IT-säkerhetspolicy – Med En Mall Och En Guide

Anders Bryde Thornild
By: Anders Bryde Thornild Cybersäkerhet | 7 december

I det här blogginlägget ska jag gå igenom vår mall för en effektiv IT säkerhetspolicy. Målet är du ska kunna skapa en policy för din organisation och därmed öka er IT-säkerhet.  Policyn för IT-säkerhet är ett viktigt verktyg för att uppnå och upprätthålla en hälsosam och god kultur inom IT-säkerhet i din organisation.

En mall för IT säkerhetspolicy, en annan till Riktlinjer för IT användare

När du arbetar med IT-säkerhet i din organisation kan det vara mycket användbart att ha en IT-säkerhetspolicy, samt riktlinjer för IT-användare.  Med dessa verktyg sätter du tonen för ditt arbete inom IT-säkerhet, vilket också gör säkerheten starkare.

Syftet med en ”policy för IT-säkerhet” är att skapa ett generellt ramverk för er organisation som inkluderar mål och delegerar ansvar inom IT-säkerhet. Det är ett mindre dokument med bara några få sidor som ses som en ledningsnotering med ambitioner för organisationens agerande vad gäller IT-säkerhet.

“Riktlinjer för IT-användare” är ett större dokument med regler och riktlinjer som alla anställda måste följa. Där policyn är generell och strategisk är riktlinjerna konkreta och genomförbara.

I det här blogginlägget kommer jag gå igenom vår mall för en effektiv IT-säkerhetspolicy och informera dig om vad du ska vara medveten om när du skapar en egen policy för din organisation.

IT-säkerhetspolicy: Steg för steg med mall

Som tidigare nämnts är syftet med policyn för IT-säkerhet att skapa ett ramverk för organisationens arbete med IT säkerhet. Policyn kommer att hjälpa dig skapa mål, delegera ansvar och rapportera utvecklingen.

Jag kommer nu att gå igenom varje steg av mallen med kommentarer om hur den ska användas och vad man bör vara medveten om.

Vi rekommenderar starkt att du följer mallen, medans du läser denna guide, för den är fylld med användbara exempel.

Smart CTA IT-security-policy SE

IT-säkerhetspolicyn består av sju delar, som du ska besvara efter att ha reflekterat över vad ditt mål är. De sju delarna är:

  • Syfte 

  • Giltighet  

  • Mål 

  • Organisation och ansvar

  • Dispens

  • Rapportering 

  • Överträdelse

Steg 1: Syfte

Den första delen du behöver tänka över är syftet med policyn. Syftet är oftast att sätta ett ramverk för hanteringen av informationssäkerhet inom organisationen. I denna del kan du, exempelvis, skriva något som:

 

“Säkerhetspolicyn definierar ramverket för hanteringen av informationssäkerhet i X.”

Steg 2: Giltighet

Giltighet handlar om vem policyn gäller för. Oftast är det alla anställda inom organisationen. Men den kan också inkuldera konsulter som arbetar för organisationen och alla som använder organisationens IT-system. Därmed är det upp till dig att avgöra vem policyn inkluderar.

Det kan låta såhär:

“Säkerhetspolicyn gäller alla anställda i X och alla som har tillträde till X informationssystem.

Steg 3: Mål

Den tredje delen är målen. På många sätt är målen det centrala elementet i policyn. Det är här du definierar vad du vill åstadkomma. Du är i linje med policyn om du följer målen.

I vår mall finn det 8 exempel på potentiella mål som kan användas, justeras eller tas bort, så det passar din organisation. Det är viktigt att tänka över varför du väljer de målen som du väljer, och hurvida de är realistiska. Alla 8 exemplen hittar du i mallen, med du kan läsa ett av dem här:

“ORG X använder en risk-baserad approach där     nivån av skydd och kostnaden för skyddet ska  baseras på en analys av affärsrisker och    konsekvenser som måste göras åtminstone en gång om året.”

Exemplen i vår mall pekar i riktning mot redan existerande ramverk som exempelvis ISO270001:2013. De gör det eftersom det inte är nödvändigt att återuppfinna hjulet. Det är helt ok att använda redan existerande ramverk.

I exemplen använder vi ordet strävanden några gånger. Vissa skulle nog påpeka att det är vagt att använda ord som strävande i ett mål. Användandet av detta ord måste förstås som en förstelse för mängden jobb det krävs att följa ISO27001:2013 och alla GDPR-regler. För många organisationer vore det ett orealistiskt mål att följa. Därför, genom användandet av ordet strävande, ställer du krav på rörelse i rätt riktning, men du accepterar också att det är en resa. Många organisationer kan helt inte uppnå alla regler, från dag ett.

Policyn är ett dokument som alltid är under utveckling och som måste utvärderas regelbundet. Formuleringarna kan ändras flera gånger i takt med att ni blir klokare och mer erfarna inom er organisation. Genom att omvärdera och uppdatera policyn varje år kommer du därmed att se ändringar i målen som gör att de passar din organisation.

Det säkerställer att policyn inte blir ett gammalt dammigt dokument, utan ett aktivit verktyg i ert säkerhetsarbete.

Steg 4: Organisation och ansvar

Du måste delegera ansvaret för IT-säkerhet genom hela organisationen. Policyn kan vara ett effektivt sätt att göra detta.

Det är kanske personen som är ansvarig för IT som sitter med de dagliga uppgifterna och driften, men det måste finnas ansvar och uppgifter i andra positioner i organisationen. På varje nivå inom organisationen, från styrelsemedlemmar till anställda, finns det ansvar.

Som visas i mallen kan en delegering av ansvar se ut ungefär såhär:

  • Bolagsstyrelsen har det slutgiltiga ansvaret för informationssäkerhet i X.  

  • Den verkställande styrelsen är ansvarig för ledningsprinciper och delegerar specifika ansvar för skyddande åtgärder, vilket inkluderar ägande av informationssystem.

  • Ägandet är fastställt för varje kritiskt informationssystem. Ägaren fastställer hur. 

  • IT-avdelningen konsulterar, koordinerar, kontrollerar och rapporterar säkerhetsstatus. IT-avdelningen förbereder riktlinjer och procedurer.  

  • Den enskilda anställda är ansvarig för att följa säkerhetspolicyn och att ta del av informationen om den i “policyn för IT-användande”. 

Det är viktigt att påpeka att det inte nödvändigtvis är IT-avdelningen som har äganderätt över varje informationssystem. Det kan, till exempel, vara marknadsavdelningen som har äganderätt över företagets hemsida. Därför är det viktigt att delegeringen av ansvar speglar organisationens verklighet.

Steg 5: Dispens

Dispens är undantag där ansvar och mål inte är tillämpliga. Om du inte har några tydliga undantag kan du formulera ett uttalande som detta som tillåter framtida ändringar vid behov:

“Dispens för X policy för informationssäkerhet och riktlinjer godkänns av IT-avdelningen baserat på riktlinjerna som den verkställande styrelsen lagft fram.”

“Dispens för X policy för informationssäkerhet och riktlinjer godkänns av IT-avdelningen baserat på riktlinjerna som den verkställande styrelsen lagft fram.”

 

Steg 6: Rappotering

Rapportering är viktigt eftersom det skapar en ordning och en process i arbetet kring IT-säkerhet. Rapporteringen lyfter fram de olika ansvarsområdena. Om IT-avdelningen exempelvis måste rapportera till den verkställande styreksen säkerställer du att framsteg görs eftersom IT-avdelningen måste uppvisa resultat i rapporterna.

Rapporteringen säkerställer framsteg i arbetet med målen och försäkrar dig om att ansvarsområden respekteras.

Delen kan formuleras såhär:

  • IT-avdelningen informerar den verkställande styrelsen om alla relevanta säkerhetsintrång  

  • Dispens-status inkluderas i IT-avdelningens årliga rapport till den verkställande styrelsen 

  • Den verkställande styrelsen granskar säkerhetsstatusen årligen och rapporterar sedan till bolagsstyrelsen 

Steg 7: Överträdelse

Den sista delen av policyn för IT-säkerhet handlar om vad som händer om någon med uppsåt bryter mot policyn. Det kan vara HR-avdelningens ansvar att hantera sådana överträdelser, eller så kan vara personen som är ansvarig för all IT. Den viktiga aspekten är att ha nedskrivet vem som måste agera vid en överträdelse. I vår mall har vi skrivit:

“Uppsåtlig överträdelse och missbruk rapporteras av IT-avdelningen till HR-avdelningen och den närmaste auktoriteten med huvudansvar. Överträdelser mot denna policy för informationssäkerhet och kompletterande riktlinjer kan innebära konsekvenser för arbetsrätten.”

Smart CTA_e-book SE

Policyn för informationssäkerhet är ramverket för din säkerhet

Dessa sju delar är din policy. Den behöver inte ta mer plats än några sidor eftersom den ”bara” är ramverket för organisationens säkerhetsarbete.

När ambitionerna och målen är på plats kan du och din organisation dyka ner i mer konkreta regler och riktlinjer som anställda måste följa. Dessa regler och riktlinjer brukar vanligtvis skrivas ned i ett annat dokument, kallat ”Riktlinjer för IT-användare”.

Tillsammans skapar policyn för informationssäkerhet och riktlinjerna för IT-användande grunden för en stark kultur inom IT-säkerhet i din organisation.

Om du vill veta hur du kan få överblick över alla system som används i er organistion, eftersom de påverkar er IT-säkerhet, kan du läsa vår introduktion till Asset Management.

Kom ihåg att det är viktigt att uppdatera IT säkerhetspolicyn årligen för att säkerställa att de är aktuella och användbara. Du måste jobba aktivt med målen och reglerna i de två dokumenten för att säkerställa att din organisation rör sig framåt.

Jag hoppas att du tycker mallen var användbar!