En bild av myndigheternas informationssäkerhetsarbete tillämpning av MSB:s föreskrifter

Transkript

1 En bild av myndigheternas informationssäkerhetsarbete 2014 tillämpning av MSB:s föreskrifter

2

3 En bild av myndigheternas informationssäkerhetsarbete 2014 tillämpning av MSB:s föreskrifter

4 En bild av myndigheternas informations säkerhetsarbete 2014 tillämpning av MSB:s föreskrifter Myndigheten för samhällsskydd och beredskap (MSB) Layout: Advant Produktionsbyrå AB Publ.nr: MSB740 - augusti 2014 ISBN:

5 Innehåll Sammanfattning... 6 Inledning...10 Bakgrund och syfte...11 Systematiskt informationssäkerhetsarbete Metod Enkätresultat...14 Policy och styrande dokument Leda och samordna informationssäkerhetsarbetet Informationsklassning...23 Riskanalys och dokumentation...27 Kontinuitetsplanering...33 Ledningens engagemang...37 Behov av stöd för informationssäkerhetsarbetet Stöd på Informationssäkerhet.se Bilaga 1 MSB:s föreskrifter (MSBFS 2009:10)... 48

6 Sammanfattning

7 Sammanfattning 7 Sammanfattning Under 2014 har MSB genomfört en kartläggning (enkätundersökning) av hur statliga myndigheter tillämpar MSB:s föreskrifter om statliga myndigheters informationssäkerhet (2009:10) och i övrigt arbetar med informationssäkerhet. Föreskrifterna ställer krav på att myndigheterna ska bedriva ett systematiskt informationssäkerhetsarbete. Kartläggningen är en central del i arbetet med att se över föreskrifternas utformning och bidrar även med underlag för MSB:s arbete med att utforma stöd för systematiskt informationssäkerhetsarbete. Totalt distribuerades enkäten till 351 myndigheter. 334 myndigheter (drygt 95 %) besvarade enkäten inom undersökningsperioden och övriga (17 stycken) har inte lämnat något svar. Den höga svarsfrekvensen i kombination med att det är fråga om en totalundersökning av populationen medför att resultaten från undersökningen har hög tillförlitlighet. Det finns således ingen statistisk osäkerhet i resultatet. Kartläggningen ger en god bild av hur myndigheterna själva uppfattar sitt arbete med informationssäkerhet och hur de arbetar med föreskrifternas olika krav. Frågorna i kartläggningen hade både direkt koppling till före skrifternas paragrafer, exempelvis om riskanalys, och frågor av mer generell karaktär beträffande informationssäkerhetsarbete. Det bör noteras att MSB inte har tagit del av något underlag från myndigheterna, exempelvis policyer eller informationsklassningsmodeller, och någon närmare bedömning av dokumentens och arbetets ändamålsenlighet ingår inte i kartläggningen. Frågor om hur det praktiska informationssäkerhetsarbetet går till, och som redovisas i denna rapport, har endast ställts till de 227 myndigheter som själva har hand om sitt informationssäkerhetsarbete. Det är således endast dessa som fått besvara enkäten i sin helhet och nedan redovisas några av resultaten. Policy och styrande dokument 84 % av de myndigheter som besvarat hela enkäten har en informationssäkerhetspolicy. 26 % av de myndigheter som besvarat hela enkäten kontrollerar inte efterlevnaden, det vill säga ifall policyer och riktlinjer följs av medarbetarna. Leda och samordna informationssäkerhetsarbetet 74 % av de myndigheter som besvarat hela enkäten har utsett en informations säkerhetschef eller motsvarande roll för att leda och samordna informationssäkerhetsarbetet. 81 % av de som leder och samordnar informationssäkerhetsarbetet hos de myndigheter som besvarat hela enkäten rapporterar direkt till myndighetens ledning. 38 % av de som leder och samordnar informationssäkerhetsarbetet hos de myndigheter som besvarat hela enkäten uppges sakna tillräcklig kompetens, resurser eller mandat för att utgöra uppdraget på ett tillfredsställande sätt.

8 8 En bild av myndigheternas informations Säkerhetsarbete 2014 Informationsklassning 67 % av de myndigheter som besvarat hela enkäten har en informationsklassningsmodell för att identifiera informationstillgångarna och kunna ställa rätt krav på informationssäkerheten. 41 % av de myndigheter som besvarat hela enkäten uppger att det inte är tydligt uttalat vem som ansvarar för att informationsklassning genomförs. 59 % av de myndigheter som besvarat hela enkäten uppger att det inte är fastslaget när informationsklassning ska ske. Riskanalys och dokumentation 78 % av de myndigheter som besvarat hela enkäten har en metod för riskanalys. 42 % av de myndigheter som besvarat hela enkäten saknar regler för vad riskanalyser ska omfatta eller när det ska ske. 35 % av de myndigheter som besvarat hela enkäten saknar uttalat ansvar för vem som ska initiera riskanalyserna. M b Kontinuitetsplanering 65 % av de myndigheter som besvarat hela enkäten saknar kontinuitetsplan. 59 % av de myndigheter som besvarat hela enkäten använder inte riskanalyserna som stöd vid kontinuitetsplanering. Ledningens engagemang 45 % av de myndigheter som besvarat hela enkäten uppger att myndighetens ledning åtminstone i stor utsträckning löpande håller sig informerade om arbetet med informationssäkerhet. 37 % av de myndigheter som besvarat hela enkäten har ingen eller en mycket begränsad utvärdering av informationssäkerhetsarbetet på myndigheten. Behov av stöd Myndigheterna nämnde ett antal områden inom vilka man önskade mer stöd, bland annat kravställning, uppföljning, informationsklassning och kontinuitetsplanering. Myndigheterna önskade sig stöd i flera olika former, bland annat nämndes malldokument, utbildningsdokument, vägledningar och praktiska exempel.

9 yndigheten för samhällsskydd och eredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet; beslutade den 22 december Myndigheten för samhällsskydd och beredskap föreskriver följande stöd av 34 förordningen (2006:942) om krisberedskap och höjd be Tillämpningsområde 1 Denna författning innehåller bestämmelser om myndighetern med informationssäkerhet och deras tillämpning av standarder i så arbete. 2 Författningen gäller för myndigheter under regeringen med för Regeringskansliet, kommittéväsendet och Försvarsmakten. Fö utlandsmyndigheterna tillämpas bestämmelserna endast i den uts som bestäms i föreskrifter som meddelas av Regeringskansliet. 3 Om det i någon annan författning finns bestämmelser om myndigheters arbete med informationssäkerhet gäller dessa fram stämmelserna i denna författning.

