Denne veiledningen er en mal for hvordan små og mellomstore bedrifter kan lage sin informasjonssikkerhetspolicy.
Informasjonssikkerhet for virksomhet
Formålet med en informasjonssikkerhetspolicy er at den skal støtte virksomhetens ledelse mot de målene virksomheten har satt seg. Det skal danne et rammeverk for hvordan en skal sikre virksomhetens verdier og utvikling.
Policyen gjelder både informasjon knyttet til administrative formål og informasjon og utstyr knyttet til produksjonen i virksomheten. Personell-sikkerhet og regulatoriske forhold kan være inkludert i policyen hvis en ikke har separate policyer for det.
Policyen skal si noen om ansvar og roller i virksomheten. Normalt er det virksomheten øverste leder som er ansvarlig for at det finnes en policy med instruksjon om hvordan den skal følges. Det operative ansvaret for at policyen blir fulgt vil normalt være fordelt til andre roller i virksomheten.
Policyen skal si noe om de forskjellige sikkerhetsmekanismene og hvorfor disse må følges. For viktige mekanismer må en som regel detaljere hvordan disse skal fungere og følges i egne prosedyrer. Eks. har et en regnskapsystem er mekanismen for tilgangstyring viktig, slik at at det kun er de som har tjenestelig behov for å gå inn i regnskapsystemet som har den muligheten. Normalt må en i policyen beskrive retningslinjen for tilgangskontroll i virksomheten.
En informasjonssikkerhetspolicy vil være forskjellig fra virksomhet til virksomhet, men de store linjene er aktuelle for alle virksomheter.
Informasjonssikkerhet
Det som er felles for alle virksomheter er tre grunnpilarer som forteller hva informasjonssikkerhet er, dvs det virksomheten må tenke på når de skal forme sin egen informsasjonssikkerhetpolicy, og det er:
- Konfidensialitet, som innebærer at informasjon beskyttes så den ikke gis til uvedkommende uten tjenstlig behov.
- Integritet, som innebærer informasjon og systemer skal være korrekt, oppdatert, og gyldig til enhver tid.
- Tilgjengelighet, som innebærer at informasjon og systemer skal være tilgjengelig for ansatte for å gjøre sin jobb, dvs. den jobben de er autoriserte for å gjøre.
Mål for informasjonssikkerhet
Målet for informasjonssikkerhetsarbeidet er at:
- Virksomheten har et verktøy for å verne om de verdier virksomheten forvalter, og som sikrere virksomheten mål og lønnsomhet
- Virksomheten har evne til å løse sine oppgaver og tjenester
- Virksomheten har evne til å detektere og sette inn mekanismer for å forhindre forstyrrelser eller trusler
- Virksomheten må ha en evne til takle uforutsette hendelser som setter hele eller deler av normal produksjon ute av drift og deretter sette virksomheten tilbake til normal drift igjen
- Virksomheten følger regulatorirske forhold som gjelder sin bedrift, og har prosesser for å detektere og unngå ulovlige handlinger, ulykker og uhell
Viktige prinsipper
- Virksomheten har en oversikt over sine mål og verdier så en vet hva en skal sikre
- Trusler og sårbarheter detekteres gjennom risikovurdering, der konsekvens og tap måles og ansvarlig for å lede og gjennomføre mottiltak synliggjøres
- Risikovurderinger gjøres kontinuerlig eks. årlig, og også gjennomføres når viktige prosesser eller systemer endres eller innføres i virksomheten og når en oppdager nye truslerog sårbarehter
- Sikkerhetstiltakene skal til enhver tid stå i forhold til akseptabelt risikonivå
- Når uønskede hendelser inntreffer, skal beredskapstiltak bidra til å begrense skaden og raskt komme tilbake til normal drift
- Sikkerhetsarbeidet skal integreres i alle prosesser i virksomheten eks. interne i kontorstøttefunksjoner, innkjøp, prosjekter, produksjon etc.
- Opplæring av alle ansatte, både i utførelse av egen jobb og forståelse av sikkerhetsprinsipper, er nødvendig for å skape en felles sikkerhetskultur så virksomhetens mål nås
- All tilgang til informasjon og verdier skal være basert på tjenstlig behov
- Alle regulatoriske forhold som gjelder virksomheten skal følges
Eksempel på policy for informasjonssikkerhet
En policy må passe din virksomhet, men som en god start kan du laste ned et eksempel her: Policy for informasjonssikkerhet