Informasjonssikkerhetspolicy


Denne veiledningen gir en forklaring på hva en informasjonssikkerhetspolicy er og hva en bør tenke på når en virksomhet skal lage en informasjonssikkerhetspolicy.

Hva er en informasjonssikkerhetspolicy

En informasjonssikkerhetspolicy er et verktøy for ledelsen i en virksomhet, som på en oversiktlig måte summere opp hva som er viktig for å sikre mål og verdier i egen virksomheten. Policyen skal være en oversikts dokument over områder en må tenke på, mens det en skal gjøre i praksis vil nødvendigvis være beskrevet mer i detalj i egne operasjonelle retningslinjer eller guideliner. Samtlige ansatte skal være kjent med policyen, og arbeide etter de føringer som den gir. Informasjonssikkerhetspolicyen skal være langsiktig og konsentrere seg om de store linjene. Den kan gjerne være målbar slik at man har mulighet til å vurdere om den følges eller ikke.

Formen må være slik at den er lett å kommunisere både til ansatte og samarbeidspartnere. Den bør være enkel, lettforståelig, konkret og ikke for lang – gjerne innenfor to sider.

En informasjonssikkerhetspolicy skal ikke beskrive hva som skal gjøres og hvordan, men fokusere på hvorfor informasjonssikkerhet er viktig og hva som er målene. Den skal ikke gi en detaljert beskrivelse av sikkerhetstiltak, eller fokusere på teknologi og aktuelle løsninger. Ut fra policyen skal man kunne lage mer detaljerte retningslinjer for informasjonssikkerhet i virksomheten.

Viktigheten av å ha en informasjonssikkerhetspolicy

En informasjonssikkerhetspolicy gir en felles plattform som gjør det mulig å handle konsekvent når det gjelder informasjonssikkerhet. Slik minsker man risikoen for at ansatte spør seg:

  • Hvilke regler er det som gjelder?
  • Hvem har ansvar for hva, hvem kan jeg spørre?
  • Hvorfor trenger jeg disse sikkerhetstiltakene?
  • Hva er det egentlig ledelsen syns er viktig?

En klart uttalt informasjonssikkerhetspolicy synliggjør for mellomledere og andre ansatte hvordan informasjonssikkerhet skal prioriteres. Det vil også være enklere å velge riktige sikringstiltak når langsiktige føringer for sikkerhetsarbeidet er gitt.

En informasjonssikkerhetspolicy vil markere for omverdenen at virksomheten tar sikkerhet alvorlig. Dette kan være av betydning for kunder, og vil være et utgangspunkt for å stille krav til informasjonssikkerhet overfor leverandører.

Grunnlag for arbeidet

I forkant av arbeidet med å lage en informasjonssikkerhetspolicy er det viktig å kjenne hvilke verdier, langsiktige forretningsmål og hvilken risiko virksomheten er utsatt for. Ut fra det kan man beskrive hvilken beskyttelse som er nødvendig og hvilken prioritet sikkerhetsarbeidet skal ha. En enkel risikovurdering vil gi dette grunnlaget. Kravene til informasjonssikkerhet bør stå i forhold til andre krav i virksomheten, f eks kvalitetskravene.

Flere lover, som personopplysningsloven og sikkerhetsloven – med tilhørende forskrifter, stiller krav til beskyttelse av informasjon. En oversikt over eksterne krav er et nyttig utgangspunkt for arbeidet.

Samarbeidspartnere kan også stille krav til sikkerhet, og god sikkerhet mtp. at en godt kjenner hva en trenger og sikre og hvilke trusler en da har, vil være et konkurransefortrinn.

Innholdet i en informasjonssikkerhetspolicy

Det finnes ingen standardpolicy som passer for alle virksomheter, men det er noen spørsmål som bør bli besvart i en slik policy:

Hvorfor informasjonssikkerhet er viktig

Informasjonssikkerhet må være forankret i virksomhetens mål og behov. Det er viktig å beskrive disse behovene; hva de er og hvorfor de er viktige. Slik blir det lettere både å motivere andre til å jobbe for å bedre informasjonssikkerheten, og å gjøre de riktige prioriteringene. Virksomhetens forretningsmål og eksterne krav er et utgangspunkt for å beskrive hvorfor informasjonssikkerhet er viktig.

Mål for informasjonssikkerhet

En informasjonssikerhetspolicy skal være ledelsens verktøy for å sikre verdier og støtte ledelsens eksisterende planer og framtidige felles mål.

Viktige prinsipper for informasjonssikkerhet

En sikkerhetspolicy bør inneholde langsiktige og mest mulig teknologinøytrale mål. Den skal beskrive hva som må  beskyttes, og beskrive på hvilket nivå beskyttelsen skal være.
En risikovurdering kan danne bakgrunn for og peke på områder som trengs å sikres.
Andre viktige prinsipper virksomheten har knyttet til behandling av informasjon må beskrives på et overordnet nivå. Det bør også sies noe om hvordan policyen skal følges opp, og hva som vil være konsekvensene av å bryte informasjonssikkerhetspolicyen.

Ansvar og roller

Det er viktig at ansvar for informasjonssikkerhet beskrives klart. Øverste leder er ansvarlig for virksomhetens informasjonssikkerhet og må stå ansvarlig for innholdet i policyen og godkjenne den. Ansvarlige for i praksis å se til at informasjonssikkerhetspolicyen blir fulgt hviler på den enkelte ansatte i virksomheten ut fra den rolle hver enkelt har. Virksomhetens størrelse, organisering og forretnings type kan avgjøre i hvilken grad virksomheten skal utnevne egen informasjonssikkerhetsleder. Dette kan være en heltids- eller deltidsjobb, og den innbefatter å videreutvikle eller endre informasjonssikkerhetspolicyen, etterse at den blir fulgt og rapportere til ledelsen. Informasjonssikkerhetsleder har ansvar for at den direkte påvirkningen av arbeidet med sikkerhet blir gjort som opplæring, informasjon og synliggjøring av trusler og sårbarheter.

Implementering av informasjonssikkerhetspolicy

Informasjonssikkerhetspolicyen må følges opp, den må gjøres kjent og må etterleves. Informasjonssikkerhetspolicyen bør periodisk gjennomgås med tanke på oppdatering. Policyen må deles ut til alle ansatte, og alle nyansatte må informeres om innholdet. Ansatte og ledere må også gis opplæring for å kunne følge policyen. Det er spesielt viktig at ledere er gode forbilder og gir ansatte informasjon og krav om mål og midler for å sikre virksomheten.

Interne krav, risikobilde og krav fra omgivelser endrer seg hele tider som igjen gjør sitt til at informasjonssikkerhetspolicyen må oppdateres jevnlig. Krav og retningslinjer som til enhver tid gjelder må finnes lett tilgjengelig slik at ansatte vet hva som gjelder. Revisjoner kan skje periodiske eller ved større endringer som har innvirkning på innholdet. Virksomheten trenger også mer detaljerte retningslinjer for informasjonssikkerhet som må reflektere innholdet i policyen, slik at sikkerhetsarbeidet blir preget av helhetstenkning.

Mer informasjon

Sikkerhetsledelse

Veiledningen ser på ledelse av informasjonssikkerhet, og hovedpunktene ledere og informasjonssikkerhetsansvarlige i virksomheter må følge opp i sitt arbeid.

Risikostyring knyttet til bruk av IKT

Veiledningen tar for seg hvordan man gjennomfører en risikovurdering.

Personellsikkerhet

Veiledningen gir råd om hvordan man kan kommunisere sikkerhetskrav til medarbeiderne.

Mal for informasjonssikkerhetspolicy

Denne veiledningen er en mal for hvordan små og mellomstore virksomheter kan lage sin informasjonssikkerhetspolicy.

Andre

NS-ISO/IEC 27002:2017 Informasjonsteknologi – sikringsteknikker – tiltak for informasjonssikring

Standarden inneholder også beskrivelse av mål og tiltak som kan brukes som utgangspunkt i arbeidet med å finne egne satsningsområder. Kan kjøpes hos standard.no.

Informasjon fra Nettvett.no er hentet fra flere kilder. Nettvett.no vurderer informasjon før publisering, men Nettvett.no kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.