Initiativ, regelefterlevnad, policyer och riktlinjer… : En kvalitativ studie om informationssäkerhet och mätpraktiker i svenska offentliga organisationer.

Sammanfattning: Informationssäkerhet är ett ämnesområde som berör hur olika typer av information ska hanteras på ett säkert sätt. En av de större utmaningarna berör hur de individer som arbetar med informationssäkerhet ska förmås att följa de regler, riktlinjer och rutiner som etablerats. Studien syftar till att studera detta fenomen närmare, och framförallt undersöka det uppföljande arbetet som sker kring de insatser som görs. Det görs inom en kontext av offentliga organisationer. Forskningsfrågan är: Hur arbetar svenska offentliga organisationer med (1) efterlevnad av riktlinjer inom informationssäkerhet och (2) hur mäts eller utvärderas detta? Studiens empiri består av 10 semistrukturerade intervjuer med centralt placerade personer från olika offentliga organisationer, samtliga med ansvar för verksamhetens informationssäkerhet. Data har analyserats med hjälp av teoribildning om organisatoriska rutiner varvid tre övergripande teman har identifierats: säkerhetsarbete, förändring och utvärdering. Studiens diskussion klargör att eftersom arbetet med efterlevnad av informationssäkerhet till stor del handlar om att utveckla rutiner som svarar mot de organisatoriska behoven måste praktiken ges ett tydligt företräde framför teorin. Det är med andra ord nödvändigt att utvärderingar och mätningar utformas så att dessa ges möjlighet att fånga upp faktiska förhållanden och inte endast policyer och riktlinjer.