10 Inledning

11 Inledning 11 Inledning Bakgrund och syfte Myndigheten för samhällsskydd och beredskap (MSB) har i uppgift att stödja och samordna arbetet med samhällets informationssäkerhet. Med stöd av 34 förordningen (2006:942) om krisberedskap och höjd beredskap har myndigheten utfärdat föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2009:10) vilka trädde ikraft den 1 februari Enligt föreskrifterna ska en myndighet upprätthålla säkerhet i sin informationshantering och som ett led i detta arbete tillämpa ett ledningssystem för informationssäkerhet. Detta innebär enligt föreskrifterna att myndigheterna ska ha en informationssäkerhetspolicy, ska ha någon eller några som leder och samordnar informationssäkerhetsarbetet, ska klassa sin information, ska genomföra risk- och sårbarhetsanalyser och utifrån dessa hantera risker samt ska dokumentera granskningar och vidtagna säkerhetsåtgärder av större betydelse. Föreskrifterna ställer även krav på att ledningen löpande informerar sig om arbetet med informationssäkerhet samt att ledningen minst en gång per år följer upp och utvärderar informationssäkerhetsarbetet på myndigheten. Föreskrifterna är bilagda denna rapport (bilaga 1). Under 2014 har MSB genomfört en kartläggning och inlett en analys av hur statliga myndigheter tillämpar ovan nämnda föreskrifter. Det övergripande syftet med arbetet är att säkerställa att föreskrifternas utformning ger ett ändamålsenligt stöd för statliga myndigheters systematiska arbete med informationssäkerhet. Ett sekundärt syfte med enkäten är att få en bild av hur informationssäkerhetsarbetet bedrivs vid svenska myndigheter. Kartläggningen utgör ett viktigt underlag i MSB:s arbete med att se över och utveckla föreskrifterna samt underlättar arbetet med att utforma relevant stöd för myndigheterna i deras informationssäkerhetsarbete. Kartläggningen genomfördes med hjälp av en sluten webbenkät. Där ställdes frågor med både direkt koppling till föreskrifterna och frågor av mer generell karaktär beträffande informationssäkerhetsarbete. I föreliggande rapport redovisas de huvudsakliga resultaten av enkäten. Rapporten är i första hand framtagen för att ge berörda aktörer och andra intressenter en aktuell bild av myndigheternas informationssäkerhetsarbete. Rapporten innehåller tre delar denna inledning, en huvuddel som presenterar enkätresultatet, samt en avslutande del som berättar mer om stödet på Informationssäkerhet.se. Den del som beskriver enkätresultatet är indelad i olika teman som följer de områden som togs upp i enkäten. Varje temaavsnitt inleds med en kort introduktion och därefter presenteras resultaten som diagram med tillhörande kommentarer.

12 12 En bild av myndigheternas informations Säkerhetsarbete 2014 Systematiskt informationssäkerhetsarbete Samhällsutvecklingen har på några få decennier gjort it-systemen till en naturlig del av vardagen. Men utvecklingen har även medfört nya hot och risker. Den största förändringen är det ökade beroendet av en tillgänglig och säker it-infrastruktur för effektiv informationshantering. Detta beroende är idag så betydande att störningar i infrastrukturen negativt kan påverka eller till och med slå ut samhällsviktiga funktioner. System som styr processer för betalning, vård, rättsväsendet, media, kommunikation, transporter, livsmedelsförsörjning, energiförsörjning eller vatten- och avloppshantering är exempel på samhällsviktiga funktioner som är beroende av en tillgänglig och säker it-infrastruktur. Såväl myndigheter som andra organisationer är beroende av att kunna lita på sina it- och kommunikationssystem för att effektivt och ända målsenligt kunna bedriva sin verksamhet till samhällets, verksamhetens och enskilda individers nytta. Detta ställer både tekniska och organisatoriska krav. Med hjälp av ett systematiskt informationssäkerhetsarbete kan organisationerna säkerställa att information och tjänster som tillhandahålls är tillgängliga för de som ska ta del av dem samtidigt som de är skyddade från obehörig åtkomst och påverkan. Inte minst gäller det skydd av enskildas personuppgifter. MSB:s föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2009:10) utgör ett viktigt verktyg för att stödja sådant systematiskt arbete, bland annat genom att ställa krav på att myndigheterna tillämpar ett ledningssystem för informationssäkerhet. Föreskrifterna hänvisar myndigheterna till de internationella standarderna ISO/IEC och Dessa ledande internationella standarder anger krav på ett ledningssystem och ger förslag på säkerhetsåtgärder. Ett ledningssystem för informationssäkerhet är organisationens struktur för att styra informationssäkerheten. Information ses som viktiga tillgångar och man avgör genom riskanalys och analys av krav på informationssäkerhet vilka åtgärder som ska sättas in för att skydda informationen på ett ändamålsenligt sätt. Ledningssystemet brukar framställas i styrande dokument som policy och riktlinjer för informationssäkerhet, där det framgår vad som är viktigt i den aktuella verksamheten, vem som ansvarar för vad, hur riskanalys och informationsklassificering går till, hur säkerhetsåtgärder införs, samt hur uppföljning och förbättringar av informationssäkerheten sker. Den kartläggning av myndigheternas informationssäkerhet som presenteras i föreliggande rapport fokuserar i huvudsak på förutsättningarna för systematiskt informationssäkerhetsarbete, med extra tonvikt på de bärande delar i ett ledningssystem för informationssäkerhet som MSB utfärdat föreskrifter om.

