In English

2 Ramverksbeskrivning

Organisationstillit kan inte kravställas eller följas upp direkt utan behöver hanteras indirekt genom organisationens tillitsfrämjande förmågor.

Det är sex strategiska förmågeområden för organisationstillit som är identifierade och som, till olika grad, behöver finnas hos de organisationer som skall nyttja den digitala infrastrukturen.

Förmågeområden

Klicka här för att förstora bilden "Förmågeområden"

2.1 Beskrivning av förmågeområden

  • Transparens innebär att organisationen ska ha förmågor att följa upp och kommunicera följsamhet mot ramverkets förmågor. För att kunna kommunicera sin följsamhet inom alla förmågeområden behöver en organisation strukturerat samla in, analysera och värdera sina resultat. Organisationen behöver genomsyras av en övertygelse att öppenhet och transparens är en förutsättning för att erhålla tillit från andra. Transparensen kan också skapa förutsättningar för ett lärande mellan organisationer och därmed bidra till utvecklingen i stort.

    + Om en organisation i sina arbetssätt kännetecknas av öppenhet och transparens finns förutsättningar för att risker och förbättringsmöjligheter fångas upp snabbt och effektivt internt såväl som i Ena-samverkan. Det kan bidra till ökad tillit och ökat informationsutbyte.

    - Om inte det finns transparens och öppenhet finns risken att man varken inom organisationen eller inom Ena-samverkan vill rapportera om risker, händelser eller incidenter som kan påverka andra organisationer. Händer det ökar misstroendet för att medverka i Ena.
  • Ständiga förbättringar innebär att organisationen ska ha förmågor att leda förbättringsarbete inom alla förmågeområden och att utveckla organisationens tillitsgrundande förmågor. Det förutsätter att organisationen har ett arbetssätt för systematiskt kvalitetsutveckling. Förmågan behöver utgå från högsta ledningens drivkraft, engagemang och intresse för att ständigt förbättra arbetssätt och resultat.
    Förmågan är också en förutsättning för att stegvis kunna ställa högre krav på tillitsgrundande förmågor.

    + Om en organisation har arbetssätt för att bedriva ett aktivt förbättringsarbete finns förutsättningar för bl att både arbetsflöden förbättras och nya tjänster/informationsutbyten kan utvecklas inom Ena dvs ökad användning innebär ökad nytta för Ena och för den offentliga förvaltningen.

    - Om en organisation inte kännetecknas av ständiga förbättringar på alla nivåer finns risken att Enas tjänster bedrivs på ett ineffektivt sätt eller att de informationsutbyten som skulle skapat verkligt hög nyttoeffekt aldrig realiseras.
  • Riskbaserat arbetssätt innebär att organisationen ska ha förmågor att arbeta riskbaserat i verksamhetsprocesser och i synnerhet vid hantering av information. Det förutsätter att organisationen har fokus på att såväl identifiera risker som hantera och strukturerat följa upp risker över tid. Förmågan bygger på en kultur med intresse och aktiv dialog om risker, att en identifierad risk ses som möjligheter för att förbättra informationssäkerheten och för att nå sina högt uppsatta mål.

    + Om en organisation har en förmåga att fånga upp och hantera olika risker ökar möjligheterna att Ena kommer kännetecknas av att informationsutbyten sker säkert och smidigt med rätt information till rätt organisation i rätt tid. Det innebär att fler tjänster kan utvecklas och i befintliga tjänster minimeras riskerna kontinuerligt.

    - Om en organisation inte har förmåga att fånga upp och hantera risker finns risken att dessa risker påverkar hela informationsutbytet inom Ena exempelvis kortare eller längre avbrott. Risker som inte hanteras kommer att minska drivkraften och tilliten och engagemanget till Ena från medverkande organisationer.
  • Informationsklassning och säkerhetsåtgärder innebär att organisationen ska ha förmågor att klassa information och att införa relevanta säkerhetsåtgärder för att erhålla rätt nivå av informationssäkerhet. Detta innebär att det finns arbetssätt, metoder och verktyg för hela processen och som stödjer arbetet med målet att informationen för rätt skydd.

    + En organisation som har förmåga att erhålla rätt nivå av informationssäkerhet leder sannolikt till färre risker och händelser inträffar som kan påverka informationsutbytet negativt. Därmed ökar tilliten från deltagande organisationer till Enas samarbete och skapar förutsättningar för ökat intresse för ytterligare tjänster kan utvecklas.

    - Om en organisation inte har förmåga att erhålla rätt nivå av informationssäkerhet genom klassning med rätt säkerhetsåtgärder ökar risken att negativa händelser kommer hända och som kommer påverka tilliten till Enas tjänster. Därmed minskar intresset att utbyta information och därmed hela nyttan med Ena minskar.
  • Avvikelse- och incidenthantering innebär att organisationen har förmågor att identifiera och hantera incidenter och avvikelser samt att följa upp dess grundorsaker. Förmågan att kunna kommunicera incidenter enligt Ena:s rutiner är centralt och tillitsgrundande. Det förutsätter att organisationen har arbetssätt som stödjer en effektiv hantering av incidenter, samt ett genuint engagemang för att eliminera upprepning. Det förutsätter en kultur där medarbetare vill och vågar rapportera, bidra och lära med organisationens bästa för ögonen.

    + En organisation som har förmåga att effektivt och med en öppen kultur hantera negativa händelser leder sannolikt till att påverkan/skadan begränsas samt att andra organisationer snabbt får information för att minimera att händelserna eskalerar, exempelvis avbrott i tjänster minimeras.

    - En organisation som inte har förmåga att effektivt hantera händelser och dessutom kan ha en syndabockskultur vid hantering av negativa händelser, kan öka risken att händelser eskalerar och därmed kan påverka andra organisationer påtagligt exempelvis avbrotten blir längre. I så fall kommer även tilliten till Ena-samarbetet att påverkas negativt och därmed minskar intresset att medverka till mer informationsutbyten.
  • Livscykelhantering av informationssystem innebär att organisationen har förmågor att kvalitetssäkra utveckling, implementering, förändring samt avveckling av informationssystem. Att över tid hantera organisationens informationssystem med högt säkerhetsfokus är en viktig förutsättning för att erhålla tillit från andra.

    + Om informationsutbytet sker ”sömnlöst” utan avbrott även vid kritiska förändringar ökar intresset att utbyta information mellan aktörerna. Tilliten till myndigheter (offentliga Sverige) kan öka från medborgare och företag om informationsflödet sker säkert och effektivt.

    - Om en organisation inte har förmåga att kvalitetssäkra utveckling, implementering och/eller avveckling med hög säkerhet finns stor risk att driftstörningar i informationsutbytet kommer ske. Det ökar risken för att tilliten till Ena-samarbetet urholkas och engagemanget och tilltron till Ena minskar.
    Här sker omvänt att samhället i stort kan minska sin tillit till myndigheter (offentliga Sverige) om olika avbrott och driftstörningar sker.

2.2 Utvärdering av förmågor

SIQ systematik figur

Klicka här för att förstora bilden "SIQ systematik"

I ramverket för organisationstillit har valts att använda fyra nivåer. Den första nivån där brister finns i arbetssätt och systematik, till den fjärde nivån som motsvarar att vara i världsklass (i en grov jämförelse med SIQs 1000 poäng omfattar denna nivå ungefär hälften av de 1000 poängen).
De sex förmågeområdena bedöms var och en för sig och mognaden bedöms utifrån ett kvalitetsperspektiv.

2.3 Nivåer av organisationstillit

Samverkansöverenskommelsen ställer krav på en viss nivå av ovanstående förmågor. Krav och förmågor kopplas till relevant nivå av organisationstillit och anpassas till krav på organisationens roll och på aktuell informationsdelning (tjänst).
Ramverket för organisationstillit förtydligar därför vilken grad av mognad på förmågor som krävs för respektive tillitsnivå. Mognaden på förmågan bedöms utifrån i vilken omfattning organisationen har etablerade arbetssätt inom respektive förmåga och i vilken utsträckning som arbetssätten används, förbättras samt vilka resultat arbetssättens skapar.

Nivåer av organisationstillit

Klicka här för att förstora bilden "Nivåerna av organisationstillit"

För att säkerställa att förmågorna och uppföljningen av förmågorna är relevanta över tid krävs en regelbunden översyn av dem. Det ställer krav på ett transparant förändringsarbete för att säkerställa förtroende över tid, för ramverkets förmågor och uppföljningar.

2.4 Certifiering

Syftet med certifiering av organisationer mot ramverket är att formellt och systematiskt stödja organisationernas utveckling av förmågor för organisationstillit över tid – Ständiga förbättringar.
Ett annat viktigt syfte med certifieringen är att ge förutsättningar för transparens vilket är ett fundament för att kunna skapa ett tillitsfullt ekosystem.

Genom att följa upp att en organisation har överenskomna förmågor kan en formell certifiering ge övriga organisationer tillitsgrundand information om den certifierade organisationen och inte tvivla på eller gissa dess förmågor. Organisationer som saknar delar av erforderliga förmågor får incitament och stöd att åtgärda dessa genom korrigerande åtgärder.

Notera att definitionen av ”certifiering” inte likställs med certifiering mot ISO-standards, utan anpassas till Enas behov och rättsliga förutsättningar.

2.5 Tillitsanalys

Metod och verktyg för att verifiera att en organisation har önskade nivåer av förmågor benämns ”tillitsanalys” och är uppdelad i två steg för bästa balans mellan djup och effektivitet.

Noga utvalda självskattningsfrågor kompletterade med styrkande dokumentation, tillsammans med ett effektivt IT-stöd, är grunden i tillitsanalysen. En första POC är genomfördes 2021 och en POC2 planeras till vintern 2022/2023 inom ramen för utvecklingsfasen.

Tillitsanalysen ligger till grund för den initiala kvalificeringen och till det ständiga förbättringsarbetet av tillitsgrundande förmågor inom offentlig sektor.

Senast uppdaterad: