Till innehåll på sidan

Infosäkkollen

Infosäkkollen är ett verktyg som stödjer uppföljning och förbättring av systematiskt informationssäkerhetsarbete i kommuner, regioner och statliga myndigheter.

Med verktyget kan organisationen själv undersöka vilken nivå arbetet befinner sig på och hur det kan utvecklas. Resultatet ger underlag för planering och prioritering, och med regelbundna uppföljningar kan utvecklingen följas över tid.

Frågestund om Infosäkkollen

Välkomna till MSB:s frågestund om Infosäkkollen. Det finns två olika tillfällen att välja mellan. Anmälan sker via kalendern.

Frågestund om Infosäkkollen i kalendern

Så här funkar det

Beskriver flödet i form av en triangel. En ritad bild på en hammare och skruvmejsel och texten besvara frågor och få återkoppling direkt. Därifrån pil till texten jämförande återkoppling och en ritad bild på glada figurer.  Från de glada figurerna går en pil till texten vidareutveckling av MSB:S stöd och bild på ett ritat kontorshus. Sedan pekar en pil tillbaka till starten - besvara frågor.
Beskriver flödet i form av en triangel. En ritad bild på en hammare och skruvmejsel och texten besvara frågor och få återkoppling direkt. Därifrån pil till texten jämförande återkoppling och en ritad bild på glada figurer.  Från de glada figurerna går en pil till texten vidareutveckling av MSB:S stöd och bild på ett ritat kontorshus. Sedan pekar en pil tillbaka till starten - besvara frågor.

1. Besvara frågor

Infosäkkollen är ett verktyg i Excel. Kärnan är ett formulär med frågor om olika aspekter av det systematiska informationssäkerhetsarbetet.

Era svar är för hela kommunen, regionen eller den statliga myndigheten, varför underlag från olika delar av organisationen behövs. Ett bra sätt att samla in den nödvändiga informationen är en workshop där olika funktioner och roller deltar. Organisationens informationssäkerhetssamordnare kan med fördel hålla ihop arbetet (alternativt någon i stabsfunktionen). Det samlade svaret bör förankras hos ledningen.

Alla organisationer behöver inte svara på alla frågor för att få ett resultat. Även organisationer som inte har kommit så långt ska kunna använda Infosäkkollen.

2. Återkoppling

Direkt när ni har fyllt i svaren kan ni se vilken nivå organisationen befinner sig på och vilka arbetsområden som behöver utvecklas. Återkopplingen presenteras direkt i Infosäkkollen. Där finns också tips på relevant stöd och länkar. Infosäkkollen ger en översiktsbild som ni kan använda som underlag för diskussion i till exempel en ledningsgrupp.

För dig som har genomfört Infosäkkollen - tips och hänvisningar

3. Inrapportering

Efter att ha rapporterat in svaren, senast 30 september 2021, kommer organisationen också att få kompletterande återkoppling. I den ingår en jämförelse med resultatet för andra, liknande organisationer. Analys av det samlade underlaget kommer också att användas för att utveckla MSB:s stöd på området och för att lämna en samlad bedömning till regeringen.

 

Utskick och nedladdning av verktyget

Infosäkkollen skickades den 17 maj 2021 till registraturen på din myndighet. Inrapporteringsdatum är den 30 september 2021. Verktyget går också att ladda ner här.

Infosäkkollen

Vanliga frågor och svar

  • När är sista datum för inrapportering för att få kompletterande återkoppling?

    Den 30 september 2021. Instruktioner för inrapportering återfinns i Infosäkkollen under fliken ”Säker hantering”.

    Vi är medvetna om att många organisationer i den offentliga förvaltningen är hårt pressade under den rådande pandemin, och vi har redan skjutit upp lanseringen en gång med det i åtanke. Vår förhoppning är dock att Infosäkkollen blir ett bra stöd i ert arbete, och därför värd tiden.

  • Varför har MSB lanserat Infosäkkollen?

    Sveriges offentliga förvaltning behöver bli bättre på att följa upp sin informationssäkerhet. Mot bakgrund av detta fick MSB 2019 ett regeringsuppdrag om att ta fram en struktur för uppföljning av det systematiska informationssäkerhetsarbetet.

    MSB har därför tagit fram ett uppföljningsverktyg, Infosäkkollen, som ska ge verksamheterna bättre stöd och samtidigt möjliggöra överblick och utveckling på nationell nivå. Uppföljning upplevs ofta svårt. Med verktyget blir det konkret och du får återkoppling direkt.

  • Vilka organisationer riktar sig Infosäkkollen till?

    Alla organisationer i offentlig förvaltning, från kommuner och regioner till statliga myndigheter, kan ha nytta av Infosäkkollen och erbjuds därmed att använda det.

    Även organisationer som inte ingår i offentlig förvaltning men som bedriver ett systematiskt informationssäkerhetsarbete som de vill följa upp kan ha nytta av verktyget.

    Ska vi inkludera informationssäkerhetsarbetet som bedrivs i kommunala bolag? Det är upp till er. Ni behöver inte inhämta information från kommunala bolag för att besvara Infosäkkollen, men vill ni själva ha en förståelse för helheten så uppmuntra dem gärna att använda Infosäkkollen som stöd för både er och deras uppföljning.

  • Vi har upphandlat en extern aktör som bidrar till vårt informationssäkerhetsarbete, ska de inkluderas?

    Ja, alla delar av informationssäkerhetsarbetet som bidrar till verksamhetens informationssäkerhet skall inkluderas i Infosäkkollen.

    Tänk på att inkludera alla arbetssätt, krav och rutiner i avtalet för att kunna ställa krav på er upphandlade aktör att leva upp till gott systematiskt informationssäkerhetsarbete.

    Om säker upphandling på informationssakerhet.se

  • Vem i en organisation riktar sig Infosäkkollen till?

    Verktyget är främst till för den eller de i er organisation som driver organisationens arbete med informationssäkerhet, exempelvis en informationssäkerhetssamordnare. Finns det ingen sådan roll så kan det vara någon i en stabsfunktion. Infosäkkollen är också till för att ge ledningsgrupper ett bättre underlag för uppföljning av det systematiska informationssäkerhetsarbetet.

    För att kunna besvara frågorna fullt ut krävs vanligtvis att andra delar av organisationen engageras på olika sätt.

    Informationssäkerhetssamordnaren (eller motsvarande) håller sannolikt ihop arbetet, men underlag till olika svar behöver samlas in från flera verksamhetsområden. Ledningens engagemang underlättar för att uppföljningen ska kunna genomföras och resultaten omhändertas.

  • Varför ska min organisation använda Infosäkkollen?

    Med verktyget får din organisation en bättre bild av informationssäkerhetsarbetet i organisationen och förslag på utvecklingsområden, samt underlag för planering och prioritering. När ni rapporterar in era resultat kan ni också jämföra nivån på ert arbete med andra liknande organisationer. Dessutom bidrar ni till utvecklingen av stöd på nationell nivå.

  • Hur använder jag Infosäkkollen?

    Du genomför uppföljningen genom att steg för steg gå igenom och besvara ett antal frågor i det Excel-baserade verktyget. Det finns olika typer av frågor i verktyget som ska undersöka olika aspekter på ert informationssäkerhetsarbete.

    Exempel på frågor som ni kan hitta i verktyget är:
    Har organisationen haft en informationssäkerhetspolicy de senaste två åren? Om svaret är ja, ange vad policyn har innehållit (t.ex. ledningens inriktning för informationssäkerhetsarbetet).
    I vilken utsträckning har organisationen, de senaste två åren, klassat sin information enligt sitt arbetssätt för informationsklassning?

    När ni svarat på alla frågor får ni ett resultat som visas på en särskild flik i verktyget (återkoppling). Där kan ni bland annat se utvecklingsområden samt tips och hänvisningar till stöd för ert utvecklingsarbete. Vidare anvisningar om hur ni använder Infosäkkollen finns i verktyget och i Fördjupningsinformationen (se under Vidare läsning ovan).

  • Varför är Infosäkkollen en Excel-fil?

    Det finns flera skäl till detta. De huvudsakliga är att det ska vara enkelt, säkert och samtidigt resurseffektivt. Ett verktyg för hela svenska offentliga förvaltningen behöver vara något som alla kan öppna och arbeta i. Samtidigt handlar det om information som kan vara känslig, så det måste gå att hantera på ett säkert sätt. Många av er kommer att jobba med det i särskilda IT-miljöer, som har olika begränsningar. Ni ska inte behöva introducera ny programvara eller oroa er för skadlig kod när ni gör en informationssäkerhetskoll.

  • Hur skickar jag in min organisations resultat från att ha använt Infosäkkollen?

    Instruktioner för inrapportering återfinns i Infosäkkollen under fliken ”Säker hantering”. Observera att anvisningarna gäller även om organisationen inte bedömer att uppgifterna omfattas av sekretess. MSB har även skickat ett brev till signalskyddschef (eller motsvarande) i er organisation och ombett dessa vara behjälpliga vid inskick.

  • Vi har inte tillgång till signalskydd och hanterar inte heller USB-minnen för skyddsvärd information. Hur kan vi rapportera in våra svar?

    Om ni har möjlighet att lägga svaren på en CD/DVD, så fungerar det också. Tänk på att stänga CD-skivan och sedan skicka den på motsvarande sätt som instruktionen för USB, dvs i säkerhetspåse och med värdeförsändelse.

    Kanske kan ni ta tillfället i akt och se över möjligheten att etablera signalskyddsförmåga i organisationen?

  • Kan svar i Infosäkkollen vara skyddsvärda?

    Ja, i och med att innehållet utgör en genomgång av hur en organisations informationssäkerhetsarbete ser ut, och vilka eventuella brister som finns i detta, kan enskilda svar vara skyddsvärda. Se mer om detta under frågan Hur skyddar MSB våra inrapporterade svar?

  • Hur skyddar MSB våra inrapporterade svar?

    MSB:s preliminära bedömning är att en del av uppgifterna som lämnas in kan komma att omfattas av sekretess, t.ex. 18:8 gällande säkerhets- och bevakningsåtgärder, 18:13 gällande möjlighet att förebygga och hantera fredstida kriser, 15:2 försvarssekretess.

    Det går inte att svara generellt på vilka uppgifter som omfattas av vilken paragraf. Sekretessbedömning görs på specifika upplysningar för varje enskild begäran om utlämning.

    MSB kommer, utöver att pröva sekretess vid utlämningsbegäran, att vidta ett antal olika tekniska och administrativa säkerhetsåtgärder för att skydda både de enskilda svaren och den samlade massan av svar som bildas över tid hos myndigheten. Ett viktigt steg i att skyddet kring uppgifterna som hanteras i verktyget ska kunna upprätthållas ”hela vägen” är de rutiner MSB har på plats kring säker hantering för inrapportering.

  • Vad använder MSB våra inrapporterade svar till?

    MSB har fått i uppdrag av regeringen att skapa en nationell lägesbild av nivån på det systematiska informationssäkerhetsarbetet i offentlig förvaltning, vilket i dagsläget saknas.

    Utifrån lägesbilden får MSB en bättre bild av de utmaningar olika organisationer står inför, och MSB kan förbättra sitt stöd inom det systematiska informationssäkerhetsarbetet baserat på detta.

  • Hur mycket tid behöver vår organisation lägga på Infosäkkollen?

    Hur lång tid det tar att svara på frågorna beror på många faktorer och är därför svårt att uppskatta. Effektiv tid bedöms vara minst en eller ett par dagar, men ledtiden för att samla in informationen kan vara betydligt längre. Beroende på organisation och arbetssätt kan det i vissa fall röra sig om några veckor eller en ännu längre period.

  • Är det obligatoriskt att rapportera in resultatet?

    De organisationer som rapporter in sina svar får återkoppling i form av jämförelser med andra organisationer. Vi hoppas också att de organisationer som använder verktyget vill bidra till den samlade utvecklingen, men det finns inget obligatorium kring inrapporteringen.

  • Vad är Infosäkkollen baserad på? Vad är det som följs upp?

    Uppföljningsmodellen utgår från hur det beskrivs i MSB:s föreskrifter och stöd, som i sin tur bygger på standardserien ISO/IEC 27000.

    Modellen ger stöd till uppföljning på en strategisk nivå. Resultatet visar i vilken utsträckning organisationen bedriver ett systematiskt informationssäkerhetsarbete, det vill säga har förutsättningar att bygga ett gott skydd för sin information. Modellen mäter inte om den enskilda organisationens skydd är tillräckligt.

  • Vad menas med systematiskt informationssäkerhetsarbete?

    Det innebär att man arbetar medvetet och metodiskt för att skydda organisationens information. Det gäller skydd mot obehörig åtkomst, att informationen finns tillgänglig när den behövs, och att den går att lita på. Olika organisationer har olika behov och olika risker, så skyddet behöver anpassas till organisationen för att vara ändamålsenligt.

    En central del i det systematiska arbetet är att kontinuerligt följa upp och förbättra. Infosäkkollen utgör ett stöd för detta, och bidrar på så sätt till utvecklingen av hela informationssäkerhetsarbetet.

    Systematiskt informationssäkerhetsarbete

  • Vart kan jag ställa frågor?

    Många vanliga frågor finns besvarade här på webbsidan eller i Fördjupningsinformationen (se under Vidare läsning). Har du andra frågor kan du kontakta infosakkollen@msb.se.

Senast granskad: 21 maj 2021

Till toppen av sidan