Planering för införande av ledningssystem för informationssäkerhet

Relevanta dokument
KLISTER KARTLÄGGNING INFORMATIONSSÄKERHET I KOMMUNER

Sammanställning av studentutvärdering samt utvärdering kurs vid institutionen för naturvetenskapernas och matematikens didaktik

Kursutvärdering / Kursrapport

Nytt metodstöd för systematiskt informationssäkerhetsarbete. Revidering av MSB:s metodstöd. Per Oscarson, Oscarson Security AB Carl Önne, MSB

Sammanställning av kursutvärdering

MYCKET BRA (14/48) BRA (30/48) GANSKA BRA (3/48) INTE BRA (1/48)

RAPPORT FÖR UTVÄRDERING AV AVSLUTAD KURS/DELKURS

Västra Götalandsregionens stöd till Informationssäkerhetsprogram Riktlinjer för sökande kommuner

Kursvärdering Palliativ vård - November

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Sammanställning av studentutvärdering samt utvärdering kurs vid institutionen för naturvetenskapernas och matematikens didaktik

1. Hur många timmar per vecka har du i genomsnitt lagt ner på kursen (inklusive schemalagd tid)?

Sammanställning av kursutvärdering

Kursrapport 32IVP1 H15-1 Verksamhetsförlagt projektarbete, 7,5 hp BMBD114h

Kursutvärdering / Kursrapport

Kursutvärdering av Naturläkemedel och kosttillskott, 4 poäng, vt 2007

Kursen ges som fristående kurs i huvudområdet socialt arbete och kan ingå i en masterexamen i samhällsvetenskap med fördjupning i socialt arbete.

Deltagarnas utvärdering av 23 saker

Kursen ges som fristående kurs i huvudområdet socialt arbete och kan ingå i en masterexamen i samhällsvetenskap med fördjupning i socialt arbete.

Sammanställning av studentutvärdering samt utvärdering kurs vid institutionen för naturvetenskapernas och matematikens didaktik

VT17-1DV527-7,5hp. Vilket sammanfattande omdöme ger du kursen? Antal respondenter: 25. Antal svar. Svarsfrekvens: 24,00 %

Kursutvärdering / Kursrapport

Sammanställning av kursvärdering

PSYKOLOGISKA INSTITUTIONEN

Välkommen till enkäten!

Administrativ säkerhet

G2F, Grundnivå, har minst 60 hp kurs/er på grundnivå som förkunskapskrav

Sammanställning av studentutvärdering samt utvärdering kurs vid institutionen för naturvetenskapernas och matematikens didaktik

Scriptprogrammering och avancerad Flash. Ulf Larsson Jon Wåhlstedt

Kursen ges som fristående kurs i huvudområdet socialt arbete och kan ingå i en masterexamen i samhällsvetenskap med fördjupning i socialt arbete.

Sammanställning av studentutvärdering samt utvärdering kurs vid institutionen för naturvetenskapernas och matematikens didaktik

VT17-1DV434-7,5-Ortsoberoende-50-Distans /VT17-1DV434-7,5-Ortsoberoende-50-IT-distans /VT17-1DV434-7,5-Ortsoberoende-50-Distans

Sammanställning av studentutvärdering samt utvärdering kurs vid institutionen för naturvetenskapernas och matematikens didaktik

Riktlinjer. Informationssäkerhetsklassning

Examination och utvärdering vt 2017

1. Hur många timmar per vecka har du i genomsnitt lagt ner på kursen (inklusive schemalagd tid)?

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

Sammanställning av studentutvärdering samt utvärdering kurs vid institutionen för naturvetenskapernas och matematikens didaktik

Kursutvärdering / Kursrapport

SOAN33, Socialt arbete med barn och unga, 15 högskolepoäng Social Work with Children and Young People, 15 credits Avancerad nivå / Second Cycle

Sammanställning av studentutvärdering samt utvärdering kurs vid institutionen för naturvetenskapernas och matematikens didaktik

Kursutvärdering av Biblioteks- och informationsvetenskapliga fältstudier 1, 7,5hp (31BFÄ1), vårterminen 2017

1. Hur många timmar per vecka har du i genomsnitt lagt ner på kursen (inklusive schemalagd tid)?

1. Hur många timmar per vecka har du i genomsnitt lagt ner på kursen (inklusive schemalagd tid)?

INSTITUTIONEN FÖR HISTORISKA STUDIER

Studieanvisning. Affärsplanering för tillväxtföretag

Kursutvärdering / Kursrapport

Förvaltningarnas chefsutvecklingsaktiviteter

Kursutvärdering / Kursrapport

Myndigheten för samhällsskydd och beredskaps författningssamling

1. Hur många timmar per vecka har du i genomsnitt lagt ner på kursen (inklusive schemalagd tid)?

Kursutvärdering Matematisk analys IV H11

Välja säkerhetsåtgärder

Kursrapporter för 31KTX3 och 31ETX3

KLISTER KARTLÄGGNING INFORMATIONSSÄKERHET I KOMMUNER

1. Hur många timmar per vecka har du i genomsnitt lagt ner på kursen (inklusive schemalagd tid)?

SOAN47, Socialt arbete i skolan, 15 högskolepoäng Social Work at Schools, 15 credits Avancerad nivå / Second Cycle

HANDLEDARGUIDE HANDLEDD VERKSAMHETSFÖRLAGD UTBILDNING (H-VFU) 28 HP, KURSKOD: 2SC117

1. Hur många timmar per vecka har du i genomsnitt lagt ner på kursen (inklusive schemalagd tid)?

Kursutvärdering. Kurs: IKK: Projektkurs geografiska informationssystem (GIS) 7,5 hp

Utvärdering av gruppledarutbildning ACT Att hantera stress och främja hälsa HT 2011

Kursrapport för WEBB13: Sociala medier (7,5 hp) HT 2013 (31KSM1)

Kursens namn: Statistik B, moment 1, Matematik för statistiker. Antal registrerade studenter:

Norra Hisingen. Slutrapport Den visa organisationen Bilaga 6 Intern uppföljning av kompetensinsatser för medarbetare

Beroendeanalys för ökad robusthet i samhällsviktiga transporter

Kursutvärdering av Tekniker för webbdesign samt Tekniker för webbdesign, distans, 7,5hp (31KTW1, 31ETW1, 31FTW1), höstterminen 2016

Kursrapport kurs SC131B VT 2018

Utvärdering av fördjupningskurs i rättssociologi

Utforma säkerhetsprocesser

Ledarskapets förutsättningar Del 1

Bedömning av Examensarbete (30 hp) vid Logopedprogrammet Fylls i av examinerande lärare och lämnas i signerad slutversion till examinator

Plats: STOCKHOLM Mycket bra: 8 10 Genomsnittligt/ok 4 7 Ej tillfredsställande 1 3 Ringa in en siffra Medel av 10 poäng

Riktlinjer för bedömning av examensarbeten

Riktlinjer för Verksamhetsförlagd utbildning inom. Förskollärarutbildningen. UVK4: Sociala relationer, konflikthantering och ledarskap.

Hel kurs 7.5 högskolepoäng/credits B2VF01. Antal som avslutat kurs:32 Program. Agneta Kullén Engström och Cecilia Ljungblad Kurstid: VT 2018

Instämmer i viss mån. Instämmer i stort sett fördelning 5,9% 47,1% 35,3% 11,8% 0% antal (1) (8) (6) (2) (0) Instämmer i viss mån

KONSTFACK Institutionen för design, inredningsarkitektur och visuell kommunikation KURSPLAN

Kursutvärdering / Kursrapport

Kursutvärdering / Kursrapport

Studieanvisning Affärsplanering för tillväxtföretag. 7,5 poäng HT 2013

Kursutvärdering / Kursrapport

Samlad bedömning för: Kurs: Dietetik B Kurskod: 2KN026 Start och slutdatum:

Socionomprogrammet med storstadsprofil Socialt arbete med storstadsprofil Betygsalternativ på hel kurs: G

Sammanställning av studentutvärdering samt utvärdering kurs vid institutionen för naturvetenskapernas och matematikens didaktik

Kursplan. Kursens benämning: Militärteknik, Metod och självständigt arbete. Engelsk benämning: Military-Technology, Methods and Thesis

SOAN40, Socialt arbete med äldre, 15 högskolepoäng Social Work with Elderly, 15 credits Avancerad nivå / Second Cycle

Instruktörskurs med fokus på kunskap och lärande. Användarmanual

Sammanställning av kursutvärdering Samlad bedömning

Hantering av IT-risker

BUSR31 är en kurs i företagsekonomi som ges på avancerad nivå. A1N, Avancerad nivå, har endast kurs/er på grundnivå som förkunskapskrav

1. Hur många timmar per vecka har du i genomsnitt lagt ner på kursen (inklusive schemalagd tid)?

JURIDISKA INSTITUTIONEN

Fastställande. Allmänna uppgifter. Kursens mål. Samhällsvetenskapliga fakulteten

KONSTFACK Institutionen för design, inredningsarkitektur och visuell kommunikation KURSPLAN

Smart region Västra Götaland Enklare, öppnare, effektivare och hållbart

INFORMATIONSSÄKERHET ETT HINDER ELLER EN MÖJLIGGÖRARE FÖR VERKSAMHETEN

INSTITUTIONEN FÖR PEDAGOGIK OCH SPECIALPEDAGOGIK

INSTITUTIONEN FÖR GLOBALA STUDIER

Kursen är en obligatorisk kurs under termin fem för samtliga inriktningar inom Kandidatprogrammet i service management.

Kursen ges som fristående kurs i huvudområdet socialt arbete och kan ingå i en masterexamen i samhällsvetenskap med fördjupning i socialt arbete.

Transkript:

Planering för införande av ledningssystem för informationssäkerhet Utvärderingsrapport 2012 Författare Kontakt Rose- Mharie Åhlfeldt (HiS) Marcus Nohlberg (HiS) Monica Göransson (VGR) Valter Lindström (VGR Rose- Mharie Åhlfeldt rose- mharie.ahlfeldt@his.se 0500-44 83 HS- IKI- TR- 13-003

Sammanfattning Under hösten 2011 och våren 2012 genomförde Högskolan i Skövde på uppdrag av Västra Götalandsregionen en uppdragsutbildning i Informationssäkerhet planering för ledningssystem för informationssäkerhet baserat på SVISAs ramverk för införande av ledningssystem för informationssäkerhet (nedan kallad ramverket) samt kompletterande material från standarder, regelverk och forskningsrön. En genomgående tanke i utbildningen har varit att ta till vara på uppkomna synpunkter och förbättringar avseende framförallt ramverkets upplägg och innehåll men även användning av ramverket för denna typ av utbildning. I denna utvärderingrapport sammanställs dessa synpunkter dels från deltagarna själva men även från uppdragsgivare och kursutförare. Utvärderingen är uppdelad i områdena; styrkor, svagheter, hinder och förbättringsmöjligheter. Nedan följer sammanfattande kommentarer kring dessa områden. Avseende styrkor kan nämnas att ramverket anses helt klart vara ett stöd i arbetet vid införande av ett ledningssystem för informationssäkerhet. Ramverket ger en helhetsbild av vad ett LIS både innefattar och innebär och man betonar vikten av att det är baserad på standardserien ISO/IEC 27000- familjen. Mallarna upplevs väldigt värdefulla även om där finns ytterligare förbättringsmöjligheter. Avseende svagheter i ramverket omnämns framförallt problemet med att de viktiga mallarna inte är redigerbara i sin nuvarande form. Dessutom följer inte checklistor och andra bilagor en enhetlig struktur samt anges även brister i själva dokumentationen då de ibland är inkonsekventa och ej överensstämmande från ett avsnitt till ett annat. Spårbarhet som begrepp finns inte med i klassificeringsmodellen. Inom hälso- och sjukvården har detta begrepp varit starkt förknippad med informationssäkerhetsområdet sedan många år tillbaka. GAP- analysen upplevs omfattande och i viss mån föråldrad. Dessutom framgår det inte i material hur ramverket i framtiden kommer att förvaltas och utvecklas. Avseende hinder anges bl a problem med att få ett enthetlig genomförande i verksamheten då redan befintliga modeller och kritierier kan krocka med ramverkets förslag på liknande modeller/kritierier. Framkommer även hinder i form av svårigheter med att få ledningens engagemang, hur man förmedlar nyttan av LIS- arbetet samt betydelsen av att göra en tydlig och tillräcklig avgräningsning av ett LIS- projekt. Avseende förbättringsmöjligheter listas nedan i punktform de samtagna framkomna förslagen från utvärderingen. Översyn av texten i ramverket avseende överenstämmelse och för att få en tydligare röd tråd Tydligare och redigerbara mallar Mer praktiska exempel i ramverket generellt Mer enhetlig nivå på beskrivningar av arbetsprocesser i ramverket Mer exempel från andra framgångsrika och implementerade LIS i exempelbanken Lägga till begreppet spårbarhet i klassificeringsmodellen

Sårbarhetsbegreppet bör förklaras och tydliggöras i riskanalysdelen och eventuellt hänvisa till andra delar i ramverket där sårbarhetsdelen hanteras GAP- analysen behöver moderniseras och om möjligt förenklas i sitt utförande Överväga annan benämning av ramverket Lägga till förklaring och gärna exemplifiera hur LIS kan interagera med övriga projektstyrningsmodeller och ledningssystem i en organisation. Upprätta en utvecklings- och förvaltningsmodell över ramverket Avslutningsvis har utbildningen med ramverket som grund gett deltagarna ett bra stöd i det praktiska införandet av ett LIS i verksamheten. Generellt är reflektionerna av utbildningen positiva både från deltagarna, uppdragsgivaren och lärosätet. En viktig framgångsfaktor med utbildningen har varit gruppens sammansättning, och den stora viljan till engagerade, kreativa diskussioner. Eftersom materialet som utbildningen är baserat på endast är ett metodstöd, har diskussionstillfällena varit oerhört värdefulla och givande. Skövde i dec 2012

Innehållsförteckning 1 Inledning... 6 2 Genomförande... 8 3 Utvärdering... 9 3.1 Deltagarnas perspektiv... 9 3.1.1 Styrkor... 9 3.1.2 Svagheter... 10 3.1.3 Hinder... 11 3.1.4 Förbättringsmöjligheter... 11 3.2 Uppdragsgivarens perspektiv Västra Götalandsregionen... 12 3.3 Kursutförarnas perspektiv - Högskolan Skövde... 13 3.3.1 Om ramverket... 13 3.3.2 Om kursupplägget... 14 4 Sammanfattande reflektioner och förslag på framtida arbete... 15 4.1 Reflektioner... 15 4.2 Förslag på framtida arbete... 16 Bilagor Bilaga 1 Bilaga 2 Övergripande kursupplägg Kursplan DA325U

1 Inledning Under läsåret 2011/2012 genomförde Högskolan i Skövde på uppdrag av Västra Götalandsregionen en uppdragsutbildning omfattande 7,5 hp med namnet Informationssäkerhet planering för ledningssystem för informationssäkerhet. Kursen syftar till att ge deltagarna förutsättningar i form av kunskap, förståelse, färdigheter och förmåga samt värderingsförmåga och förhållningssätt i att införande ett ledningssystem för informationssäkerhet (LIS). Den huvudsakliga utgångspunkten för innehållet i utbildningen har varit SVISAs ramverk 1 för införande av ledningssystem för informationssäkerhet kompletterat med övrigt material från standarder och regelverk samt forskningsrön. Utifrån ramverket har planeringsdelen, d v s Grundläggande analys och Planera utformning valts som avgränsning för kursens omfattning. Enligt kursplan DV325U, bilaga 1, ska studenten efter avslutad kurs kunna: definiera för området välkända begrepp, beskriva, planera och genomföra en grundläggande analys för LIS beskriva och planera utformningen av ett LIS, muntligt presentera och diskutera framtagna resultat i grupp skriftligt presentera sitt resultat och dess konsekvenser samt Kritiskat granska och reflektera över sitt och andras resultat muntligt och skriftligt. Kursen innehåller 6 olika block inkluderande både teoretiska och praktiska moment. Teoribildningen grundar sig i standarder för införande av LIS (ISO/IEC 27000- familjen) samt aktuella forskningsrön i syfte att ge fördjupade kunskaper inom området. Den praktiska tillämpningen baseras på inlämningsuppgifter efter varje block och som utförs i egen verksamhet i syfte att ge färdighet och förmåga att genomföra ett LIS. Följande block ingår i kursen: Block 1 Verksamhetsanalys Block 2 Riskanalys Block 3 GAP- analys Block 4 Fastställa säkerhetsåtgärder Block 5 Utforma säkerhetsprocesser Block 6 Utforma och förbättra styrande dokument Undervisningen har bestått av föreläsningar, redovisningar, seminarier/gruppdiskussioner och workshops. Deltagarna har haft möjlighet att erhålla 7,5 hp för helt genomgången kurs med godkänt resultat på två examinationsmoment. Första examinationsmomentet (3,5 hp) är resultatet av den grundläggande analysen inkluderat block 1 3 och det andra examinatiosmomentet (4 hp) är resultatet av planering av införande, inkluderat block 4 6. 1 Tillgänglig på www.informationssakerhet.se 6

En genomgående tanke i utbildningen har också varit att ta till vara på uppkomna synpunkter och förbättringar avseende framförallt ramverkets upplägg och innehåll men även användning av ramverket för denna typ av utbildning. Denna utvärderingrapport sammanställer dessa synpunkter dels från deltagarna själva men även från uppdragsgivare och kursutförare. Rapporten adresseras i första hand till MSB som är förvaltare av ramverket för införande av ledningssystem för informationssäkerhet, men även till andra intressenter som är intresserade av ramverket och hur det kan användas i utbildningssyfte. Rapporten är strukturerad enligt följande: Avsnitt 2 Genomförande beskriver kursupplägg, mål och syfte samt hur ramverket har används i kursen. Avsnitt 3 Utvärdering beskriver de sammantagna synpunkterna och kommentarerna under kursen gång från de medverkande parterna. Dessa presenteras i områdena styrkor, svagheter, hinder och förbättringsmöjligheter. Rapporten avslutas med avsnitt 4 Sammanfattande reflektioner och förslag på framtida arbete där framförallt en punktlista om framtida förbättringsförslag listas. 7

2 Genomförande Kursen genomfördes hösten 2011 (block 1 3) samt våren 2012 (block 4 5). Deltagare i kursen var dels 11 personer utsedda av Västra Götalandsregionen, dels 4 st från det nationella informationssäkerhetsnätverket NIS. Deltagarna var informationssäkerhetssamordnare eller liknande i sina respektive organisationer och hade grundläggande kunskaper om och erfarenhet inom informationssäkerhet. Kursen finansierades av Västra Götalandsregionen i form av ett uppdragsutbildningsavtal mellan VGR och Högskolan Skövde. Kostnaden innefattar lärartimmar samt lokalkostnader. Övriga kostnader, t ex kost och logi, belastade Västra Götalandsregionen direkt utan lärosätets inblandning. Kursansvarig och lärare på kursen har varit universitetslektorerna Rose- Mharie Åhlfeldt och Marcus Nohlberg på Högskolan Skövde. Kursledare har varit säkerhetsstrateg Monica Göransson, Västra Götalandsregionen. Dessutom var säkerhetsdirektör Valter Lindström närvarande och behjälplig vid samtliga kurstillfällen. Varje block har bestått av 2 dagar, dag 1 från kl 9.00 17.00 och dag 2 kl 08.00 16.00. Någon enstaka gång har även en kvällsaktivitet ägt rum dag 1 men då med ett mer socialt syfte. Bilaga 2 visar kursens övergripande upplägg. Deltagarna har själva fått välja om de vill arbeta i grupp eller enskilt med sina uppgifter. Resultatet blev att de som kom från samma enhet/förvaltning har arbetat tillsammans i grupp medan de som varit ensamma från en enhet/förvaltning har valt att arbeta enskilt. Detta blev en logiskt följd eftersom kursens upplägg med hemuppgifter ska utföras i den egna verksamheten. 8

3 Utvärdering Under hela kurstiden har ett delmål varit att ge synpunkter och kommentarer på hur väl ramverket på informationssäkerhets.se är ett verktyg och stöd vid planering av ett införande av LIS i en verksamhet. Studenterna har vid olika tillfällen fått ge sina synpunkter, dels i diskussioner vid workshops och seminarier men framförallt som ett utvärderingsmoment vid de skriftliga examinationerna. Nedan följer en redovisning av de synpunkter som kommit fram från studenterna som jobbat aktivt med ramverket i kursen men även från uppdragsgivaren Västra Götalandsregionen samt lärarna från lärosätet som använt ramverkets dokumentation som grundläggande kursmaterial. Nedanstående synpunkter är uppdelade i områdena styrkor, svagheter, hinder och förbättringsmöjligheter. Noteras bör att det är planeringsdelen; Grundläggande analys och Utforma LIS, som deltagarna har arbetet med specifikt och det är dokumentationen från dels en SWOT- analys efter block 1-3, dels den totala utvärderingsdelen i slutrapporten, som synpunkterna relaterar till i första hand även om ramverket som helhet också diskuteras. 3.1 Deltagarnas perspektiv Nedan presenteras insamlade synpunkter från deltagarna. 3.1.1 Styrkor Generellt anser alla deltagare att ramverket är ett stöd i arbetet. Det är positivt att det från nationellt håll har arbetats fram ett generellt material för att stödja alla sektorer i Sverige med arbetet att införa ett LIS. Detta ger möjlighet till en helhetsbild, en enhetlig utgångspunkt och struktur samt möjlighet till samarbete och till viss del även jämförbarhet. Webbplatsen Informationssäkerhet.se upplevde deltagarna som positivt att den kommit till och att den förbättrades allt eftersom kursen pågick, speciellt det material som tillhörde ramverket. I början av kursen var ramverkets dokumentation på hemsidan endast i manusformat men blev till version 1.0 innan kursavslut. Webbplatsen upplevdes även lätt att navigera. Mallarna i ramverket anser deltagarna vara väldigt värdefulla. De ger en enkelhet i att få arbetet mer strukturerat. Ett verktyg att hålla i. Dock finns det i dessa mallar stor förbättringspotential avseende både innehåll och struktur, se nedan. Deltagarna upplever också att man ser en tydlig röd tråd vid införande av ett LIS med hjälp av ramverket. Vissa delar kan ibland i praktiken spreta åt olika håll och tar ibland lång tid att genomföra. Med hjälp av ramverket får man en helhetsbild av vad ett LIS både innefattar och innebär. Man får en förståelse av vilka delar som ingår, varför de finns där och behovet av att de införs. Deltagarna anser att det är en stor fördel att utgångspunkten för ramverket bygger på den internationella standardserien ISO/IEC 27000- familjen. Detta gör att ramverket blir ett bra stöd till standarden för att praktiskt kunna ta sig an arbetet. Att enbart utgå från standarden ansåg 9

man hade varit svårt. Det finns dock många röster som trots det anser att ramverket fortfarande är allt för teoretiskt lagt och att ramverket behöver bli mer verksamhetsanpassat, se nedan. 3.1.2 Svagheter Mallarna och checklistorna är en viktig del i ramverket och ses som ett bra verktyg för att genomföra de olika analyserna. Deltagarna upplever dock att de är mycket stelbenta och följer inte en enhetlig layout och ger inte den hjälp som man kan önska. En stor brist är att mallarna inte är tillgängliga i redigerbart format vilket genererar onödigt arbete. Det gäller också att förhålla sig till mallarna så att inte för mycket arbete görs i onödan. Det finns en uppenbar risk att styras allt för hårt av det som ingår i mallarna. Även här är anpassning en viktig faktor. Det finns brister i dokumentationen då texten inte alltid är konsekvent och överensstämmande. Deltagarna upplever att det tydligt framgår att olika skribenter har författat dokumentationen. Man använder även olika begrepp för samma saker. Texten blir i vissa sammanhang allt för generell medan texten i andra stycken är betydligt mer styrande och detaljrik. När texten blir för generell är det lätt att missa målet och att avarter tvingas fram. Blir det allt för styrande blir konsekvensen att den inte går att anpassa till specifikt ändamål. Här finns en stor utmaning för författarna att ligga på en balanserad nivå för att göra den så användbar som möjligt. Deltagarna menar att ramverket fortfarande är allt för teoretiskt och det upplevs svårt att anpassa materialet till verkligheten. Detta är speciellt tydligt i en hälso- och sjukvårdsorganisation där nivåerna är så olika på vad som ska analyseras. Hur drar man gränserna? Deltagarna jobbade med allt från en specifik process i ett litet avgränsat område till en mer omfattande process som sträcker sig över en hel enhet. Här ser man svårigheter i att veta hur materialet kan användas i de olika situationerna. Spårbarhet finns inte med i klassifikationsmodellen vilket man från hälso- och sjukvårdssidan anser är en stor brist. Spårbarhet är ett begrepp som funnits med i informationssäkerhetssammanhang i vården under en lång period och det känns inte helt om man inte tar med även den aspekten vid informationsklassning. Deltagarna var dock medvetna om att det med ganska lätta medel går att lägga till begreppet spårbarhet i klassificeringsmodellen och på det sättet anpassa det till vårdens situation. Dock vill man påpeka att det är märkligt att det inte finns med i det nationella perspektivet. Sårbarhetsbegreppet i Riskanalysen finns med som ett bör - alternativ men hanteras inte specifikt i materialet. Detta anser deltagarna som en stor brist. GAP- analysen upplevdes omfattande och kan avskräcka så att den inte blir gjord. Frågorna om teknik i materialet upplevdes som föråldrade och behöver anpassas. Vissa frågor ansåg man också upprepas och därför blir det ibland liten skillnad mellan frågorna utifrån verksamhetens perspektiv. Ytterligare en synpunkt som kom fram var hur väl dessa GAP- analyser och frågematerialet är testat i praktiken. Detta gäller egentligen för hela ramverket men kom fram specifikt avseende GAP- analysen. En synpunkt och farhåga som kom fram gång på gång under kursen var hur ramverket kommer att förvaltas och utvecklas i framtiden. Man ser klara brister i nuvarande version men samtidigt 10

är man mycket angelägen om att det utvecklas och förbättras då hela ramverket upplevs generellt som ett bra stöd och verktyg. 3.1.3 Hinder Ramverket kan krocka med egna eller branschspecifika modeller/kriterier. Här ser deltagarna problem med att få en enhetlighet i genomförandet. Det finns en stor risk att omfattningen av projektet kan bli övermäktigt om inte en tydlig avgränsning görs. Detta är inte minst viktigt avseende ledningens engagemang. Hur stödjer ramverket detta? Hur förmedlas nyttan av LIS- arbetet och att arbeta med ramverket på föreslaget sätt? Arbetssättet är resurskrävande avseende både tid- och personal. Hur får vi ledningens engagemang? Bra vägledning i ramverket men räcker det? 3.1.4 Förbättringsmöjligheter Det är en styrka att ha ett nationellt generellt ramverk/guide för införande av LIS och som en myndighet som MSB står bakom. Deltagarna är i stort sett överens om att ramverket ska hållas generellt och passa för samtliga verksamheter. Mallarna behöver dock anpassas för olika branscher och som exempel kan anges att ytterligare stöd från nationellt håll är önskvärt då det gäller identifiering och checklistor/mallar av externa/legala krav. För t ex hälso- och sjukvården är de lagliga kraven nationellt sett enhetliga för hela hälso- och sjukvården. Då är det resursslöseri att varje metodledare/organisation ska behöva identifiera dessa på var sitt håll. Detta gäller i viss mån även övriga externa krav även om vissa kan behöva identifieras regionalt. Dessa skulle vara en bra bas att utgå ifrån och på det sättet underlätta arbetet betydligt med att identifiera externa/lagliga krav. Även övriga checklistor och mallar går att utforma branschspecifikt. Vissa deltagare menar att ramverk som begrepp inte är rätt benämning för detta slag av verktyg. Implementeringsguide eller enbart guide menar man skulle kunna vara en bättre benämning. Mallarna/checklistor behöver generellt ses över för att få en enhetlig layout, vara redigerbara och där det är möjligt förenklas. Som tidigare nämnts bör de även branschanpassas. Texten i dokumentation behöver ses över så att den blir enhetlig och överensstämmer både i begrepp och struktur. Texten behöver också anpassas till att blir mer verksamhetsnära och praktiskt. Mer konkreta exempel i dokumenten är önskvärt. Spårbarhet bör läggas till som begrepp i klassifikationsmodellen eller åtminstone finnas med som ett möjligt tillägg och i så fall även ge exempel på hur texten kan se ut. Sårbarhetsbegreppet behöver förtydligas i riskanalysen. Var kommer den in och hur förhåller man sig till det i LIS- processen. Om den inte naturligt ska finnas med i riskanalysen bör det tydligt anges var den kommer in i LIS- processen istället och/eller vilket moment som hanterar detta. 11

GAP- analysen behöver moderniseras och förenklas. När ska en total GAP- analys göras och hur hanteras GAP- analysen om man enbart analyserar en mindre del/process av en verksamhet. Även här bör tydliga exempel anges. Ett IT- stöd för att förenkla GAP- analysen är önskvärt. Deltagarna är helt övertygade om att ett genomarbetat grundläggande analysarbete ger en bra överblick av hela verksamheten och att informationssäkerhet kan vara ett led i att förbättra verksamhetens övriga processer. Detta var en aha- upplevelse som deltagare nämnde i sitt arbete med den grundläggande analysen. Därför anser man det viktigt att göra denna del så tydlig och lätthanterlig som möjlig då den definitivt kan ge nyttoeffekter för verksamheten i ett längre perspektiv. På det sättet får informationssäkerhet en jämlik ställning i verksamheten då den tydligt kopplas till verksamhetsprocesserna. Det bör även finnas förklarat och exemplifierat hur LIS kan interagera med övriga etablerade projektstyrningsmodeller, förvaltningsmodeller och ledningssystem. 3.2 Uppdragsgivarens perspektiv Västra Götalandsregionen Nedan beskrivs hur uppdragsgivaren, Västra Götalandsregionen, har upplevt utbildningen och ramverket från sitt perspektiv. Utbildningen har skapat en bra grund för deltagarna att utgå ifrån i sitt arbete på hemmaplan. Den stora vinsten ur ett sektorsperspektiv (hälso- och sjukvård) är att deltagarna har ett gemensamt språk, gemensam teoribildning och en modell för hur informationssäkerhetsarbetet kan genomföras. Detta blir en styrka i det framtida arbetet inom den egna organisationen, men framförallt för att utveckla ett informationssäkerhetsarbete riktat mot utveckling och drift av nationella IS/IT- tjänster. Det förhållandet att allt fler IS/IT- tjänster utvecklas på nationell nivå kommer att kräva att aktörer i vårdsektorn måste skapa ett gemensamt förhållningssätt på skyddsnivåer av informationen. Patientinformation förväntas flyta sömlöst mellan aktörerna och följa patientens resa i vårdprocessen, oavsett vilken driftsform vårdaktören har, (privat, landstingskommunal). Utbildningens upplägg med 6 block om vardera två dagar med mellanliggande hemuppgifter, praktiska övningar, krävs för att skapa en kunskapsbas och kompetens för att eleven själv ska kunna bedriva ett informationssäkerhetsarbete på hemmaplan. Ramverket beskriver en process för att införa ett ledningssystem för informationssäkerhet, vilket är ett stöd i det praktiska införandet. För att ytterligare förstärka stödet är det lämpligt att komplettera processen med exempel på innehåll i regelverk för olika sektorer. Det skulle sannolikt leda till att medvetandet höjs och att förutsättningar skapas för en gemensam syn på kraven på informationssäkerhet inom de olika sektorerna i samhället. Vi uppfattar att ramverket har utvecklingspotential för att ge stöd vid införande av ett ledningssystem i en större organisation. Nuvarande steg och metoder upplever vi är anpassade för att användas på verksamhetsnivå. För en större organisation kan det upplevas som oerhört resurskrävande att gå igenom ramverkets alla delar för organisationens alla verksamheter. 12

3.3 Kursutförarnas perspektiv - Högskolan Skövde Nedan beskriver kursutförarna, Högskolan i Skövde, sina erfarenheter kring arbetet. 3.3.1 Om ramverket Ramverket har varit en bra grund i framtagandet av kursmaterial. Materialet har varit lätt att följa då det tydligt följer processtegen. När kursen började var dock inte material färdigpublicerat utan bytte versionssteg undan för undan. Detta medförde att vi som lärare och framställare av kursmaterial fick uppdatera materialet efter hand. De nya versionerna innehåll klara förbättringar vilket gjorde att uppdatering av material kändes logiskt och nödvändigt. Den Grundläggande analysen har en mer omfattande dokumentation än delen Utforma LIS. Till viss del kan detta vara naturligt eftersom den grundläggande analysen är omfattande. Det framgår dock tydligt att kommande delar i ramverket inte är ett lika väl genomarbetat material som just den grundläggande analysen. Här finns potential att förbättra dokumentationen i framtiden. Avseende styrkor, svagheter, hinder och förbättringar som deltagarna har angivit ovan håller vi som lärare med om det i stora delar. Vad gäller problematiken med att hitta en balans mellan generaliserbarhet och detaljrikedom är det helt klart en utmaning och frågan togs upp många gånger till diskussion inte minst i våra seminarier. Eftersom det fanns möjlighet att diskutera och belysa i olika synvinklar problematiken avseende balansen mellan generaliserbarhet i ett nationellt syfte för att det ska passa så många sektorer/branscher som möjligt till att ramverket ska vara så pass detaljerat och anpassat så att det går att använda i praktiken, är förhoppningen att denna svårighet tydliggjordes. Ramverket kan dock behöva förbättras ytterligare för att hitta denna balans. Detta är inte enkelt och utmaningen är uppenbar men även utveckling och förvaltning av ramverket borde vara en process i PDCA- tänk och därför finns möjlighet att hitta en tillfredsställande balans avseende generaliserbarhet och detaljrikedom i framtiden. Vi betonar även vikten av att förbättra mallar och checklistor. De exempel som finns på webbplatsen borde definitivt vara i redigerbar form. Detta ger också större möjlighet att ladda upp goda exempel på hemsidan. Även vi som lärare betonar betydelsen av att spårbarhet finns med som ett begrepp i klassificeringsmodellen. Det finns säkert förklaringar till varför den inte är inlagd idag men det borde vara ett bättre upplägg att visa modellen med spårbarhet inkluderad och i text förklara att om man inte vill använda sig av begreppet kan det uteslutas. Detta ger större flexibilitet i klassificeringsmodellen. Ramverket i sin nuvarande form är också något blandad avseende omfattningen på beskrivningar. I vissa fall beskrivs delar på detaljnivå, t ex exakta scheman på minuten för flera dagars arbete, råd om att tillhandahålla fika etc samtidigt som vissa ganska stora och omfattande arbetsprocesser bara beskrivs i några enstaka paragrafer. Detta, kombinerat med avsaknaden av praktiska och goda exempel, gör att det ibland kan vara svårt för deltagarna att förstå på vilket sätt och på vilken nivå arbetet ska utföras. 13

