• 1. Introduktion
• 2. Vad innehåller standarderna?
• 3. Länkar
• 4. Om Planering
• 5. Genomförande
• 5.1 Genomför: Förarbeten
• 5.2 Genomför: Utforma projektet
• 5.3 Genomför: Verksamhetsanalys
• 5.4 Genomför: Omvärldsanalys
• 5.5 Genomför: Riskanalys
• 6. Utforma Ledningssystemet
• 6.1 Utforma – Organisationens förutsättningar
• 6.2 Utforma – Ledarskapet
• 6.3 Utforma – Planeringen
• 6.4 Utforma – Stödet
• 6.5 Utforma – Verksamhet
• 6.6 Utforma – Utvärdering av prestanda
• 6.7 Utforma – Förbättringsarbetet
• 7. Tillämpa Ledningssystemet

---

Guide: Bygga ett ledningssystem

---

Ett ledningssystem ger en sammanhängande och tydlig ram för företagets informations- och cybersäkerhet. Man kan kalla det för ett ”skelett” på vilket företaget stegvis bygger upp den styrning, de processer och rutiner som krävs för ett riskbaserat, systematiskt säkerhetsarbete. Det underlättar ett underhåll och en löpande utveckling av säkerhetsarbetet.

1. Introduktion till olika ledningssystem

Ledningssystem för informations- och cybersäkerhet är väl beprövade ramverk. Internationella standarder som NIST och ISO 27000 hjälper verksamheter att strukturera sitt systematiska informationssäkerhets- och cybersäkerhetsarbete. Standarder är inte en lag eller förordning utan en best practice för verksamheten att luta sig mot, där så är relevant. Standarder är också i ständig utveckling i takt med tiden.

Det ledningssystem som tas fram, alt utvecklas om företaget redan har ett ledningssystem, ska vara proportionerligt mot de risker och sårbarheter som verksamheten kan ställas inför och mot de kostnaderna som krävs för att upprätthålla säkerhetsåtgärderna. Så börja med att bygga det enkelt, är vår rekommendation. Detta för att hålla fokus, spara på resurserna och kunna gå i mål med en bra grund.

NIST-standarden

NIST-standarden hittar man på nätet. NIST är en nationell standard i USA men har fått en global spridning. Den innehåller både krav och vägledning i ett. Den är gratis, synkad mot andra standarder, innehåller väldigt lite administrativ ”överbyggnad” men lite krångligare att ta till sig. Den finns i fler delar. Mer info hittar man under Länkar:

ISO 27000-standarden

ISO 27000-standarderna hittar man hos SIS.se. ISO27001-standarden innehåller kraven på ett ledningssystem som ska uppfyllas medan ISO 27002 är vägledningen som innehåller förslagen, dvs riktlinjer, till ”hur” du ska bygga det. Se Länkar för att komma till SIS.se. Fler standarder ingår dock i serien men ISO 27001 och 27002 är de mest centrala.

ISO 27002, riktlinjerna, är omfattande och detaljerade så där kan man ta de delar som är ändamålsenliga för sitt bolag. Små och mellanstora bolag behöver inte alltid samma ”stora kostym” som en myndighet eller annan samhällsviktig verksamhet till exempel, utan fokus kan ligga på att först börja med en enklare ”kostym” men med kraftfulla säkerhetsåtgärder.

2. Vad innehåller standarderna?

Nedan följer en översikt över strukturen hos olika standarder (+ expandera)

NIST-standarden har följande indelning av förslagna säkerhetsåtgärder:

• Identifiera (Identify)
• Skydda (Protect)
• Upptäcka (Detect)
• Hantera (Respond)
• Återställa (Recover)

NIST indelning används inte i den här guiden. Men för vissa branscher och för vissa verksamheter är den högst aktuell. Mer info finns under Länkar.

ISO 27001:2023-standarden (kraven) har följande indelning av ”ska-krav”:

• Avsnitt 4: Organisationens förutsättningar ska fastställas
• Avsnitt 5: Ledarskap
• Avsnitt 6: Planering
• Avsnitt 7: Stöd
• Avsnitt 8: Verksamhet
• Avsnitt 9: Utvärdering av prestanda
• Avsnitt 10: Förbättring

ISO 27002:2023-standarden (riktlinjer och vägledning för säkerhetsåtgärder) är indelad med ett annat tvärsnitt. Här delas föreslagna åtgärder in i fyra kategorier av säkerhetsåtgärder som kan utgöra vägledning när verksamheter utformar säkerhetsåtgärder.

• Organisatoriska säkerhetsåtgärder
• Personrelaterade säkerhetsåtgärder
• Fysiska säkerhetsåtgärder
• Tekniska säkerhetsåtgärder

Standarder från SIS.se. Vill bolagen följa ISO27001-standarden så rekommenderar vi att bolaget köper standarderna från SIS.se och kompletterar med relevanta krav/riktlinjer i sitt arbete. Pris på SIS.se (feb 2025): ISO 27001:2022 pdf kostar 1.416 kr exkl moms och ISO 27002:2022 pdf 2.200 kr exkl moms. Se Länkar.

Egen notering: ISO 27002 kan uppfattas som mer passande för större organisationer, med mycket resurser på plats. Mindre organisationer kan med fördel använda standarden som stöd/förslag men sedan själva bedöma vilka punkter som är relevanta och proportionerliga sitt eget bolag, dess uppdrag, säkerhetsläge och dess förutsättningar. Alla genomföra säkerhetsåtgärder i den skala och med den detaljgrad som bedöms passa bäst.

3. Länkar

• Om NIST, en presentation av standarden
• SIS.se ”Detta är ISO 27001”
• SIS.se webshop ISO 27001:2022 pdf
• SIS.SE webshop ISO 27002:2022 pdf
• MSBs metodstöd för införande av ledningssystem
• Säkerhetspolisens vägledning Informationssäkerhet
• Säkerhetspolisens vägledning Introduktion Säkerhetsskydd
• Säkerhetspolisens PM ”Vad är Säkerhetskänslig verksamhet”

4. Om planering av projektet

Den här guiden är bara ett förslag på hur ett bolag, modell mindre eller mellanstort, kan planera ett införande av ett ledningssystem för informations- och cybersäkerhet. Det viktigaste är att bara komma igång och bygga en grundstruktur – utan att grotta ner sig i för många detaljer och tunga/svåra passager (sådant kan parkeras tills vidare).

Guiden avser ett generellt ledningssystem

Guiden avser ett generellt ledningssystem Den här guiden är anpassad för små och mellanstora bolag som vill ha de grundläggande byggstenarna på plats i sitt systematiska informations- och cybersäkerhetsarbete. Dvs inte för mycket överbyggnad/för stor administrativ ”kostym”. Guiden passar bra för att samla ihop och rama in alla säkerhetsåtgärder som krävs för både ett NIS2-införande, ett verksamhetsskydd och ett säkerhetsskydd.

Startpunkt: Lär av Säkerhetspolisens best practice för ett införande

Vi rekommenderar att företaget först ringar in och beskriver sin kärna = att identifiera sina skyddsvärden. Då bygger man ledningssystemet med rätt fokus (rätt mål i sikte) och i rätt riktning. En hel del ”överbyggad” undviks då – vilket med fördel kan komma i ett nästa-steg, om företaget ser behov av det.

Med det här angreppssättet kan man i ”det stegvisa bygget” av ledningssystemet använda Säkerhetspolisens mycket pedagogiska metodik för införande av Säkerhetsskydd i en verksamhet. Om man följer Säkerhetspolisens vägledning och delsteg på en övergripande nivå, men har fokuset Verksamhetens säkerhet (istället för Sveriges säkerhet) så fångar man på ett enkelt sätt upp kärnan i sitt blivande ledningssystem och bygger således sin styrning av cybersäkerheten mot rätt mål.

Om bolaget redan har ett ledningssystem så kan guiden ändå användas till planeringen av en GAP-analys för att se om/vilka processer och rutiner som ramverket ska kompletteras med samt ev säkerhetsåtgärder som behöver uppdateras. Kärnan; dvs skyddsvärden, hotbilden, risker och sårbarheter är ändå delmoment som måste ses över minst en gång vartannat år.

