I dette blogginnlegget skal jeg gjennomgå malen vår for en effektiv IT-sikkerhetspolicy. Du vil kunne opprette en policy for organisasjonen din, og dermed også øke IT-sikkerheten i organisasjonen din. IT-sikkerhetspolicyen er et viktig verktøy for å oppnå og opprettholde en sunn og god IT-sikkerhetskultur i organisasjonen din.
Innholdsfortegnelse
Hva er forskjellen mellom en IT-sikkerhetspolicy og retningslinjer for IT-bruk?
Når du jobber med IT-sikkerhet i en organisasjon kan det være nyttig å ha en IT-sikkerhetspolicy og retningslinjer for IT-bruk. Med en policy og et sett med retningslinjer danner du rammene for IT-sikkerhetsarbeidet, noe som vil øke sikkerheten.
IT sikkerhetspolicy
Formålet med en IT-sikkerhetspolicy er å gi en generell ramme for organisasjonen som inkluderer mål og delegerer ansvaret for IT-sikkerhet. Det er et lite dokument på noen få sider, og det ansees som et styringsnotat med ambisjoner for organisasjoners IT-sikkerhetshandlinger. IT-sikkerhetspolicyen vil som oftest være en del av den generelle informasjonssikkerhetspolicyen som vil inkludere all behandling, lagring og kommunikasjon av muntlig, håndskrevet og digital informasjon (inkluderer alle IKT-verktøy).
Retningslinjer for IT-bruk
«Retningslinjer for IT-bruk» er et større dokument med regler og retningslinjer som alle ansatte må følge. Der policyen er generell og strategisk, er retningslinjene konkrete og gjennomførbare. For eksempel kan den inneholde retningslinjer om passordsikkerhet, trygg bruk av internett, e-post sikkerhet og persondata.
I dette blogginnlegget går jeg gjennom malen for en effektiv IT-sikkerhetspolicy og skriver om hva du bør være klar over når du oppretter en policy til organisasjonen din.
Lytt til vår podcast om IT-sikkerhetspolicyen
IT-sikkerhetspolicy: trinn for trinn
Formålet med IT-sikkerhetspolicyen er, som tidligere nevnt, å skape et rammeverk for organisasjonens arbeid med IT-sikkerhet. Policyen hjelper deg med å lage mål, delegere ansvar og rapportere om fremgang.
Jeg skal nå gå gjennom hvert trinn av malen med kommentarer for hvordan den brukes, og hva du må tenke på.
Vi anbefaler på det sterkeste at du følger malen mens du leser denne veiledningen, ettersom den er full av nyttige eksempler.
IT-sikkerhetspolicyen inneholder syv deler som du må vurdere og fullføre. Disse delene er:
- Formål
- Gyldighet
- Mål
- Organisasjon og ansvar
- Frafall
- Rapportering
- Brudd
Trinn 1: Formål
Den første delen du må vurdere er formålet med policyen. Formålet vil nesten alltid danne rammeverket for administrering av informasjonssikkerheten i organisasjonen. I denne delen bør du for eksempel skrive noe som:
«Sikkerhetspolicyen utgjør rammeverket for administrering av informasjonssikkerhet i X.»
Trinn 2: Gyldighet
Gyldighet dreier seg om hvem policyen gjelder for, noe som omfatter alle ansatte i organisasjonen. Det kan imidlertid også omfatte konsulenter som jobber for organisasjonen og alle som bruker IT-systemet i organisasjonen. Det er derfor opp til deg å avgjøre hvem som omfattes av policyen.
Dette kan formuleres slik:
«Sikkerhetspolicyen gjelder for alle ansatte i X og hele tilgangen til informasjonssystemene til X.»
Trinn 3: Mål
Den tredje delen er målene. På mange måter er målene det sentrale elementet av policyen. Dette er stedet der du definerer hva du vil oppnå. Du er i tråd med policyen så lenge målene overholdes.
I malen vår finnes det åtte eksempler på mulige mål som kan brukes, justeres eller slettes for å tilpasse organisasjonen din. Det er viktig å vurdere hvorfor du velger målene du velger og om de er realistiske. De åtte eksemplene finner du i malen, men du kan se ett av dem her:
«ORG. X benytter en risikobasert tilnærming der beskyttelsesnivået og dets kostnad må være basert på forretningsrisikoen og konsekvensutredningen, som må utføres årlig som et minimum»
Eksemplene i malen peker i retning av allerede eksisterende rammeverk som ISO270001: 2013. Dette er fordi det ikke er nødvendig å finne opp hjulet på nytt. Det er helt greit å bruke allerede eksisterende rammeverk.
I eksemplene bruker vi ordet bestrebelser noen få ganger. Enkelte vil påpeke at det er for vagt å bruke et ord som bestrebelse i et mål. Bruken av dette ordet må oppfattes som en forståelse av arbeidsmengden som kreves for å samsvare med ISO27001:2013 og alle GDPR-forskriftene. For mange organisasjoner ville det vært et urealistisk mål å samsvare med alt. Ved å bruke ordet bestrebelser setter du derfor krav til å gå i riktig retning, men du aksepterer også at det er en reise. Mange organisasjoner klarer rett og slett ikke å samsvare med alle reglene fra første dag.
Policyen er et dokument som alltid er under behandling og må revurderes regelmessig. Ordlyden kan endres mange ganger etter hvert som organisasjonen blir smartere og sikrere. Ved å revurdere og oppdatere policyen hvert år, vil du dermed se endringene i målene og sørge for at de passer progresjonen til organisasjonen.
Ved å jevnlig gjennomgå IT-sikkerhetspolicyen sikrer man at policyen ikke blir et gammelt, støvete dokument, men et aktivt verktøy i sikkerhetsarbeidet.
Trinn 4: Organisasjon og ansvar
Du må delegere ansvaret for IT-sikkerheten i hele organisasjonen. Policyen kan være en effektiv måte å gjøre dette på.
Det kan hende at det er en ansatt som følger med på IT-avdelingen som jobber med daglig drift, eller det kan være en data protection officer (DPO). Uansett, så er det viktig at andre ansatte i bedriften er involvert og ansvarlige for IT sikkerheten.
Som vist i IT sikkerhetmalen, kan delegering av ansvar for eksempel se ut slik:
- Styret har det endelige ansvaret for informasjonssikkerheten hos X.
- Hovedstyret er ansvarlig for styringsprinsipper og delegerer spesifikt ansvar for beskyttelsestiltak, som inkluderer eierskap av informasjonssystemer.
- Eierskap er angitt for hvert kritiske informasjonssystem.
- Eieren fastslår på hvilken måte.
- IT-avdelingen konsulterer, koordinerer, kontrollerer og rapporterer om sikkerhetsstatusen.
- IT-avdelingen utarbeider retningslinjer og prosedyrer.
- Hver enkel ansatt er ansvarlig for å overholde sikkerhetspolicyen og for å holde seg informert om den under «IT-brukspolicy».
Det er viktig å merke seg at det ikke nødvendigvis er IT-avdelingen som har eierskap over hvert enkelt informasjonssystem. Det kan for eksempel være markedsføringsavdelingen som har eierskapet for selskapets nettsted. Derfor er det viktig at ansvarsfordelingen gjenspeiler organisasjonens realitet.
Trinn 5: Frafall
Frafall er unntak der ansvar og mål ikke er aktuelle. Hvis du ikke har noen klare unntak, kan du formulere en uttalelse som gir mulighet til å gjøre endringer i fremtiden etter behov:
«Frafall for informasjonssikkerhetspolicyen og retningslinjene til X er godkjent av IT-avdelingen basert på retningslinjene som er lagt frem av hovedstyret.»
Trinn 6: Rapportering
Rapportering er viktig fordi det skaper en løkke og prosess i arbeidet knyttet til IT-sikkerhet. Rapporteringen belyser ansvarsområdene. For eksempel, hvis IT-avdelingen må rapportere til hovedstyret, sørger du for at det skapes fremdrift fordi IT-avdelingen må legge frem resultater i disse rapportene.
Derfor sikrer rapportering fremgang i arbeidet mot målene og sikrer at ansvaret blir respektert.
Denne delen av policyen kan formuleres slik:
- IT-avdelingen informerer hovedstyret om alle relevante sikkerhetsbrudd
- Status på frafall er inkludert i IT-avdelingens årsrapport til hovedstyret
- Hovedstyret gjennomgår sikkerhetsstatusen årlig og rapporterer deretter til styret
Trinn 7: Brudd
Det siste trinnet i IT-sikkerhetspolicyen tar for seg hva som skjer hvis noen med vilje bryter policyen. Det kan være HR-avdelingens ansvar å håndtere slike brudd, eller det kan til og med være personen som er ansvarlig for alt knyttet til IT. Det viktige aspektet er å vite konkret hvem som må handle dersom det forekommer brudd, og skrive det ned. På denne måten sikrer du at situasjonen blir håndtert. I malen har vi skrevet følgende:
«Forsettlig brudd og misbruk rapporteres av IT-avdelingen til HR-avdelingen og nærmeste myndighet med lederansvar. Brudd på informasjonssikkerhetspolicyen og støttende retningslinjer kan føre til arbeidsrettslige konsekvenser.»
Informasjonssikkerhetspolicyen er rammeverket for sikkerheten din
Disse syv delene utgjør policyen din. Den trenger ikke å ta mer plass enn noen få sider, ettersom det «bare» er et rammeverk for organisasjonens sikkerhetspolicy.
Når ambisjonene og målene er på plass, kan du og organisasjonen dykke inn i mer konkrete regler og retningslinjer som ansatte må følge. Disse reglene og retningslinjene skrives vanligvis inn i et annet dokument kalt «Retningslinjer for IT-bruk». Du finner veiledningen og malen vår HER.
Sammen danner informasjonssikkerhetspolicyen og retningslinjene for IT-bruk grunnlaget for en god IT-sikkerhetskultur i organisasjonen.
Det er viktig å oppdatere dokumentene årlig for å sørge for at de er oppdaterte og nyttige. Du må jobbe aktivt med målene og reglene i de to dokumentene for å sikre at organisasjonen beveger seg fremover.
Oppnå mål i din IT-sikkerhetspolicy gjennom kontinuerlig læring
Jeg håper du har funnet vår IT-sikkerhetspolicy mal nyttig. Husk at det å skrive en IT-sikkerhetspolicy bare er et av stegene for en sterk sikkerhetskultur. Å bare fortelle de ansatte om informasjonssikkerhetspolicyen er ikke nok når det kommer til å sikre gode IT-vaner. Vi anbefaler kontinuerlig læring om IT-sikkerhet og trusler gjennom bevissthetstrening og phishing-simulasjoner. Hvis vi kan hjelpe deg med å oppnå en sterkere sikkerhetskultur gjennom disse metodene, ikke nøl med å kontakte oss.
Du kan også se videoen vår om hvordan du oppretter en IT-sikkerhetspolicy her