Sådan laver du en IT-sikkerhedspolitik

Sådan laver du en IT-sikkerhedspolitik – En trin-for-trin-guide med skabelon

IT-politikken-retningslinjer
Anders Bryde

Anders Bryde Thornild

15. JULI 2020 • LÆSETID 12 MIN.

I dette indlæg vil jeg gennemgå, hvordan du kan bruge en af vores skabeloner til at lave en god IT-sikkerhedspolitik og derved forbedre IT-sikkerheden i din organisation. 

Vi har også lavet en lignende guide til IT-retningslinjer til dine medarbejdere, som du kan finde her. 

Begge dokumenter er vigtige værktøjer til at opnå en god IT-sikkerhedskultur i din organisation, men hvad omhandler de egentlig?

Hvad er forskellen på en IT-sikkerhedspolitik og retningslinjer for IT-anvendelse?

Hvis du arbejder med IT-sikkerhed i din organisation, kan det være brugbart at have en IT-sikkerhedspolitik og retningslinjer for IT-anvendelse. 

IT-sikkerhedspolitikken har til formål at sætte rammerne for organisationen på et overordnet niveau. Den indeholder målsætninger og placerer det overordnede ansvar for IT-sikkerheden i organisationen. Det er et kort dokument, der ikke fylder meget mere end et par sider. Det kan ses som et ledelsesnotat med ambitioner for organisationens IT-sikkerhedstiltag. 

Retningslinjer for IT-anvendelse er derimod et længere dokument med konkrete regler og retningslinjer som ens medarbejdere skal følgeDokumentet er målrettet alle medarbejdereHvor politikken er overordnet og strategisk, er retningslinjerne konkrete og implementerbare. 

Hvis du gerne vil guides igennem hvordan man laver IT-retningslinjer, så klik her.

I dette indlæg vil jeg gå igennem skabelonen for en god IT-sikkerhedspolitik og hvad du skal være opmærksom på, når du udfylder dette dokument.

IT-sikkerhedspolitikken

Formål

Formålet med en IT-sikkerhedspolitik er, som nævnt, at danne rammerne for organisationens IT-sikkerhedsarbejde. Politikken skal hjælpe dig med at danne målsætninger, placere ansvar og rapportere fremgang.  

Jeg vil herunder gå gennem hvert enkelt punkt i skabelonen med kommentarer om, hvordan den kan bruges 

Du kan hente skabelonen ved at klikke på knappen herunder:

Hvis du hellere vil lytte til en guide, har vi også lavet en podcast, der går gennem skabelonen,  Vi anbefaler, at du sidder med skabelonen ved din side, når du læser videre, da den er fyldt med eksempler på, hvad politikken kan indeholde. 

Sådan udfylder du IT-sikkerhedspolitikken

IT-sikkerhedspolitikken indeholder syv punkter, der skal tages stilling til og udfyldes. Disse punkter er: 

Jeg vil herunder gå gennem dem en ad gangen og komme med eksempler på, hvad du skal overveje i din organisation, og hvad punkterne kan indeholde.

Trin 1: Formål

Det første punkt, du skal overveje i politikken, er dens formål. Dens formål vil næsten altid være at sætte rammerne for styringen af informationssikkerheden i en organisation. Punktet vil derfor ofte formuleres a la: 

”Sikkerhedspolitikken definerer rammerne for styring af informationssikkerhed i ORG X.” 

Trin 2: Gyldighed

Gyldighed omhandler, hvem der er berørt af politikken. Det vil ofte være samtlige ansatte i organisationen. Det kan også være, at alle konsulenter, der arbejder for organisationen, skal inkluderes, eller alle der overhovedet sidder på organisationens IT-system. 

Punktet kan f.eks. formuleres som: 

”Sikkerhedspolitikken gælder for alle ansatte i ORG X og al anvendelse og adgang til ORG Xs informationssystemer.” 

Trin 3: Målsætninger

Det tredje step er målsætninger.

Målsætningerne er på mange måder det centrale element i IT-sikkerhedspolitikken. Det er her, at I definerer, hvad I gerne vil opnå. Det er disse målsætninger, der skal opnås for, at man er i mål med sin informationssikkerhed. 

I vores skabelon er der 8 eksempler, der kan bruges, justeres eller slettes, så de passer til jeres organisation. Det er vigtigt at overveje, hvorfor I har jeres målsætninger, og om de er realistiske at opnå. De 8 eksempler kan findes i skabelonen, men herunder kan du se én af dem: 

“ORG X anvender en risikobaseret tilgang, hvor beskyttelsesniveauet og omkostningerne hertil skal være baseret på en forretningsmæssig risiko- og konsekvensanalyse som skal foretages minimum årligt. “ 

Eksemplerne peger på at følge eksisterende rammer som f.eks. ISO27001:2013. Det gør de fordi, at man ikke nødvendigvis behøver at opfinde den dybe tallerken selv. Det er helt okay at bruge regelsæt, der allerede eksisterer. 
Derudover vil nogen påpege, at det er vagt at bruge et ord, som at ”tilstræbe”Brugen af dette ord skal forstås som, at det f.eks. er et stort stykke arbejde at efterleve ISO27001:2013 eller følge alt GDPR-lovgivning fra dag et. Det vil for mange organisationer være et urealistisk mål. Ordet tilstræbe sætter et krav til, at man bevæger sig hen imod at kunne efterleve målsætninger fuldt ud, men acceptere også, at det ikke kan lade sig gøre fra dags dato.  

Politikken skal ses som et dokument i udvikling, der skal revurderes af flere omgange. Ordlyden kan ændre sig hen ad vejen, når I bliver klogere eller bedre som organisation. Ved at evaluere og opdatere politikken hvert år, vil I også se en udvikling i jeres målsætninger, der passer til jeres organisations virkelighed.  