Tidplan, exempel

Exempel på Tidplan för Små och Mellanstora företag (+ expandera)

Mål: En tidplan för att lägga grunden för ett ledningssystem på 4 månader. Gäller små och mellanstora bolag som har begränsade med resurser att tillgå. Se avsnittet Genomförande nedan, för att övergripande se hur respektive delsteg kan genomföras.

Nedan exempel på tidplan medger delaktighet och förankring utan att dra ärenden och beslut i långbänk. Den håller ändå ett gott tempo för att bibehålla momentum, motivation och engagemang. Självklart kan arbetet snabbas på efter behov och beroende på resurstillgång.

Börja: Planering och Förberedande arbete

• Steg 1 (vecka 1): Övergripande: Presentation, intro-utbildning och genomgång med ledningsfunktioner och andra berörda nyckelfunktioner. Koppling till lagar och förordningar.
• Steg 2 (vecka 2): Forma organisation, resurser, de första projekt- och effektmålen, omfattning/avgränsning, beslutsgång, kommunikation, uppföljning och avrapportering.
• Steg 3 (vecka 3): Verksamhetsanalys och Omvärldsanalys. Skyddsvärden identifieras.
• Steg 4 (vecka 4): Säkerhetsrisker för verksamheten analyseras övergripande. Ringa in och dokumentera Ledningssystemets omfattning och avgränsning.
• Steg 5 (vecka 5-6): Verksamhetsskyddsanalys (Alternativt för säkerhetskänsliga verksamheter: Gör en Säkerhetsskyddsanalys)
  • Vad ska vi skydda: Identifiera skyddsvärden (övergripande)
  • Mot vad ska det skyddas:
  • Hur ska det skyddas:

Fortsätt: Utforma företagets Ledningssystem

Summerade resultat från Steg 1-5 ovan, styr hur Ledningssystemet ska utformas. Ta med de mest säkerhetskritiska delarna från analyser och bestäm del för del hur företaget behöver ha sitt ledningssystem utformat.

• Del 1 Utforma (vecka 7): Ledarskapet och styrningen. Avsnittet Ledarskap i ISO 27001 behandlar följande kravområden:
  • Ledarskap och åtaganden
  • Informationssäkerhetspolicy
  • Roller, ansvar och befogenheter inom organisationen
• Del 2 Utforma Planeringen (vecka 8). ISO 27001 behandlar följande kravområden:
  • Åtgärder för att hantera risker och möjligheter
  • Bedömning av informationssäkerhetsrisker
  • Behandling av informationssäkerhetsrisker
  • Mål för informationssäkerhet samt planering för måluppfyllnad
• Del 3 Utforma (vecka 9): Stödet till Ledningssystemet. ISO 27001 behandlar följande kravområden:
  • Resurser
  • Kompetens
  • Medvetenhet
  • Kommunikation
  • Dokumenterad information
• Del 4 Utforma (vecka 10): Verksamhet. ISO 27001 behandlar följande kravområden:
  • Planering och styrning av verksamheten
  • Bedömning av informationssäkerhetsrisker
  • Behandling av informationssäkerhetsrisker
• Del 5 Utforma (vecka 12): Utvärderingen av Ledningssystemet. ISO 27001 behandlar följande kravområden:
  • Övervakning, mätning, analys och utvärdering
  • Intern revision
  • Ledningens genomgång
• Del 6 Utforma (vecka 13): Förbättring. ISO 27001 behandlar följande kravområden:
  • Ständig förbättring
  • Avvikelse och korrigerande åtgärd
• Följ upp projektet och utvärdera. Stäng projektet. Förbered nästa fas: Tillämpning av ledningssystemet.

Gå över till nästa fas: Tillämpa företagets Ledningssystem

När styrning och metodik är på plats är det dags att tillämpa ledningssystemet.

