Eksempel: Governance-model for informationssikkerhed (baseret på ISO 27001/NIS2-inspireret struktur)

Lær mere:

• Hvad er governance?
• Hvad er en governance-model? (og hvad skal den indeholde?)

1. Roller og ansvar

• Direktion: Godkender politikker og NIS2-sikkerhedsforanstaltninger, prioriterer ressourcer og indsatser samt fører kontrol med implementeringen (via kvartalsvise rapporteringer)
• CISO: Ansvarlig for vedligeholdelsen af ISMS (Information Security Management System) og SoA (Statement of Applicability). Rapporterer halvårligt til direktionen med fokus på risikobilledet og sikkerhedshændelser. Derudover ansvar for awareness-træning.
• IT-afdelingen: Implementerer tekniske kontroller, eksempelvis adgangsstyring, logning og patchning.
• Systemejer: Risikoansvarlig for de systemer, som systemejeren er ansvarlig for.
• Alle ansatte: Ansvarlig for at kende og følge sikkerhedspolitikker samt deltage i awarenesstræning

‍

2. Organisering og beslutningstagning

• Informationssikkerhedsforum mødes hver 2. måned. CISO indkalder og sætter dagsorden. CISO, IT, HR og DPO deltager. Direktionen kan inviteres, når det er nødvendigt).
• Risikovurderinger godkendes af CISO og behandles i samarbejde med systemejere. Gule og grønne risici accepteres af CISO, røde af direktionen.
• Sikkerhedshændelser håndteres efter en beredskabsplan, som er godkendt af direktionen.
  
  

3. Politikker og dokumentation

• Politikker og dokumentation findes i Wired Relations:
  
  • ISMS,
  • SoA,
  • Informationssikkerhedspolitik
  • Oversigt over systemer og leverandører
• Beredskabsplan findes printet hos de enkelte ansvarlige.
• Awareness-program for medarbejdere gennemføres efter plan, som er godkendt af ledelsen og dokumenteres løbende.

4. Kontrol og opfølgning

• Årlig gennemgang af risikovurdering og kontroller
• Test af beredskabsplan én gang årligt
• Ledelsesgennemgang (management review) én gang om året