Informasjonssikkerhetspolicy


Denne veiledningen gir en forklaring på hva en informasjonssikkerhetspolicy er og hva en bør tenke på når en virksomhet skal lage en informasjonssikkerhetspolicy.

Hva er en informasjonssikkerhetspolicy

Informasjonssikkerhetspolicyen i en virksomhet uttrykker ledelsens intensjoner og mål for arbeidet med informasjonssikkerhet. Den gir svar på spørsmål som hvorfor en virksomhet beskytter egen informasjon, og hvor høyt sikkerhetsarbeidet skal prioriteres. Samtlige ansatte skal være kjent med policyen, og arbeide etter de føringer som den gir. Informasjonssikkerhetspolicyen skal være langsiktig og konsentrere seg om de store linjene. Den kan gjerne være målbar slik at man har mulighet til å vurdere om den følges eller ikke.

Formen må være slik at den er lett å kommunisere både til ansatte og samarbeidspartnere. Den bør være enkel, lettforståelig, konkret og ikke for lang – gjerne innenfor to sider.

En informasjonssikkerhetspolicy skal ikke beskrive hva som skal gjøres og hvordan, men fokusere på hvorfor informasjonssikkerhet er viktig og hva som er målene. Den skal ikke gi en detaljert beskrivelse av sikkerhetstiltak, eller fokusere på teknologi og aktuelle løsninger. Ut fra policyen skal man kunne lage mer detaljerte retningslinjer for informasjonssikkerhet i virksomheten.

Viktigheten av å ha en informasjonssikkerhetspolicy

En informasjonssikkerhetspolicy gir en felles plattform som gjør det mulig å handle konsekvent når det gjelder informasjonssikkerhet. Slik minsker man risikoen for at ansatte spør seg:

  • Hvilke regler er det som gjelder?
  • Hvem har ansvar for hva?
  • Hvorfor trenger jeg disse sikkerhetstiltakene?
  • Hva er det egentlig ledelsen syns er viktig?

En klart uttalt informasjonssikkerhetspolicy synliggjør for mellomledere og andre ansatte at informasjonssikkerhet skal prioriteres. Det vil også være enklere å velge riktige sikringstiltak når langsiktige føringer for sikkerhetsarbeidet er gitt.

 En informasjonssikkerhetspolicy vil markere for omverdenen at virksomheten tar sikkerhet alvorlig. Dette kan være av betydning for kunder, og vil være et utgangspunkt for å stille krav til informasjonssikkerhet overfor leverandører.

Grunnlag for arbeidet

I forkant av arbeidet med å lage en informasjonssikkerhetspolicy er det viktig å kjenne hvilke verdier, langsiktige forretningsmål og hvilken risiko virksomheten er utsatt for. Ut fra det kan man beskrive hvilken beskyttelse som er nødvendig og hvilken prioritet sikkerhetsarbeidet skal ha. En enkel risikovurdering vil gi dette grunnlaget. Kravene til informasjonssikkerhet bør stå i forhold til andre krav i virksomheten, f eks kvalitetskravene.

Flere lover, som personopplysningsloven og sikkerhetsloven – med tilhørende forskrifter, stiller krav til beskyttelse av informasjon. Samarbeidspartnere kan også stille krav til sikkerhet, og god sikkerhet kan være et konkurransefortrinn. En oversikt over eksterne krav er et nyttig utgangspunkt for arbeidet.

Innholdet i en informasjonssikkerhetspolicy

Det finnes ingen standardpolicy som passer for alle virksomheter, men det er noen spørsmål som bør bli besvart i en slik policy:

Hvorfor informasjonssikkerhet er viktig

Informasjonssikkerhet må være forankret i virksomhetens mål og behov. Det er viktig å beskrive disse behovene; hva de er og hvorfor de er viktige. Slik blir det lettere både å motivere andre til å jobbe for å bedre informasjonssikkerheten, og å gjøre de riktige prioriteringene. Virksomhetens forretningsmål og eksterne krav er et utgangspunkt for å beskrive hvorfor informasjonssikkerhet er viktig.

Mål for informasjonssikkerhet

En sikkerhetspolicy bør inneholde langsiktige og mest mulig teknologinøytrale mål, som beskriver fremtidig satsning. De langsiktige forretningsmål bør være utgangspunktet. Hva som skal beskyttes, og på hvilket nivå beskyttelsen skal være må beskrives. Policyen må reflektere hvilket ambisjonsnivå virksomheten har knyttet til informasjonssikkerhet.

Viktige prinsipper for informasjonssikkerhet

En risikovurdering kan danne bakgrunn for og peke på områder som krever tiltak til informasjonssikkerhetsarbeidet. Andre viktige prinsipper virksomheten har knyttet til behandling av informasjon må beskrives på et overordnet nivå. Det bør også sies noe om hvordan policyen skal følges opp, og hva som vil være konsekvensene av å bryte informasjonssikkerhetspolicyen.

Ansvar og roller

Det er viktig at ansvar for informasjonssikkerhet beskrives klart. Øverste leder er ansvarlig for virksomhetens informasjonssikkerhet og må stå ansvarlig for innholdet i policyen og godkjenne den. Som et minimum bør ansvar til øverste leder og alle medarbeidere beskrives. Virksomhetens størrelse, organisering og forretningstype kan avgjøre i hvilken grad virksomheten skal utnevne egen informasjonssikkerhetsansvarlig. Dette kan være en heltids- eller deltidsjobb. Ansvar for å følge opp informasjonssikkerhetspolicyen, og sørge for at nødvendige endringer blir gjort bør også beskrives.

Implementering av informasjonssikkerhetspolicy

Informasjonssikkerhetspolicyen må følges opp, den må gjøres kjent og må etterleves. Informasjonssikkerhetspolicyen bør periodisk gjennomgås med tanke på oppdatering. Policyen må deles ut til alle ansatte, og alle nyansatte må informeres om innholdet. Ansatte må også gis opplæring for å kunne følge policyen. Ledere må være gode forbilder og ikke ved sine handlinger la ansatte få inntrykk av at sikkerhetspolicyen ikke alltid gjelder. Nødvendige midler må også gjøres tilgjengelig, for å være i stand til å nå de målene man har satt seg.

Interne krav, risikobilde og krav fra omgivelser endrer seg og informasjonssikkerhetspolicyen må oppdateres jevnlig. Krav og retningslinjer som til enhver tid gjelder må finnes lett tilgjengelig slik at ansatte vet hva som gjelder. Revisjoner kan skje periodiske eller ved større endringer som har innvirkning på innholdet. Virksomheten trenger også mer detaljerte retningslinjer for informasjonssikkerhet som må reflektere innholdet i policyen, slik at sikkerhetsarbeidet blir preget av helhetstenkning.

Mer informasjon

Sikkerhetsledelse

Veiledningen ser på ledelse av informasjonssikkerhet, og hovedpunktene ledere og informasjonssikkerhetsansvarlige i virksomheter må følge opp i sitt arbeid.

Risikostyring knyttet til bruk av IKT

Veiledningen tar for seg hvordan man gjennomfører en risikovurdering.

Personellsikkerhet

Veiledningen gir råd om hvordan man kan kommunisere sikkerhetskrav til medarbeiderne.

Mal for informasjonssikkerhetspolicy

Denne veiledningen er en mal for hvordan små og mellomstore virksomheter kan lage sin informasjonssikkerhetspolicy.

Andre

NS-ISO/IEC 27002:2005 Administrasjon av informasjonssikkerhet

Standarden inneholder også beskrivelse av mål og tiltak som kan brukes som utgangspunkt i arbeidet med å finne egne satsningsområder. Kan kjøpes hos standard.no.

Informasjon fra Nettvett.no er hentet fra flere kilder. Nettvett.no vurderer informasjon før publisering, men Nettvett.no kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.

Var dette nyttig for deg?

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *