Till innehåll på sidan
Till KTH:s startsida

Fas 1: Plan

Den här sidan beskriver planeringsfasen (Plan) i KTH:s informationssäkerhetsarbete enligt modellen Plan–Do–Check–Act (PDCA). Här fastställs mål, krav, ansvar och förutsättningar för det fortsatta informationssäkerhetsarbetet.

Planeringsfasen i informationssäkerhetsarbetet ska stötta KTH:s vision genom att skapa förutsättningar för utbildning och forskning av hög kvalitet, en attraktiv och inkluderande miljö samt effektiva och hållbara arbetssätt. De styrande dokument och underlag som tas fram i denna fas utgör grunden för att KTH ska kunna implementera relevanta och väl anpassade säkerhetsåtgärder i hela organisationen i efterföljande faser.

I planeringsfasen identifieras och beaktas de externa krav som ställs på KTH. Det innebär att tillämplig lagstiftning och regulatoriska krav analyseras och omsätts till styrande krav, såsom GDPR, offentlighetsprincipen, arkivlagen och säkerhetsskyddslagen. Även styrande principer i regleringsbrev samt rekommendationer från säkerhetsmyndigheter vägs in. Planeringen tar även hänsyn till omvärldsfaktorer, exempelvis aktuell hotbild, cybersäkerhetstrender och globala utvecklingar, liksom risker kopplade till KTH:s forskningsområden. Krav från intressenter och avtal med forskningsfinansiärer, samarbetspartners och andra lärosäten ingår också i denna analys.

En central del av planeringsfasen är att fastställa hur KTH ska arbeta med identifiering, analys och hantering av risker, sårbarheter och hot. Resultatet av planeringen ska skapa tydliga förutsättningar för genomförande, uppföljning och förbättring i de efterföljande stegen i PDCA‑cykeln.

Planeringsfasen tydliggör vad verksamheten ska uppnå på både kort och lång sikt, vilka utmaningar som behöver hanteras samt hur ansvar fördelas i organisationen. Det förväntade resultatet är dokumenterade mål för informationssäkerhetsarbetet, inklusive önskad mognadsgrad, samt en gemensam begreppsbas för medarbetare. Fasen ska även resultera i genomförda riskbedömningar med bedömning av sannolikhet och påverkan, en beslutad uppsättning säkerhetsåtgärder (Statement of Applicability, SoA), en fastställd kommunikationsplan samt en etablerad process för informationsklassificering med tydlig rollfördelning för informationsriskägare.

Nästa steg i arbetet är genomförandefasen Do , där beslutade säkerhetsåtgärder och arbetssätt implementeras i verksamheten.