Utvärdering av gapanalys för informationssäkerhet

Sammanfattning: Informationssäkerhet innebär att skydda informationstillgångar avseende tillgänglighet, konfidentialitet, integritet och spårbarhet. För att hantera informationssäkerhet inom en verksamhet kan ett LIS (ledningssystem för informationssäkerhet) införas. MSB (Myndigheten för samhällskydd och beredskap) förvaltar ett metodstöd för att införa ett LIS och i detta metodstöd finns en gapanalys med inriktning mot informationssäkerhet. Denna gapanalys syftar till att kartlägga det nuvarande läget för informationssäkerhet inom organisationer för att jämföra detta mot den befintliga standarden ISO/IEC 27002. Problemet med denna gapanalys är att den är generiskt utformad för att passa de flesta organisationer och därför görs en undersökning för att undersöka hur denna gapanalys kan anpassas samt förbättras mot kommunal verksamhet. En anpassning innebär att delar kan tas bort från gapanalysen vilket skulle effektivisera informationssäkerhetsarbetet mot kommunal verksamhet. I förbättringsaspekten undersöks det hur väl gapanalysen förstås av den som ska delta i informationssäkerhetsarbetet. Utvärderingen har skett med kapitlet styrning av åtkomst ur gapanalysen, vilket avser hur åtkomsten hanteras till viktiga tillgångar som till exempel databaser innehållande känslig information. Denna rapport visar om en anpassning mot kommunal verksamhet kan göras gällande den gapanalys som MSB förvaltar samt visar möjliga förbättringsområden. För att få svar på undersökningens fråga användes intervjuer som metod.