Förmågekartan är ett verktyg för att bygga, förbättra, driva och förstå ett ledningssystem för informationssäkerhet och regelefterlevnad — där förmågor, inte kontroller, utgör ryggraden.
De flesta verktyg på marknaden bygger på listor av kontroller — kryssrutor mot ett ramverk. Det fungerar för revision, men inte för verksamhet.
Förmågekartan vänder på det. Här är förmågorna ryggraden — det organisationen behöver kunna — och kontrollerna är det som gör att förmågorna faktiskt finns.
Samma karta används för flera ramverk. Mappa en gång, redovisa mot DORA, NIS2 och ISO 27001 utan att duplicera arbetet.
Plattformen är inte ett engångsverktyg för uppstart, och inte heller en snäv funktion för en specifik uppgift. Den följer ledningssystemet genom hela livscykeln.
Etablera ett ledningssystem från grunden. Förmågekartan ger en startstruktur som kan anpassas till verksamheten — utan att man behöver börja med ett tomt blad.
Modernisera och städa ett befintligt system. Identifiera glapp mellan dokumentation och praktik, harmonisera överlappande ramverk, ta bort dubbletter — utan att kasta ut det som fungerar.
Hålla ledningssystemet vid liv i den dagliga verksamheten. Årshjul, riskuppföljning, leverantörsstyrning, incidenter och internrevision — i samma plattform, med samma underliggande karta.
Visualisera status, mognad och utveckling över tid. Olika vyer för olika roller — operativ detalj för specialister, sammanfattning för ledning, spårbarhet för revisorer.
Modulerna delar samma underliggande förmågekarta, vilket gör att information som registreras i ett sammanhang automatiskt blir tillgänglig i andra.
Tre lager (Domän, Förmåga, Åtgärd) med många-till-många-relationer mot regulatoriska krav. Anpassningsbar per organisation.
DORA, NIS2 och ISO 27001 mappade mot samma karta. Vyväxling mellan ramverken utan att duplicera underliggande data.
Tre nivåer (Foundational, Managed, Optimized) med konkreta krav per nivå — inte en abstrakt skala.
Strukturerad hot- och sårbarhetsanalys med stöd för AI-relaterade risker (prompt injection, modellförgiftning, agentik).
Femnivåers kravkaskad enligt ISO 27036 — från grundkrav till risknivå-anpassning. Klassificering, uppföljning, evidens.
Guidad wizard för juniora användare och fri redigering för erfarna. Processer kopplas direkt till förmågor och åtgärder.
Planera och följa upp återkommande aktiviteter — internrevision, ledningens genomgång, riskuppföljning, övningar.
Specialist, ledning och ISMS-motor. Samma data, olika presentationer beroende på vem som tittar och varför.
Generering av rapporter till Excel, Word och PDF. Möjlighet att låsa innehåll vid distribution till externa parter.
Plattformen är utformad för att samma data ska kunna mötas av olika roller på rätt nivå — utan att behöva separata system eller exporter mellan dem.
Detaljerat arbete med förmågor, kontroller, risker och evidens. Arbetar dagligen i plattformen.
Översikt över mognad, risker och åtgärdsläge. Beslutsstöd inför ledningens genomgång och styrelse.
Spårbarhet, evidens och historik. Möjlighet att granska kopplingar mellan krav, åtgärder och utfall.
Strukturerad metod att leverera kunduppdrag. Egen instans per kund, snabbare uppstart, högre konsekvens.
Ett verktyg för informationssäkerhet ska själv hålla en hög säkerhetsnivå — inte som påklistrad funktion utan som arkitekturprincip.
Förmågekartan hanterar känslig data om verksamhetens svagheter, leverantörsrisker och incidentdetaljer. Det ställer krav på hur den datan lagras, transporteras och visas.
Hör av dig så berättar jag mer om plattformen, visar exempel ur den, och svarar på frågor om hur den passar in i din verksamhet.
roger@enqvistconsulting.se