Tilbage til blog
7 min read

7 Steps til en IT-sikkerhedspolitik (med skabelon)

Anders Bryde Thornild
By: Anders Bryde Thornild IT-sikkerhed | 21 juli

Mangler din virksomhed en IT-sikkerhedspolitik? Så er du kommet til det rette sted. Få styr på jeres politik med vores skabelon og guide. En stærk IT-sikkerhedpolitik sikrer, at I har lagt fundamentet strategisk og ved, hvem der har ansvaret for hvad, inden i kaster jer ud i store og små projekter. Skabelonen er nem at gå til og vi kommer med eksempler i løbet af indlægget på, hvordan I bruger den.

IT-security-policy DK

Vi har også lavet en lignende guide til IT-retningslinjer til dine medarbejdere, som du kan finde her.

Begge dokumenter er vigtige værktøjer til at opnå en god IT-sikkerhedskultur i din organisation.

Kort opsummering af artiklen (TL:DR)

  • En IT-sikkerhedspolitik sætter rammerne for jeres IT-sikkerhedsarbejde
  • En IT-sikkerhedspolitik forklarer dets formål, og hvem den omhandler
  • En IT-sikkerhedspolitik sætter klare og tydelige mål for arbejdet med IT-sikkerhed, og hvem der er ansvarlig for at opnå dem
  • Den fortæller også om evt. dispensationer, hvem der skal rapportes til, og hvad der sker, hvis man overtræder den

Indholdsfortegnelse

Hvad er en IT-sikkerhedspolitik?

En it-sikkerhedspolitik er et overordnet, strategisk dokument, der fastlægger din virksomheds tilgang til informationssikkerhed.

Den definerer jeres mål, principper og ansvar på tværs af organisationen.

Det er altså ikke en manual med konkrete regler til jeres slutbrugere – det er mere et "sikkerhedens fundament", som resten af jeres arbejde og dokumenter støtter sig op af. 

Hvorfor skal man have en IT-sikkerhedspolitik? 

En it-sikkerhedspolitik er vigtig, fordi den skaber klarhed, retning og ansvar omkring, hvordan virksomheden beskytter sine informationer og systemer.

Kun 45% af små virksomheder dokumenteter deres politik og procedurer.   Det kan skabe udfordringer. For hvem har egentlig ansvaret? Og er der en rød tråd i, hvordan du arbejder med IT-sikkerhed? 

Du kan have de bedste hensigter i verden i dit arbejde, men det kræver en ordentlig strategi at arbejde effektivt. Præcis som i andre organisatorisk vigtige felter, som HR, økonomi, etc.

Kort og godt, så øger det risikoeni for sikkerhedsbrud, hvis du ikke har en it-sikkerhedspolitik, da det resulterer i dårligere IT-sikkerhed.

En politik og retningslinjer er ikke det samme

Hvis du arbejder med IT-sikkerhed i din organisation, kan det være meget brugbart at have en IT-sikkerhedspolitik, samt retningslinjer for IT-anvendelse, uanset størrelsen på din virksomhed. Men hvad er forskellen på de to dokumenter?

IT-sikkerhedspolitik

IT-sikkerhedspolitikken har til formål at sætte rammerne for organisationen på et overordnet niveau. Den indeholder målsætninger og placerer det overordnede ansvar for IT-sikkerheden hos organisationen. Det er et kort dokument, der ikke fylder mere end et par sider. Det kan ses som et ledelsesnotat med ambitioner for organisationens IT-sikkerhedstiltag.

IT-retningslinjer

Retningslinjer for IT-anvendelse er derimod et længere dokument med konkrete regler og retningslinjer som ens medarbejdere skal følge. Dokumentet er målrettet alle medarbejdere. Hvor politikken er overordnet og strategisk, er retningslinjerne konkrete og implementerbare.

Hvis du gerne vil guides igennem, hvordan man laver IT-retningslinjer, så klik her.

 

I dette indlæg er fokus på vores skabelon for en god IT-sikkerhedspolitik, som jeg nu vil gennemgå, samt hvad du skal være opmærksom på, når du udfylder dette dokument.

   

Hent skabelon til IT-sikkerhedspolitik

Formålet med en IT-sikkerhedspolitik er, som nævnt, at danne rammerne for organisationens IT-sikkerhedsarbejde. Politikken skal hjælpe dig med at danne målsætninger, placere ansvar og rapportere fremgang.

Jeg vil herunder gå igennem hvert enkelt punkt i skabelonen.

Du kan hente skabelonen til IT-sikkerhedspolitikken ved at klikke på knappen herunder:

IT-security-policy DK

Hvis du hellere vil lytte til en guide, har vi også lavet en podcast, der gennemgår skabelonen. 

Vi anbefaler, at du sidder med skabelonen ved din side, når du læser videre, da den er fyldt med eksempler på, hvad politikken kan indeholde. 

 

IT-sikkerhedspolitikken indeholder syv punkter, der skal tages stilling til og udfyldes. Disse punkter er:

   

Step 1: Formål for IT-sikkerhedspolitik

Det første punkt, du skal overveje i politikken, er dens formål. Dens formål vil næsten altid være at sætte rammerne for styringen af informationssikkerheden i en organisation. Punktet vil derfor ofte formuleres a la:

”Sikkerhedspolitikken definerer rammerne for styring af informationssikkerhed i ORG X.”

   

Step 2: Gyldighed af politikken

Gyldighed omhandler, hvem der er berørt af politikken. Det vil ofte være samtlige ansatte i organisationen. Det kan også være, at alle konsulenter, der arbejder for organisationen, skal inkluderes, eller alle der sidder på organisationens IT-system.

Punktet kan f.eks. formuleres som:

”Sikkerhedspolitikken gælder for alle ansatte i ORG X og al anvendelse og adgang til ORG Xs informationssystemer.”

   

Step 3: Hvad er politikkens "Målsætninger"?

Det tredje step er målsætninger.

Målsætningerne er på mange måder det centrale element i IT-sikkerhedspolitikken. Det er her, at I definerer, hvad I gerne vil opnå. Det er disse målsætninger, der skal opnås for, at man er i mål med sin informationssikkerhedspolitik.

I vores skabelon er der 8 eksempler, der kan bruges, justeres eller slettes, så de passer til jeres organisation. Det er vigtigt at overveje, hvorfor I har jeres målsætninger, og om de er realistiske at opnå. De 8 eksempler kan findes i skabelonen, men herunder kan du se én af dem:

“ORG X anvender en risikobaseret tilgang, hvor beskyttelsesniveauet og omkostningerne hertil skal være baseret på en forretningsmæssig risiko- og konsekvensanalyse som skal foretages minimum årligt. “

Eksemplerne peger på at følge eksisterende rammer som f.eks. ISO27001:2013. Det gør de fordi, at man ikke nødvendigvis behøver at opfinde den dybe tallerken selv. Det er helt okay at bruge regelsæt, der allerede eksisterer.

Derudover vil nogen påpege, at det er vagt at bruge et ord, som at ”tilstræbe”. Brugen af dette ord skal forstås som, at det f.eks. er et stort stykke arbejde at efterleve ISO27001:2013 eller følge alt GDPR-lovgivning fra dag et. Det vil for mange organisationer være et urealistisk mål. Ordet tilstræbe sætter et krav til, at man bevæger sig hen imod at kunne efterleve målsætninger fuldt ud, men acceptere også, at det ikke kan lade sig gøre fra dags dato.

Politikken skal ses som et dokument i udvikling, der skal revurderes af flere omgange. Ordlyden kan ændre sig hen ad vejen, når I bliver klogere eller bedre som organisation. Ved at evaluere og opdatere politikken hvert år, vil I også se en udvikling i jeres målsætninger, der passer til jeres organisations virkelighed.

Det sikrer, at politikken ikke bliver et støvet dokument, men et aktivt værktøj i jeres arbejde med IT-sikkerhed.

IT Security Policy

   

Step 4: Organisation og ansvar

Det er vigtigt, at I får fordelt ansvaret for IT-sikkerheden på tværs af organisationen. Her kan politikken også være et vigtigt redskab. Det er muligvis den IT-ansvarlige, der sidder med mange daglige opgaver og driften, men der skal også placeres ansvar og opgaver andre steder i organisationen, hvis den IT-ansvarlige skal lykkes. Der er både et ansvar helt oppe på bestyrelsesniveau, men også helt nede på medarbejderniveau.

Som det ses i skabelonen, kan en ansvarsfordeling f.eks. se således ud:

  • Bestyrelsen har det ultimative ansvar for informationssikkerheden i ORG X  

  • Direktionen er ansvarlig for styringsprincipperne og delegerer specifikke ansvarsområder for beskyttelsesforanstaltninger, herunder ejerskab af informationssystemer 

  • Ejerskab fastsættes for hvert kritisk informationssystem. Ejeren fastlægger hvorledes sikringsforanstaltninger anvendes og administreres i overensstemmelse med IT-sikkerhedspolitikken  

  • IT-afdelingen rådgiver, koordinerer, kontrollerer og rapporterer om status på sikkerheden. IT-afdelingen udarbejder hertil understøttende retningslinjer og procedurer 

  • Den enkelte medarbejder er ansvarlig for at overholde IT-sikkerhedspolitikken og er informeret herom i ”IT-anvendelsespolitikken” 

Det er vigtigt at påpege, at det ikke nødvendigvis er IT-afdelingen, der har ejerskab over alle informationssystemer. Det kan f.eks. være, at marketing-afdelingen har ejerskab over virksomhedens hjemmeside. Det er vigtigt, at ansvarsfordelingen afspejler jeres organisations virkelighed.

   

Step 5: Dispensationer i politikken

Punktet dispensationer kan udfyldes med undtagelser, der betyder at enten ansvar eller målsætninger ikke er gældende i særlige tilfælde. Hvis I ikke har nogle tydelige undtagelser, kan der formuleres, at det potentielt kan gives i fremtiden, hvis der opstår situationer, der kræver det. Der kan f.eks. stå:

”Dispensationer til ORG Xs informationssikkerhedspolitik og retningslinjer godkendes af IT-afdelingen ud fra retningslinjer udstukket af direktionen.”

 
 
   

Step 6: Rapportering sikrer ansvar

Rapportering er vigtigt, da det skaber et loop og en proces i IT-sikkerhedsarbejdet. Rapporteringen handler om at belyse ansvar. Ved at der f.eks. skal rapporteres fra IT-afdelingen til ledelsen sikrer man, at der skabes fremgang, da rapporterne skal vise resultater.  

Rapporteringen er altså et værktøj til at sikre, at ansvaret holdes, og at der arbejdes med målsætningerne. 

Punktet kan f.eks. se således ud:

  • IT-afdelingen informerer direktionen om alle væsentlige sikkerhedsbrud.  

  • Status over dispensationer inkluderes i IT-afdelingens årlige rapport til direktionen.  

  • Direktionen behandler årligt sikkerhedsstatus og rapporterer til bestyrelsen herom. 

   

Step 7: Overtrædelse af IT-sikkerhedspolitik

Det sidste step i IT-sikkerhedspolitikken omhandler, hvad der skal ske ved en forsættelig overtrædelse af IT-sikkerhedspolitikken. Det kan f.eks. være, at det er HR-afdelingens ansvar at tage sig af overtrædelser. Det vigtige er, at man har skrevet ned, hvem der tager sig af overtrædelser, så man sikrer sig, at der bliver taget handling. I vores skabelon står der f.eks.:

”Forsætlig overtrædelse og misbrug rapporteres af IT-afdelingen til HR-afdelingen og nærmeste leder. Overtrædelse af informationssikkerhedspolitikken eller understøttende retningslinjer kan få ansættelsesretlige konsekvenser.”

 
Smart CTA_e-book DK

Hvorfor du skal genbesøge it‑sikkerhedspolitikken årligt som minimum

Hvert år – og ved større ændringer – bør I revidere politikken for at sikre, at den følger den aktuelle teknologiske, lovgivningsmæssige og organisatoriske udvikling:

  • Teknologi: Nye cloud‑services og AI kræver nye regler.

  • Lovgivning: Nye krav, fx fra NIS2, DORA og GDPR-ændringer.

  • Organisation: Fusioner, nye teams eller hjemmearbejde kræver tilpasning.

  • Trusselsbilledet: Nye cybertrusler kan udløse behov for nye kontroller.

Så husk at genbesøge politikken, når det er nødvendigt. 
 
   

IT-sikkerhedspolitikken sætter rammen for jeres sikkerhed

De syv punkter udgør din IT-sikkerhedspolitik. Den behøver ikke nødvendigvis at fylde mere end et par sider, da dens formål blot er at sætte rammerne for organisationens IT-sikkerhedsarbejde.  

Når ambitionerne er på plads gennem politikkens målsætninger, kan dig og din organisation dykke ned i mere konkrete regler og guidelines i form af et sæt retningslinjer for IT-anvendelse, som medarbejdere skal følge for at IT-sikkerhedspolitikkens målsætninger kan opnås. 

IT-sikkerhedspolitikken og retningslinjerne giver til sammen et stærkt grundlag for at skabe en god IT-sikkerhedskultur i din organisation. Hvis du også gerne vil have hjælp til at lave gode retningslinjer for IT-anvendelse, så kan du finde en lignende guide her.

Det er vigtigt, at dokumenterne ikke bare ligger og samler støv, når I har udfyldt dem, men at I kontinuerligt evaluerer og opdaterer dem. Vi anbefaler, at man opdaterer dokumenterne årligt. 

Tip: Skriv det eventuelt ind i kalenderen til året efter, så du får en automatisk påmindelse om, at det er tid til at gennemgå sikkerhedspolitikken, og eventuelt rette den til.

Der skal arbejdes aktivt med målsætningerne og reglerne fra de to dokumenter, således at organisationen bevæger sig fremad, og får en stærk IT-sikkerhedskultur. Her giver de årlige evalueringer gode muligheder for at se, om man rent faktisk har rykket sig. 

Jeg håber, at I har fundet skabelonen og guiden brugbar.

Hvis du gerne vil læse mere om, hvordan din virksomhed overholder GDPR, så kan du læse det her.

FAQ om IT-sikkerhedspolitik

Hvad er forskellen mellem it-sikkerhedspolitik og it-retningslinjer?

IT-sikkerhedspolitikken er et overordnet strategisk dokument, der fastlægger målsætninger, ansvar mm., hvorimod IT-retningslinjer er konkrete regler til ansatte.

Hvor ofte bør I opdatere politikken?

Du bør genbesøge politikken årligt. Ikke nødvendigvis i en stor gennemgang, men tjek op om alt er up-to-date eller kræver opdatering.

Hvad sker der, hvis medarbejdere overtræder den?

Det er vigtigt, at det er defineret i politikken i en sektion. Det skal selvfølgelig afhænge af alvoren af overtrædelsen, men i værste tilfælde kan det være en fyreseddel.

 
Back to blog
Recent articles
IT-sikkerhed Dansk Kodeks For Sikkerhedstest | Her Er Spillereglerne

Nyt kodeks for IT sikkerhedstests fra Center for Cybersikkerhed. Læs om principperne i kodekset, og hvordan vi arbejder med disse.

Anders Bryde Thornild 5 min read - By Anders Bryde Thornild
GDPR Ny Afgørelse Fra Datatilsynet: Ét Kursus Er Ikke Nok!

Hvor ofte skal man træne sine medarbejdere i IT-sikkerhed og GDPR? Det har datatilsynet endelig givet en indikation på gennem ny afgørelse.

Stine Seest Knudsen 3 min read - By Stine Seest Knudsen
IT-sikkerhed Guide: IT-Retningslinjer til medarbejdere (med skabelon)

Download vores gratis skabelon til "Retningslinjer for IT-anvendelse". Læs også vores guide, som tager dig igennem skabelonen, så du kan bruge den til at styrke jeres IT-sikke

Anders Bryde Thornild 12 min read - By Anders Bryde Thornild