Medarbetarwebb

Säkerhetsåtgärder inom informationssäkerhet

Syftet med informationsklassning är att informationen ska skyddas. Informationen klassas, riskanalys genomförs och därefter ska tillräckliga säkerhetsåtgärder införas.

Vad är en säkerhetsåtgärd?

I riskanalysen identifieras vilka säkerhetsåtgärder vi vidtar för att skydda informationen och minska riskerna. Vilka åtgärder som behövs beror på vilken information vi hanterar, hur den används och vilka risker som finns.

Säkerhetsåtgärder kan vara:

  • Organisatoriska: till exempel att tydliggöra roller och ansvar i organisationen så att inget faller mellan stolarna.
  • Administrativa: till exempel styrdokument, rutiner eller utbildningar som stöd för säker informationshantering.
  • Fysiska: till exempel lås, larm, dörrar och fönster som skyddar lokaler och system.
  • Tekniska: till exempel antivirus, behörighetsstyrning, säkerhetsloggar eller säkerhetskopiering.

För att få god informationssäkerhet behöver vi en kombination av åtgärder från flera kategorier.

Välj säkerhetsåtgärder och skapa skyddsnivåer (msb.se)

Vad är en skyddsnivå?

När flera säkerhetsåtgärder samlas till en viss konsekvensnivå av skydd kallas det skyddsnivå. Syftet är att ge informationen ett tillräckligt skydd utan att vi behöver hitta på nya lösningar varje gång vi hanterar information. Även om säkerhetsåtgärderna i skyddsnivåerna är kopplade till klassningens konsekvensnivåer så är det riskanalysen som avgör vilka säkerhetsåtgärder som ska införas. 

Skyddsnivån avgör vilka åtgärder som behövs. Här försöker vi hitta en balans: hög säkerhet till rimlig kostnad, och samtidigt en hantering som inte blir onödigt krånglig för användarna.

Välj säkerhetsåtgärder och skapa skyddsnivåer (msb.se)

Hur hittar vi rätt skyddsåtgärder?

I standarden (SS-EN ISO/IEC 27001:2022, bilaga A och SS-EN ISO/IEC 27002:2022) beskrivs säkerhetsåtgärder för allt informationssäkerhetsarbete. Vissa gäller alla typer av information, medan andra anpassas beroende på vilken information som ska skyddas.

Välj säkerhetsåtgärder och skapa skyddsnivåer (msb.se)

Risknivåer och kriterier för riskacceptans 

Risknivå

Nivå där risk får accepteras

Krav på behandling

Krav på information

Dokumentation i riskregister
Extremt hög risk Högsta ledningen Omedelbart Högsta ledningen och riskmanager Centralt och riskägarens eget
Hög risk 2:a linjens chef Inom 3 månader Riskmanager och 2:a linjens chefer Centralt och riskägarens eget
Medelhög risk 1:a linjens chef Inom 12 månader 1:a linjens chef Centralt och riskägarens eget
Låg risk Riskägare Inga krav Inga krav Endast riskägarens eget

Kraven för risknivåerna och för riskacceptans är endast exempel, från MSB:s metodstöd, verktyg "Utforma Kriterier och nivåer för riskvärdering". 

Riskhantering (msb.se)

Riktlinje riskhantering – Region (pdf)

Åtgärdsplan – att bestämma vad vi gör åt riskerna

När en riskanalys är klar måste vi besluta hur vi ska hantera de risker som identifierats. Det finns fyra alternativ:

  • Acceptera: vi lever med risken
  • Undvika: vi slutar med det som skapar risken
  • Överföra: vi flyttar risken, till exempel genom försäkring
  • Reducera: vi minskar risken genom säkerhetsåtgärder

Två typer av åtgärder för att minska risker:

  • Förebyggande åtgärder: hindrar att risken uppstår eller minskar konsekvenserna
  • Hanterande åtgärder: hjälper oss att hantera situationen när risken inträffar

Dokumentation i en åtgärdsplan

Riskägaren beslutar vilka åtgärder som ska införas. Detta dokumenteras i en åtgärdsplan som ska innehålla:

  • Vilken åtgärd som ska införas
  • Vem som ansvarar för åtgärden
  • När åtgärden ska vara införd

Planen kan följas upp för att se hur arbetet går – om åtgärderna är på plats enligt plan eller om det finns hinder.

Senast granskad:
Kontakt
Dataskydd
dataskydd@du.se
Relaterade länkar
Senast granskad: