Till innehåll på sidan

Infosäkkollen

Infosäkkollen är ett verktyg som stödjer uppföljning och förbättring av systematiskt informationssäkerhetsarbete i kommuner, regioner och statliga myndigheter.

Med verktyget kan organisationen själv undersöka vilken nivå arbetet befinner sig på och hur det kan utvecklas. Resultatet ger underlag för planering och prioritering, och med regelbundna uppföljningar kan utvecklingen följas över tid.

Så här funkar det

Beskriver flödet i form av en triangel. En ritad bild på en hammare och skruvmejsel och texten besvara frågor och få återkoppling direkt. Därifrån pil till texten jämförande återkoppling och en ritad bild på glada figurer.  Från de glada figurerna går en pil till texten vidareutveckling av MSB:S stöd och bild på ett ritat kontorshus. Sedan pekar en pil tillbaka till starten - besvara frågor.
Beskriver flödet i form av en triangel. En ritad bild på en hammare och skruvmejsel och texten besvara frågor och få återkoppling direkt. Därifrån pil till texten jämförande återkoppling och en ritad bild på glada figurer.  Från de glada figurerna går en pil till texten vidareutveckling av MSB:S stöd och bild på ett ritat kontorshus. Sedan pekar en pil tillbaka till starten - besvara frågor.

1. Besvara frågor

Infosäkkollen är ett verktyg i Excel. Kärnan är ett formulär med frågor om olika aspekter av det systematiska informationssäkerhetsarbetet.

Era svar är för hela kommunen, regionen eller den statliga myndigheten, varför underlag från olika delar av organisationen behövs. Ett bra sätt att samla in den nödvändiga informationen är en workshop där olika funktioner och roller deltar. Organisationens informationssäkerhetssamordnare kan med fördel hålla ihop arbetet (alternativt någon i stabsfunktionen). Det samlade svaret bör förankras hos ledningen.

Alla organisationer behöver inte svara på alla frågor för att få ett resultat. Även organisationer som inte har kommit så långt ska kunna använda Infosäkkollen.

2. Återkoppling

Direkt när ni har fyllt i svaren kan ni se vilken nivå organisationen befinner sig på och vilka arbetsområden som behöver utvecklas. Återkopplingen presenteras direkt i Infosäkkollen. Där finns också tips på relevant stöd och länkar. Infosäkkollen ger en översiktsbild som ni kan använda som underlag för diskussion i till exempel en ledningsgrupp.

För dig som har genomfört Infosäkkollen - tips och hänvisningar

3. Inrapportering

Efter att ha rapporterat in svaren, senast 30 september 2021, kommer organisationen också att få kompletterande återkoppling. I den ingår en jämförelse med resultatet för andra, liknande organisationer. Analys av det samlade underlaget kommer också att användas för att utveckla MSB:s stöd på området och för att lämna en samlad bedömning till regeringen.

 

Utskick och nedladdning av verktyget

Infosäkkollen skickades den 17 maj 2021 till registraturen på din myndighet. Inrapporteringsdatum är den 30 september 2021. Verktyget går också att ladda ner här.

Infosäkkollen

Frågor och svar

Här har vi samlat vanliga frågor och svar som rör Infosäkkollen.

Grundläggande om Infosäkkollen

  • Varför har MSB lanserat Infosäkkollen?

    Sveriges offentliga förvaltning behöver bli bättre på att följa upp sin informationssäkerhet. Mot bakgrund av detta fick MSB 2019 ett regeringsuppdrag om att ta fram en struktur för uppföljning av det systematiska informationssäkerhetsarbetet.


    MSB har därför tagit fram ett uppföljningsverktyg, Infosäkkollen, som ska ge verksamheterna bättre stöd och samtidigt möjliggöra överblick och utveckling på nationell nivå. Uppföljning upplevs ofta svårt. Med verktyget blir det konkret och du får återkoppling direkt.

  • Varför ska min organisation använda Infosäkkollen?

    Med verktyget får din organisation en bättre bild av informationssäkerhetsarbetet i organisationen och förslag på utvecklingsområden, samt underlag för planering och prioritering.

    När ni rapporterar in era resultat kan ni också jämföra nivån på ert arbete med andra liknande organisationer. Dessutom bidrar ni till utvecklingen av stöd på nationell nivå.

  • Vilka organisationer riktar sig Infosäkkollen till?

    Alla organisationer i offentlig förvaltning, från kommuner och regioner till statliga myndigheter, kan ha nytta av Infosäkkollen och erbjuds därmed att använda det.

    Även organisationer som inte ingår i offentlig förvaltning men som bedriver ett systematiskt informationssäkerhetsarbete som de vill följa upp kan ha nytta av verktyget.

    Skall vi inkludera informationssäkerhetsarbetet som bedrivs i kommunala bolag? Det är upp till er. Ni behöver inte inhämta information från kommunala bolag för att besvara Infosäkkollen, men vill ni själva ha en förståelse för helheten så uppmuntra dem gärna att använda Infosäkkollen som stöd för både er och deras uppföljning.

  • När är sista datum för inrapportering för att få kompletterande återkoppling?

    Den 30 september 2021. Instruktioner för inrapportering återfinns i Infosäkkollen under fliken ”Säker hantering”.

    Vi är medvetna om att många organisationer i den offentliga förvaltningen är hårt pressade under den rådande pandemin, och vi har redan skjutit upp lanseringen en gång med det i åtanke. Vår förhoppning är dock att Infosäkkollen blir ett bra stöd i ert arbete, och därför värd tiden.

  • Är det obligatoriskt att rapportera in resultatet?


    De organisationer som rapporter in sina svar får återkoppling i form av jämförelser med andra organisationer. Vi hoppas också att de organisationer som använder verktyget vill bidra till den samlade utvecklingen, men det finns inget obligatorium kring inrapporteringen.

Så funkar Infosäkkollen

  • Hur använder jag Infosäkkollen?

    Du genomför uppföljningen genom att steg för steg gå igenom och besvara ett antal frågor i det Excel-baserade verktyget. Det finns olika typer av frågor i verktyget som ska undersöka olika aspekter på ert informationssäkerhetsarbete.

    Exempel på frågor som ni kan hitta i verktyget är:

    Har organisationen haft en informationssäkerhetspolicy de senaste två åren?
    Om svaret är ja, ange vad policyn har innehållit (till exempel ledningens inriktning för informationssäkerhetsarbetet).


    I vilken utsträckning har organisationen, de senaste två åren, klassat sin information enligt sitt arbetssätt för informationsklassning?

    När ni svarat på alla frågor får ni ett resultat som visas på en särskild flik i verktyget (återkoppling). Där kan ni bland annat se utvecklingsområden samt tips och hänvisningar till stöd för ert utvecklingsarbete. Vidare anvisningar om hur ni använder Infosäkkollen finns i verktyget och i Fördjupningsinformationen (se under Vidare läsning).

  • Vem i en organisation riktar sig Infosäkkollen till?

    Verktyget är främst till för den eller de i er organisation som driver organisationens arbete med informationssäkerhet, exempelvis en informationssäkerhetssamordnare. Finns det ingen sådan roll så kan det vara någon i en stabsfunktion.

    Infosäkkollen är också till för att ge ledningsgrupper ett bättre underlag för uppföljning av det systematiska informationssäkerhetsarbetet.
    För att kunna besvara frågorna fullt ut krävs vanligtvis att andra delar av organisationen engageras på olika sätt.

    Informationssäkerhetssamordnaren (eller motsvarande) håller sannolikt ihop arbetet, men underlag till olika svar behöver samlas in från flera verksamhetsområden. Ledningens engagemang underlättar för att uppföljningen ska kunna genomföras och resultaten omhändertas.

  • Hur mycket tid behöver vår organisation lägga på Infosäkkollen?


    Hur lång tid det tar att svara på frågorna beror på många faktorer och är därför svårt att uppskatta. Effektiv tid bedöms vara minst en eller ett par dagar, men ledtiden för att samla in informationen kan vara betydligt längre. Beroende på organisation och arbetssätt kan det i vissa fall röra sig om några veckor eller en ännu längre period.

  • Angående tvåårsperioden, måste en rutin, teknisk skyddsåtgärd eller liknande varit införd i hela tvåårsperioden för att räknas som införd?

    Ja, något ska ha funnits på plats, eller utförts, med en viss regelbundenhet under den senaste tvåårsperioden (om inget annat uttrycks i den specifika frågan).

    Anledningen till att mätperioden är över två år är att modellen undersöker etablerade arbetssätt och inte en ögonblicksbild av informationssäkerhetsarbetet. För modellen är det avgörande att alla organisationer mäts utifrån samma kriterier, det ger en samlad bild som är rättvisande och representativ för informationssäkerhetsarbetet.