---

5: Genomförande steg-för-steg

Steg 5.1 Förarbeten

Innan ett projekt utformas behöver beslutande ledningsfunktioner och nyckelpersoner först samlas kring en behovsbild. Vad ska göras och varför ska det göras? Bra delsteg att gå igenom är:

• Förarbete: En presentation tas fram med ett beskrivande nuläge och en möjlig målbild på en övergripande nivå. Berör resursläge, tänk kring tidplan och ev beroenden (kunder, partners, andra projekt).
• Introduktion: Presentationen hålls med ledningsfunktioner och nyckelpersoner – målet är en ensad kunskap och förståelse, ensat språk och ett gemensamt ”tänk”. Alla frågor/oklarheter/olika synsätt behöver inte lösas nu dock. Alla ska dock förstå vad ett projekt innebär och motivbilden.
• Ta med: Koppling till lagar och förordningar, standarder, kopplingar till ev sektorsspecifika föreskrifter, tillsynsorgan och ev befintliga ledningssystem.
• Samla ihop åsikter, medskick och beslut från den övergripande planeringen. Försök få ett beslut om ett ”nästa steg” samt en sponsor för detta steg.

Steg 2: Utforma projektet ”Att lägga grunden till ett ledningssystem”

Företaget kan ge 2-3 personer i uppdrag att ta fram ett förslag till projektupplägg baserat på resultatet av ovan steg 1. Det ska innehålla en skarp version: Vad som ska göras, hur och när, av vilka personer och vad som ska levereras, vad är önskad output.  Fånga upp minst nedan i förslaget:

• Organisation, beställare, resursåtgång (kompetenser, ekonomi), de första projekt- och effektmålen, omfattning/avgränsning, beslutsgång, kommunikation, uppföljning och avrapportering.
• Kommunicera kring projektet till berörda personer och funktioner.
• Kör igång enligt beslutat projektupplägg med analyserna (analyserna krävs för att ringa in allt det som ledningssystemet ska styra upp).

---

Steg 5.2 Utforma projektet ”Att lägga grunden till ett ledningssystem”

Företaget kan ge 2-3 personer i uppdrag att ta fram ett förslag till projektupplägg baserat på resultatet av ovan steg 1. Det ska innehålla en skarp version: Vad som ska göras, hur och när, av vilka personer och vad som ska levereras, vad är önskad output.  Fånga upp minst nedan i förslaget:

• Organisation, beställare, resursåtgång (kompetenser, ekonomi), de första projekt- och effektmålen, omfattning/avgränsning, beslutsgång, kommunikation, uppföljning och avrapportering.
• Kommunicera kring projektet till berörda personer och funktioner.
• Kör igång enligt beslutat projektupplägg med analyserna (analyserna krävs för att ringa in allt det som ledningssystemet ska styra upp).

---

Steg 5.3 Verksamhetsanalys

Intro: Syftet med verksamhetsanalysen är att övergripande beskriva bolaget och den del av bolagets verksamhet som ska ingå resp avgränsas i ledningssystemet (nedan kallat ”verksamheten”).

Det ska också framgå vilka delar i verksamheten som är skyddsvärda, dvs kritiska för att huvuduppdraget ska kunna utföras och därför behöver ett verksamhetsskydd.

Ringa in följande i analysen (expandera):

• Mål och syfte med verksamheten. Ägarna? Vilket uppdrag har vi? För vilka? Målen?
• Vilka verksamhetskritiska informationstillgångar förvaltas/används?
• Vilka verksamhetskritiska funktioner, tjänster, leveranser pågår och ska förvaltas?
• Andra kritiska egendomar som verksamheten har: Anläggningar, objekt, byggnader, system, serverrum eller andra tillgångar som kräver ett verksamhetsskydd.
• Kritiska resurser i form av personal, kompetenser, partners, koncernstöd, etc
• Ev övriga behov, förväntningar och förutsättningar (som tekniska, sociala, miljömässiga, politiska) vilka ni behöver ta ställning till.

Obs! Om någon del av verksamheten bedriver eller kan tänkas bedriva säkerhetskänslig verksamhet så läs hela Säkerhetspolisens PM ”Vad är säkerhetskänslig verksamhet”, gör en Säkerhetsskyddsanalys och följ Säkerhetspolisens olika vägledningar för införande av säkerhetsskydd. Den säkerhetskänsliga verksamheten liksom resterande bolag bör ha ett ledningssystem implementerat men uppbyggnaden av ramverket/systemet måste då utgå ifrån kraven i Säkerhetslagstiftning och Säkerhetspolisens föreskrifter. utöver att kraven en standard ska uppfyllas. Se Länkar ovan.

Summera Verksamhetsanalysen

Summera ihop vilka externa och interna frågor som är kritiska och relevanta för bolagets syfte och som påverkar bolagets förmåga att nå de avsedda resultaten med ledningssystemet för informationssäkerhet. Detta behövs för kommande steg i ledningssystemets utformning (Planeringen).

Hänvisning till fördjupning

Stöd och mallar

---

Steg 5.4 Omvärldsanalys

Syftet med omvärldsanalysen är ringa in externa faktorer kopplade till verksamhetens kritiska informationshantering och informationssäkerhet. Ringa in verksamhetens intressenter på olika områden (se exempel nedan i listan). För gärna ett resonemang på varje punkt så att det i efterhand går att förstå hur ni tänkt.

• Rättsliga krav, vilka styr verksamheten: Identifiera vilka lagar, förordningar och föreskrifter som verksamheten faller under. Exempel: Säkerhetsskyddslagen, Dataskyddsförordningen, NIS2-direktivet, CER-direktivet, Bokföringslagen, Tillsynsmyndigheters, MSB:s och andra myndigheters föreskrifter, mm.
• Intressenter/kunder, mm:
  • (1) Vilka intressenter är relevanta för ledningssystemet för informationssäkerhet
  • (2) vilka relevanta övergripande krav har dessa intressenter
  • (3) vilka av dessa krav som kommer att hanteras i ledningssystemet
• Beroenden:
  • (1) Förvaltar vi uppgifter som är säkerhetskänsligt åt någon annan?
  • (2) Eller är någon beroende av oss och vår verksamhet? Dvs ett beroende till oss uppstår hos någon annan.
    • Beakta: Partnerskap/leverantör till verksamheter som omfattas av det sk NIS2-direktivet (dvs organisationer inom kritiska sektorer och mycket kritiska sektorer)
    • Beakta: Säkerhetskänslig verksamhet.
    • Beakta: Förpliktigande mot kundernas kunder, andra parter, del av totalförsvaret, eller del av internationella åtaganden (ex mot EU eller NATO).

Summera Omvärldsanalysen

Summera bolagets de olika externa faktorer och intressenter som beskrivits och som också valts ut att beaktas i ledningssystemet. Summera resp övergripande krav på bolaget. Detta behövs för kommande steg i ledningssystemets utformning.

Stöd och mallar

---

Steg 5.5 Analys av risker och säkerhetshot

Varför Syftet med analysen är att att ringa in och identifiera säkerhetsrisker, dvs hot och andra oönskade händelser som ledningssystemet syftar till att förebygga och bygga motståndskraft för. Förslag: Gör det på en övergripande nivå, i den här fasen.

Riskanalysen hjälper till med prioriteringen av åtgärder eftersom allt inte kan genomföras samtidigt. Det är också viktigt att säkerhetsåtgärder sätts in där de externa och interna hoten, riskerna och de interna sårbarheterna är som störst. Säkerhetsåtgärder är ofta kostsamma varför en strikt målstyrning är viktig och nödvändig.

Planering och förberedelser (översikt)

Översikt: Delmoment i en analys av risker och säkerhetshot (expandera +)

• Definiera omfånget av analysen (kategorier, kriterier) beroende på syftet.
• Välj deltagare. Starta om möjligt med ledningsgruppen i införandefasen.
• Genomför analysen i workshop och intervjuform. Låt deltagare vara kreativa. Få alla att föreställa sig rimliga risker, inträffade eller potentiella, samt möjliga säkerhetshot.
• Försök att analysera riskerna och hot utan att beakta befintliga säkerhetsåtgärder.
• Summera och koncentrerar resultatet. Risk och hotbilden ska verifieras med riskägarna.

Analysens omfattning och avgränsningar

Exempel på vad som kan ingå och/eller avgränsas bort beroende på syfte listas nedan:

• Cybersäkerhetshot: Guiden för Säkerhetsskyddsanalys kan användas, se delsteg 3, Säkerhetshot identifieras.
• Mänskliga faktorn: Okunskap, utbildningsbrist, slarv, stress, felprioritering, obstruktion
• Tekniska problem: Fel och buggar i mjuk/hårdvara, installationsfel, fel i konfiguration, elavbrott, nätstörning/bortfall, mm
• Naturolyckor: Brand, översvämning, strömbortfall pga storm, kyla, snökaos, mm
• Administrativa brister: Brister i eller avsaknad av styrdokument, rutiner, befogenheter, felaktiga beslut, icke-beslut, mm

Analysresultat summeras och åtgärdsförslag skapas: Verksamhetsansvarig (riskägare) går tillsammans med sitt delteam igenom resultaten och riskbilden verifieras. Befintliga riskreducerande åtgärder bedöms, en risknivå för de kvarstående riskerna sätts och det kompletteras med ev nya förslag till åtgärder. Säkerhetsåtgärder, nya och uppdaterade, identifieras med hjälp av lämpliga förordningar/föreskrifter/standarder.

---

6. Utforma ledningssystemet

MSBs metodstöd förklarar syftet med stegen under Utforma: I Utforma tas verksamhetsövergripande struktur och handlingsplan fram för verksamhetens systematiska arbetssätt. Planen utgår från ett befintligt arbetssätt.

Flera olika standarder finns att använda som struktur/skelett. NIST och ISO 27001 är två standarder. Nedan har vi valt att presentera ISO 27001s struktur.

Av licensskäl får inte innehållet i ISO-standarden återges undantaget på rubriknivå. Köp standarden på SIS.se för att ta del av standarden som helhet.

---

Steg 6.1 Utforma: Organisationens förutsättningar

I avsnittet Organisationens förutsättningar i ISO 27001 behandlas följande kravområden:

• Att förstå organisationen och dess förutsättningar
• Att förstå intressenters behov och deras förväntningar
• Att bestämma omfattning för ledningssystemet för informationssäkerhet
• Ledningssystemet för informationssäkerhet

Steg 6.2 Utforma: Ledarskapet

I avsnittet Ledarskap i ISO 27001 behandlas följande kravområden:

• Ledarskap och åtaganden
• Informationssäkerhetspolicy
• Roller, ansvar och befogenheter inom organisationen

Steg 6.3 Utforma: Planeringen

I avsnittet Planering i ISO 27001 behandlas följande kravområden:

• Åtgärder för att hantera risker och möjligheter
• Bedömning av informationssäkerhetsrisker
• Behandling av informationssäkerhetsrisker
• Mål för informationssäkerhet samt planering för måluppfyllnad

Steg 6.4 Utforma: Stöden

I avsnittet Stöd i ISO 27001 behandlas följande kravområden:

• Resurser
• Kompetens
• Medvetenhet
• Kommunikation
• Dokumenterad information

Steg 6.5 Utforma: Verksamheten

I avsnittet Verksamhet i ISO 27001 behandlas följande kravområden:

• Planering och styrning av verksamheten
• Bedömning av informationssäkerhetsrisker
• Behandling av informationssäkerhetsrisker

Steg 6.6 Utforma: Utvärderingen av prestanda

I avsnittet Utvärdering av prestanda i ISO 27001 behandlas följande kravområden:

• Övervakning, mätning, analys och utvärdering
• Intern revision
• Ledningens genomgång

Steg 6.7 Utforma: Förbättringsarbetet

I avsnittet Förbättring i ISO 27001 behandlas följande kravområden:

• Ständig förbättring
• Avvikelse och korrigerande åtgärd

---

7. Tillämpa Ledningssystemet

MSBs metodstöd förklarar syftet med steget ”Använda”, dvs att i praktiken tillämpa Ledningsystemet: När styrning och metodik är på plats är det dags att tillämpa Ledningssystemet. Aktiviteter som ingår i handlingsplanen ska genomföras och styrdokument som tagits fram i tidigare steg ska efterlevas. MSBs metodstöd i detta avsnitt består av:

• Riskanalys
• Klassning av information
• Genomföra och efterleva
• Utbilda och kommunicera

Det här är ett rent implementationsprojekt med sedvanlig projektstyrning, kommunikation, utbildningsinsatser och övrigt stöd. Projektet anpassas efter verksamhetens behov, mål och resurstillgång.

---

Kontakta oss för frågor och rådgivning.