Informationssäkerhetsmål är en central men ibland underskattad del av ett ledningssystem enligt ISO27001. Alltför ofta reduceras målarbetet till övervakande nyckeltal eller generella formuleringar som inte fullt ut bidrar till verksamhetsutveckling. Rätt utformade kan informationssäkerhetsmål i stället fungera som ett kraftfullt verktyg för att identifiera svagheter, driva förbättring och successivt stärka organisationens förmåga att skydda information.
Informationssäkerhetsmål enligt ISO 27001
ISO 27001 ställer krav på att organisationen ska fastställa informationssäkerhetsmål som är:
- förenliga med informationssäkerhetspolicyn,
- mätbara (där så är praktiskt möjligt),
- relevanta för informationssäkerhetskraven och riskbilden,
- kommunicerade och uppföljda.
Standarden säger däremot relativt lite om hur målområden identifieras i praktiken. Det lämnar ett stort utrymme till organisationen att säkerställa att målen faktiskt adresserar rätt problem och driver rätt beteenden.
Riskanalysen – den naturliga startpunkten
Den mest självklara och ofta mest värdefulla källan till informationssäkerhetsmål är riskanalysen. Här synliggörs:
- kritiska informationstillgångar,
- hot och sårbarheter,
- brister i befintliga skyddsåtgärder,
- områden där riskacceptansen är låg eller där risker endast tolereras temporärt.
Risker som inte fullt ut kan reduceras genom tekniska eller organisatoriska kontroller lämpar sig ofta väl för målstyrning. Exempel kan vara:
- låg efterlevnad av säkerhetsrutiner,
- bristande medvetenhet hos medarbetare,
- otillräcklig redundans eller beredskap vid incidenter.
Genom att formulera mål som adresserar dessa risker kan organisationen arbeta systematiskt med att minska exponeringen över tid.
Exempel på initiala och strategiska målområden
I många organisationer är följande målområden särskilt relevanta i ett tidigt eller mognadsbyggande skede:
Medvetenhet och kultur
Exempelvis att öka förståelsen för informationssäkerhetsansvar, minska riskbeteenden eller förbättra rapporteringsviljan.
Fysisk säkerhet
Stärka skyddet av lokaler, serverrum och arbetsplatser, särskilt i hybrid- och distansarbetsmiljöer.
Digital resiliens och robusthet
Förbättra backupstrategier, återställningsförmåga, övervakning eller motståndskraft mot cyberangrepp.
Styrning och efterlevnad
Säkerställa att styrande dokument är kända, tillämpade och ändamålsenliga – inte bara formellt beslutade.
Mål som utmanar oss till att bli bättre
Ett vanligt misstag är att formulera mål som enbart beskriver nuläget, exempelvis ”100 % genomförd utbildning” eller ”inga allvarliga incidenter”. Även om sådana mål kan vara relevanta, riskerar de att bli passiva och kortsiktiga.
Väl fungerande informationssäkerhetsmål bör i stället:
- utmana verksamheten att arbeta på nya sätt,
- driva förbättring snarare än endast kontroll,
- koppla säkerhet till verksamhetsnytta.
Ett mål kan exempelvis fokusera på att förbättra beslutsfattande kring risker, snarare än enbart minska antalet incidenter.
Aktuella och föränderliga mål över tid
Informationssäkerhetsmål ska vara aktuella. Det innebär att de:
- regelbundet behöver utvärderas,
- justeras när riskbilden förändras,
- kan ersättas när de uppnåtts eller tappat relevans.
Ett moget ledningssystem kännetecknas av att målen utvecklas i takt med organisationen. Det som en gång var en kritisk svaghet kan, genom målmedvetet arbete, bli en etablerad styrka – och då bör fokus flyttas vidare.
Avslutningsvis
Informationssäkerhetsmål enligt ISO 27001 är inte ett administrativt krav att ”bocka av”, utan ett strategiskt verktyg för ständiga förbättringar. Genom att systematiskt identifiera svagheter via riskanalyser, revisioner och verksamhetsdialoger – och omvandla dem till tydliga, utmanande och relevanta mål – kan organisationen stärka informationssäkerheten och sin förmåga att möta framtida krav.
Rätt använda bidrar informationssäkerhetsmål inte bara till ökad regelefterlevnad, utan till en mer robust, medveten och motståndskraftig verksamhet.
