kvalitetssäkra processer och flöden. Det är också viktigt att följa upp alla processer – för att kunna utvärdera om våra åtaganden är tillförlitliga och att vi fortlöpande lever upp till vad vi säger att vi gör och att vi följer lagens krav.

Verksamheter bör kännetecknas av

• Ett konsekvent och engagerat ledarskap
• Konkreta och tydliga ställningstaganden internt som externt
• Kvalitet och effektivitet
• Medvetenhet om miljö och omgivning
• Att vi inom verksamheten följer bestämmelser, har struktur, ordning och reda
• Gemensam uppförandekod och delade värderingar
• Tydliga krav och målformuleringar

En verksamhet är ofta komplex med olika system, beroenden och mänskliga resurser. För att kunna säkerställa både säkerhet och kvalitet behöver vi återkommande granska och utvärdera våra processer. För att detta ska kunna ske, behöver vi löpande, på olika sätt dokumentera och mäta processer och resultat. Dessa sammanställningar ligger till grund för olika utvärderingar som står i relation med verksamhetens uppsatta säkerhetsmål.

Utvärderingen bör resultera i och besvara frågor om införda system och eller funktioner har uppnått avsett resultat.

Utvärderingen bör ligga till grund för att bedriva förbättrings- och utvecklingsarbete samt ha ett proaktivt och förebyggande förhållningssätt.

Sammantaget leder utvärdering till ökad kontroll och bättre prestanda.

Arbetet med att utvärdera prestanda kännetecknas av

• Analys- och riskhanteringsprocesser
• Systematiska kontroller
• Processinriktat synsätt
• Efterlevnad av bestämmelser, ordning och reda
• Dokumentation
• Förändrings- och utvecklingsprocesser

Interaktionen mellan samhällen och marknader för varor och tjänster är idag mer globaliserat än tidigare. Utveckling och förändringsprocesser sker snabbt och påverkar infrastrukturer, system, människor, miljö och kravet på säkerhet.

Drivet som finns för denna utveckling beror på flera faktorer. Bland annat för att göra vinster i användning av råvaror, arbetskraft och för att effektivisera processer och flöden i detalj, för att minska säkerhetsrisker eller störningar. I samtid vill aktörer bibehålla eller höja kvalitet för både varor och tjänster. Strategiska mål är att vinna marknadsandelar, kunders och samarbetspartners fortsatta eller förnyade förtroenden. Detta ställer krav på verksamheter att bedriva ett systematiserat förbättringsarbete för att överleva den alltmer konkurrenskraftiga affärs- och handelsarenan.

Förbättringsarbete kännetecknas av

• Tydliga styrdokument och planer
• Ansvar, engagemang och resurstilldelning
• Kompetens inom relevanta områden
• Hög förändrings- och utvecklingsbenägenhet
• Analys- och riskhanteringsprocesser
• Kvalitets- och processinriktat synsätt
• Kontroll av verksamhetens resurser och tillgångar
• Omvärldsbevakning, att ta del av ny information, modeller och verktyg
• Systematiska kontroller av mätetal och uppföljningsprocesser