Hvad er en informationssikkerhedspolitik?
En informationssikkerhedspolitik, eller it-politik, er grundlæggende for arbejdet med informationssikkerhed i en virksomhed. Her er hvad den indeholder, og hvordan I laver den.
.webp)
Gry Josefine Løvgren er content specialist hos Wired Relations, hvor hun formidler viden om GRC, databeskyttelse og cybersikkerhed på vores blog og sociale medier. Med en journalistuddannelse fra Roskilde Universitet og solid erfaring gør hun komplekse emner både engagerende og letforståelige.
Læs mere fra forfatterenEn informationssikkerhedspolitik udgør grundstenen for arbejdet med informationssikkerhed i virksomheden.
Formålet med politikken er at skabe en fælles forståelse af, hvad informationssikkerhed er samt definere målsætningerne og ansvarsfordelingen for arbejdet med informationssikkerhed. Kort sagt viser den, hvordan virksomheden beskytter følsomme oplysninger og data aktiver mod sikkerhedstrusler.
Politiken bør ideelt set følge ISO 27001, den internationale ledelsesstandard for informationssikkerhed. Informationssikkerhedspolitikken er specificeret i paragraf 5.2, hvor der står, at: “Ledelsen er forpligtet til at etablere en informationssikkerhedspolitik,” som skal:
Dokumenteres
Godkendes af topledelsen
Kommunikeres til alle medarbejdere
Gennemgås og opdateres efter behov
Hvad indeholder en informationssikkerhedspolitik?
En informationssikkerhedspolitik, eller it-politik, indeholder flere punkter, som skal belyses, herunder målsætninger og ansvar. Nedenfor er listet de punkter, som den med fordel kan indeholde.
Formål: Udstik et helt enkelt og kort formål, så som at fastlægge rammerne for arbejdet med informationssikkerhed.
Definitioner: Hvilke begreber anvendes i politikken og hvad forstås ved dem – kan for eksempel være 'informationssikkerhed' og 'data'.
Målgruppe: Målgruppen vil typisk være alle virksomhedens ansatte.
Målsætninger: Dette punkt er helt centralt da det her fastsættes, hvad det er, man arbejder hen imod. Målsætninger kan være at opnå specifikke certificeringer, at skabe en god kultur for informationssikkerhed på arbejdspladsen eller, at man ønsker at arbejde risikobaseret. Målene vil typisk være funderet i at arbejde med præmissen om fortrolighed, integritet og tilgængelighed, som er grundlæggende i informationssikkerhed. Det vigtigste er at få fastlagt nogle mål, som er klart definerede og realistiske for virksomheden at opnå.
Ansvar: For at sikre it-sikkerhedspolitikkens efterlevelse skal ansvaret placeres på tværs af organisationen. Det er ledelsen, der vil have det overordnede ansvar for, at virksomheden lever op til målsætningerne i politikken, mens den daglige styring af arbejdet med informationssikkerhed varetages af virksomhedens interne compliance-team i samarbejde med virksomhedens it-afdeling. Dertil kan der være systemansvarlige, som bistår det interne compliance-team i arbejdet med informationssikkerhed i forhold til de enkelte systemer.
Den enkelte medarbejder er ansvarlig for at følge de retningslinjer, der udspringer af politikken. Den enkelte medarbejder er desuden forpligtet til at underrette ledelsen om brud på informationssikkerheden eller mistanker herom.
Opfølgning: Her defineres det hvor ofte og af hvem, der skal følges op på politikkens indhold samt det overordnede sikkerhedsniveau.
Overtrædelse: Her defineres det, hvad det vil have af konsekvenser, hvis politikken overskrides.
Undtagelser: Undtagelser kan vurderes af ledelsen, men man bør i vidt muligt omfang bestræbe sig på at undgå fravigelse fra politikken.
Understøttende retningslinjer, politikker og procedurer: Beskriv hvilke supplerende dokumenter, der udspringer af politikken.
Dokumentation: Noter at virksomheden dokumenterer arbejdet med informationssikkerhed samt efterlevelsen af de databeskyttelsesretlige regler.
Kontakt: Noter hvem i virksomheden, der kan kontaktes ved spørgsmål om informationssikkerhed.
Læs også: Informationssikkerhed, cybersikkerhed og it-sikkerhed: Hvad er forskellen?