13 Inledning 13 Metod Denna enkätundersökning innefattar en kartläggning av informationssäkerhetsarbetet hos samtliga myndigheter som omfattas av MSB:s föreskrifter (2009:10) om statliga myndigheters informationssäkerhet, det vill säga samtliga myndigheter under regeringen med undantag för Regeringskansliet, kommittéväsendet, Försvarsmakten och utlandsmyndigheterna. Totalt distribuerades enkäten till 351 myndigheter myndigheter (drygt 95 %) besvarade enkäten inom undersökningsperioden och övriga 17 stycken har inte lämnat något svar. Den höga svarsfrekvensen i kombination med att det är fråga om en totalundersökning av populationen medför att resultaten från undersökningen har hög tillförlitlighet. Det finns således ingen statistisk osäkerhet i resultatet utan det resultat som redovisas är så som situationen uppfattas av respondenterna på myndigheterna. Det bör noteras att MSB inte har tagit del av något underlag från myndigheterna, exempelvis policyer eller informationsklassningsmodeller, och någon närmare bedömning av dokumentens och arbetets ändamålsenlighet ingår inte i kartläggningen. För att beskriva data används grafiska diagram, procentsatser och tabeller. Samtliga statistiska beräkningar har utförts i statistikbehandlingsprogrammet SAS myndigheter (68 %) uppger att de själva har hand om sitt informationssäkerhetsarbete, medan de återstående 107 uppger att deras informationshantering administreras i sin helhet av en annan myndighet. 3 Frågor om hur det praktiska informationssäkerhetsarbetet går till, och som redovisas i denna rapport, har endast ställts till de 227 myndigheter som själva har hand om sitt informationssäkerhetsarbete. Det är således endast dessa som fått besvara enkäten i sin helhet. 4 De undersökta myndigheterna är av olika storlek vilket skapar skilda förutsättningar för informationssäkerhetsarbetet (se tabell 1). I många fall är dock skillnaderna mellan hur storleksgrupperna besvarar de olika enkätfrågorna förhållandevis liten. MSB har därför valt att i rapporten endast särredovisa resultatet för de olika storleksklasserna i de fall där det har funnits tydliga och relevanta skillnader. I de fall skillnaderna mellan de olika gruppernas svar varit små har detta förhållande inte redovisats särskilt. Antal anställda Antal myndigheter Procent (avrundat) fler Totalt Tabell 1: Storleksfördelning undersökta myndigheter, Hur många anställda har myndigheten? 1. Uppgift om aktuella myndigheter hämtades den 13 januari 2014 från Statistiska centralbyråns register över statliga myndigheter 2. SAS 9:4, SAS Institute Inc., Cary, NC, USA. 3. Detta är exempelvis vanligt hos små nämndmyndigheter. 4. Övriga 107 myndigheter har bara behövt besvara frågan om och hur de har reglerat informationssäkerhetsfrågorna med den myndighet som administrerar deras informationshantering.

14 Enkätresultat

15 Enkätresultat 15 Policy och styrande dokument 84 % av de myndigheter som besvarat hela enkäten har en informationssäkerhetspolicy. 26 % av de myndigheter som besvarat hela enkäten kontrollerar inte efterlevnaden, det vill säga ifall policyer och riktlinjer följs av medarbetarna.

16 16 En bild av myndigheternas informations Säkerhetsarbete 2014 Policy och styrande dokument MSB föreskriver En myndighet ska enligt 4 i MSBFS 2009:10 upprätta en informationssäkerhetspolicy och andra styrande dokument som behövs för myndighetens informationssäkerhet. Informationssäkerhetspolicy Policy och riktlinjer är grunden för att informationssäkerhetsarbetet hanteras på ett systematiskt sätt. En övergripande policy är myndighetens viljeyttring vad avser informationssäkerhetens inriktning. Policydokumentet svarar på frågor såsom vad informationssäkerhet är, varför myndigheten behöver det, vilka ledningens ambitioner och mål är när det gäller informationssäkerhet, vem som ansvarar för vad i stort, samt var man får mer information. Styrande dokument Policyn konkretiseras genom styrande dokument som exempelvis interna föreskrifter, riktlinjer eller vägledningar för informationssäkerhet som berättar mer i detalj, och för olika målgrupper i verksamheten, vad som gäller för myndighetens informationssäkerhet. Det kan gälla hur informationssäkerheten ska hanteras inom olika verksamhetsområden, exempelvis inom systemutveckling och it-drift. Det kan handla om olika processer som beskrivs, såsom incidenthantering, behörighetsadministration, eller säkerhetskopiering. Behovet ska vägleda En viktig princip vad gäller policy och styrande dokument är att de regler och processer som tas fram och sedan dokumenteras i policy och styrande dokument ska vara anpassade till myndighetens specifika behov. Hur behovet ser ut skiljer sig från myndighet till myndighet, det styrs av vilken information man hanterar, interna och externa krav på informationens säkerhet, samt hur riskerna ser ut. Väl utformade policy och styrande dokument, vilka kommunicerats och motiverats för verksamheten, ger en mycket bra grund för god styrning av myndighetens informationssäkerhet och är en viktig del i ett ledningssystem för informationssäkerhet.

17 Enkätresultat 17 Drygt 8 av 10 har en informationssäkerhetspolicy 84 % av de 227 myndigheter som besvarade hela enkäten, anger att de har en informationssäkerhetspolicy. De allra flesta, 70 %, har en som är beslutat av ledningen, medan 14 % rapporterar att policyn är under fastställande. Återstår gör 16 % av dessa myndigheter, vilka inte har någon policy för informationssäkerhet. Informationssäkerhetspolicy Under fastställande 14 % 16 % 70 % Figur 1: Informationssäkerhetspolicy, Har ni en informationssäkerhetspolicy som är beslutad av ledningen? Det är således förhållandevis många som, trots att de anger att de själva leder och styr sin informationssäkerhet, inte har någon policy som styr insatserna. 7 av 10 har andra styrande dokument 73 % av samtliga tillfrågade myndigheter som har besvarat hela enkäten har andra styrande dokument utöver, eller istället för, policyn som gäller informationssäkerhetsarbetet. Dokumenten kan tydliggöra och komplettera informationssäkerhetspolicyn. Styrande dokument 27 % 73 % Figur 2: Styrande dokument, Finns det andra styrdokument för informationssäkerhetsarbetet?

18 18 En bild av myndigheternas informations Säkerhetsarbete 2014 Eftersatt kontroll av efterlevnad När det gäller kontroll av efterlevnad står det sämre till hos de myndigheter som besvarade hela enkäten. Med kontroll av efterlevnad avses att myndigheten systematiskt kontrollerar i vilken grad beslutade styrdokument som policyer och riktlinjer följs av medarbetarna. Kontroll av efterlevnad 26 % Inga dokument 9 % 65 % Figur 3: Kontroll av efterlevnad, Kontrollerar ni hur myndighetens styrande dokument för informationssäkerhetsarbetet efterlevs? 9 % av myndigheterna som besvarat hela enkäten uppgav att de varken hade någon policy eller några andra styrande dokument att kontrollera efterlevnad mot. 26 % av myndigheterna uppger att det inte har någon sådan kontroll, trots att de har styrande dokument. Vid analys per storleksklass framgår att det inte bara är de små myndigheterna som har begränsad kontroll av efterlevnad. 41 % av de mellanstora och 29 % av de stora myndigheterna saknar kontroll av 501-fler anställda efterlevnad eller uppger att de inte har styrande dokument att kontrollera efterlevnad mot. 501-fler anställda 0-50 anställda Inga dokument 9 % Inga dokument 4 % 17% Inga dokument 17 % 66 % 32 % 59 % 25 % 71 % Figur 3a: Myndigheter 0-50 anställda, kontroll av efterlevnad. Figur 3b: Myndigheter anställda, kontroll av efterlevnad. Figur 3c: Myndigheter 501-fler anställda, kontroll av efterlevnad.

