Mal for informasjonssikkerhetspolicy


Denne veiledningen er en mal for hvordan små og mellomstore bedrifter kan lage sin informasjonssikkerhetspolicy.

Det finnes mange måter å skrive en informasjonssikkerhetspolicy på. Denne malen er et eksempel. En informasjonssikkerhetspolicy kan også struktureres på annen måte. Velg noe som passer for din virksomhet.
I tillegg til en policy, vil de fleste virksomheter også behøve mer detaljerte regler for informasjonssikkerhet.

Informasjonssikkerhet for virksomhet

Informasjonssikkerhet

Informasjon er en viktig verdi for Virksomheten. Informasjonssikkerhet omfatter tiltak som bidrar til å verne verdier, informasjon og evnen til å løse prioriterte oppgaver, gjennom å sikre:

  • Konfidensialitet, som innebærer at ingen skal ha tilgang til informasjon uten tjenstlig behov
  • Integritet, som innebærer informasjon og systemer skal være korrekt og pålitelig
  • Tilgjengelighet, som innebærer at informasjon og systemer skal være tilgjengelig for autoriserte brukere ved behov

Mål for informasjonssikkerhet

Målet for informasjonssikkerhetsarbeidet i Virksomheten er å verne

  • Verdier som virksomheten forvalter
  • Vår evne til å løse prioriterte oppgaver og tjenester
  • Integriteten og konfidensialiteten som Virksomhetens informasjon mot ulovlige handlinger, ulykker og uhell

Viktige prinsipper

  • Risikoen identifiseres gjennom risikovurdering
  • Nye trusler skal plukkes opp og vurderes fortløpende
  • Sikkerhetstiltakene skal til enhver tid stå i forhold til akseptabelt risikonivå
  • Når uønskede hendelser inntreffer, skal beredskapstiltak bidra til å begrense skaden og raskt komme tilbake til normal drift
  • Sikkerhetsarbeidet skal integreres i arbeidet i linjen
  • God sikkerhet skal bygges på riktige holdninger blant arbeiderne
  • Alle ansatte skal få nødvendig opplæring for å ivareta sitt sikkerhetsansvar
  • All tilgang til informasjon og verdier skal være basert på tjenstlig behov

Ansvar og roller

Styret/ Daglig leder fastsetter policy for informasjonssikkerhet i Virksomheten. Styret fastsetter konkrete mål for Virksomhetens sikkerhetshetsnivå og skal ha en årlig status for disse.

Informasjonssikkerhetsansvarlig er ansvarlig for å utarbeide og oppdatere Virksomhetens policy og regelverk for informasjonssikkerhet, og for holdningsskapende aktiviteter i Virksomhetens

Den enkelte medarbeider i Virksomheten er ansvarlig for å følge vedtatte sikkerhetsregler/ sikkerhetshåndbok. Han/hun skal varsle nærmeste leder ved sikkerhetsbrudd eller mistanke om brudd.

Eier av IKT system, informasjon eller IT-infrastruktur er ansvarlig for at systemet tilfredsstiller virksomhetens behov for funksjonalitet, sikkerhet og kvalitet og skal sørge for at oppgavene knyttet til systemet er ivaretatt. Et system eies av den avdelingen som primært bruker systemet (største brukers prinsipp).

Linjeleder har ansvar for sikkerheten innen egen avdeling.

 

____________________________________________________
Underskrift av daglig leder/styreleder

pdf-versjon for utskrift her.

Informasjon fra Nettvett.no er hentet fra flere kilder. Nettvett.no vurderer informasjon før publisering, men Nettvett.no kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.

Var dette nyttig for deg?

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *