Click here to load reader

Terminologi och begrepp inom informationssäkerhet : hur man

  • View
    230

  • Download
    5

Embed Size (px)

Text of Terminologi och begrepp inom informationssäkerhet : hur man

  • Terminologi och begrepp

    inom informationsskerhet

    Hur man skapar en sprkgemenskap

  • 2

    MSB:s kontaktpersoner:

    Tom Andersson, 010-240 42 10

    Publikationsnummer MSB976 - februari 2016

    ISBN 978-91-7383-644-9

  • 3

    Frord

    Syftet med den hr studien r att utvrdera svensk terminologi p

    informationsskerhetsomrdet med fokus p frgor om mlgrupper och

    grundlggande begrepp. Denna rapport redovisar mlgruppsstrategier fr ett

    lpande terminologiarbete baserat p en fallstudie dr experter frn olika

    yrkeskategorier har ftt definiera en uppsttning grundlggande begrepp.

    Studien r finansierad och gjord p uppdrag av Myndigheten fr

    samhllsskydd och beredskap (MSB). Studien har genomfrts av docent

    Annika Andersson, professor Karin Hedstrm och professor Fredrik Karlsson

    frn Handelshgskolan, rebro universitet.

  • 4

    Innehllsfrteckning

    1. Inledning ................................................................................ 6

    1.1 Bakgrund och syfte ............................................................... 6

    2. Genomfrande av fallstudien .................................................. 7

    2.1 Delphi-metoden ................................................................... 7

    2.1.1 Fas 1: Val av deltagare och uppbyggnad av paneler ............................. 8

    2.1.2 Fas 2 till 4: Datainsamling ..................................................................... 9

    2.2 Analys ............................................................................... 11

    3. Resultat ................................................................................ 13

    3.1 Innehllsmssig analys av definitionerna ............................... 13

    3.1.1 Informationsskerhet........................................................................... 13

    3.1.2 Ansvar ................................................................................................... 14

    3.1.3 Tillgnglighet ........................................................................................ 16

    3.1.4 Informationsklassning ..........................................................................17

    3.1.5 Risk ....................................................................................................... 18

    3.2 Grad av konsensus mellan definitionerna, panelerna och

    yrkeskategorierna ..................................................................... 19

    3.3 Definitionerna i relation till internationellt begreppsbruk .......... 22

    3.4 Metoden att komma fram till definitionerna ............................ 22

    4. Diskussion och rekommendationer fr framtiden ................. 25

    5. Referenser ............................................................................ 28

    Bilaga 1: Samtliga experters freslagna definitioner och hur de

    rankats inom varje panel. ......................................................... 29

    Bilaga 2: Jmfrelse av de aktuella definitionerna i HB550 och

    SIS-TR 50:2015 med ISO:s internationella definitioner. ........... 58

    Bilaga 3: Panelernas definitioner och verensstmmelse med

    HB550 och SIS-TR 50:2015 ...................................................... 60

  • 5

    Sammanfattning

    Syftet med den hr studien r att utvrdera svensk terminologi p

    informationsskerhetsomrdet med fokus p frgor om mlgrupper och

    grundlggande termer. Baserat p en Delphi-studie, dr experter frn olika

    yrkeskategorier har ftt definiera en uppsttning grundlggande begrepp, har

    vi utvrderat bde experternas definitioner och processen med att ta fram

    definitionerna. Vi har identifierat flera problem med svensk terminologi p

    informationsskerhetsomrdet. Fr att stdja arbetet med att utveckla svensk

    terminologi fr informationsskerhet beskriver vi i rapporten frslag p hur

    arbetet kan bedrivas vidare. De problem vi har identifierat r bl.a. att begrepp

    som inte finns med i rdande styrdokument blir otydliga och svrtolkade fr

    experter inom omrdet och att det r problematiskt med tv olika

    styrdokument (HB550 och SIS-TR50:2015) i anvndning med delvis olika

    definitioner av samma begrepp. Vi har ven sett att olika yrkeskategorier ofta

    definierar begreppen utifrn sin specifika profession, vilket kan innebra att

    det finns ett behov av att skerhetsbegrepp kontextualiseras utifrn yrkesroller.

    Processen med att arbeta med experter enligt Delphi-metoden gav ett bra

    underlag fr att analysera och diskutera olika definitioner av centrala begrepp

    inom informationsskerhetsomrdet. Dessutom har experterna varit mycket

    engagerade i processen. Vi freslr att framtida begreppsutredningar anvnder

    sig av denna metod eller varianter av den och att det r experterna, de som i sitt

    dagliga yrke handhar informationsskerheten, som ska vara de som skapar

    definitionerna. Vi ser ocks ett stort behov av strre, effektivare och mer

    samordnade former fr framtida begreppsutredningar.

  • 6

    1. Inledning

    1.1 Bakgrund och syfte

    Syftet med den hr studien r att utvrdera svensk terminologi p

    informationsskerhetsomrdet med fokus p frgor om mlgrupper och

    grundlggande begrepp. Denna rapport redovisar mlgruppsstrategier fr ett

    lpande terminologiarbete baserat p en fallstudie dr experter frn olika

    yrkeskategorier har ftt definiera en uppsttning grundlggande begrepp.

    De styrdokument fr definitionerna vi har anvnt oss av r SIS handbok HB550

    (SIS, 2013) och SIS tekniska rapport SIS-TR 50:2015 (SIS, 2015). HB550

    utvecklades mellan r 2000 och 2003 som ett internt projekt inom SIS/TK 456

    Informationsskydd och -skerhet, och med std av TK318 och

    Terminologicentrum (TNC). Den utgva vi har anvnt oss av under analysen r

    nr. 3 frn 2011. Handbokens mlgrupp r "personer med intresse fr

    informationsskerhetsomrdet, t.ex. i samband med anvndning, upphandling,

    specifikation av svl dator- och kommunikationssystem som enskilda

    skerhetsprodukter. Den r ocks tnkt att kunna anvndas i

    utbildningssammanhang" (SIS, 2013, s. 3).

    SIS-TR 50:2015 (SIS, 2015) utvecklades 2014 som ett internt projekt inom

    SIS/TK 318 vilket ocks fick std frn TNC. Detta nya styrdokument har utgtt

    frn HB550, men nya begrepp har tillkommit och andra har reviderats. Det har

    ven lagts till en ny del som ger en versikt av internationella standarder.

    Tanken med SIS-TR 50:2015 (SIS, 2015) r att den ska erstta HB550 (SIS,

    2013), men vid studiens ingng s salufrdes bda dokumenten av SIS och

    bda anvnds i praktiken1. Vad gller de definitioner som finns i HB550 (SIS,

    2013) och SIS-TR 50:2015 (SIS, 2015) s har vi ven jmfrt dessa med de

    engelska begrepp som ISO anvnder. Vi har utgtt frn SS-ISO IEC

    27000:2014 - "Information technology - Security techniques - Information

    security management systems - Overview and vocabulary" (ISO, 2014), samt

    webbtjnsten "ISO concept database"2 som ISO tillhandahller.

    1 Under studiens gng plockade SIS bort HB550 fr frsljning ngot vi ven

    hade tnkt rekommendera i rapporten. 2 https://www.iso.org/obp/ui/

  • 7

    2. Genomfrande av fallstudien

    2.1 Delphi-metoden

    Den hr studien bygger p en Delphi-metod (Delbecq, Van de Ven, &

    Gustafson, 1975; Schmidt, 1997; Schmidt, Lyytinen, Keil, & Cule, 2001).

    Delphi-metod anvnds fr att frutsga, identifiera och prioritera olika

    aspekter, vilket sedan ligger till grund fr konceptuell och teoretisk utveckling.

    En Delphi-underskning innebr att frgor stlls till experter i omgngar vid

    olika tillfllen. I vrt fall har vi anvnt Delphi-metoden fr att lta experter

    inom olika yrkeskategorier definiera centrala begrepp inom

    informationsskerhet. Delphi-metoden anses vara mycket anvndbar fr

    forskning om beslutsfattande nr det r brist p enighet eller samsyn, eller dr

    den gemensamma kunskapsbasen r ofullstndig (Delbecq et al., 1975).

    Metoden har anvnts mycket frekvent inom informatikforskning (Okoli &

    Pawlowski, 2004). Ett sdant exempel r studier dr forskare velat frutse

    frndringar inom affrsomrden, d de frskt identifiera kritiska faktorer fr

    systemutveckling eller tagit fram modeller fr organisatoriska

    frndringsstrategier (Okoli & Pawlowski, 2004).

    Vi baserar oss p Schmidt et al. (2001) som utgngspunkt fr designen av den

    hr underskningen. Datainsamlingen och analysen grundas p Schmidt

    (Schmidt, 1997; Schmidt et al., 2001) och vi delar in Delphi-metoden i fyra

    faser, vilka presenteras nrmare i Tabell 1.

    Fas Beskrivning

    1. Val av deltagare och

    uppbyggnad av paneler

    Experterna delas in i paneler som ska

    arbeta med begreppen. Indelningen grs

    baserat p yrkeskategori.

    2. Ta fram de viktigaste

    informationsskerhetsbegreppen

    Varje paneldeltagare rankar de fem

    viktigaste informationsskerhetsbegreppen

    baserat p en lista som tidigare tagits fram

    i samarbete med Myndigheten fr

    samhllsskydd och beredskap (MSB).

    3. Beskriva och ge definitioner p

    de framtagna skerhets-

    begreppen

    Varje paneldeltagare definierar de fem

    mest centrala begreppen inom

    informationsskerhet (de begrepp som blev

    resultatet av fas 2).

    4. Samsyn och konsensus kring

    definitionerna av begreppen

    Feedback och terkoppling frn

    paneldeltagarna avseende de definitioner

    som de olika paneldeltagarna har gett samt

    rankning av den mest lmpliga

    definitionen.

    Tabell 1. Delphi-studiens fyra faser.

  • 8

    Under den frsta fasen grupperade vi experterna i panelgrupper. I den andra

    fasen tog vi fram de begrepp som panelgrupperna skulle arbeta vidare med.

    Den tredje fasen handlar om att beskriva och definiera de centrala begreppen,

    och den fjrde och sista fasen handlar om att utveckla samsyn och konsensus

    kring definitionerna av de ingende begreppen.

    2.1.1 Fas 1: Val av deltagare och uppbyggnad av paneler

    En Delphi-studie bygger p experter som deltar i paneler och frlitar sig p den

    insikt, kompetens och erfarenhet som paneldeltagarna innehar. Att vlja ut rtt

    experter att delta anses vara den mest kritiska delen nr en Delphi-studie

    genomfrs (Okoli & Pawlowski, 2004). Delbecq et al. (1975) fresprkar att

    paneldeltagare vljs baserat p att de: 1) knner sig personligt engagerade i det

    underskta problemet; 2) har relevant information att delge; 3) r tillrckligt

    motiverade fr att genomfra sin del av studien, och 4) att de knner att

    resultatet av studien r vrdefullt fr dem.

    Urvalet av paneldeltagare fr denna studie skedde i samrd med Myndigheten

    fr samhllsskydd och beredskap (MSB). Inbjudan till att delta i studien

    skickades ut till statliga myndigheter, landsting, kommuner samt relevanta

    ntverk och freningar. Inbjudan lg ven ppen p MSB:s hemsida dr ett

    antal privata aktrer anmlde sig. Fr att delta anvnde vi kriteriet att

    deltagarna skulle ha minst ett rs erfarenhet av arbete med frgor om

    informationsskerhet, dataskydd, systemskerhet, IT-skerhet, skerhetsfrgor

    i informationsfrvaltning eller informationshantering. Sammanlagt anmlde

    sig 85 personer till att delta i studien och efter det frsta utskicket var 74

    deltagare aktiva. Panelerna byggdes upp efter deltagarnas expertkunskap, och

    totalt 64 personer svarade p enkterna. Fr att kunna sortera deltagarna

    baserat p deras expertis/yrkesroll s gick vi ut med en frga om vilka typer av

    skerhetsfrgor deltagarna arbetat mest med. Detta gjorde vi fr att f s

    homogena paneler som mjligt. Enligt Delbecq et al. (1975) rcker det om

    panelen bestr av 10-15 deltagare om gruppen r homogen. Vi valde dock att i

    de flesta fall ha frre deltagare i vra paneler fr att minska arbetsbrdan och

    tidstgngen fr deltagarna nr de skulle arbeta med panelens samtliga

    definitioner. I en panel om sju experter dr fem begrepp ska definieras blir det

    totalt 35 definitioner (7 experter x 5 begrepp) att arbeta med. Tabell 2 visar de

    yrkesgrupper som deltog, antalet paneler inom varje yrkesgrupp, samt hur

    mnga deltagare varje panel bestod av.

  • 9

    Yrkesomrde Paneler Antal

    Juridik och regelverk

    Panel J:1 7

    Panel J:2 7

    Informationsfrvaltning och dokumenthantering

    Panel I:1 7

    Panel I:2 7

    Systemutveckling och frvaltning Panel S:1 7

    Skerhetsteknik Panel T:1 11

    Ledning och samordning

    Panel L:1 7

    Panel L:2 7

    Panel L:3 7

    Panel L:4 7

    Tabell 2. Paneler och antal deltagare under studien.

    2.1.2 Fas 2 till 4: Datainsamling

    Syftet med Delphi-studien var att f beslutsunderlag fr

    myndighetssamordning av insatser om svensk terminologi inom

    informationsskerhet. Med bakgrund i detta fick experterna vlja ut vad de

    ansg vara de mest centrala begreppen inom informationsskerhetsomrdet.

    Drefter har experterna tillhandahllit oss definitioner av dessa begrepp som

    input fr en kvalitativ analys.

    Under tidsperioden 2015-09-30 till 2015-10-28 genomfrdes faserna 2 till 4,

    dr en internetbaserad enkt distribuerades till experterna i varje fas.

    Experterna hade cirka tio dagar p sig att genomfra respektive fas, och en

    pminnelse per enkt skickades ut. I den frsta fasen fick experterna ranka de

    fem viktigaste begreppen inom informationsskerhet, begrepp som de senare

    skulle arbeta med att definiera. Denna rankning gjordes utifrn en lista med

    begrepp som 18 experter inom informationsskerhetsomrdet rankat fram som

    de tio viktigaste informationsskerhetsbegreppen under ett terminologipass p

    konferensen Informationsskerhet fr offentlig sektor3. De begrepp

    experterna valde ut var: ansvar, informationsklassning, informationsskerhet,

    konfidentialitet, riktighet, risk, sekretess, sprbarhet, skerhet, och

    tillgnglighet.

    Dessa tio begrepp gick ut till samtliga deltagare i Delphi-studien som rankade

    vilka fem av dessa som de skulle jobba vidare med i panelerna. Rankingen

    gjordes genom att experterna fick pongstta begreppen med vrden frn ett

    till tio. Resultatet av rankningen i fas 2 presenteras i Tabell 3. Rangordningen

    r gjord fallande, dr medelvrde r avrundat till nrmsta tiondel.

    3 https://www.msb.se/sv/Start1/Kalender/Konferens-Informationssakerhet-for-

    offentlig-sektor-1-2-september-2015/

  • 10

    Ranking Begrepp Medelvrde

    1 Informationsskerhet 7,7

    2 Ansvar 6,4

    3 Tillgnglighet 6,2

    4 Informationsklassning 6,1

    5 Risk 5,6

    6 Riktighet 5,5

    7 Skerhet 5,5

    8 Sekretess 5,5

    9 Konfidentialitet 4,2

    10 Sprbarhet 3,0

    Tabell 3. Rankade begrepp efter fas 2.

    De begrepp som vi gick vidare med till tredje fasen var de fem hgst rankade:

    informationsskerhet, ansvar, tillgnglighet, informationsklassning och risk.

    Den andra enkten bestod av en lista som innehll dessa fem begrepp dr vi

    bad paneldeltagarna att definiera dem. D vi var intresserade av hur deltagarna

    definierar dessa begrepp i sin arbetssituation s stllde vi frgan utifrn hur de

    skulle definiera dem fr en nyanstlld person.

    I studiens fjrde fas distribuerade vi paneldeltagarnas definitioner till hela

    panelen och bad dem att ranka vilken definition som de ansg vara mest

    lmplig. Experterna fick ange sitt frsta-, andra- och tredjehandsval fr varje

    begrepp. I enkten erbjds deltagarna ven mjlighet att kommentera den

    genomfrda rankningen och/eller gra andra frtydliganden i en

    kommentarruta.

    Sammantaget s har svarsfrekvensen varit hg. Sett till hela studien var 75 %

    (64 av 85 experter) av de som anmlde sig till studien aktiva genom de flesta

    faserna av datainsamlingen. Tabell 4 visar svarsfrekvensen fr varje fas. Fr

    den andra fasen var svarsfrekvensen 87 %, och fr de tv efterfljande faserna

    var svarsfrekvensen 86 %. Detta visar att paneldeltagarna har varit mycket

    engagerade genom hela studien.

    Fas Enkt Svarsfrekvens

    2 Enkt 1 - Facksprk p

    Informationsskerhetsomrdet, ranking av

    initiala begrepp

    87 % (74 svar av 85

    utskick)

    3 Enkt 2 - Facksprk p

    Informationsskerhetsomrdet, definiera

    begrepp

    86 % (64 svar av 74

    utskick)

    4 Enkt 3 - Facksprk p

    Informationsskerhetsomrdet, ranking av

    definitioner

    86 % (64 svar av 74

    utskick)

    Tabell 4. Total svarsfrekvens under studien.

    Tabell 5 visar detaljer ver svarsfrekvensen fr de olika yrkesgrupperna efter

    sista svarsomgngen. Experterna inom yrkeskategorin

  • 11

    Informationsfrvaltning och dokumenthantering uppnr hgst svarsfrekvens

    med 100 %, och den lgsta (men fortfarande hga) svarsfrekvensen med 73 %

    terfinns i yrkeskategorin Skerhetsteknik.

    Yrkeskategori Svarsfrekvens

    Informationsfrvaltning och

    dokumenthantering

    100 % (14 svar frn 14

    deltagare)

    Ledning och samordning

    89 % (25 svar frn 28 deltagare)

    Systemutveckling och frvaltning

    86 % (6 svar frn 7 deltagare)

    Juridik och regelverk

    79 % (11 svar frn 14 deltagare)

    Skerhetsteknik

    73 % (8 svar frn 11 deltagare)

    Tabell 5. Svarsfrekvens fr varje yrkeskategori i sista svarsomgngen.

    2.2 Analys

    Varje fas i datainsamlingen kopplades till en separat analys. Analysen i fas 2

    syftade till att bestmma vilka begrepp som skulle ing i den fortsatta studien.

    Fr detta ndaml berknade vi medelvrdet baserat p de pong som

    deltagarna hade gett de olika begreppen. De fem begrepp med hgst

    medelvrde gick vidare till fas 3. Resultatet av den analysen r presenterad i

    Tabell 3.

    Under den tredje fasen samlade vi ihop de begreppsdefinitioner som varje

    paneldeltagare gett och distribuerade dem till samtliga paneldeltagare. Detta

    innebar att en panel bestende av sju paneldeltagare fick ta stllning till 35

    olika definitioner (7 experter x 5 begrepp). I den hr fasen bestod analysen av

    att skerstlla att endast text rrande definitionerna gick vidare till nsta fas.

    Analysen i den fjrde fasen syftade till att ta fram de hgst rangordnade

    definitionerna i respektive panel, samt att genomfra jmfrande analyser. Fr

    den frsta delen av analysen anvnde vi en metod dr vi gav varje deltagares

    frstahandsval 3 pong, andrahandsval 2 pong och tredjehandsval 1 pong.

    Drefter summerades pongen fr varje definition. Sledes fick den definition

    som experterna fredrog mest hgst pong. I de fall dr tv definitioner fick

    samma pongsumma valdes den definitionen som hade flest frstahandsval. P

    s vis erhlls en definition per panel som anvndes fr de jmfrande

    analyserna. Fr den som r intresserad av att ta del av samtliga freslagna

    definitioner och dess rankning inom varje panel s terfinns dessa i Bilaga 1.

    De innehllsmssiga analyserna var av tre typer. Den frsta analysen handlade

    om att jmfra begreppsdefinitioner inom yrkeskategorin, d.v.s. att analysera

    om och i vilken grad definitionen av ett specifikt begrepp r samstmmigt eller

    ej inom en viss yrkeskategori. Den andra typen av analys handlade om att

  • 12

    jmfra definitioner mellan olika yrkeskategorier. Den tredje och sista analysen

    fokuserade jmfrelse mellan de olika yrkeskategorierna och SIS:s

    begreppsdokument HB550 (SIS, 2013) och SIS-TR 50:2015 (SIS, 2015). I

    samtliga dessa analyser arbetade vi med det textuella innehllet fr att avgra

    skillnader i hur yrkeskategorierna samt varje panel avgrnsade begreppen.

    Fr att f ett mtt p hur verens experterna var inom de olika panelerna

    avseende den hgst rankade definitionen skapade vi mttet grad av konsensus.

    Mttet r berknat p hur mnga procent av den teoretiska max-pongen som

    den hgst rankade definitionen hade. Den teoretiska max-pongen r 3 pong

    (hgst betyg) x antal paneldeltagare som utdelat pong. En hgre procentsats

    fr definitionen betyder d att fler var njda med definitionen.

    Slutligen genomfrdes en jmfrelse mellan definitionerna i de svenska

    styrdokumenten och de som anvnds internationellt, i det hr fallet de som ges

    ut av ISO (ISO, 2014). ven hr arbetade vi med det textuella innehllet fr att

    avgra hur begrepp avgrnsades samt vilka aspekter som lyftes fram (Bilaga 2).

  • 13

    3. Resultat

    Vi kommer att beskriva resultatet i tre delar. Frst analyserar vi innehllet i

    panelernas definitioner och jmfr dessa med definitionerna i HB550 (SIS,

    2013) och SIS-TR 50:2015 (SIS, 2015). Drefter analyserar vi graden av

    konsensus inom panelerna och yrkesgrupperna vad gller de olika

    definitionerna. Den tredje delen rr styrdokumenten i relation till

    internationellt sprkbruk. Avslutningsvis reflekterar vi kring sjlva processen

    med att ta fram definitioner i en Delhi-studie och hur den fungerade.

    3.1 Innehllsmssig analys av definitionerna

    Nedan fljer den innehllsmssiga analysen av de hgst rankade

    definitionerna, dr jmfrelser grs med definitionerna i HB550 (SIS, 2013)

    och SIS-TR 50:2015 (SIS, 2015). I Bilaga 3 finns en lista ver dessa definitioner

    och en jmfrelse ver hur vl de matchar mot centrala begrepp i de bda

    styrdokumenten. Intressant att notera r ven att tv av begreppen som

    panelerna hade valt ut som centrala informationsklassning och ansvar

    inte finns beskrivna i varken HB550 (SIS, 2013) eller SIS-TR 50:2015 (SIS,

    2015). Nr det gller ansvar finns det liknande begrepp att luta sig emot (se

    diskussion nedan). Fr begreppet informationsklassning finns det dock ingen

    motsvarighet till detta i de underskta styrdokumenten.

    3.1.1 Informationsskerhet

    I HB550 definieras informationsskerhet som skerhet fr

    informationstillgngar avseende frmgan att upprtthlla nskad

    konfidentialitet, riktighet och tillgnglighet (ven ansvarighet och

    oavvislighet) (SIS, 2013). I SIS-TR 50:2015 beskrivs informationsskerhet

    som bevarande av konfidentialitet, riktighet och tillgnglighet hos

    information (SIS, 2015).

    Konfidentialitet, riktighet och tillgnglighet terkommer ocks i de flesta

    panelers definitioner. Ett exempel r fljande:

    Informationsskerhet r de tgrder som vidtas fr att frhindra att

    information: grs tillgnglig fr eller i vrigt kommer obehriga till

    del (konfidentialitet), frndras, vare sig obehrigen, av misstag eller

    p grund av funktionsstrning (riktighet), och information ska kunna

    utnyttjas i frvntad utstrckning och inom nskad tid

    (tillgnglighet). (Ledning och samordning, L:4)

    Det enda av dessa kriterier som ngon gng fallit bort r tillgnglighet. Detta

    har hnt i en panel med experter frn Informationsfrvaltning och

    dokumenthantering och en frn Ledning och samordning. Dessa

    definitioner har fokuserat mer p hotet och att skydda:

  • 14

    Systematisk planering fr att information ska skyddas mot obehrig

    tkomst (bde intrng av extern part och behrighetsstyrning inom

    organisationen) samt mot frvanskning (d.v.s. informationens

    autenticitet garanteras). (Informationsfrvaltning och

    dokumenthantering, I:2)

    Samtliga tekniska och regelmssiga tgrder som skyddar

    organisationens information. (Ledning och samordning, L:2)

    Att definiera informationsskerhet som mer n bara teknik r ngot som lyfts

    fram tydligt i kommentarerna till definitionerna av informationsskerhet i bde

    HB550 (SIS, 2013) och SIS-TR 50:2015 (SIS, 2015). Detta stt att tnka lyfts

    ocks av flera av panelerna, dr det i flera av definitionerna trycks p att

    informationsskerhet gller bde manuella och digitala system. Utver detta

    ppekar flera paneler att informationsskerhet gller bde de tekniska delarna

    svl som de administrativa:

    Informationsskerhet r den vergripande skerheten som omfattar

    bde tekniskt (IT-skerhet) och administrativt (regler och rutiner)

    skydd och syftar till att informationen alltid skall vara korrekt,

    tillgnglig som avsett och skyddad frn obehrigt tilltrde.

    (Skerhetsteknik, T:1)

    En vergripande reflektion frn vr sida vad gller definitionerna av

    informationsskerhet r huruvida det r information eller

    informationstillgngar som r i fokus. I HB550 (SIS, 2013) handlar

    informationsskerhet om att upprtthlla nskad konfidentialitet, riktighet och

    tillgnglighet hos informationstillgngar. Det r en skillnad gentemot SIS-TR

    50:2015 (SIS, 2015), dr samma formulering finns, men d fr information.

    Vi menar att informationstillgngar skiljer sig t frn information, dr

    begreppet informationstillgngar tydligare pekar p information som r

    skyddsvrd. Enbart fr att information finns inom en organisation behver den

    inte vara en tillgng eller ha ett skyddsvrde. Dessutom kan

    informationstillgngar ven inkludera de resurser som tillhandahller

    informationen. Panel J:2, i yrkeskategorin Juridik och regelverk skriver att

    med informationstillgngar avses all information och

    informationshanterande resurser ssom manuella och IT-baserade

    informationssystem. Citatet illustrerar hur all information ses som

    informations-tillgngar, och vi ser drfr ett behov av att problematisera, och

    framfrallt skilja p, begreppen information och informationstillgngar.

    Detta skulle driva fram en diskussion om vilken information som r skyddsvrd

    och drmed ligga till grund fr olika typer av prioriteringar av arbetet med

    informationsskerhet.

    3.1.2 Ansvar

    Ansvar som enskilt begrepp finns inte definierat i vare sig HB550 (SIS, 2013)

    eller SIS-TR 50:2015 (SIS, 2015). I HB550 (SIS, 2013) finns begreppet

  • 15

    ansvarighet definierat och i SIS-TR 50:2015 (SIS, 2015) finns begreppet

    ansvarsskyldighet.

    Ansvarighet enligt HB550 innebr att en individ givits och ptagit sig visst

    ansvar och att drvid denne i efterhand kan stllas till svars fr sitt handlande

    (SIS, 2013). Det handlar sledes om en princip kopplad till individ, en

    mnniska, som ocks kan komma att st till svars fr sitt handlande. P

    liknande stt har SIS-TR 50:2015 definierat ansvarsskyldighet som

    principen att st till svars och ta ansvar fr konsekvenserna av beslut och

    aktiviteter infr organisationens styrande organ, rttsliga myndigheter

    och infr intressenter i allmnhet (SIS, 2015). Ansvar i dessa dokument r

    m.a.o. kopplat till frgan om skyldigheten att ta p sig skulden om ngot inte

    blir rtt utfrt. Vikten av att ngot blir rtt utfrt, eller vad som innebr med

    rtt utfrt, r m.a.o. inte kopplat till ansvar i ovanstende styrdokument. Vad

    som r att anse som rtt utfrt r sledes ngot som mste definieras inom

    varje organisation, och en diskussion som stndigt br vara aktuell.

    I samtliga definitioner som panelerna har gett har de sett att ansvar r

    kopplat till en individ eller mer specifikt till en viss roll, exempelvis enligt

    fljande:

    Person eller funktion inom organisationen som har en roll att

    genomfra vissa specifika aktiviteter eller att flja upp att vissa

    specifika aktiviteter blir genomfrda. (Informationsfrvaltning och

    dokumenthantering, I:2)

    Ansvar tilldelas en person eller roll och innebr att denne r lagd

    att tillse att arbetet sker enligt de regler som har faststllts och

    innebr att personen/rollen ocks har mandat att fatta beslut och

    leda arbetet inom ansvarsomrdet. (Skerhetsteknik, T:1)

    Vad gller att st till svars fr sitt handlande s var det bara tv paneler (en

    frn Ledning och samordning och en frn Juridik och regelverk) som

    enades om en sdan definition. Ett exempel r:

    Skyldighet att se till att ngot utfrs p angivet stt inom ett

    avgrnsat omrde. Till ansvaret hr befogenheter och beslutsmandat

    samt att st till svars fr om ngot inte utfrts p angivet stt.

    (Ledning och samordning, L:1)

    Det r mnga experter som kommenterat att ansvar i sig r ett ganska

    abstrakt och komplicerat begrepp, och att det var svrt att definiera fr det

    beror p. Ett exempel p en sdan kommentar r:

    Frgan r lurig och, vill jag pst, lite dligt stlld. Avses "ansvar"

    som begrepp i strsta allmnhet? Eller i ett visst sammanhang? Jag

    har bara hittat en definition som jag tycker ramar in vad ansvar

    innebr. Den r rankad som nr 1. Inga andra passar alls om inte

    frgan frtydligas. Ett (nnu bttre) alternativ till r: "Skyldighet att

  • 16

    vara den som ser till att ngot blir rtt utfrt (och fr ta p sig

    skulden om s inte blir fallet) (Hmtat frn Wikipedia). (Ledning

    och samordning, L:2)

    Ytterligare en indikation p att begreppet upplevs som abstrakt och

    komplext kan vara att tv experter i panelen Ledning och samordning L:4

    hoppade ver att definiera detta begrepp, vilket kan jmfras med att

    samtliga experter annars skrivit ngot om alla andra begrepp. Det kan

    allts finnas anledning att inkludera, och tydligt definiera, begreppet

    ansvar i styrdokumenten. Begrepp som inte finns med i rdande

    styrdokument blir otydliga och svrtolkade fr experter inom omrdet.

    3.1.3 Tillgnglighet

    I HB550 definieras tillgnglighet som ett [s]kyddsml dr

    informationstillgngar skall kunna utnyttjas i frvntad utstrckning och

    inom nskad tid (SIS, 2013). Tillgnglighet handlar allts om bde

    utstrckning (mngd) och om tid. ven i SIS-TR 50:2015 finns tidsaspekten

    med, men med ett tillgg om vem (behrig) som ska ha tkomst: tkomst fr

    behrig person vid rtt tillflle (SIS, 2015). De flesta paneler fljer i stora drag

    definitionen i HB550 (SIS, 2013), ven om tre paneler inte nmner

    tidsaspekten i sina definitioner. Att tkomsten ska glla behrig person lyfts av

    experterna frn Ledning och samordning och Informationsfrvaltning och

    dokumenthantering. Ett exempel r:

    Tillgng till informationstillgng(ar) fr behriga anvndare i

    frvntad utstrckning och inom nskad tidsrymd.

    (Informationsfrvaltning och dokumenthantering, I:1)

    En intressant mjlig utvidgning av begreppet tillgnglighet grs av en panel

    med experter frn Ledning och samordning. Frutom utstrckning och tid s

    lgger de till plats d.v.s. var behriga har tillgng till dessa

    informationstillgngar:

    I informationsskerhetssammanhang avses [tillgnglighet]

    mjlighet att komma t information nr och dr den behvs.

    (Ledning och samordning, L:4)

    Att panelen lgger till i definitionen att behriga ska kunna komma t

    informationen dr den behvs kan indikera ett frtydligande som kan behvas

    i dagens samhlle med mobila enheter och t.ex. ambulerande

    sjukvrdspersonal.

    I arbetet med att definiera tillgnglighet syns det tydligt att den profession

    experterna har pverkar hur de talar om begreppet och vilka aspekter i

    definitionen de anser r viktiga att lyfta fram. Ett sdant exempel r hur

    yrkeskategorierna Skerhetsteknik och Systemutveckling och frvaltning

    trycker p kriterier som liknar klassisk anvndbarhet och design. Experterna

    frn Systemutveckling och frvaltning, S:1, nmner att informationen ska

  • 17

    vara tkomlig p ett enkelt stt och experterna p skerhetsteknik, T:1,

    uttrycker vikten av att informationen r n- och anvndningsbar. Vidare

    lyfter experterna i panel I:2, frn Informationsfrvaltning och

    dokumenthantering, fram vikten av att information har bibehllen kvalitet

    och autenticitet, ngot som r centralt sett till att informationen ska kunna

    hmtas fram efter lng tids arkivering.

    Vi kan ocks se att experterna inom yrkeskategorin Juridik och regelverk

    hller sig relativt nra definitionerna som terfinns i HB550 (SIS, 2013)

    respektive SIS-TR 50:2015 (SIS, 2015), vilket fljer den specifika professionens

    logik dr definitioner ses som en del av ett regelverk. Panel J:1 i yrkeskategorin

    Juridik och regelverk definierar tillgnglighet som att beskriva i vilken

    grad anvndare kan n nskad information vid ett givet tillflle eller tidpunkt,

    och panel J:2 definierar begreppet enligt fljande: [m]ed tillgnglighet menas

    att informationstillgngar kan nyttjas efter behov i frvntad utstrckning och

    inom nskad tid.

    3.1.4 Informationsklassning

    Begreppet informationsklassning finns inte definierat i vare sig HB550 (SIS,

    2013) eller SIS-TR 50:2015 (SIS, 2015). Det r nog anledningen till att

    panelernas definitioner varierat mycket och att definitionerna ofta r ganska

    svvande. Nr vi skt p SIS och informationsklassning s finns ett dokument

    frn konferensen Rtt skerhet frn 2009 (Veriscan, 2009). I detta dokument

    framgr det att [k]lassning r stt att bedma vilken niv av skydd som r

    lmpligt med tanke informations vrde och de hot som omger den och att de

    kriterier som ska ing i informationsklassning r sekretess, tillgnglighet,

    sprbarhet och riktighet. Dessa kriterier har flera av panelerna ftt med, men

    mnga definitioner r mer vaga. Panel I:2 med experter inom

    Informationsfrvaltning och dokumenthantering skriver exempelvis:

    Fr mig r informationsklassning tv begrepp: 1. Klassning efter mne t.ex. i

    en diarieplan eller kontoplan, 2. Skerhetsklassning, dvs. vem som ska

    tillgng till vilken information och hnger samman med sekretessregler.

    (Informationsfrvaltning och dokumenthantering, I:2)

    Av citatet framgr att det inte r entydigt vad som menas med

    informationsklassning och stor vikt lggs vid just sekretess. En annan expert

    svarade att jag har ingen aning. Ytterligare ett belgg fr svrigheten att

    definiera begreppet syns i definitionen frn panel L:3 med experter frn

    yrkeskategorin Ledning och samordning. De ger en lngre definition, vilket

    ger vid handen att de olika aspekterna behver frtydligas:

    Informationsklassning r ett stt att skerstlla att information

    erhller en lmplig skyddsniv med hnsyn tagen till informationens

    vrde och de risker som omger den. Information klassas i termer av

    rttsliga krav, vrde, verksamhetsbetydelse och knslighet fr

    obehrigt rjande eller modifiering. Som hjlp anvnds kriterierna

    konfidentialitet, riktighet, sprbarhet och tillgnglighet. Med

  • 18

    konfidentialitet avses att informationen inte fr gras tillgnglig eller

    avsljas fr obehriga. Med riktighet avses att informationen inte

    ska kunna frndras och frvanskas av misstag eller av ngon

    obehrig. Med tillgnglighet avses att informationen ska finnas till

    hands fr behriga anvndare d den behvs. Resultatet frn de

    olika klassificeringarna skall utgra det samlade kravet p nivn fr

    skyddet av den aktuella informationen eller IT-systemet. (Ledning

    och organisation, L:3)

    Detta r ett exempel p hur flera experter har ett behov av att frtydliga och

    exemplifiera och kontextualisera de informationsskerhetsbegrepp de

    anvnder. Vidare ser vi ett gemensamt mnster tillsammans med de

    svrigheter experterna hade att definiera begreppet ansvar. Nr begrepp inte

    finns med i styrdokumenten blir de otydliga och svrtolkade. Sledes finns hr

    ett behov av att inkludera, och tydligt definiera informationsklassning i

    styrdokumenten.

    De tydligaste definitionerna av informationsklassning kom, inte s

    verraskande, frn panelerna med experter som ofta jobbar med denna

    aktivitet, ssom yrkeskategorierna Skerhetsteknik och Systemutveckling

    och frvaltning. Ett sdant exempel r:

    Informationsklassning r en process som syftar till att bedma

    informationens vrde och skyddsbehov s att rtt tgrder kan

    vidtas fr att informationen skall f rtt hantering och skydd.

    (Skerhetsteknik, T:1)

    3.1.5 Risk

    I HB550 definieras risk som en kombination av sannolikheten fr att ett givet

    hot realiseras och drmed uppkommande skadekostnad (SIS, 2013). Risk

    stts allts i samband med sannolikheten fr att ngot ska ske och hr nmns

    ven de negativa effekterna den uppkommande skadekostnaden. I SIS-TR

    50:2015 definieras risk som oskerhetens effekt p ml (SIS, 2015) och

    frtydligar d att risk, hot och kostnad mste stllas i frhllande till vilka ml

    en organisation har.

    Vad gller panelernas definitioner av risk s r de alla, frutom panelen S:1

    inom yrkeskategorin Systemutveckling och frvaltning, starkt kopplade till

    definitionen i HB550. ven om definitionerna inte r exakt ordagranna s r

    relationen tydlig, exempelvis:

    En sammanvgning av sannolikheten fr att en hndelse ska

    intrffa och de konsekvenser hndelsen kan leda till.

    (Informationsfrvaltning och dokumenthantering, I:1)

    och

  • 19

    Risk r sannolikheten fr att en onskad hndelse intrffar och

    konsekvenserna som detta i s fall skulle innebra. (Juridik och

    regelverk, J:2)

    Den panel som avviker var S:1, frn Systemutveckling och frvaltning. I

    denna panel ges fljande:

    [r]isk beskriver i vilken grad information, fysiska objekt, personal

    och omgivning kan rka ut fr olika hot, som p ngot stt skadar,

    frndrar eller frstr objektet.

    Fokus i ovanstende definition r p hot och skador, men de har inte kopplat

    risk till sannolikheten av att det kan hnda. En annan skillnad i definitionernas

    formulering r hur de fyra panelerna med Ledning och samordning ger

    beskrivningar med mer processfokus. De beskriver risk som i innebrden

    riskanalys. Ett exempel r fljande:

    Skerhetsarbetet [vr fetning] r riskbaserat. Det innebr att

    skyddstgrder regelbundet ska bedmas och anpassas utifrn hur

    verksamheten frndras eller nr det uppstr ndrade

    frutsttningar i omvrlden (bde internt som externt) som har eller

    kan ha pverkan. (Ledning och samordning, L:3)

    Kopplingen till ml, som grs i SIS-TR 50:2015 (SIS, 2015) har endast en

    panel, L:1 frn Ledning och samordning, nmnt. Det innebr att experterna i

    vriga paneler mer kopplar risk-begreppet till hur riskanalyser genomfrs,

    och inte till affrs- och verksamhetsvrden som ska uppns. Exempel p denna

    mer operationella syn p risk syns i ordval ssom sammanvgning, risk r

    sannolikheten och i vilken grad vilket gr att knyta till arbetet med att gra

    riskbedmningar.

    3.2 Grad av konsensus mellan definitionerna,

    panelerna och yrkeskategorierna

    Till att brja med kan vi konstatera att av 64 experter som har gett definitioner

    av de fem begreppen s fann vi inga dubbletter, ven om flera definitioner r

    snarlika. Det innebr att vi har 64 olika definitioner av samma begrepp (se

    Bilaga 1).

    En analys av mttet grad av konsensus fr varje begrepp och varje panel visar

    att det egentligen inte finns konsensus i begreppets sanna innebrd, d.v.s. att

    det finns vervgande enighet mellan deltagarna i en panel. Tabell 6 visar

    resultaten fr respektive panel och begrepp, och dr r graderna av konsensus

    relativt lga. I tabellen indikerar en hgre procentsats en hgre grad av enighet

    inom respektive panel.

  • 20

    Yrkeskategori Panel

    Grad av konsensus fr begrepp

    In

    form

    ati

    on

    s-

    skerh

    et

    An

    svar

    Til

    lgn

    gli

    gh

    et

    In

    form

    ati

    on

    s-

    kla

    ssn

    ing

    Ris

    k

    Informationsfrvaltning och

    dokumenthantering

    I:1 76 % 48 % 48 % 57 % 52 %

    I:2 62 % 43 % 71 % 52 % 86 %

    Ledning och samordning L:1 76 % 62 % 67 % 48 % 57 %

    L:2 62 % 52 % 62 % 57 % 52 %

    L:3 61 % 67 % 61 % 67 % 78 %

    L:4 53 % 47 % 40 % 67 % 40 %

    Systemutveckling och frvaltning S:1 44 % 67 % 56 % 67 % 50 %

    Juridik och regelverk J:1 92 % 75 % 92 % 92 % 83 %

    J:2 62 % 76 % 57 % 52 % 52 %

    Skerhetsteknik T:1 62 % 75 % 75 % 83 % 67 %

    Tabell 6. Grad av konsensus fr varje enskilt begrepp baserat p de olika

    panelerna

    De delvis lga graderna av konsensus kan hnfras till den metodmssiga

    begrnsningen i studien, dr fler iterationer kunde ha kat graden av

    konsensus. Tabellen visar dock att yrkeskategorierna har haft olika svrt att

    enas om de olika begreppsdefinitionerna, givet samma antal iterationer.

    Exempelvis ser vi att nr de gllde att definiera begreppet

    informationsskerhet s hade panelen i yrkeskategorin Systemutveckling

    och frvaltning svrt att enas om en definition, medan bda panelerna i

    yrkeskategorin Juridik och regelverk fann detta enklare. Graden av

    konsensus, givet varje panels egna definitioner, strcker sig frn 40 % (Ledning

    och samordning, L:4) till 92 % (Juridik och regelverk, J:1). En tolkning r att

    deltagarna i sin tolkning av begreppet utgr frn hur de brukar nrma sig

    problem baserat p sin yrkesroll. Experterna inom Juridik och regelverk

    arbetar med regelfljande och har drmed i hgre grad n andra grupper vana

    av att definiera begrepp utifrn frn verksamhetens regelverk. En annan

    tolkning r att denna grupp kan vara relativt homogen.

    Som diskuterats tidigare ligger definitionen som deltagarna i panelerna fr

    Juridik och regelverk anvnder sig av nra hur begreppet

    informationsskerhet definieras i styrdokumenten SIS-TR 50:2015 (SIS,

    2015) och HB550 (SIS, 2013). I SIS-TR 50:2015 definieras

    informationsskerhet som bevarande av konfidentialitet, riktighet och

    tillgnglighet hos information (SIS, 2015). Exempelvis definierar experter i

    panel J:2 informationsskerhet som

    att upprtthlla: - Konfidentialitet, informationstillgngar r

    tillgngliga endast fr behriga. - Riktighet, informationstillgngar

    frndras eller pverkas inte onskat eller utom kontroll. -

  • 21

    Tillgnglighet, informationstillgngar kan nyttjas efter behov i

    frvntad utstrckning och inom nskad tid.

    Deltagarna i panelen S:1, i yrkeskategorin Systemutveckling och frvaltning,

    hade en mer verksamhetsinriktad definition. De skriver om

    informationsskerhet enligt fljande:

    [i]nformationsskerhet omfattar bde administrativa rutiner med

    policys och riktlinjer samt tekniskt skydd med bland annat

    brandvggar och kryptering. Det handlar om att ta ett helhetsgrepp

    och skapa en fungerande lngsiktig process fr att ge

    organisationens kritiska information det skydd det frtjnar.

    Informationsskerhet syftar till att upprtthlla nskad niv av

    konfidentialitet, riktighet och tillgnglighet fr vra

    informationstillgngar.

    Skillnaderna i definitioner kan tolkas som att experter i den senare panelen i

    hgre grad n experterna frn J:2 (Juridik och regelverk) kontextualiserar sin

    tolkning av begreppet informationsskerhet, samt att dessa personer arbetar

    inom/gentemot mnga olika typer av verksamheter och d kan utgra en

    relativt heterogen grupp. Sammantaget kan det leda till lgre samstmmighet

    inom panelen.

    Ett annat exempel p tydliga skillnader mellan yrkeskategorierna rr begreppet

    ansvar. Graden av konsensus, givet panelernas egna definitioner, strcker sig

    frn 22 % (Informationsfrvaltning och dokumenthantering, I:2) till 38 %

    (Juridik och regelverk, J:1 och J:2, samt Skerhetsteknik, T:1). Hr r det

    tydligt att panelerna I:1 och I:2, frn yrkeskategorin Informationsfrvaltning

    och dokumenthantering, fann detta begrepp svrare att definiera n panelen

    T:1 frn yrkeskategorin Skerhetsteknik. Jmfr vi inom varje panel ser vi

    ven hr skillnader mellan vilka definitioner som de hade lttare att komma

    verens om. Tar vi panelen I:2, i yrkeskategorin Informationsfrvaltning och

    dokumenthantering som exempel s framgr det att de tyckte det var lttare

    att definiera risk n informationsklassning. Panelen L:4, i yrkeskategorin

    Ledning och samordning, tyckte tvrtom att det var lttare att g mot en

    gemensam definition av informationsklassning n risk.

    Graden av konsensus i Tabell 6 har endast kunnat berknas inom respektive

    panel, d de enbart haft tillgng till panelens egna definitioner. Sledes kan

    inte mttet anvndas fr att mta konsensus ver yrkeskategorierna. Dremot

    visar den innehllsmssiga analysen ovan att det finns skillnader mellan hur de

    olika yrkeskategorierna vljer att definiera begreppen, dr olika experter

    fokuserar p olika aspekter. Nr experter frn panelerna i Systemutveckling

    och frvaltning och Skerhetsteknik definierar tillgnglighet lgger de till

    kvalitetsaspekter gllande design av system. Det ska vara enkelt och

    anvndbart nr behriga ska ha tillgng till information. Nr panelen

    Systemutveckling och frvaltning definierar begreppet

    informationsskerhet s exemplifierar de med brandvggar och kryptering.

  • 22

    I panelen Ledning och samordning syns ett management-perspektiv och hr

    prglas sprkbruket av att dessa personer arbetar med styrning och ledning av

    verksamheter.. De skriver exempelvis att [i]nformationsskerhet handlar om

    hur vi p ett frtroendefullt och skert stt eller hur [a]nsvar och styrning

    ur ett informationsperspektiv behvs fr att skerstlla att informationen r

    anpassad till samtliga intressenters behov. Panelerna inom

    Informationsfrvaltning och dokumenthantering anvnder dremot i sina

    beskrivningar begrepp som klassning efter mne och exemplifierar med

    diarieplan och kontoplan. Experter frn panelerna inom Juridik och

    regelverk anvnder begrepp som pfljd och gr frtydliganden om hur man

    ska flja gllande lagar, frordningar, styrdokument etc..

    Sammantaget ser vi att det r tydligt att skerhetsbegrepp diskuteras utifrn

    den profession som experterna har, vilket borde leda till minskad konsensus

    mellan de olika yrkesgrupperna. Frutom att begreppsbilden ser olika ut s ser

    vi att de i sina definitioner ocks vill exemplifiera och kontextualisera utifrn

    sitt eget yrke, dvs. sin egen expertis.

    3.3 Definitionerna i relation till internationellt

    begreppsbruk

    Analysen av definitionerna i de svenska styrdokumenten med de som anvnds

    inom ISO (ISO, 2014) (Bilaga 2) visar att definitionerna i SIS-TR 50:2015 (SIS,

    2015) r mycket mer samstmmiga med definitionerna frn ISO jmfrt med

    HB550 (SIS, 2013). Detta r skerligen ett medvetet val med mnga frdelar

    nr till exempel versttningar av standarder grs. Det som ocks framgr av

    denna jmfrelse r att de begrepp som deltagarna i den hr studien saknade

    ansvar och informationsklassning inte heller finns beskrivna i

    styrdokumentet frn ISO. Att dessa begrepp saknas i internationella

    styrdokumenten kan d vara en mjlig frklaring till att de saknas i de svenska

    dokumenten. Angende diskussionen om skillnaden mellan

    informationstillgngar (s som begreppet anvnds i HB550) och

    information s ser vi hr att ISO (ISO, 2014) i sin definition av

    informationsskerhet hller sig till det bredare begreppet information istllet

    fr information assets.

    3.4 Metoden att komma fram till

    definitionerna

    Ett syfte med den hr studien var att underska om en Delphi-metod, d.v.s. att

    jobba fram definitioner i paneler, r ett fungerande arbetsstt fr framtida

    begreppsarbete. Det korta svaret p detta r: ja. Vi blev positivt verraskade

    ver den hga svarsfrekvensen, panelernas uthllighet och hur engagerade

    experterna har varit i denna begreppsutredning. Dessutom ser vi stora frdelar

    med att engagera s mnga experter som mjligt med olika bakgrund. Dels d

    experternas gemensamma kunnande leder till bttre kvalitet p definitionerna

    ju fler som bidrar desto fler aspekter belyses och fler ider fr bollas. Dels

  • 23

    ven fr att definitionerna kommer att stmma mer verens med hur

    mnniskor som i sin vardag arbetar med informationsskerhet tnker. Det r

    svrt fr ngra f personer, oavsett hur kunniga, att skapa definitioner som alla

    knner igen sig i. I denna studie ingick 64 experter jmfrt med HB550 (SIS,

    2013) dr sex experter r namngivna som utvecklare av rapporten och i SIS-

    TR50:2015 (SIS, 2015) fem experter.

    Dremot s ser vi flera frbttringsomrden vad gller implementationen av

    metoden. En tydlig frbttring r att panelerna skulle behva tminstone

    ytterligare en iteration. Fr att n hgre grad av konsensus kring definitionerna

    borde deltagarnas kommentarer p varandras definitioner ha integrerats i

    definitionerna och sedan skickas ut i ytterligare en iteration tillsammans med

    frgan stmmer det hr bttre in p hur ni ser p begreppet?. Som tidigare

    redovisats i Tabell 6 s varierade graden av konsensus ver definitionerna

    mycket mellan de olika panelerna. Hgst grad av samstmmighet kring

    definitionerna hade panelerna inom yrkeskategorierna Juridik och regelverk

    och minst samstmmighet hade panelen inom yrkeskategorin

    Systemutveckling och frvaltning. ven viss variation inom

    yrkeskategorierna fanns vad gller graden av konsensus. Exempelvis var det en

    (L:4) av fyra paneler inom Ledning och organisation som hade absolut lgst

    konsensus av alla paneler (se Tabell 6).

    Fr att frtydliga vrt resonemang angende antal iterationer som behvs s

    exemplifierar vi med en panel frn Juridik och regelverk (J:2). De var p god

    vg med slutjusteringar av definitionerna. Kommentarer rrde exempelvis

    saker som att byta ut ord: Lagligt borde vara legalt. Gillar formuleringen

    Informationsskerhet utgr frn att information r en viktig tillgng som

    behver skyddas eller Roll bttre n person. Behriga anvndare bttre n

    roll. Andra ndringar i denna panel har varit tillgg och frtydligande som

    behvs: Tillgg att det inte enbart r anvndare utan ven behriga system

    eller processer behvs och Sprbarhet br INTE finnas med i sjlva

    klassningen. Sprbarheten hanteras i tgrderna som infrs. En panel som

    kommit s hr pass lngt skulle behva en iteration till fr att f synpunkter p

    de sista kommentarerna.

    Om vi reflekterar kring processen utifrn de enskilda begreppen ser vi ven att

    vissa begrepp kan behva flera iterationer. Ett exempel frn samma panel rr

    begreppet risk, dr en paneldeltagare inte tycker att ngon av de erbjudna

    definitionerna var bra: Hr var vi inte bra... Vldigt stor tro p mtbar

    risk. I detta fall skulle diskussionen behvas kanske tv till tre iterationer till.

    Hr r det metodmssigt viktigt att lta de enskilda begreppen ta den tid de tar

    fr att nrma sig konsensus. En annan reflektion r att vissa paneler kan

    behva hjlp med att hitta ett urval av bra definitioner att brja med. En

    deltagare hrde av sig till oss e-postledes och tyckte att det var svrt att

    rangordna definitionerna d samtliga, inklusive de egna, var fr dliga.

    En annan frbttring kring implementationen av metoden skulle vara att

    tydligt peka p att nu r det skarpt lge, nu jobbar ni som experter fr att

    skapa verkliga definitioner. Vrt upplgg med att experterna uppmanades

    frklara begreppen fr en nyanstlld blev lite frvirrande ibland. Anledningen

  • 24

    till att vi formulerade frgan i termer av att de skulle frklara begreppen fr en

    nyanstlld var att vi ville komma frbi risken att experterna bara slr upp en

    definition av begreppet och anvnder den definitionen. Vi ville komma mer

    nra hur de i en vardaglig situation definierar de utvalda begreppen. Vrt

    tillvgagngsstt skapade dock ibland lite oskerhet kring p vilken niv

    definitionerna skulle skrivas p. Exempelvis funderade en expert p hur

    byrkratisk definitionerna ska vara:

    Man kan mjligen fundera ver orden konfidentialitet och

    informationstillgngar. Lter byrkratiskt och svrt att greppa fr

    en som inte r insatt i mnet. (Ledning och samordning, L:1)

    En annan expert kommenterade:

    Ibland mste man skilja p formella och informella definitioner.

    Formella definitioner r viktiga nr det gller att skapa tydlighet och

    stringens i regelverk, i dialog med professionen, i avtal etc. Den

    informella definitionen, lekmannadefinitionen r viktig i dialogen

    med medarbetaren. Ibland funkar den formella definitionen ven i

    informella sammanhang, men lngt ifrn alltid. Jag skulle t.ex. i en

    utbildningssituation med medarbetare i mjligaste mn anvnda den

    formella definitionen med en lekmannaversttning som

    komplement. I exemplet med informationsskerhet s har jag rankat

    den bsta formella definitionen som nr 1, och den bsta informella

    definitionen som nr 2. Nr 3 r ocks en bra informell definition.

    (Ledning och samordning, L:2)

    Det r fljaktligen viktigt att experterna vet fr vem de skriver definitionerna,

    och i vilket sammanhang de ska anvndas. Som experten i den sista

    kommentaren nmner s kan det ocks finnas goda skl att skilja p formella

    och mer informella definitioner. Detta r en rekommendation som vi kommer

    att utveckla i diskussionen nedan.

    Delphi-metoden har flera styrkor, vilket diskuterats ovan. I den hr studien

    hade vi mycket gott engagemang genom hela datainsamlingen, vilket visas i

    tabellerna 4 och 5. Engagemang r ofta kopplat till arbetsbelastning, och hr

    br ppekas att arbetsbelastningen snabbt stiger nr antalet paneldeltagare

    och/eller begrepp kas. Antalet definitioner som varje paneldeltagare ska

    arbeta med utgrs av antal paneldeltagare x antal begrepp. Det gr att varje

    panel inte kan arbeta med fr mnga begrepp t gngen, samt att panelerna

    br begrnsas i storlek.

  • 25

    4. Diskussion och

    rekommendationer fr

    framtiden

    Utifrn vr analys kan vi se bde problem och mjligheter infr det fortsatta

    arbetet med ett gemensamt facksprk inom informationsskerhetsomrdet. Vi

    redogr fr dessa innan vi presenterar vra rekommendationer.

    En svaghet vi har identifierat r att begrepp, ssom ansvar och

    informationsklassning, som ses av experter som centrala informations-

    skerhetsbegrepp helt saknas i styrdokumenten SIS-TR 50:2015 (SIS, 2015)

    och HB550 (SIS, 2013). Vi finner det ocks olyckligt att definitionerna av

    begrepp i de tv styrdokumenten skiljer sig t. Srskilt tydligt r det vad gller

    begreppen tillgnglighet och risk, dr HB550 definierar tillgnglighet som

    [s]kyddsml dr informationstillgngar skall kunna utnyttjas i frvntad

    utstrckning och inom nskad tid (SIS, 2013) och SIS-TR 50:2015 definierar

    det som tkomst fr behrig person vid rtt tillflle (SIS, 2015). Begreppet

    risk definieras i HB550 som [k]ombination av sannolikheten fr att ett givet

    hot realiseras och drmed uppkommande skadekostnad (SIS, 2013) och i SIS-

    TR 50:2015 ses risk som oskerhetens effekt p ml (SIS, 2015). Ytterligare

    ett exempel r att om risk ska vara kopplat till ml s borde detta

    frtydligande finnas med i bda dokumenten. Vidare vore det ocks nskvrt

    att bda dokumenten beskriver informationsskerhet med referens till svl

    information som till informationstillgngar och att detta grs p ett

    enhetligt stt.

    Att dokumenten r enhetliga skulle underltta betydligt fr yrkesverksamma

    experter inom omrdet. I nuvarande situation r bda dessa dokument

    styrande, vilket istllet kan leda till oskerhet och svrigheter fr ledning och

    styrning av informationsskerhetsarbetet. Det som skulle kunna underltta

    nnu mer r om det bara fanns ett dokument att anvnda sig av. Som framgr

    av Bilaga 3, som terger panelernas definitioner, s ligger de flesta definitioner

    mer i linje med HB550 (SIS, 2013) n SIS-TR50:2015 (SIS, 2015). Av 32

    definitioner som vi kunde gra jmfrelser med s innehll 26 av dem centrala

    koncept frn HB550:s definitioner, och endast 11 innehll centrala koncept frn

    SIS-TR50:2015. Vi kan bara spekulera kring vad detta beror p. Antingen s

    knner experterna sig mer bekvma med definitionerna i HB550 eller s beror

    det p att SIS-TR 50:2015 r ett mycket nyare dokument och att HB550 r det

    dokument dr definitionerna internaliserats hos experterna. Ett exempel p

    hur vlfrankrade HB550:s definitioner r kan vi se p anvndningen av

    begreppen risk och tillgnglighet. Dessa tv begrepp r de som bst

    stmmer verens mellan panelerna och i jmfrelse med HB550. Ingen

    definition r exakt likadan som HB550, men de r mycket snarlika. Att

    experternas definitioner ligger nrmare HB550 indikerar indirekt ocks att de

    avviker mer frn definitionerna i ISO n om de anslutit mer till SIS-TR50:2015.

  • 26

    Detta baseras p att analysen av HB550 och SIS-TR50:2015 dr vi fann att det

    senare styrdokumentet ansluter med till det internationella styrdokumentet

    frn ISO (ISO, 2014).

    En annan aspekt som tydligt framkom under analysen r att mnga experter

    har ett behov av att frtydliga, utveckla och kontextualisera definitionerna som

    ges i HB550 (SIS, 2013) och SIS-TR 50:2015 (SIS, 2015). Vi ser att

    definitionerna i dessa styrdokument oftast r mer allmnna och mindre

    detaljerade n de som ges av experterna. Om vi anvnder begreppet

    informationsskerhet som exempel s ser vi att i HB550 ges definitionen:

    skerhet fr informationstillgngar avseende frmgan att

    upprtthlla nskad konfidentialitet, riktighet och tillgnglighet

    (ven ansvarighet och oavvislighet) (SIS, 2013)

    I SIS-TR 50:2015 ges en nnu kortare definition:

    bevarande av konfidentialitet, riktighet och tillgnglighet hos

    information (SIS, 2015)

    Nr dessa definitioner jmfrs med panelernas definitioner ser vi att

    experterna utvecklar och frtydligar sina definitioner mer. Ett exempel r

    fljande:

    Med detta menas hur vi tar hand om och skyddar den information vi

    hanterar inom myndigheten. Detta med utifrn informationens

    tillgnglighet, riktighet, konfidentialitet och sprbarhet. Tillgnglighet

    innebr att informationen ska vara nbar nr vi behver den.

    Riktighet att innehllet i informationen r korrekt och autentisk och

    inte frvanskad. Konfidentialitet att informationen bara kan ns av

    eller delges den eller de personer som har behrighet att ta del av den.

    Sprbarheten r viktig fr att skerstlla att informationen inte

    ndrats, efterskts eller lmnats ut till ngon som inte har behrighet

    att ta del av den. (Informationsfrvaltning och dokumenthantering,

    I:1)

    Vr analys visade ocks att experterna i flera fall kontextualiserar

    definitionerna genom att anvnda exempel frn den egna professionen.

    Sammantaget visar detta behov av att utvidga och kontextualisera

    definitionerna, dr experter skulle vara behjlpta av att ha egna sektorspecifika

    definitioner frutom de allmnna och generella. Vi freslr, som ngra av

    paneldeltagarna har varit inne p, att det arbetas fram en fast uppsttning rena

    och stringenta definitioner, ssom i HB550 (SIS, 2013) eller SIS-TR 50:2015

    (SIS, 2015), som skulle kunna kallas formella definitioner, och att varje sektor

    sedan jobbar fram en mer detaljerad och kontextspecifik definition liknande

    de technical reports som skrivs som tillgg fr olika standarder.

  • 27

    Vi rekommenderar att yrkesverksamma experter inom omrdet anvnder sig

    av en Delphi-metod fr att komma fram till konsensus kring 1) de

    gemensamma, generella definitionerna, och 2) drefter dela upp gruppen

    baserat p yrkesgrupper eller organisatoriska enheter fr att enas om de sektor-

    specifika definitionerna. Vi grundar detta i att vi under vrt arbete med

    panelerna sett att olika yrkesgrupper har behov att frtydliga begreppen utifrn

    sin verksamhet.

    Vad gller de gemensamma, generella, definitionerna ser vi ett stort behov av

    att experterna ven r med i detta arbete. Dels fr att det r de som i sitt

    dagliga arbete praktiskt handhar organisationers och samhllets

    informationsskerhet och d mste vara mlgruppen fr terminologin. D br

    mlgruppen knna igen sig i de definitioner som tas fram. Dessutom skulle

    detta ka kvalitn p definitionerna d det r mnga som tnker och risken

    minskar fr att vsentliga aspekter missas. Bara genom denna fallstudie har vi

    ftt flera uppslag till nya intressanta aspekter att beakta. Exempelvis nr

    panelerna diskuterade begreppet tillgnglighet s kom det upp frgor om

    anvndbarhet r en viktig aspekt att ta hnsyn till eller om platsen r viktig.

    Det visar p vad som hnder om fler personer deltar i arbetet med begrepp.

    Vi freslr lpande, kontinuerliga paneler (t.ex. med 2 rs mellanrum) d nya

    begrepp dyker upp och gamla byter betydelse. Med tanke p hur engagerade

    och noggranna deltagarna var under denna studie s knns det inte som

    orimligt att engagera 70-80 experter till detta arbete vartannat r. Dremot br

    man vara frsiktig med hur mnga begrepp som behandlas av varje panel sett

    till att arbetsbelastningen snabbt kan ka.

    Vra rekommendationer kan summeras enligt fljande:

    Ett enhetligt styrdokument med definitioner av

    informationsskerhetsbegrepp skapas. Detta dokument erstter de tv

    dokument som finns nu och dr definitionerna i flera fall skiljer sig t.

    Skapandet av detta enhetliga styrdokument grs av yrkesverksamma

    experter som i sitt dagliga verk arbetar med

    informationsskerhetsfrgor.

    Arbetet med att ta fram definitioner fljer Delphi-metoden ssom

    beskrivet i denna rapport (inklusive de frbttringsfrslag som ges).

    Att arbetet med att ta fram definitioner grs terkommande d nya

    begrepp dyker upp och gamla byter betydelse.

    Utver skapandet av en gemensam, generell, begreppsapparat ven

    lter olika sektorer (yrken eller organisationer) skriva sektor-specifika

    tillgg (motsvarande standarders technical reports dr frtydliganden

    och kommentarer finns).

    Att all framtida begreppsutveckling utgr ifrn de yrkesverksamma

    experternas behov och dessa tillfrgas om vilka begrepp som behver

    definieras. P detta stt kan det skerstllas att begrepp som

    experterna saknar, ssom informationsklassning och ansvar i denna

    studie, inte uteblir i styrande dokument.

    Att all framtida begreppsutveckling effektiviseras och tydligt

    samordnas mellan olika aktrer.

  • 28

    5. Referenser

    Delbecq, A. L., Van de Ven, A. H., & Gustafson, D. H. (1975). Group Techniques

    for Program Planning. A guide to nominal group and delphi

    processes. Glenview, Illinois, USA: Scott, Foresman and Company.

    ISO. (2014). ISO/IEC 27000:2014, Information technology Security

    techniques Information security management systems Overview

    and vocabulary: International Organization for Standardization (ISO).

    Okoli, C., & Pawlowski, S. D. (2004). The Delphi method as a research tool: an

    example, design considerations and applications. Information and

    Management, 42, 15-29.

    Schmidt, R. (1997). Managing Delphi Surveys Using Nonparatetric Statistical

    Techniques. Decision Sciences 28(3), 763-773.

    Schmidt, R., Lyytinen, K., Keil, M., & Cule, P. (2001). Identifying software

    project risks: an international Delphi study. Journal of Management

    Information Systems, 17(4), 5-36.

    SIS. (2013). SIS Handbok 550 - Terminologi fr informationsskerhet (Vol. 3).

    Stockholm: SIS Frlag.

    SIS. (2015). Terminologi fr informationsskerhet. In SIS (Ed.), (1 ed., pp. 112):

    SIS.

    Veriscan. (2009). Informationsklassning. Rtt Skerhet Retrieved November

    23, 2015, from http://www.sis.se/pdf/Fia_Ewald.pdf

    http://www.sis.se/pdf/Fia_Ewald.pdf

  • 29

    Bilaga 1: Samtliga experters freslagna

    definitioner och hur de rankats inom varje

    panel.

    Varje deltagares frstahandsval har ftt 3 pong, andrahandsvalet 2 pong och

    tredjehandsvalet 1 pong. Sledes har den definition som experterna fredrog

    mest ftt hgst pong.

    Informationsfrvaltning och dokumenthantering, panel I:1

    Begrepp Definitioner Pong

    Informations-

    skerhet

    Med detta menas hur vi tar hand om och skyddar den

    information vi hanterar inom myndigheten. Detta med

    utifrn informationens tillgnglighet, riktighet,

    konfidentialitet och sprbarhet. Tillgnglighet innebr

    att informationen ska vara nbar nr vi behver den.

    Riktighet att innehllet i informationen r korrekt och

    autentisk och inte frvanskad. Konfidentialitet att

    informationen bara kan ns av eller delges den eller de

    personer som har behrighet att ta del av den.

    Sprbarheten r viktig fr att skerstlla att

    informationen inte ndrats, efterskts eller lmnats ut

    till ngon som inte har behrighet att ta del av den.

    16

    Att skydda information s att den alltid finns nr den

    behvs, man kan lita p att den r korrekt och inte

    manipulerad och frstrd samt att endast behriga

    personer fr ta del av den.

    8

    Skerhet fr alla informationstillgngar oavsett om

    informationen hanteras manuellt eller digitalt och

    oberoende av dess form eller milj den frekommer i.

    Omfattar frmst konfidentialitet, tillgnglighet och

    riktighet samt sprbarhet och oavislighet.

    7

    Informationsskerhet r bevarandet av informationens

    riktighet, tillgnglighet och sekretess. Syftet r att

    skydda informationstillgngarna oavsett var de finns

    och hur de anvnds.

    6

    Arbete med att frhindra att myndighetens information

    frsvinner eller frvanskas samt r tillgnglig i

    framtiden.

    2

    Att veta vilken information som finns, var den finns, i

    vilket skick den r och hur den ska hanteras.

    2

    Informationsskerhet handlar om hur vi hanterar vr

    information. Att vi har regler och rutiner som gr att

    informationen inte kan hanteras av obehriga.

    1

    Ansvar Den som ansvarar fr en verksamhet ansvarar ocks 10

  • 30

    fr informationsskerheten fr den information som

    hanteras i verksamheten.

    Alla som p ngot stt arbetar med information om det

    s r med att skapa den, bevara eller tillgngliggra

    den, har ett ansvar att gra detta p ett skert stt.

    Ansvaret gller s vl den enskilde medarbetare som

    myndigheten i stort.

    9

    En faststlld frdelning per befattning avseende

    hantering av informationstillgng(ar).

    6

    Ansvar betyder att det finns uppgifter som ngon eller

    ngra ska tgrda, kontrollera att det fljs eller

    fungerar.

    6

    Ansvar definierar vad man har rtt (och hrmed ocks

    inte rtt) att gra.

    4

    Att ur infoskperspektiv knna till vad som gller fr

    hantering och anvndning av olika typer av information

    (ppen/publik, intern och konfidentiell information).

    4

    Myndighetschefen 3

    Tillgnglighet

    Tillgng till informationstillgng(ar) fr behriga

    anvndare i frvntad utstrckning och inom nskad

    tidsrymd.

    10

    Att informationen finns att tillg i frvntad

    utstrckning och inom nskad tid.

    10

    Informationen ska finnas tillgnglig nr vi behver den.

    Fr att detta ska kunna ske p ett skert stt r det

    viktigt att informationens innehll identifieras och

    bedms utifrn informationsskerhetens andra tre

    grundprinciper.

    7

    Att information ska kunna nyttjas ver tid och

    oberoende av databrare.

    6

    Att det gr att ska och hitta information nr jag

    behver tillgng till den.

    5

    Tillgnglighet innebr skerstllande att behriga

    anvndare vid behov har tillgng till informationen, och

    tillhrande tillgngar.

    4

    Tillgnglighet betyder att man har tillgng till ngot. 0

    Informations-

    klassning

    Att bestmma vilka skerhetskrav som ska glla fr en

    informationstillgng, utifrn vilka konsekvenser som

    kan uppst om informationen inte hlls tillgnglig,

    riktig och konfidentiell.

    12

    Metodik fr att indela informationstillgng(ar) s att

    definierad skyddsniv kan uppns avseende

    konfidentialitet, tillgnglighet och riktighet.

    11

    Informationsklassning r en metod fr att faststlla

    informationens vrde och grunden fr att ge

    10

  • 31

    informationstillgngen rtt skyddsniv fr att tillvara ta

    detta vrde.

    En metod att klassificera olika typer av information

    som ppen/publik, intern och konfidentiell information.

    Klassningen styr hur vi hanterar och delar information

    internt och externt.

    5

    Krvs fr att man t ex ska kunna tillgngliggra

    information p ett skert stt. Den som jobbar p t ex

    en myndighet har varken anvndning fr eller skl till

    att ta del av all information som frvaras inom denna.

    Det r frst genom en informationsklassning som man

    kan vara sker p att man har frutsttningar att leva

    upp till informationsskerhetens grundprinciper.

    3

    Fr att veta hur vi ska hantera vr information mste

    vi klassa den utifrn ett antal kriterier. Det handlar om

    vilket vrde och betydelse informationen har fr

    garen, men ocks om juridiska krav, ssom sekretess

    och PuL.

    1

    Kartlggning av processer. 0

    Risk En sammanvgning av sannolikheten fr att en

    hndelse ska intrffa och de konsekvenser hndelsen

    kan leda till.

    11

    Risk r kombination av sannolikheten fr att ett givet

    hot realiseras och den drmed uppkommande

    skadekostnaden.

    11

    Produkten av sannolikheten fr att ett hot ska intrffa

    och potentiell skadekostnad.

    8

    Information som inte skyddas p ett skert stt och

    uppfyller kraven p tillgnglighet, riktighet,

    konfidentialitet och sprbarhet utgr en risk. Risken

    kan ligga p individniv eller mer vergripande

    samhllsniv beroende p vilken typ av information

    som har brister i hanteringen av den. ex. fr dig som

    handlggare Information som inte finns tillgnglig ex

    en allmn handling som inte gr att hitta nr en person

    begr ut den pga av att ngon lagt den under fel

    diarienummer eller klassat den fel i ett e-arkiv, utgr

    en risk. Information som t ex konverterats eller

    migrerats in i ett nytt system och dr man inte gjort

    autenticitetskontroller med eventuell

    informationsfrlust eller frvanskning som resultat,

    utgr en risk. Information som inte klassats och

    mrkts upp och tilldelas tkomstbehrighet utgr en

    risk eftersom vem som helst d kan komma t knsligt

    innehll t ex uppgifter om skyddad identitet. Det r

    drfr oerhrt viktigt att det gr att flja informationen

    3

  • 32

    och de eventuella ndringar som grs i den, hur, nr

    och till vem den tillhandahlls, sprbarheten helt

    enkelt.

    Risk r kombination av sannolikheten fr att ett givet

    hot realiseras och den hrmed uppkomna

    skadekostnaden om s sker.

    3

    Hur stor r risken att viss informationen frsvinner

    eller frvanskas och vad hnder.

    0

    Risk r ngot som r negativt, att det finns

    konsekvenser fr ngot.

    0

    Informationsfrvaltning och dokumenthantering, panel I:2

    Begrepp Definitioner Pong

    Informations-

    skerhet

    Systematisk planering fr att information ska skyddas

    mot obehrig tkomst (bde intrng av extern part och

    behrighetsstyrning inom organisationen) samt mot

    frvanskning (d.v.s. informationens autenticitet

    garanteras).

    13

    Regler och rutiner fr att behlla informationens

    integritet, autenticitet, sprbarhet och kthet. Och att

    eventuell sekretess bibehlls s lnge det krvs.

    12

    Jag anser att det ligger tre olika uttydningar av

    begreppet. 1. Att vi har ett tillfrlitligt digitalt

    system/nt med brandvggar, lsenord mm eller att

    analoga handlingar frvaras betryggande s att de inte

    utstts fr stld eller annan skada. 2. Att vi kan

    bevara viktig digital och analog information ver lng

    tid och att den inte frvanskas. 3. Att vi kan lita p att

    informationen r riktig och vilken version som r den

    slutliga.

    9

    Information, oberoende av media, ska hanteras och

    frvaras p ett skert stt s att regelverk och avtal

    fljs samt att samarbetspartner, allmnhet och

    medarbetare ska knna sig trygga med att information

    hanteras p rtt stt.

    6

    Skerhet rrande all information vi hanterar. Inte bara

    personuppgifter utan ven arbetsmaterial innan beslut

    med mera.

    2

    Ansvar Person eller funktion inom organisationen som har en

    roll att genomfra vissa specifika aktiviteter eller att

    flja upp att vissa specifika aktiviteter blir genomfrda.

    9

    Innebr att varje del i informationskedjan har en gare 9

  • 33

    som ser till att rutiner och regelverk fljs och som har

    mandat att pverka informationshanteringen.

    Aktivitet dr man ser till att en arbetsuppgift blir

    korrekt utfrd.

    8

    Var och en har ansvar fr att knna till vilket regelverk

    (lagar, frordningar, freskrifter, interna riktlinjer och

    policys mm.) som gller fr medarbetaren i

    tjnsteutvningen.

    8

    Ansvar finns i olika niver, det du personligen har

    ansvar fr som din inpasseringsbricka, din dator ditt

    lsenord o s v. Sen finns det ansvar fr egendom,

    ansvar fr verksamhet och ansvar fr personal.

    6

    Ett systematiskt arbetsstt till syfte att skerstlla att

    information frblir tillgnglig, riktig, konfidentiell och

    sprbar.

    3

    Ansvar innebr att man tar ansvar fr den tjnst man

    har och skter den. Man ska komma i tid bde till

    jobbet och sammantrden man ska ansvara fr sina

    tilldelade arbetsuppgifter s att de utfrs p bsta

    mjliga stt och hller tidsramarna. Ansvar innebr

    ocks att bry sig om sina arbetskamrater och deras vl

    och ve och att vara lojal mot arbetsgivaren i s motto

    att man fljer de regler som r vedertagna p

    arbetsplatsen.

    1

    Tillgnglighet Information gr att terska och ta del av fr personer

    med rtt behrighet, med bibehllen kvalitet och

    autenticitet.

    15

    Att rtt information, vid behov, finns att hmta och

    lsa.

    12

    Mjlighet att kunna anvnda informationen p ett

    enkelt och intuitivt stt dr organisationen vet hur den

    ska hitta information och kunna dela den med olika

    intressenter.

    6

    Alla medborgare ska kunna ta del av myndighetens

    verksamhet och service p lika villkor. Oavsett

    funktionshinder, sprk mm.

    4

    Inom offentliga myndigheter (som jag tillhr) ska man

    vara tillgnglig varje dag om mjligt. Man kan

    begrnsa tillgngligheten genom att ha telefontider.

    Telefontider, semester, sjukdom, tjnsteresor ska

    framg av telefonsvar och e-post med hnvisning till

    annan person som kan g in i ens stlle om bortovaron

    r mer n en dag. Telefontider br ocks knnas till av

    receptionen och lggas in p myndighetens webbplats.

    3

    Nr information ska vara tillgnglig och fr vilka. Kan 2

  • 34

    ven vara nr vi ska vara tillgngliga fr besk/frgor.

    Informations-

    klassning

    Fr mig r informationsklassning tv begrepp: 1.

    Klassning efter mne t.ex. i en diarieplan eller

    kontoplan, 2. Skerhetsklassning, dvs. vem som ska

    tillgng till vilken information och hnger samman med

    sekretessregler.

    11

    Information klassificeras med hnsyn till aktuellt

    skyddsbehov inriktat p tillgnglighet, konfidentialitet,

    riktighet och sprbarhet.

    10

    Ett stt att vrdera information utifrn krav p

    sekretess och integritet, men ocks ett stt ett

    redovisa informationen i ett sammanhang t.ex. vilken

    verksamhet som ansvarar fr informationen.

    9

    Information klassificeras utifrn en frdefinierad

    struktur, t.ex. efter mnesomrde (dossierplan) eller

    verksamhetsprocess (klassificeringsstruktur),

    alternativt mrks upp med frdefinierade nyckelord.

    5

    Kategorisering av information i klasser av olika niver

    av skyddsbehov.

    4

    Risk Risk innebr en kalkylerad srbarhet som

    organisationen mste planera fr och ha en plan fr att

    mta konsekvenserna som risken kan innebra.

    18

    Sannolikheten att en omstndighet leder till en

    onskad hndelse.

    11

    Ngot fenomen som kan hota informationens

    autenticitet eller tillgnglighet, eller som kan medfra

    obehrig tkomst.

    6

    I arkivet r stld, frvanskning, brand, angrepp,

    versvmning och obehrig tkomst olika exempel p

    risker. Risker finns inom alla omrden t.ex. IT dr det

    gller buggar, frlust av information, intrng mm. Hot

    och vld kan frekomma inom myndigheten.

    4

    Att bedma information utifrn hur viktig den r, hur

    stor skada en frlust kan innebra.

    3

    Det finns mnga typer av risker, personalen brukar

    rknas som en av de strsta riskerna utifrn deras

    beteende och ibland dliga insikt i skerhetsfrgor.

    Risker r ven hot om sabotage av olika slag.

    2

    Utan informationsskerhet kan det finnas risk fr att

    information hanteras p ett otilltet stt.

    1

  • 35

    Juridik och regelverk, panel J:1

    Begrepp Definitioner Pong

    Informations-

    skerhet

    Information r uttryck fr din, min och organisationens

    kunskap. Skerhet fr information r att skerstlla att

    kunskapen r A) tillgnglig B) endast knd av behriga

    C) riktig.

    11

    Hur vi skerstller att information r tillgnglig riktig,

    skyddad och tillgnglig.

    7

    Information r ngot vrdefullt som behver skyddas

    efter behov. Behovet definieras av de lag- och

    verksamhetskrav som finns p informationen. Genom

    att klassa informationen som hanteras i vra processer

    och system fr vi kunskap om vilka krav som gller fr

    respektive informationsmngd. Genom att jmfra hur

    vr nuvarande hantering stmmer verens med de

    krav som finns p hanteringen av informationen kan vi

    ta fram frbttringsfrslag. tgrdsfrslagen kan

    handla om svl tekniska som administrativa tgrder.

    6

    Ansvar Ansvar fr informationsskerhet innebr att du som

    individ och anstlld ska bruka den information du r

    anfrtrodd och kommer i kontakt med p ett tillrckligt

    skert stt.

    9

    En uppgift som r definierad fr en person och att det

    blir pfljd om man inte fljer den.

    9

    Det systematiska arbetet handlar bl.a. om att flja upp

    och kontinuerligt identifiera srbarheter i vr hantering

    av informationen. Det r viktigt att det finns tydliga

    roller med ansvar, mandat och resurser fr att agera p

    identifierade brister. Det behvs ocks ett uttalat

    ansvar fr andra roller inom det systematiska

    informationsskerhetsarbetet, ex. uppdatering av

    policys och hanteringsregler, uppfljning av efterlevnad

    m.m.

    6

    Tillgnglighet Tillgnglighet r att beskriva i vilken grad anvndarna

    kan n nskad information vid ett givet tillflle eller

    tidpunkt.

    11

    Att informationen finns och att det fungerar att

    anvnda den nr den behvs.

    9

    Krav p tillgnglighet r utver riktighet,

    konfidentialitet och sprbarhet en av de fyra viktiga

    informationsskerhetsegenskaperna. Statliga

    myndigheter har srskilda tillgnglighetskrav reglerat i

    4

  • 36

    olika frfattningar, bl.a. i sin hantering av allmnna

    handlingar.

    Informations-

    klassning

    En process fr att ge informationen rtt behandling i

    avseende sekretess, sprbarhet, riktighet och

    tillgnglighet.

    11

    Informationsklassning r ett beslutsunderlag fr hur

    skyddsvrd given information r utifrn kvantitativa

    och/eller kvalitativa beskrivningar av informationens

    behov av tillgnglighet, konfidentialitet och riktighet.

    7

    Informationsklassning handlar om att kartlgga vilken

    information som fldar genom och lagras i vra

    processer och system. Klassningen sker genom att

    genom att vi stller oss vissa frgor, ex. r

    informationen allmn handling eller arbetsmaterial?

    Innehller den personuppgifter och r det i s fall frga

    om strukturerad eller ostrukturerad behandling? Finns

    det knslig information, ex. sdan som rr rikets

    skerhet eller r sekretessklassat enligt offentlighet-

    och sekretesslagen? Finns det ngra

    gallringsfreskrifter frn Riksarkivet som gller fr

    informationen? Finns det ngra krav frn den interna

    verksamheten p informationshanteringen? Svaren,

    tillsammans med vgledning frn tillmpliga lagar,

    hjlper oss att upprtta en samlad kravbild p

    informationshanteringen.

    6

    Risk Risk r bedmning av sannolikhet att en given hndelse

    intrffar och dess konsekvenser.

    10

    De negativa konsekvenserna av en framtida hndelse

    som kan berknas ifrga om sannolikhet och skada.

    8

    Risker identifieras huvudsakligen i samband

    informationsklassning och riskanalys. Identifierade

    risker kan hanteras p olika stt, antingen genom att

    elimineras, reduceras eller accepteras. Ofrutsedda

    risker identifieras ven lpande i verksamheten, ex. i

    samband med intrffade incidenter.

    6

  • 37

    Juridik och regelverk, panel J:2

    Begrepp Definitioner Pong

    Informations-

    skerhet

    Med informationsskerhet avses att upprtthlla:

    Konfidentialitet, informationstillgngar r tillgngliga

    endast fr behriga Riktighet, informationstillgngar

    frndras eller pverkas inte onskat eller utom

    kontroll Tillgnglighet, informationstillgngar kan

    nyttjas efter behov i frvntad utstrckning och inom

    nskad tid. Med informationstillgngar avses all

    information och informationshanterande resurser

    ssom manuella och IT-baserade informationssystem.

    13

    Informationsskerhet handlar om att den information,

    inklusive de system och verktyg som innehller och

    behandlar den, ska skyddas s att den r riktig och

    tillgnglig fr enbart de personer, system eller

    processer som den avsedd fr. = Sker hantering av

    information.

    7

    Att skerstlla att information och informationssystem

    har ett ndamlsenligt skydd avseende konfidentialitet,

    tillgnglighet och riktighet baserat p hot- och

    riskanalys.

    7

    Omfattar dina och myndighetens tgrder och system

    fr att skydda din och myndighetens information frn

    obehrig tkomst eller frvanskning och att den blir

    tillgnglig p avsett stt.

    5

    "Ett tillstnd som innebr skydd med avseende p

    konfidentialitet, riktighet och tillgnglighet." Det r

    oerhrt viktigt att sprbarhet inte finns med i den

    definitionen om den ska anvndas. Alternativt ska

    definitionen enligt SIS RT 50:2015 anvndas dr ven

    autenticitet, ansvarsskyldighet, oavvislighet och

    auktorisation finns med.

    4

    Uppns genom att identifiera vilket lagligt skydd och

    vilka risker det finns nr vi hanterar olika typer av

    information. Nr vi vet informationens behov av skydd

    infr vi de tekniska tgrder, rutiner och arbetsstt

    som gr att informationen r tillrckligt skyddad,

    tillgnglig och inte frstrs genom olycka eller slarv.

    4

    Informationsskerhet utgr ifrn att information r en

    viktig tillgng som behver skyddas.

    Informationsskerhet bestr av hrnstenarna

    tillgnglighet, riktighet, konfidentialitet och sprbarhet.

    2

    Ansvar Ansvaret fr informationsskerheten fljer

    verksamhetsansvaret. r man ansvarig fr en

    verksamhet r man ocks ytterst ansvarig fr

    16

  • 38

    skerstllandet av verksamhetens information. Som

    medarbetare har hen ett ansvar att inom sitt

    ansvarsomrde informera sig om och flja gllande

    lagar, frordningar, styrdokument etc samt aktivt

    arbeta fr kad skerhet och rapportera brister och

    svagheter.

    Varje medarbetare har ett personligt ansvar fr att

    flja policy och regler fr informationsskerhet och att

    bedma sin informations skyddsvrde och utifrn detta

    hantera informationen.

    9

    Att flja de styrande regelverken. Krvs goda

    frutsttningar fr att mjliggra att en medarbetare

    ska kunna ta sitt ansvar samt uppfljning.

    5

    Fr att informationen ska skyddas, vara tillgnglig och

    inte frstras mste alla ta sitt ansvar och flja de

    rutiner och arbetsstt som r bestmda. De som

    arbetar med att ta fram rutiner och arbetsstt har

    srskilt ansvar fr att dessa blir anvndbara och

    uppfyller syftet.

    4

    Ansvar innebr att en person har ett liggande. 3

    En skyldighet att st till svars fr ngot. 3

    Ansvar, r att flja det regelverk som finns. Fr

    gemene man handlar det frmst om medvetenhet och

    delaktighet. Om man stter p ngot som bryter

    skerheten (incident) s meddelar man det. Fr ngon

    som har ansvar fr ett system ansvar man ocks fr

    att rtt skydd finns fr systemet.

    2

    Tillgnglighet Med tillgnglighet menas att informationstillgngar kan

    nyttjas efter behov i frvntad utstrckning och inom

    nskad tid (med informationstillgngar avses all

    information och informationshanterande resurser

    ssom manuella och IT-baserade informationssystem).

    12

    Med tillgnglighet avses att informationen ska finnas

    till hands fr behriga anvndare d den behvs.

    10

    Tillgnglighet r att informationen ska finnas tkomlig

    fr den behrige nr den begrs.

    5

    Beskrivning av hur och nr information r eller br

    vara tkomlig fr att kunna nyttjas i avsedda

    processer.

    4

    Bedmning av behovet av att viss roll har tillgng till

    information i en viss situation eller tidpunkt.

    3

    Str fr att informationen ska finnas tkomlig fr den

    person som har behov av den, nr behovet finns. Rtt

    information, i rtt tid till rtt person.

    2

  • 39

    Det ska vara mjligt att hantera information nr det

    behvs.

    0

    Informations-

    klassning

    Innebr att man bedmer informationens betydelse fr

    verksamheten samt de krav (svl interna som

    externa) som finns p informationen fr at