19 Enkätresultat 19 Leda och samordna informationssäkerhetsarbetet 74 % av de myndigheter som besvarat hela enkäten har utsett en informationssäkerhetschef eller motsvarande roll för att leda och samordna informationssäkerhetsarbetet. 81 % av de som leder och samordnar informationssäkerhetsarbetet hos de myndigheter som besvarat hela enkäten rapporterar direkt till myndighetens ledning. 38 % av de som leder och samordnar informationssäkerhetsarbetet hos de myndigheter som besvarat hela enkäten uppges sakna tillräcklig kompetens, resurser eller mandat för att utgöra uppdraget på ett tillfredsställande sätt.

20 20 En bild av myndigheternas informations Säkerhetsarbete 2014 Leda och samordna informationssäkerhetsarbetet MSB föreskriver En myndighet ska enligt 4 i MSBFS 2009:10 utse en eller flera personer som leder och samordnar arbetet med informationssäkerhet. Att leda och samordna informationssäkerhetsarbetet Ansvaret för informationssäkerhet är ofta fördelat på olika roller i verksamheterna. Enligt föreskrifterna ska det finnas en roll som har uttalat ansvar för att leda och samordna informationssäkerhetsarbetet. Om detta inte finns blir arbetet svåröverskådligt och frågan riskerar att glömmas bort i många sammanhang. Många myndigheter har dels en utpekad informationssäkerhetschef eller motsvarande i en stabsfunktion, ofta nära ledningen, och en motpart på itavdelningen. Det bör betonas att det centrala är att någon har tilldelats detta ansvar. Det är inte alltid nödvändigt att inrätta en särskild tjänst. Rapporteringsvägar Ett vanligt misstag vad gäller rapporteringsvägar för informationssäkerhet generellt är att man ser informationssäkerhet som en it-fråga och därför placerar ansvaret för informationssäkerhet på it-avdelningen. Det medför ofta komplikationer då säkerhetsarbetet kan bli alltför präglat av it-fokus och då det ofta får stå tillbaks då it-avdelningen har andra krav att uppfylla med synligare resultat och hårdare deadlines. Informationssäkerhet är inte detsamma som it-säkerhet eftersom informationssäkerhet rör all typ av informationshantering. En möjlighet för den som leder och samordnar informationssäkerhetsarbetet att rapportera direkt till myndighetens ledning kan motverka detta förhållande i viss mån. Förutsättningar Vissa grundläggande förutsättningar måste finnas på plats som möjliggör för den som leder och samordnar informationssäkerhetsarbetet att bedriva arbetet på ett ändamålsenligt och effektivt sätt. Det gäller främst den egna kompetensen, tillgång till resurser och ett uttalat mandat från myndighetens ledning att leda och samordna informationssäkerhetsarbetet genom att bland annat kunna ställa krav på verksamheten.

21 Enkätresultat 21 Drygt 7 av 10 har en utsedd informationssäkerhetschef eller motsvarande 74 % av de myndigheter som besvarat hela enkäten, rapporterar att de har en utsedd Utsedd informationssäkerhetschef eller motsvarande. 26 % 74 % Figur 4: Utsedd informationssäkerhetsansvarig, Finns det en utsedd informationssäkerhetschef eller motsvarande Av de som inte har någon utsedd informationssäkerhetschef eller motsvarande uppger de flesta att it-chef, administrativ chef, eller säkerhetsskyddschef (i fallande ordning) driver informationssäkerhetsfrågorna. Flera uppger även att myndigheten ses som för liten för att ha en utsedd ansvarig. 8 av 10 av de som leder och samordnar informationssäkerhetsarbetet rapporterar direkt till ledningen Undersökningen visar att hela 81 % av de som leder och samordnar informationssäkerhetsarbetet, oavsett om de är informationssäkerhetschef eller motsvarande eller har ansvar för frågorna inom ramen för en annan roll, hos myndigheter som besvarat enkäten i sin helhet rapporterar direkt till myndighetens ledning. Detta kan anses vara bra för informationssäkerhetsarbetet, då det indikerar Rapport att ledningarna direkt till ledning prioriterar frågan. 19 % 81 % Figur 5: Rapport direkt till ledningen, Rapporterar rollen (informationssäkerhetschef eller annan roll) direkt till ledningen?

22 22 En bild av myndigheternas informations Säkerhetsarbete av 10 uppger att den som leder och samordnar informationssäkerhetsarbetet har otillräckliga förutsättningar Kompetens, tid och resurser samt mandat är centrala förutsättningar för att den som leder och samordnar informationssäkerhetsarbetet ska kunna utföra sina uppgifter. 38 % av de myndigheter som besvarat enkäten i sin helhet uppgav att det fanns brister kopplade till en eller flera av dessa aspekter. För att få en närmare bild av bristernas karaktär fick de myndigheter som svarat att förutsättningarna avseende kompetens, tid och resurser samt mandat var otillräckliga, det vill säga ovan nämnda 38 %, i en följdfråga närmare beskriva problematiken. Eftersom följdfrågan var en öppen fritextfråga redovisas inte några siffror. Nedan beskrivs istället de vanligaste förekommande synpunkterna kopplade till kompetens, Förutsättningar tid och resurser för respektive mandat. informationssäkerhet tillräckliga 38 % 62 % Figur 6: Förutsättningar för informationssäkerhetsuppdraget, Har rollen/funktionen tillräckligt med kompetens, resurser och mandat för att utföra uppdraget på ett tillfredsställande sätt? Kompetens Av de som uppger att otillräckliga förutsättningar råder är det flera myndigheter som anger att den kompetens de bedömer behövs för att bedriva informationssäkerhetsarbetet på ett fullgott sätt saknas. Några uppger att de har utbildningsoch rekryteringsinsatser planerade för att råda bot på kompetensbristen. Tid och resurser Många uppger att tid är ett problem. De konstaterar att informationssäkerhetsansvaret ofta är en tillika uppgift som någon tilldelats ofta på kanske % av en tjänst, och att just informationssäkerhetsuppgifterna ofta får stå tillbaka då någon uppföljning av det arbetet inte riktigt finns på plats. Flera respondenter uppger att de bedömer att det behövs mer tid och ekonomiska medel än vad som nu är tillsatt för att driva arbetet på ett bra sätt. Mandat Med mandat menas i detta sammanhang att ledningen har gett och uttalat en rätt för den som ansvarar för informationssäkerheten att verkligen ställa krav på att verksamheterna vidtar olika åtgärder, som exempelvis följa riktlinjer, delta vid klassning av information, genomföra riskanalyser, och liknande. Utan ett uttalat mandat blir arbetet mycket svårt att bedriva eftersom det kan bli svårt att få verksamheterna att tillsätta personella resurser för att bidra till arbetet. Flera respondenter anger bristande mandat som en faktor i frågan om otillräckliga förutsättningar.

23 Enkätresultat 23 Informationsklassning 67 % av de myndigheter som besvarat hela enkäten har en informationsklassningsmodell för att identifiera informationstillgångarna och kunna ställa rätt krav på informationssäkerheten. 41 % av de myndigheter som besvarat hela enkäten uppger att det inte är tydligt uttalat vem som ansvarar för att informationsklassning genomförs. 59 % av de myndigheter som besvarat hela enkäten uppger att det inte är fastslaget när informationsklassning ska ske.

24 24 En bild av myndigheternas informations Säkerhetsarbete 2014 Informationsklassning MSB föreskriver En myndighet ska enligt 4 i MSBFS 2009:10 klassificera sin information med utgångspunkt i krav på konfidentialitet, riktighet och tillgänglighet. Identifiering av information och krav Informationsklassning är grunden för allt informationssäkerhetsarbete eftersom det resulterar i en tydlig bild av vad som är skyddsvärt och på vilket sätt det behöver skyddas. I föreskrifterna ställs därför krav på att myndigheterna ska klassa sin information och då beakta behov av konfidentialitet, riktighet och tillgänglighet. Målet med klassning av informationstillgångar (såsom information och it-system), är att dels få en överblick över vilken information myndigheten hanterar och dels att identifiera behov och krav på säkerhet för informationen. Denna process, som även kallas informationsklassning, resulterar i en strukturerad förteckning över väsentliga informationstillgångar där också myndighetens interna och externa (exempelvis från författning) säkerhetskrav dokumenterats. I förteckningen är varje informationstillgång klassad utifrån centrala säkerhetsaspekter som konfidentialitet, riktighet, och tillgänglighet. Metod och modell för informationsklassning Klassningen behöver utgå från ett tillvägagångssätt (metod) för klassning och en modell. Modeller för klassning anger vad olika klassningar innebär och ger riktlinjer för vilken typ av information eller system som ska bedömas behöva skydd enligt en viss klass. Kravet på informationssäkerhet brukar anges i någon form av skala som antingen utgår från kravnivån (exempelvis låg, medel, hög ) eller vilken konsekvens det skulle få ifall säkerheten äventyrades (exempelvis ingen, måttlig, betydande, allvarlig ). Klassning, risk och säkerhetsåtgärder Klassning av information och system får konsekvenser för hur myndigheten bör skydda informationen. Klassningen indikerar skyddsbehovet tillsammans med analys av riskerna eftersom de sammantaget besvarar frågorna Hur viktigt är det för oss att den här informationen hanteras på ett säkert sätt?, och Vad skulle kunna hända som gör att vi inte kan leva upp till vårt krav på säkerhet för informationen?. Vissa metoder och modeller för klassning anvisar direkt specifika tekniska eller organisatoriska säkerhetsåtgärder som ska införas beroende på vilken klass som valts. Exempelvis om informationen klassats som hög vad gäller behovet av konfidentialitet, så krävs kanske kryptering vid lagring av den informationen. Andra metoder och modeller använder klassningen mer som en del av beslutsunderlaget när man ska avgöra hur skyddet ska vara utformat då ofta tillsammans med riskanalyser, kostnad för nuvarande och potentiella åtgärder, samt åtgärdernas bedömda effekt.

25 Enkätresultat 25 Drygt 3 av 10 myndigheter saknar modell för informationsklassning Undersökningen visar att endast 43 % av myndigheterna som besvarat hela enkäten har en informationsklassningsmodell som är beslutad av myndigheten. 33 % av de myndigheter som besvarat hela enkäten uppger att de helt saknar modell för informationsklassning. Fastställd modell för informationsklassning Under fastställande, inte beslutad 24 % 43 % 33 % Figur 7: Fastställd modell for informationsklassning, Har ni en beslutad modell för hur informationsklassning som beaktar flera olika säkerhetsaspekter (som konfidentialitet, riktighet, tillgänglighet och spårbarhet) ska genomföras? Det faktum att många av myndigheterna saknar en modell för informationsklassning behöver inte betyda att behoven av informationssäkerhet helt förbises, men det innebär sannolikt att dessa myndigheter inte har något systematiskt sätt att identifiera och hantera sådana behov. Större myndigheter bättre på informationsklassning Det är en markant skillnad mellan små och stora myndigheter vad gäller informationsklassning. Ju större myndigheten är desto större är utsikten att de har en modell för klassning. En uppdelning av frågeställningen som redovisas i figur 7 i olika storleksklasser får följande resultat anställda anställda 501-fler anställda Under faställande inte beslutad 29 % 51 % 20 % Under faställande inte beslutad 23 % 36 % 41 % Under faställande inte beslutad 23 % 20 % 57 % Figur 7a: Myndigheter 0-50 anställda, fastställd modell för informationsklassning. Figur 7b: Myndigheter anställda, fastställd modell för informationsklassning. Figur 7c: Myndigheter 501-fler anställda, fastställd modell för informationsklassning.

26 26 En bild av myndigheternas informations Säkerhetsarbete %6 av 10 har beslutat vem som ansvarar för informationsklassning När det gäller ansvaret för klassning har 59 % av de myndigheter som besvarat hela enkäten fastställt vem eller vilken roll som ansvarar för att det ska ske. Däremot är det bara 41 % av de myndigheter som besvarat hela enkäten som fastställt när informationsklassning ska ske, exempelvis efter ett visst tidsintervall, vid nyanskaffning Fastställd ansvar av nya system eller vid organisationsförändringar. Fastställd när för informationsklassning informationsklassning ska ske 41 % 59 % 59 % 41 % Figur 8: Fastställt ansvar för informationsklassning, Är det tydligt uttalat vem som ansvarar för att informationsklassning genomförs? Figur 9: Fastställd tidpunkt/situation för då informationsklassning ska ske, Är det tydligt beskrivet när informationsklassning ska ske?

27 Enkätresultat 27 Riskanalys och dokumentation 78 % av de myndigheter som besvarat hela enkäten har en metod för riskanalys. 42 % av de myndigheter som besvarat hela enkäten saknar regler för vad riskanalyser ska omfatta eller när det ska ske. 35 % av de myndigheter som besvarat hela enkäten saknar uttalat ansvar för vem som ska initiera riskanalyserna.

28 28 En bild av myndigheternas informations Säkerhetsarbete 2014 Riskanalys och dokumentation MSB föreskriver En myndighet ska enligt 4 i MSBFS 2009:10 utifrån risk- och sårbarhetsanalyser och inträffade incidenter avgöra hur risker ska hanteras, samt besluta om åtgärder för myndighetens informationssäkerhet. En myndighet ska enligt samma paragraf även dokumentera granskningar och säkerhetsåtgärder av större betydelse som har vidtagits. Syftet med riskanalys Syftet med riskanalys är att skapa ett beslutsunderlag som visar vilka de väs entliga riskerna gällande informationssäkerhet är, och därmed möjliggör för verksamheten att bedöma och prioritera riskerna, för att därefter kunna hantera riskerna genom ändamålsenliga åtgärder. Riskanalys är en central del i ett ledningssystem för informationssäkerhet. Riskanalyser bör, för att vara effektiva, ske regelbundet och/eller inför förändringar som kan tänkas påverka riskerna. Riskerna kan gälla allt från informationsteknik, via processer, till sättet att styra informationssäkerheten. Riskanalysarbetet innebär användning av en metod för att systematiskt identifiera och analysera risker rörande myndighetens informationssäkerhet. Myndigheten bör välja en metod för riskanalys som passar dess behov och sedan beslutas av myndighetens ledning eftersom frågan om hur man hanterar risker är av strategisk och verksamhetsövergripande karaktär. Metod för riskanalys Metoder för riskanalys brukar innefatta ett tillvägagångssätt för identifiering och beskrivning av risker, exempelvis i form av scenarier. En sådan identifiering underlättas avsevärt ifall myndigheten tidigare gjort en informationsklassning då både viktiga informationstillgångar och krav på deras informationssäkerhet identifierats. Därefter bedöms riskerna utifrån hur troligt det är att de inträffar under en viss tidsperiod (sannolikhet), och vilka följder det skulle kunna få (konsekvens). Genom att kombinera sannolikhet och konsekvens får man sedan fram de mest kritiska riskerna. Därmed kan eventuella åtgärder övervägas utifrån hur kritisk risken anses och eventuella prioriteringar göras mellan identifierade risker.

29 Enkätresultat 29 6 av 10 har en fastställd metod för riskanalys 60 % av myndigheter som besvarat enkäten i sin helhet har en fastställd metod för riskanalys som anger hur analyserna ska genomföras. 18 % har ännu ej fastställt en metod men uppger att den kommer att fastställas inom en överskådlig tid (företrädesvis under 2014 och 2015). Figuren visar att 22 % myndigheter som besvarat hela enkäten saknar metod för riskanalys. Metod för riskanalys, ej fastställd 18 % 22 % 60 % Figur 10: Metod för riskanalys, Finns det en beslutad modell/metod för hur riskanalys skall genomföras? Att 78 % har en, fastställd eller ännu inte fastställd, metod för riskanalys skapar förutsättningar för god hantering av risker hos myndigheterna. Men svaren indikerar även områden där utrymme för förbättring finns. Det bör noteras att frågan till sin formulering inte uttryckligen begränsades till riskanalyser för informationssäkerhet utan var mer allmänt ställd. Större myndigheter bättre på riskanalys 0-50 anställda anställda 501-fler anställda Under faställande inte beslutad 22 % 32 % 22% 46 % Under faställande inte beslutad 18 % 31 % 51 % Under faställande inte beslutad 16 % 31 % 57% 43% 78 % Figur 10a: Myndigheter 0-50 anställda, metod för riskanalys. Figur 10b: Myndigheter anställda, metod för riskanalys. Figur 10c: Myndigheter 501-fler anställda, metod för riskanalys. En nedbrytning av frågeställningen i figur 10 i storleksgrupper visar på enmarkant skillnad mellan små och stora myndigheter vad gäller risk analysarbetet. Ju större myndigheten är desto större är utsikten att de har en fastställd metod för riskanalys. Materialet ger även stöd för likalydande slutsatser när det gäller de frågor som redovisas nedan i figur 11, rörande regler, ansvar och sammanställning av olika riskanalyser.

30 30 En bild av myndigheternas informations Säkerhetsarbete 2014 Arbetet med riskanalyser När det gäller sammanställning, ansvar och regler uppger ungefär 40 % av de myndigheter som besvarat hela enkäten att de saknar regler för vad riskanalys ska omfatta eller när det ska ske saknar uttalat ansvar för vem som ska initiera riskanalyserna inte sammanställer myndighetens mest väsentliga riskanalyser. Regler 58 % 42 % Ansvar 65 % 35 % Sammanställning 63 % 37 % 0 % 20 % 40 % 60 % 80 % 100 % Figur 11: Regler för riskanalyser Finns det regler för när och för vad riskanalyser ska genomföras, t.ex. för hela myndigheten, vid systemutveckling, vid övriga förändringar som kan påverka er informationssäkerhet?, Fastställt ansvar för riskanalyser Finns det ett uttalat ansvar för att riskanalyser genomförs?, Sammanställning av väsentliga riskanalyser Sammanställs myndighetens mer väsentliga riskanalyser?

31 Enkätresultat 31 Uppföljning och dokumentering Uppföljning: Fler än hälften av de myndigheter som besvarat hela enkäten uppger att de saknar tydliga regler kring uppföljning av resultatet av riskanalyserna. Det kan noteras att det här resultatet är i stort sett detsamma oavsett för uppföljning storlek på myndigheterna. Regler av riskanalyser 54 % 46 % Figur 12: Regler för uppföljning av riskanalyser, Finns det tydliga regler för uppföljning av resultatet av riskanalyserna? Koppling till informationsklassning: Två tredjedelar av myndigheterna uppger att deras riskanalyser inte är kopplade till deras modell för informationsklassning. Både klassning och riskanalys krävs dock för att Riskanalys en informationstillgångs kopplad till modell skyddsbehov ska kunna fastställas. för informationsklassificering 36 % 64 % Figur 13: Riskanalys kopplad till modell för informationsklassning, Är riskanalysen kopplad till er modell för informationsklassning? 16%

32 32 En bild av myndigheternas informations Säkerhetsarbete 2014 Dokumentering: Mindre än hälften av myndigheterna uppger att de alltid, eller i stor utsträckning, dokumenterar granskningar och säkerhetsåtgärder av större betydelse som har vidtagits. Här märks dock en tydlig skillnad Dokumentation mellan större av och granskningar mindre myndigheter. och säkerhetsåtgärder Inte alls 7 % Endast vid enstaka tillfällen 15 % 25 % Delvis 30 % I stor utsträckning 23 % Figur 14: Dokumentation av granskningar och säkerhetsåtgärder, Dokumenterar er myndig het granskningar och säkerhetsåtgärder av större betydelse som har vidtagits?

