Till innehåll på sidan
Till KTH:s startsida

Fas 2: Do

Den här sidan beskriver genomförandefasen (Do) i KTH:s informationssäkerhetsarbete enligt modellen Plan–Do–Check–Act (PDCA). I denna fas implementeras beslutade säkerhetsåtgärder och fastställda arbetssätt i verksamheten.

Genomförandefasen förutsätter att KTH i planeringsfasen har fastställt mål för informationssäkerhetsarbetet, identifierat och värderat verksamhetens risker, beslutat om relevanta säkerhetsåtgärder (Statement of Applicability, SoA), tagit fram en kommunikationsplan samt etablerat en process för informationsklassificering. resurser ska också vara tilldelade för arbetet. Dessa förutsättningar säkerställer att de åtgärder som införs är väl avvägda och anpassade till verksamhetens behov.

Syftet med genomförandefasen är att införa och tillämpa beslutade säkerhetsåtgärder samt att genomföra informationsklassificering som grund för rätt skydd av KTH:s information. Arbetet utförs av informationsriskägare i samverkan med KTH IT och andra IT‑leverantörer, med stöd från forskningsinfrastrukturer, HR, fysisk säkerhet och CISO‑funktionen. Ledningsgruppen följer arbetet på övergripande nivå, och användare bidrar genom att hantera information i enlighet med fastställda rutiner och styrningar.

Nyckelprocesser i genomförandefasen

Vilka processer som ingår beror på vilka säkerhetsåtgärder som har beslutats, men genomförandefasen omfattar i huvudsak följande processområden, i linje med ISO/IEC 27001:

Informationsklassificering
Klassificeringen används i praktiken för att avgöra vilket skydd informationsmängder kräver och ligger till grund för krav på IT‑lösningar och andra säkerhetsåtgärder.
Exempel: forskningsdata, personuppgifter, driftinformation.

Organisatoriska säkerhetsåtgärder
Åtgärder som omsätter beslutade krav i roller, ansvar och arbetssätt för att säkerställa en tydlig och fungerande säkerhetsstyrning.
Exempel: roll‑ och ansvarsfördelning, åtkomsträttigheter, säkerhetskrav i avtal.

Personrelaterade säkerhetsåtgärder
Åtgärder som stärker individers ansvar, kompetens och medvetenhet i informationssäkerhetsarbetet.
Exempel: utbildningar, informationsinsatser, rutiner för incidentrapportering.

Fysiska säkerhetsåtgärder
Skydd som införs för att förhindra obehörig fysisk åtkomst till information, lokaler och utrustning.
Exempel: passerkontroller, övervakning, säkrade utrymmen.

Tekniska säkerhetsåtgärder
Tekniska lösningar som implementeras för att skydda information och IT‑miljöer.
Exempel: kryptering, multifaktorautentisering, skydd mot skadlig kod.

Resultat av genomförandefasen

Det förväntade resultatet av genomförandefasen är att KTH har infört de beslutade informationssäkerhetsåtgärderna samt etablerat och börjat använda informationsklassificeringsprocessen i verksamheten.

Dessa åtgärder och arbetssätt utgör underlag för uppföljning och utvärdering i nästa steg i PDCA‑cykeln, Check‑fasen .