Förslag till säkerhetsorganisation

Så är förslaget framtaget

Funktion före roll

01 — FUNKTION

Vad som måste utföras

Femton säkerhetsfunktioner måste finnas oavsett organisationens storlek. De härleds ur DORA, NIS2, ISO 27001 och GDPR. Funktionerna är konstanta — bemanningen skalar.

02 — BEMANNING

Hur funktionen omhändertas

Varje funktion får ett tydligt tillstånd: egen roll, bärs av annan, delad eller utlagd. Ingen funktion lämnas obemannad utan ett medvetet beslut.

03 — KOMPETENS

Vad rollen kräver

Varje roll vilar på ECSF:s europeiska profiler, med kompetenskrav (TKS) hämtade ur ECSF och NICE samt spårbarhet till de DORA-artiklar som motiverar rollen.

Hur förslaget är uppbyggt

Förslaget byggs nerifrån och upp

Tre steg, i rätt ordning.

Steg 1

Vad

Funktionerna som måste vara omhändertagna

›

Steg 2

Hur

Funktionerna paketeras till roller

›

Steg 3

Vem

Varje roll får en bärare

Klicka, eller använd piltangenterna, för att bläddra ›

02 · Vad

Femton funktioner som måste vara omhändertagna

Oavsett organisationens storlek. Härledda ur DORA, NIS2, ISO 27001 och GDPR. Funktionerna är konstanta — det är bemanningen som skalar.

F1Ytterst ansvar — ledningen äger strategi och risktolerans

F2Strategisk ledning — översätter strategi till styrning och program

F3Operativ samordning — driver det dagliga säkerhetsarbetet

F4Riskhantering — identifierar, bedömer och behandlar risker

F5Dataskydd — hanterar personuppgifter enligt GDPR

F6Incidenthantering — upptäcker, hanterar och rapporterar incidenter

F7Kontinuitet — håller verksamheten igång vid störning

F8Teknisk säkerhetsdrift — bygger och driver de tekniska skydden

F9Åtkomst och identitet — styr vem som har tillgång till vad

F10Tredjepartsrisk — hanterar risker hos leverantörer

F11Testning — verifierar att skydden faktiskt fungerar

F12Medvetenhet — ser till att personalen kan och vet

F13Hotbild — följer hot och hotaktörer

F14Forensik — utreder och säkrar bevis efter incidenter

F15Granskning — kontrollerar oberoende att allt efterlevs

03 · Hur

Funktionerna paketeras till roller

En roll samlar flera funktioner till ett sammanhängande ansvar som någon kan bära.

Flera funktioner kan rymmas i en roll — och en funktion kan delas av flera roller. Så blir femton uppgifter ett begripligt antal roller.

F2 Strategisk ledning F3 Operativ samordning F4 Riskhantering

→

En roll

Säkerhetschef

04 · Vem

Varje roll får en bärare

En bärare är den som faktiskt utför rollen — en person, ett team eller en leverantör. Samma bärare kan bära flera roller.

I en mindre organisation bär en person flera roller; i en större fördelas de på fler. Samma roller — bemanningen anpassas. En funktion är täckt först när någon bär den.

Bärare

Säkerhetschefen

→

Riskansvarig Kontinuitetsansvarig Regelefterlevnadsansvarig

05 · Grund

Vad rollerna vilar på

Rollerna följer ECSF — EU:s officiella ramverk för cybersäkerhetsroller, framtaget av cybersäkerhetsbyrån ENISA och nära kopplat till NIS2 och DORA.

Cybercampus Sverige hänvisar till ECSF:s tolv kompetensprofiler i sin vägledning för kompetensutveckling.

Cybercampus Sverige är ett nationellt initiativ av bland andra KTH, Försvarsmakten och Rise.