Informationssäkerhetspolicyn – grunden i ett systematiskt cybersäkerhetsarbete
Publicerad: 21 oktober 2025
Vi samtalar med Joakim Karlén om informationssäkerhetspolicyn – ett grundläggande dokument inom cybersäkerhetsarbetet, men som ofta förbises i mindre verksamheter.
Intervjuare: Vad menar vi egentligen med en informationssäkerhetspolicy, och varför är det här något som är viktigt även för lite mindre bolag?
Joakim Karlén: – En informationssäkerhetspolicy är ett dokument som beskriver vilka regler, ansvar och roller som gäller i organisationen när det handlar om informationssäkerhet. Den kan vara ganska detaljerad, men också mer översiktlig – det viktiga är att den sätter ramen för hur informationssäkerheten ska fungera i bolaget.
Intervjuare: Om man inte har en informationssäkerhetspolicy på plats – vilka risker finns då?
Joakim Karlén: – Den största risken är att medarbetarna inte vet vad som gäller. De vet inte vilken roll de själva har, eller vilket ansvar de bär för att upprätthålla en hög informationssäkerhet. Det leder till otydlighet och i förlängningen till större sårbarhet i verksamheten.
Intervjuare: Kan du ge ett exempel på vad en informationssäkerhetspolicy kan innehålla i praktiken?
Joakim Karlén: – Ett enkelt exempel är hur man hanterar lösenord. Får man ha egna lösenord, eller måste man använda tvåfaktorsautentisering? Det är en typisk regel som ofta finns med, och som påverkar alla anställda i vardagen.
Intervjuare: Hur gör man för att se till att policyn inte bara blir en pappersprodukt?
Joakim Karlén: – Det är jätteviktigt att gå igenom innehållet med alla anställda – både vid nyanställning och löpande. Man måste utbilda personalen i vad som står i policyn och varför. Och sedan måste man leva som man lär – följa det som står. Annars får policyn ingen faktisk effekt.
Intervjuare: Om man är en liten organisation och vill börja ta tag i informationssäkerhetsfrågorna – var börjar man?
Joakim Karlén: – Först och främst behöver man ha koll på sin egen verksamhet. Vilka system använder ni? Vilka tillgångar har ni? Det är grunden. Sedan finns det mycket bra hjälp att få – färdiga mallar och exempel att utgå ifrån. Mitt råd är: börja inte från noll, utan utgå från ett beprövat exempel.
På Lantero har vi utvecklat ett metodstöd för cybersäkerhetsarbete, där exempel på informationssäkerhetspolicyer och andra nyckeldokument ingår.
– Ni är varmt välkomna att höra av er till oss om ni vill arbeta vidare med frågorna. Vi kan hjälpa till att sätta en plan och struktur för hur arbetet med informationssäkerhet kan se ut framåt.
Sammanfattning
En informationssäkerhetspolicy är inte bara ett dokument för byrålådan – det är en levande del av organisationens säkerhetsarbete.
Genom tydliga regler, utbildning och ett systematiskt arbetssätt kan även mindre bolag höja sin cybersäkerhet markant.