  • Vi har upphandlat en extern aktör som bidrar till vårt informationssäkerhetsarbete, ska de inkluderas?

    Ja, alla delar av informationssäkerhetsarbetet som bidrar till verksamhetens informationssäkerhet skall inkluderas i Infosäkkollen.

    Tänk på att inkludera alla arbetssätt, krav och rutiner i avtalet för att kunna ställa krav på er upphandlade aktör att leva upp till gott systematiskt informationssäkerhetsarbete.

    Information om säker upphandling på Informationssäkerhet.se

  • Vi ingår inte i den offentliga förvaltningen, kan vi använda Infosäkkollen ändå?

    Alla organisationer kan använda verktyget som finns tillgängligt på hemsidan. Erbjudandet om inrapportering och jämförande återkoppling riktar sig i första hand till just kommuner, regioner och statliga myndigheter.

    Andra organisationer är också välkomna att skicka in sina resultat. MSB tar hand om dem i mån av resurser men kan inte lova att lämna anpassad återkoppling i dessa fall.

  • Varför är Infosäkkollen en Excel-fil?

    Det finns flera skäl till detta. De huvudsakliga är att det ska vara enkelt, säkert och samtidigt resurseffektivt. Ett verktyg för hela svenska offentliga förvaltningen behöver vara något som alla kan öppna och arbeta i.

    Samtidigt handlar det om information som kan vara känslig, så det måste gå att hantera på ett säkert sätt. Många av er kommer att jobba med det i särskilda it-miljöer, som har olika begränsningar. Ni ska inte behöva introducera ny programvara eller oroa er för skadlig kod när ni gör en informationssäkerhetskoll.

Resultat och återkoppling

  • Gällande Återkopplingsfliken, vad står nivåerna 0-5 för?

    I modellen kan fyra nivåer uppnås. Nivåerna baseras på hela organisationens samlade arbete inom samtliga de tio arbetsområden som behandlas i spindeldiagrammet. 0 står för nivån man befinner sig på innan man har uppnått någon av nivåerna 1-4. Nivå 5 står för att man har uppnått maxpoäng inom ett arbetsområde. Du kan läsa mer om nivåerna i fördjupningsinformationen.

  • Vad använder MSB våra inrapporterade svar till?

    MSB har fått i uppdrag av regeringen att skapa en nationell lägesbild av nivån på det systematiska informationssäkerhetsarbetet i offentlig förvaltning, vilket i dagsläget saknas.

    Utifrån lägesbilden får MSB en bättre bild av de utmaningar olika organisationer står inför, och MSB kan förbättra sitt stöd inom det systematiska informationssäkerhetsarbetet baserat på detta.

  • Hur skickar jag in min organisations resultat från att ha använt Infosäkkollen?

    Instruktioner för inrapportering återfinns i Infosäkkollen under fliken ”Säker hantering”. Observera att anvisningarna gäller även om organisationen inte bedömer att uppgifterna omfattas av sekretess. MSB har även skickat ett brev till signalskyddschef (eller motsvarande) i er organisation och ombett dessa vara behjälpliga vid inskick.

  • Är det endast de som är med och svarar som får återkoppling på aggregerad nivå? Eller kommer MSB att sammanställa och offentliggöra det aggregerade resultatet?

    De som skickar in sina svar till MSB kommer att få en särskild återkoppling tillbaka som kan användas för att på enkelt sätt jämföra de egna resultaten med liknande organisationer.

    MSB kommer under hösten att närmare analysera hur mycket, och vad, som kan publiceras.

    Myndigheten kommer inte att publicera något som avslöjar en enskild aktörs egna förhållanden.

  • Är ni inte oroliga att resultatet blir missvisande, kanske mer en bild av de som "är bäst i klassen" eftersom det är frivilligt att skicka in?

    Vid det första inrapporteringstillfället (med deadline 30 september 2021) förväntar sig  MSB att organisationer i allmänhet endast kommer att uppnå de lägre nivåerna i modellen. Det beror delvis på att organisationer inte på förhand har kunnat veta vad Infosäkkollens frågor kommer att handla om.

    Således är prognosen att den genomsnittliga övergripande nivån för de inrapporterande organisationerna kommer att vara låg – även om enskilda arbetsområden kan komma att ligga på högre nivåer.


    Efterföljande års inrapporteringar av Infosäkkollen lär troligtvis resultera i ett mer rättvisande utfall gällande övergripande nivåer. Då är det istället möjligt att den aggregerade bilden blir missvisande på andra sätt, exempelvis att den ger en bild av ett bättre resultat än den bild vi hade fått om alla som får Infosäkkollen hade besvarat den och skickat in sina svar.


    För att hantera den risken vidtar MSB ett antal åtgärder, bland annat genom att kommunicera om vikten av att använda Infosäkkollen, och att rapportera in sina svar så att MSB kan använda den resulterande bilden för att på olika sätt bistå organisationer att förbättra sitt systematiska informationssäkerhetsarbete.

    MSB kommer också att följa upp aktörernas arbete med Infosäkkollen, däribland hur man har resonerat kring att skicka in sina resultat.

    Förhoppningsvis kommer den insamlade informationen kunna användas för att höja inrapporteringsgraden om den inte redan är hög.

  • Finns det inte en risk att en den nationella lägesbilden över offentlig förvaltnings informationssäkerhet visar vilka sårbarheter som finns?

    En samlad rapport kommer att på ett övergripande plan redogöra för hur läget ser ut, men det kommer inte gå att utifrån rapporten sluta sig till specifika sårbarheter som kan utnyttjas i någon direkt bemärkelse.

    Infosäkkollen behandlar inte enskilda säkerhetsåtgärder, utan fokuserar på de bakomliggande arbetssätten som leder till att organisationer väljer att vidta sådana säkerhetsåtgärder som de gör.

    I den mån brister kommer att framgå, så kommer de bristerna behandla just de bakomliggande arbetssätten, snarare än brister i eller avsaknad av enskilda säkerhetsåtgärder.

    Dock är det så att kombinationen av många enskilda organisationers information samlat kan resultera i en skyddsvärd mängd data. MSB har tagit detta i åtanke, och det är därför myndigheten lämnar särskilda instruktioner för säker hantering, så att hela kedjan av insamling och överföring av information skyddas.

Säker hantering

  • Kan svar i Infosäkkollen vara skyddsvärda?

    Ja, i och med att innehållet utgör en genomgång av hur en organisations informationssäkerhetsarbete ser ut och vilka eventuella brister som finns i detta, kan enskilda svar vara skyddsvärda.

    Se mer om detta under frågan: Hur skyddar MSB våra inrapporterade svar?

  • Vi saknar en säker it-miljö, hur gör vi för att svara säkert?

    Din organisation ansvarar för sekretessbedömning och eventuell säkerhetsskyddsklassificering av era svar, samt för att ge uppgifterna det skydd som krävs vid hantering, lagring och överföring. Ett tips är att först gå igenom frågorna och resonera kring skyddsvärdet i de svar ni avser att ange.

    Om ni bedömer att svaren inte innehåller säkerhetsskyddsklassificerade uppgifter kan ni hantera dem i era vanliga it-system. MSB vill dock att svaren skickas enligt den instruktion som ges för att vi ska kunna ta höjd för den aggregerade informationsmängden, det vill säga med PGBI- eller MGS-krypterad fil eller på ett USB-minne som värdeförsändelse.

    Om ni bedömer att svaren eller delar av svaren är säkerhetsskyddsklassificierade och ni inte har it-system godkända för detta kan ni använda penna och papper.

    I Infosäkkollen redovisar ni svar som är öppna (ej sekretessbelagda) och de svar som är sekretessbelagda redovisas på papper. Pappret kan sedan läggas i samma säkerhetspåse som USB-minnet.

  • Hur skyddar MSB våra inrapporterade svar?

    MSB:s preliminära bedömning är att en del av uppgifterna som lämnas in kan komma att omfattas av sekretess enligt följande paragrafer:

    18:8 gällande säkerhets- och bevakningsåtgärder
    18:13 gällande möjlighet att förebygga och hantera fredstida kriser
    15:2 försvarssekretess.

    Det går inte att svara generellt på vilka uppgifter som omfattas av vilken paragraf.

    Sekretessbedömning görs på specifika upplysningar för varje enskild begäran om utlämning.

    MSB kommer, utöver att pröva sekretess vid utlämningsbegäran, att vidta ett antal olika tekniska och administrativa säkerhetsåtgärder för att skydda både de enskilda svaren och den samlade massan av svar som bildas över tid hos myndigheten.

    Ett viktigt steg i att skyddet kring uppgifterna som hanteras i verktyget ska kunna upprätthållas ”hela vägen” är de rutiner MSB har på plats kring säker hantering för inrapportering.

  • Hur ska vi göra om vi känner oro för att skicka in säkerhetsskyddsklassificerad information?

    Säker hantering av informationen består av flera saker. Bland annat har MSB i samband med lanseringen skickat ett brev till er organisations signalskyddschef (eller motsvarande) för att informera denne om Infosäkkollen och dess inrapporteringsrutiner, men främst för att be dessa vara er behjälpliga i samband med inrapportering.

    MSB vidtar också olika säkerhetsåtgärder för att skydda informationen som överförs från de svarande organisationerna. Är det någon särskild aspekt ni har frågor kring så kontakta oss gärna på infosakkollen@msb.se.

    Det är genom inrapportering ni kan få jämförande återkoppling, tillexempel hur ni ligger till jämfört med liknande organisationer. Men det är också baserat på detta MSB kan vidareutveckla sitt stöd till er på området, samt ge regeringen den nationella lägesbild de efterfrågat.

  • Min kommun har inte signalskyddsarbetet fullt på plats, och har därför inte tillgång till MGS eller PGBI, hur gör vi?

    För att Infosäkkollen ska kunna rapporteras in med ett godkänt signalskyddsystem måste kommunen ha sitt signalskyddssystem på plats, samt ha en färdigutbildad biträdande signalskyddschef.

    Om man som organisation inte har signalskyddssystem på plats, inrapporteras svaren på ett USB-minne i en säkerhetspåse som skickas som värdeförsändelse med PostNord.

    Mer information finns i Infosäkkollen på fliken Säker hantering.

  • Vi har inte tillgång till signalskydd och hanterar inte heller USB-minnen för skyddsvärd information. Hur kan vi rapportera in våra svar?

    Om ni har möjlighet att lägga svaren på en CD/DVD, så fungerar det också.

    Tänk på att stänga CD-skivan och sedan skicka den på motsvarande sätt som instruktionen för USB, det vill säga i säkerhetspåse och med värdeförsändelse.

    Kanske kan ni ta tillfället i akt och se över möjligheten att etablera signalskyddsförmåga i organisationen?

Övriga frågor om Infosäkkollen

  • Vad är Infosäkkollen baserad på? Vad är det som följs upp?

    Uppföljningsmodellen utgår från hur det beskrivs i MSB:s föreskrifter och stöd, som i sin tur bygger på standardserien ISO/IEC 27000.

    Modellen ger stöd till uppföljning på en strategisk nivå. Resultatet visar i vilken utsträckning organisationen bedriver ett systematiskt informationssäkerhetsarbete, det vill säga har förutsättningar att bygga ett gott skydd för sin information.

    Modellen mäter inte om den enskilda organisationens skydd är tillräckligt.

  • Vad menas med systematiskt informationssäkerhetsarbete?

    Det innebär att man arbetar medvetet och metodiskt för att skydda organisationens information. Det gäller skydd mot obehörig åtkomst, att informationen finns tillgänglig när den behövs, och att den går att lita på.

    Olika organisationer har olika behov och olika risker, så skyddet behöver anpassas till organisationen för att vara ändamålsenligt.

    En central del i det systematiska arbetet är att kontinuerligt följa upp och förbättra. Infosäkkollen utgör ett stöd för detta, och bidrar på så sätt till utvecklingen av hela informationssäkerhetsarbetet.

    Mer information om systematiskt informationssäkerhetsarbete och det stöd som MSB erbjuder

  • Hur förhåller sig Infosäkkollen till annat verktyg X eller modell Y?

    Ett liknande stöd som Infosäkkollen har inte funnits tidigare (bland öppna alternativ som vi kan jämföra med).

    Informationssäkerhetsfrågor ingår/har ingått i en del andra modeller och undersökningar, men inte med en så grundlig genomgång inriktad på det systematiska arbetet och hur det tillämpas i organisationen.

    Vi har också studerat och övervägt internationella modeller, men landade i att denna lösning bäst svarar upp mot regeringsuppdraget, svenska förhållanden och blir mest naturligt för vidareutvecklingen av det stöd MSB tillhandahåller.

  • Jag hittar inte svar på min fråga. Vart kan jag vända mig?

    Många vanliga frågor finns besvarade här på vår webbplats eller i Fördjupningsinformationen (se under Vidare läsning).

    Har du andra frågor kan du kontakta infosakkollen@msb.se.

Senast granskad: 24 juni 2021

Till toppen av sidan