3.3.2 Om kursupplägget Kursupplägget om 6 block har varit bra. Deltagarna har hunnit med att utföra sina hemuppgifter på ett tillfredsställande sätt mellan dessa block även om vissa deltagare har haft mer eller mindre gott om tid. Den stora utmaningen för deltagarna är att hitta en avgränsning i sitt val av analysobjekt. Här behöver vi som kurslärare vara tydliga med att förklara omfattningen av varje steg och vad konsekvenserna kan bli i förlängningen av valda avgränsningar. Det är dock väsentligt att deltagarna kan använda ett analysområde som är aktuellt i den egna verksamheten så att arbetet kommer till bra användning och inte bara blir ett fiktivt praktikfall i kursen. Kursen bör inledas med en grundläggande del med introduktion där de förberedande delarna till ramverket gås igenom samt en övergripande genomgång av standardserien 27000 som är utgångspunkten till ramverket. De flesta deltagarna hade förkunskaperna varför detta inte betonades specifikt i denna kursomgång. Det fanns dock deltagare som inte hade denna förkunskap och där det tydligt framgick att det hade varit en stor fördel att få ta del av introduktionen, se citat nedan. Vid framtida kursomgångar kommer detta moment att läggas in oavsett tidigare förkunskaper. Det hade varit värdefullt att kursen redan i inledningen mer har gått igenom och tagit upp stegen under Förbereda, d v s Introduktion till ramverket, Ledningens engagemang samt Planera införandeprojekt så att förankringen tillbaka till våra egna verksamheter hade blivit starkare och tydligare. Eventuellt skulle man till och med kunna tänka sig att Högskolan under en timme bjöd in kursdeltagarnas chefer och ledning för att kort gå igenom några specifika mål, syfte och nyttor med kursen och initierat en fördjupad förberedelse till engagemang. En viktig framgångsfaktor med utbildningen har varit gruppens sammansättning, och den stora viljan till engagerade, kreativa diskussioner. Eftersom materialet som utbildningen är baserat på endast är ett metodstöd, har diskussionstillfällena varit oerhört värdefulla och givande. Dessa diskussioner har haft en mycket god nivå, baserad på deltagarnas djupa, och på många sätt olika, bakgrund. Det gör att vi har kunnat lära oss av varandra, och utifrån varandras perspektiv. 14

4 Sammanfattande reflektioner och förslag på framtida arbete Nedan beskrivs sammantagna reflektioner av medverkande parter avseende utbildningen. 4.1 Reflektioner Nedan ges även några korta sammantagna reflektioner från medverkande parter avseende utbildningen. Generellt är reflektionerna av utbildningen positiva både från deltagarna, uppdragsgivaren och lärosätet. Framförallt är det upplägget med många seminarier, hemuppgifter relaterat till egen verksamhet med efterföljande presentationer och diskussioner, som varit en framgångsfaktor. Ytterligare en framgångsfaktor har varit deltagarnas varierande verksamhetstillhörighet. Det har varit deltagare från olika områden i Västra Götalandsregionen men även från övriga landsting och regioner samt även från en nationell utförarorganisation. Detta har gjort diskussionerna meningsfulla och lärorika. En gemensam reflektion från samtliga deltagare är att de mest lärorika momenten i kursen i första hand var seminariediskussionerna samt arbetet med hemuppgifterna. Man lärde sig mycket av varandra. Nedan presenteras några axplock på citat från deltagarnas reflektioner om kursen. Helhetsintrycket av kursen är att den kunskap som vi fått till oss har varit mycket värdefull för att på ett effektivt och konstruktivt sätt kunna utveckla säkerhetsarbetet inom våra områden. Förutsättningarna för att kunna införa ett LIS har förbättrats men för att lyckats så kommer det att fortsätta krävas mer information, kunskap, medvetenhet och nyttobeskrivningar för att kunna få ledningens engagemang i frågan. Det har varit en fantastiskt bra kurs och vi har lärt oss mycket. Tempot har varit helt ok men då vi även har en vardag blir det lätt så att man sitter i sista stund med hemarbetet... Mycket bra upplägg med korta internat och hemarbeten mellan. Vi skulle se enormt positivt på en fortsättning och ta de tre sista stegen också; - Införa, Följa upp och Förbättra. (Deltagare A och B) Hela arbetet har varit mycket lärande både för mig som metodledare och för verksamheten. Att det behövs en mycket tydligare styrning och stöd vad gäller informationssäkerhet står nu helt klart. Utbildningen har i sin helhet varit mycket givande och kunnat genomföras med koppling till det arbetet som bedrivits i egen verksamhet, med utbyte åt båda håll Jag har genom utbildningen fått en bra inblick i ramverket och ser behov av att använda det som stöd även i fortsatt arbete i egen verksamhet. En viktig del av ett fungerande ledningssystem är att arbeta med kommunikation och utbildning samt efterlevnad och uppföljning. En utbildning kring dessa områden skulle vara mycket givande. Tänk den ljuva tanken om vi kunde få våra olika högsta chefer och direktörer att gå denna utbildning. Det skulle vara otroligt intressant att se vilka slutsatser och resultat de skulle komma fram till. 15

4.2 Förslag på framtida arbete Nedan sammanfattas i en punktlista uppkomna förslag på framtida arbete avseende ramverket utan prioritetsordning. Översyn av texten i ramverket avseende överenstämmelse och för att få en tydligare röd tråd Tydligare och editerbara mallar Mer praktiska exempel i ramverket generellt Mer enhetlig nivå på beskrivningar av arbetsprocesser i ramverket Mer exempel från andra framgångsrika och implementerade LIS i exempelbanken Lägga till begreppet spårbarhet i klassificeringsmodellen Sårbarhetsbegreppet bör förklaras och tydliggöras i riskanalysdelen och eventuellt hänvisa till andra delar i ramverket där sårbarhetsdelen hanteras GAP- analysen behöver moderniseras och om möjligt förenklas i sitt utförande Överväga annan benämning av ramverket Lägga till förklaring och gärna exemplifiera hur LIS kan interagera med övriga projektstyrningsmodeller och ledningssystem i en organisation. Upprätta en utvecklings- och förvaltningsmodell över ramverket 16

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss