Viktigt med tydlig ansvarsfördelning för it-säkerheten
Det får inte finnas några tveksamheter om vem som är ansvarig för varje specifik del av informationssäkerhetsarbetet i en organisation. Det måste vara tydligt för alla berörda parter i organisationen hur ansvarsfördelningen ser ut. Man måste säkert veta vems ansvar det är att se till att tillräckliga säkerhetsåtgärder införs i informationssystemet och vem som ska se till att det finns resurser för att anpassa och förändra säkerhetsåtgärderna när förhållanden ändras.
Säkerhetsarbetet kan med fördel organiseras i ett hierarkiskt system med tydliga avgränsningar mellan de olika nivåerna, men samtidigt nära samarbete, dialog och information mellan alla parter i ansvarsfördelningen.
Ledning – Säkerhetschef – Informationsägare – Systemägare
Ledningen har det övergripande ansvaret för att styra informationssäkerhetsarbetet. De måste se till att det finns en tydlig ansvarsfördelning och att tillräckliga resurser tillsätts i säkerhetsarbetet.
Säkerhetschefen, CISO (Chief Information Security Officer) ansvarar för att leda och samordna informationssäkerhetsarbetet som vilar på de tre grundpelarna konfidentialitet, riktighet och tillgänglighet. CISO har det övergripande ansvaret för att leda och samordna arbetet med informationssäkerheten i organisationen. CISO ansvarar för informationssäkerheten som helhet. Arbetsuppgifterna är till stora delar strategiska. Det innebär att CISO långsiktigt ska leda ett systematiskt säkerhetsarbete och det arbetet innefattar inte direkt operativ problemlösning.
Informationsägaren förvaltar och ansvarar för information som skapas och hanteras i en organisation. Termen ägare innebär inte att personen äger informationen, utan avser ett ansvar för den del av informationen som det gäller. Informationsägaren ansvarar för att genomföra informationsklassning och riskbedömning för den information som den hanterar i verksamheten. Behovet av säkerhetsåtgärder identifieras utifrån de informationsklassningar och riskbedömningar som informationsägaren genomför. Skyddsbehovet bestäms också utifrån verksamhetens beroende av informationen och vilka tillgångar som är verksamhetskritiska.
I informationsägarens ansvar ingår också att säkerställa att skyddet för informationstillgångarna upprättas och vidmakthålls i enlighet med exempelvis dataskyddslagstiftning, arkivlagstiftning och föreskrifter från MSB.
Systemägaren. Varje informationssystem har en systemägare. Om organisationen har många informationssystem behövs flera systemägare som var och en ansvarar för grupper av informationssystem av samma typ (administration, ekonomi, personal) eller andra liknande grupper av informationssystem.
Systemägaren ansvarar för att införa, förvalta, följa upp och utvärdera säkerhetsåtgärder på grundval av informationsägarens riskbedömningar och även systemägarens egna riskbedömningar. Vidare ansvarar systemägaren för att informationssystemet innehåller de tekniska säkerhetsåtgärder som behövs för att skydda informationen som hanteras där och att det finns arbetssätt för att utvärdera och uppdatera säkerhetsåtgärder för informationssystemet. Systemägaren ska också se till att det ges resurser för tillräckliga säkerhetsåtgärder i informationssystemen.
Systemägaren ansvarar för leveranser av system och tjänster och ska också se till att de införda säkerhetsåtgärderna är tillräckliga. Vid brister ska systemägaren se till att de blir åtgärdade och informera CISO och berörda informationsägare.
Systemägaren måste veta vilken information som behandlas i informationssystemet och hur den är klassad och vilka hårdvaror och mjukvara som informationssystemet består av. Vidare måste systemägaren veta vilka beroenden som finns gentemot andra informationssystem inom organisationen och externt.
Resurser, kompetens och kunskap
Som stöd för systemägarnas löpande arbete kan det behövas ytterligare resurser för teknisk förvaltning och drift. Systemägaren kan också behöva tillsätta en teknisk förvaltare som stöd för det operativa arbetet. Vid budgetering och resurssättning behöver systemägaren se till att det finns bemanning med rätt kompetens. Det bör också finnas resurser för incidenthantering så att inte hela verksamheten riskerar att stängas ned om en incident inträffar.
Externa aktörer. Brister i kompetens inom en organisation kan hanteras med hjälp av utbildning eller genom att anlita externa konsulter. Dessa konsulter kan till exempel anlitas för extra stöd i säkerhetsarbetet eller som beställarkompetens inför nyanskaffning och vidareutveckling.