33 Enkätresultat 33 Kontinuitetsplanering 65 % av de myndigheter som besvarat hela enkäten saknar kontinuitetsplan. 59 % av de myndigheter som besvarat hela enkäten använder inte riskanalyserna som stöd vid kontinuitetsplanering.

34 34 En bild av myndigheternas informations Säkerhetsarbete 2014 Kontinuitetsplanering MSB rekommenderar i allmänna råd En myndighet bör enligt de allmänna råden i MSBFS 2009:10 upprätta och införa kontinuitetsplaner för informationsförsörjningen för att säkerställa att verksamheten ska kunna bedrivas enligt den nivå av kontinuitet som beslutats efter genomförd riskanalys. Planerna bör hållas uppdaterade och övas så att de blir ett naturligt inslag i ledning av informationssäkerhetsarbetet. Planerna bör ange beslutad krisorganisation och även omfatta återgång till normal drift. Bibehållen leveransförmåga Kontinuitetsplanering har, enkelt uttryckt, som syfte att skapa förutsättningar för en verksamhet att kunna utföra sina mest centrala uppgifter ifall den normala verksamheten drabbas av ett större avbrott. Det kan handla om exempelvis ett avbrott i it- och telekommunikation som påverkar myndighetens verksamhet, som i sin tur kan vara orsakad av exempelvis brand, hackerangrepp, eller misstag. En kontinuitetsplan eller motsvarande är det viktigaste instrumentet för att tillse att kontinuitetsarbetet bedrivs systematiskt och ändamålsenligt. Identifiera kritiska verksamhetsprocesser Grundläggande vid kontinuitetsplanering är att identifiera kritiska verksamhetsprocesser som, om de av någon anledning skulle sluta fungera, skulle få stora negativa återverkningar på myndighetens verksamhet, för samhället eller medborgare. Myndigheter behöver således: 1. identifiera kritiska verksamhetsprocesser som inte får falla bort vid avbrott 2. identifiera och reducera hot mot och risker för en kontinuerlig drift för dessa processer 3. utveckla alternativa lösningar och sätt att driva processerna vid avbrott 4. utveckla planer som hjälper myndigheten att så snabbt som möjligt återställa verksamheten till normal drift och servicenivå efter ett avbrott 5. säkerställa beredskap och resiliens för oväntade händelser 6. ställa krav på leverantörer 7. identifiera och hantera beroenden. Regelbundna övningar och tester En viktig framgångsfaktor för kontinuitetsarbetet är att man regelbundet övar och testar reservrutiner, krisorganisation, och andra delar av kontinuitetsarrangemangen myndigheten upprättat, för att säkerställa att det fungerar när det väl behövs.

35 Enkätresultat 35 Drygt 3 av 10 myndigheter har en kontinuitetsplan Undersökningen visar att endast 35 % av de myndigheter som besvarat hela enkäten har en kontinuitetsplan. Av dessa framtagna kontinuitetsplaner (de 35% i figur 15) är 67 % fastställda av myndighetens ledning och 36 % övade. Kontinuitetsplan 65 % 35 % Fastställd kontinuitetsplan Figur 15: Kontinuitetsplan, Finns det en framtagen kontinuitetsplan för er verksamhet? Under fastställande 15 % 18 % 67 % Figur 16: Fastställd kontinuitetsplan, Är kontinuitetsplanen beslutad? Är kontinutetsplanen övad? 64 % 36 % Figur 17: Övad kontinuitetsplan, Är kontinuitetsplanen övad?

36 36 En bild av myndigheternas informations Säkerhetsarbete 2014 Även majoriteten av de stora myndigheterna saknar kontinuitetsplan Vid analys per storleksklass framkommer att de större myndigheterna i något större utsträckning har kontinuitetsplaner än de små och medelstora. Skillnaden är dock inte så stora. 57 % av de större myndigheterna saknar kontinuitetsplan anställda anställda 501-fler anställda 78 % 22 % 65 % 35 % 65% 57 % 43 % Figur 15a: Myndigheter 0-50 anställda, kontinuitetsplan framtagen. Figur 15b: Myndigheter anställda, kontinuitetsplan framtagen. Figur 15c: Myndigheter 501-fler anställda, kontinuitetsplan framtagen. 6 av 10 använder inte riskanalys som stöd för kontinuitetsplaneringen Riskanalys och kontinuitetsplanering är tätt förknippade eftersom riskanalysen identifierar hot som verksamheten med kontinuitetsplaneringen vill undvika eller minska konsekvenserna av. Det finns därför en fördel med att se sambanden mellan de två. Det kan dock noteras att av myndigheterna uppgav 59 % att de inte använder Riskanalys riskanalysen som stöd till som stöd vid kontinuitetsplaneringen. kontinuitetsplanering 41 % 59 % Figur 18: Riskanalys som stöd till kontinuitetsplanering, Används riskanalysen som stöd för kontinuitetsplanering?

37 Enkätresultat 37 Ledningens engagemang 45 % av de myndigheter som besvarat hela enkäten uppger att myndighetens ledning åtminstone i stor utsträckning löpande håller sig informerade om arbetet med informationssäkerhet. 37 % av de myndigheter som besvarat hela enkäten har ingen eller en mycket begränsad utvärdering av informationssäkerhetsarbetet på myndigheten.

38 38 En bild av myndigheternas informations Säkerhetsarbete 2014 Ledningens engagemang MSB föreskriver Enligt 5 i MSBFS 2009:10 ska myndighetens ledning löpande informera sig om arbetet med informationssäkerhet samt minst en gång per år följa upp och utvärdera informationssäkerhetsarbetet på myndigheten. Nyckeln till framgång Ledningens engagemang är nyckeln till framgång för myndighetens informationssäkerhet. Därför ställer MSB tydliga krav i föreskrifterna på att ledningen ska engagera sig i informationssäkerhetsarbetet. Det finns många exempel på att avsaknad av ett tydligt engagemang från ledningen tenderar att påverka informationssäkerheten och arbetet med att styra och leda densamma negativt. Med engagemang menas i grunden att myndighetens ledning löpande informerar sig om hur arbetet med informationssäkerhet fortlöper och ser till att följa upp och utvärdera informationssäkerhetsarbetet. Ett verktyg för ledningen att ta det ansvaret är att använda sig av ett ledningssystem för informationssäkerhet. Men det handlar även om tilldelning av ett uttalat mandat, resurser för att genomföra arbetet och att prioritera det. En synlig ledning Myndighetens högsta ledning behöver, för framgångsrikt informationssäkerhetsarbete, inte bara ha ett engagemang för frågorna, engagemanget måste även synliggöras i verksamheten. Ledningen kan exempelvis vara avsändare av informationssäkerhetspolicyn, kalla till utbildning/information, betona vikten av informationssäkerhet i kommunikation med medarbetarna, samt tydligt uttala och därefter förnya mandatet inför hela verksamheten för pågående insatser inom informationssäkerhet. Ledningen behöver kommunicera ut i verksamheten att den ser informationssäkerhet som en fråga man tar på allvar. Ledningens uppföljning och utvärdering En central del av ledningens uppföljning och utvärdering utgörs av att den informationssäkerhetsansvariga får avrapportera för ledningen hur arbetet med informationssäkerhet fortlöper. Avrapporteringen kan innefatta en redogörelse för vilka incidenter som inträffat, väsentliga förändringar i riskbilden, genomfört arbete, resultat av egna och oberoende granskningar, förslag till förbättringar i policy och riktlinjer samt förslag till beslut kring arbetets inriktning och finansiering framåt. Därefter tar ledningen beslut i frågan. Hela processen med denna uppföljning och utvärdering bör följa den ordinarie processen för verksamhetsplanering.

39 Enkätresultat 39 Knappt hälften av myndigheternas ledningar håller sig åtminstone i stor utsträckning informerade om informationssäkerhetsarbetet 45 % av myndigheterna som har besvarat enkäten i sin helhet svarar eller I stor utsträckning på frågan ifall myndighetens ledning löpande håller sig informerad om arbetet med informationssäkerhet. Ledning informerar sig Inte alls 3 % Endast i mycket begränsad utsträckning 19 % 28 % Delvis 33 % I stor utsträckning 17 % Figur 19: Ledningen informerar sig, Informerar sig myndighetens ledning löpande om arbetet med informationssäkerhet? Även om myndigheternas ledning i de allra flesta fall på något vis informerar sig så uppger majoriteten att det endast sker delvis eller i mycket begränsad utsträckning. Det är samma mönster för de små som för de stora myndigheterna. Knappt hälften av myndigheternas ledningar följer åtminstone i stor utsträckning minst en gång per år upp informationssäkerhetsarbetet 49 % uppger att deras ledning helt eller i stor utsträckning följer upp informationssäkerhetsarbetet minst en gång Uppföljning per år. av informationssäkerhet Inte alls 9 % Endast i mycket begränsad utsträckning 17 % 38 % Delvis 25 % I stor tsträckning 11 % Delvis Figur 20: Uppföljning av informationssäkerhet, Följer myndighetens ledning minst en gång per år upp informationssäkerhetsarbetet?

40 40 En bild av myndigheternas informations Säkerhetsarbete 2014 Knappt 3 av 10 myndigheter utvärderar informationssäkerhetsarbetet Drygt två tredjedelar av myndigheterna som besvarat hela enkäten uppger att man antingen inte utvärderar informationssäkerhetsarbetet alls (12 %), endast gör det i begränsad utsträckning Utvärdering (25 %) eller av gör det delvis (31 %). informationssäkerhet Inte alls 12 % 19 % Endast i mycket begränsad utsträckning 25 % I stor utsträckning 13 % Delvis 31 % Figur 21: Utvärdering av informationssäkerhet, Utvärderar myndigheten informationssäkerhetsarbetet på myndigheten?

41 Behov av stöd för informationssäkerhetsarbetet Enkätresultat 41

42 42 En bild av myndigheternas informations Säkerhetsarbete 2014 Behov av stöd för informationssäkerhetsarbetet Mot slutet av enkäten ställdes öppna frågor kring behov av stöd för informationssäkerhetsarbetet och vilken form stödet bör ha. Eftersom frågorna var öppna fritextfrågor redovisas inga siffror. Istället beskrivs de vanligast förekommande behoven i form av områden nedan. Behov av stöd Kravställning och uppföljning Flera myndigheter uppgav att de har behov av mer stöd gällande uppföljning och mätning av informationssäkerhet. Men innan man kan följa upp krävs att man kan identifiera kraven på informationssäkerhet i olika sammanhang, exempelvis vid systemutveckling eller anskaffning av nya it-system. Även här indikerade flera myndigheter behov av stöd. Införande, förankring och utbildning Många uppgav det viktigt med stöd för att verkligen kunna omsätta ledningssystemet för informationssäkerhet i praktisk verksamhet hur man får det hela att fungera. Konkret efterfrågas stöd gällande utbildning för olika målgrupper inklusive ledningen, samt stöd kring hur man förankrar informationssäkerhetsarbetet i verksamheten. Kontinuitetsplanering och krishantering Ett område som många intresserade sig för, och där stora insatser kommer att behöva göras den kommande tiden, är kontinuitetsplanering och krishantering. Flera myndigheter uppger att de behöver hjälp att komma igång med detta arbete. Informationsklassning MSB:s informationsklassningsmodell används, men det är också flera som anger att de behöver mer eller annat stöd kring just informationsklassning. Några menar att den nuvarande modellen är lite för teoretisk och kunde vara mer praktiskt inriktad, exempelvis ange vilka skyddsåtgärder som är aktuella för olika nivåer i modellen. Riskanalys Flera uppger att de behöver stöd relaterat till riskanalys. Molntjänster och outsourcing Molntjänster och outsourcing nämns av myndigheterna som områden där mer stöd behövs. Inte minst efterfrågas tydligare vägledning från myndigheter om hur författningskrav relaterade till användning av sådana tjänster ska tolkas. Man vill ha svar på frågor som vilken typ av information får läggas i molnet?, vilka författningskrav finns som måste vara uppfyllda innan molntjänsterna kan användas och hur ska dessa tolkas?.