Det sikrer, at politikken ikke bliver et støvet dokument, men et aktivt værktøj. 

Trin 4: Organisation og ansvar

Det er vigtigt, at I får fordelt ansvaret for IT-sikkerheden på tværs af organisationen. Her kan politikken også være et vigtigt redskab. Det er muligvis den IT-ansvarlige, der sidder med mange daglige opgaver og driften, men der skal også placeres ansvar og opgaver andre steder i organisationen, hvis den IT-ansvarlige skal lykkes. Der er både et ansvar helt oppe på bestyrelsesniveau, men også helt nede på medarbejderniveau. 

Som det ses i skabelonen, kan en ansvarsfordeling f.eks. se således ud:

  • Bestyrelsen har det ultimative ansvar for informationssikkerheden i ORG X.  
  • Direktionen er ansvarlig for styringsprincipperne og delegerer specifikke ansvarsområder for beskyttelsesforanstaltninger, herunder ejerskab af informationssystemer.  
  • Ejerskab fastsættes for hvert kritisk informationssystem. Ejeren fastlægger hvorledes sikringsforanstaltninger anvendes og administreres i overensstemmelse med sikkerhedspolitikken.  
  • IT-afdelingen rådgiver, koordinerer, kontrollerer og rapporterer om status på sikkerheden. IT-afdelingen udarbejder hertil understøttende retningslinjer og procedurer.  
  • Den enkelte medarbejder er ansvarlig for at overholde sikkerhedspolitikken og er informeret herom i ”IT-anvendelsespolitikken””. 

Det er vigtigt at påpege, at det ikke nødvendigvis er IT-afdelingen, der har ejerskab over alle informationssystemer. Det kan f.eks. være, at marketing-afdelingen har ejerskab over virksomhedens hjemmeside. Det er vigtigt, at ansvarsfordelingen afspejler jeres organisations virkelighed. 

Trin 5: Dispensationer

Punktet dispensationer kan udfyldes med undtagelser, der betyder at enten ansvar eller målsætninger ikke er gældende i særlige tilfælde. Hvis I ikke har nogle tydelige undtagelser, kan der formuleres, at det potentielt kan gives i fremtiden, hvis der opstår situationer, der kræver det. Der kan f.eks. stå: 

”Dispensationer til ORG Xs informationssikkerhedspolitik og retningslinjer godkendes af IT-afdelingen ud fra retningslinjer udstukket af direktionen.” 

Trin 6: Rapportering

Rapportering er vigtigt, da det skaber et loop og en proces i IT-sikkerhedsarbejdet. Rapporteringen handler om at belyse ansvar. Ved at der f.eks. skal rapporteres fra IT-afdelingen til ledelsen sikrer man, at der skabes fremgang, da rapporterne skal vise resultater.  

Rapporteringen er altså et værktøj til at sikre, at ansvaret holdes, og at der arbejdes med målsætningerne. 

Punktet kan f.eks. se således ud: 

  • IT-afdelingen informerer direktionen om alle væsentlige sikkerhedsbrud.  
  • Status over dispensationer inkluderes i IT-afdelingens årlige rapport til direktionen.  
  • Direktionen behandler årligt sikkerhedsstatus og rapporterer til bestyrelsen herom. 
Trin 7: Overtrædelse

Det sidste step i IT-sikkerhedspolitikken omhandler, hvad der skal ske ved en forsættelig overtrædelse af IT-sikkerhedspolitikken. Det kan f.eks. være, at det er HR-afdelingens ansvar at tage sig af overtrædelser. Det vigtige er, at man har skrevet ned, hvem der tager sig af overtrædelser, så man sikrer sig, at der bliver taget handling. I vores skabelon står der f.eks.: 

 Forsætlig overtrædelse og misbrug rapporteres af IT-afdelingen til HR-afdelingen og nærmeste leder. Overtrædelse af informationssikkerhedspolitikken eller understøttende retningslinjer kan få ansættelsesretlige konsekvenser. 

IT-sikkerhedspolitikken sætter rammen for jeres sikkerhed

De syv punkter udgør din IT-sikkerhedspolitik. Den behøver ikke nødvendigvis at fylde mere end et par sider, da dens formål blot er at sætte rammerne for organisationens IT-sikkerhedsarbejde.  

Når ambitionerne er på plads gennem politikkens målsætninger, kan dig og din organisation dykke ned i mere konkrete regler og guidelines i form af et sæt retningslinjer for IT-anvendelse, som medarbejdere skal følge for at IT-sikkerhedspolitikkens målsætninger kan opnås. 

Et stærkt grundlag for jeres IT-sikkerhedskultur

IT-sikkerhedspolitikken og retningslinjerne giver til sammen et stærkt grundlag for at skabe en god IT-sikkerhedskultur i din organisation. Hvis du også gerne vil have hjælp til at lave gode retningslinjer for IT-anvendelse, så kan du finde en lignende guide her.

Det er vigtigt, at dokumenterne ikke bare ligger og samler støv, når I har udfyldt dem, men at I kontinuerligt evaluerer og opdaterer dem. Vi anbefaler, at man opdaterer dokumenterne årligt. 

Der skal arbejdes aktivt med målsætningerne og reglerne fra de to dokumenter, således at organisationen bevæger sig fremad. Her er de årlige evalueringerne gode muligheder for at se, om man rent faktisk har rykket sig. 

Jeg håber, at I har fundet skabelonen og guiden brugbar. 

Vil du holdes opdateret på IT-sikkerhed?

Comments are closed.