Ønsker du, at din organisation tager arbejdet med forebyggelse af datalæk seriøst? Så bør du udarbejde en politik for it-sikkerheden. Helt overordnet er det ledelsens ansvar at vedtage en politik på området og sikre, at alle kender til og efterlever den.
Her defineres retningslinjerne i forhold til de risici, der er forbundet med området. Optimalt set udformes politikken i tråd med ISO 27001 – den internationale ledelsesstandard for informationssikkerhed.
Inden vi kigger på politikkens indhold, er det essentielt at forstå, at der er forskel på en politik for it-sikkerheden og procedurer for it-anvendelse.
It-sikkerhedspolitikken fastlægger rammerne på et overordnet plan. Den sætter fokus på målsætninger og placerer ansvaret for it-sikkerheden på tværs af organisationen. Du bør derfor se den som et strategisk styringsredskab for organisationens it-sikkerhedstiltag.
Procedurer for it-anvendelse er et mere konkret værktøj målrettet alle medarbejdere. Her defineres og beskrives specifikke procedurer for brug af organisationens it-systemer.
Med det på plads er vi klar til at gå videre til det egentlige spørgsmål; hvad skal din politik for it-sikkerhed indeholde?
6 trin til en politik for it-sikkerhed
Formålet med en it-sikkerhedspolitik er at danne et strategisk overblik over arbejdet, og politikken skal definere målsætninger, placere ansvar og sætte krav til måling af resultater.
For at komme hele vejen rundt bør din it-sikkerhedspolitik som minimum indeholde seks punkter:
- Formål
- Målgruppe
- Målsætning
- Ansvar og ejerskab
- Måling af resultater
- Overtrædelse
Nedenfor gennemgår vi punkterne én for én og kommer med konkrete eksempler på, hvad de kan indeholde.
1) Formål
Først og fremmest skal politikkens formål defineres, og du skal vurdere de risici, du vil fokusere på. I de fleste tilfælde er det helt enkelt at sætte rammerne for, hvordan organisationen styrer og kontrollerer it-sikkerheden.
Formålet kan formuleres:
”Politikken for organisationens it-sikkerhed definerer rammerne for styring og kontrol af it-sikkerheden i XXX (indsæt organisationens navn).”
2) Målgruppe
Næste trin er at definere, hvem i organisationen der berøres af politikken. Ofte vil det være alle ansatte, men det kan være nødvendigt at inkludere eksterne samarbejdspartnere, konsulenter eller lignende, som på den ene eller anden måde har adgang til organisationens it-systemer.
Punktet kan eksempelvis formuleres:
”Politikken for organisationens it-sikkerhed gælder for alle ansatte i XXX samt for alle eksterne samarbejdspartnere, der har adgang til XXXs it-systemer.”
3) Målsætning
Det fundamentale omdrejningspunkt i it-sikkerhedspolitikken er målsætningerne. Med klart definerede mål kan resultaterne vurderes. Derfor er det vigtigt at overveje nøjagtigt, hvilke mål organisationen har, og om de er realistiske at nå.
Formuleringen af din målsætning kan eksempelvis lyde:
”XXX anvender en risikobaseret tilgang til it-sikkerhed. Sikkerhedsniveauet besluttes på grundlag af en forretningsmæssig risiko- og konsekvensanalyse, der som minimum foretages hvert år.”
4) Ansvar og ejerskab
For at sikre it-sikkerhedspolitikkens efterlevelse skal ansvaret placeres på tværs af organisationen. Mens den it-ansvarlige sidder med den daglige drift, er der andre, der også skal have ansvar, hvis arbejdet skal lykkes.
Ansvarsfordelingen kan formuleres:
- Bestyrelsen har det overordnede ansvar for vedtagelse og implementering af informationssikkerheden i XXX.
- Direktionen har ansvar for it-sikkerhedspolitikkens efterlevelse samt uddelegering af specifikke ansvarsområder – herunder ejerskab.
- Ejerskab fastsættes for hvert enkelt kritisk it-system. Ejeren klarlægger nødvendige sikkerhedsforanstaltninger og administrerer dem i forhold til it-sikkerhedspolitikken.
- It-afdelingen har ansvar for rådgivning, koordinering, kontrol og rapportering, og it-afdelingen udarbejder retningslinjer for it-anvendelse i organisationen.
- Den enkelte medarbejder er ansvarlig for at overholde gældende retningslinjer i it-sikkerhedspolitikken.
LÆS OGSÅ: Sådan sikrer du et succesfuld implementering af dit complianceprojekt
5) Måling af resultater
Måling af resultater er en vigtig del af en velfungerende politik for it-sikkerhed, da det sikrer kontinuitet og fremgang. Dette punkt skal ses som et værktøj, der dokumenterer arbejdet med målsætningerne.
Det kan for eksempel se således ud:
”It-afdelingen informerer direktionen om alle væsentlige sikkerhedsbrud, ligesom der årligt afleveres en statusrapport. Direktionen behandler statusrapporten og rapporterer til bestyrelsen.”
6) Overtrædelse
Det sidste punkt i politikken for it-sikkerhed handler om, hvad der skal ske ved bevidst overtrædelse af reglerne. Det skal både være tydeligt, om overtrædelse kan medføre sanktioner, og hvem der har ansvaret for at følge overtrædelserne til dørs. Det kan eksempelvis være HR-afdelingen.
Punktet om overtrædelse kan formuleres:
”Forsætlig overtrædelse af it-sikkerhedspolitikken rapporteres af it-afdelingen til HR-afdelingen samt nærmeste leder. Overtrædelse af politikken eller de understøttende retningslinjer for it-anvendelse kan føre til sanktioner og få ansættelsesretlige konsekvenser."
LÆS OGSÅ: Sådan kommer du i gang med at blive ISO 27001-certificeret
