Gratis Skabelon: Sådan Laver Du En IT-Sikkerhedspolitik Trin-For-Trin Guide

Anders Bryde Thornild
By: Anders Bryde Thornild IT-sikkerhed | 10 maj

Mangler din virksomhed en IT-sikkerhedspolitik? Så er du kommet til det rette sted. I dette indlæg vil jeg gennemgå vores skabelon til at lave en IT-sikkerhedspolitik. I løbet af guiden kommer jeg også med små eksempler på, hvordan de forskellige punkter eventuelt kan formuleres. Skabelonen er helt gratis og kan hentes herunder. Med en god IT-sikkerhedspolitik kan du styrke IT-sikkerheden i din virksomhed.

IT-security-policy DK

Vi har også lavet en lignende guide til IT-retningslinjer til dine medarbejdere, som du kan finde her.

Begge dokumenter er vigtige værktøjer til at opnå en god IT-sikkerhedskultur i din organisation.

Kort opsummering af artiklen (TL:DR)

  • En IT-sikkerhedspolitik sætter rammerne for jeres IT-sikkerhedsarbejde
  • En IT-sikkerhedspolitik forklarer dets formål, og hvem den omhandler
  • En IT-sikkerhedspolitik sætter klare og tydelige mål for arbejdet med IT-sikkerhed, og hvem der er ansvarlig for at opnå dem
  • Den fortæller også om evt. dispensationer, hvem der skal rapportes til, og hvad der sker, hvis man overtræder den

Indholdsfortegnelse

En IT-sikkerhedspolitik og retningslinjer er ikke det samme

Hvis du arbejder med IT-sikkerhed i din organisation, kan det være meget brugbart at have en IT-sikkerhedspolitik, samt retningslinjer for IT-anvendelse, uanset størrelsen på din virksomhed. Men hvad er forskellen på de to dokumenter?

IT-sikkerhedspolitik

IT-sikkerhedspolitikken har til formål at sætte rammerne for organisationen på et overordnet niveau. Den indeholder målsætninger og placerer det overordnede ansvar for IT-sikkerheden hos organisationen. Det er et kort dokument, der ikke fylder mere end et par sider. Det kan ses som et ledelsesnotat med ambitioner for organisationens IT-sikkerhedstiltag.

IT-retningslinjer

Retningslinjer for IT-anvendelse er derimod et længere dokument med konkrete regler og retningslinjer som ens medarbejdere skal følge. Dokumentet er målrettet alle medarbejdere. Hvor politikken er overordnet og strategisk, er retningslinjerne konkrete og implementerbare.

Hvis du gerne vil guides igennem, hvordan man laver IT-retningslinjer, så klik her.

 

I dette indlæg er fokus på vores skabelon for en god IT-sikkerhedspolitik, som jeg nu vil gennemgå, samt hvad du skal være opmærksom på, når du udfylder dette dokument.

   

IT-sikkerhedspolitik: Hent skabelon med eksempel

Formålet med en IT-sikkerhedspolitik er, som nævnt, at danne rammerne for organisationens IT-sikkerhedsarbejde. Politikken skal hjælpe dig med at danne målsætninger, placere ansvar og rapportere fremgang.

Jeg vil herunder gå igennem hvert enkelt punkt i skabelonen.

Du kan hente skabelonen til IT-sikkerhedspolitikken ved at klikke på knappen herunder:

IT-security-policy DK

Hvis du hellere vil lytte til en guide, har vi også lavet en podcast, der gennemgår skabelonen. 

Vi anbefaler, at du sidder med skabelonen ved din side, når du læser videre, da den er fyldt med eksempler på, hvad politikken kan indeholde. 

 

IT-sikkerhedspolitikken indeholder syv punkter, der skal tages stilling til og udfyldes. Disse punkter er:

   

Step 1: Formål

Det første punkt, du skal overveje i politikken, er dens formål. Dens formål vil næsten altid være at sætte rammerne for styringen af informationssikkerheden i en organisation. Punktet vil derfor ofte formuleres a la:

”Sikkerhedspolitikken definerer rammerne for styring af informationssikkerhed i ORG X.”

   

Step 2: Gyldighed

Gyldighed omhandler, hvem der er berørt af politikken. Det vil ofte være samtlige ansatte i organisationen. Det kan også være, at alle konsulenter, der arbejder for organisationen, skal inkluderes, eller alle der sidder på organisationens IT-system.

Punktet kan f.eks. formuleres som:

”Sikkerhedspolitikken gælder for alle ansatte i ORG X og al anvendelse og adgang til ORG Xs informationssystemer.”

   

Step 3: Målsætninger

Det tredje step er målsætninger.

Målsætningerne er på mange måder det centrale element i IT-sikkerhedspolitikken. Det er her, at I definerer, hvad I gerne vil opnå. Det er disse målsætninger, der skal opnås for, at man er i mål med sin informationssikkerhedspolitik.

I vores skabelon er der 8 eksempler, der kan bruges, justeres eller slettes, så de passer til jeres organisation. Det er vigtigt at overveje, hvorfor I har jeres målsætninger, og om de er realistiske at opnå. De 8 eksempler kan findes i skabelonen, men herunder kan du se én af dem:

“ORG X anvender en risikobaseret tilgang, hvor beskyttelsesniveauet og omkostningerne hertil skal være baseret på en forretningsmæssig risiko- og konsekvensanalyse som skal foretages minimum årligt. “

Eksemplerne peger på at følge eksisterende rammer som f.eks. ISO27001:2013. Det gør de fordi, at man ikke nødvendigvis behøver at opfinde den dybe tallerken selv. Det er helt okay at bruge regelsæt, der allerede eksisterer.

Derudover vil nogen påpege, at det er vagt at bruge et ord, som at ”tilstræbe”. Brugen af dette ord skal forstås som, at det f.eks. er et stort stykke arbejde at efterleve ISO27001:2013 eller følge alt GDPR-lovgivning fra dag et. Det vil for mange organisationer være et urealistisk mål. Ordet tilstræbe sætter et krav til, at man bevæger sig hen imod at kunne efterleve målsætninger fuldt ud, men acceptere også, at det ikke kan lade sig gøre fra dags dato.

Politikken skal ses som et dokument i udvikling, der skal revurderes af flere omgange. Ordlyden kan ændre sig hen ad vejen, når I bliver klogere eller bedre som organisation. Ved at evaluere og opdatere politikken hvert år, vil I også se en udvikling i jeres målsætninger, der passer til jeres organisations virkelighed.

Det sikrer, at politikken ikke bliver et støvet dokument, men et aktivt værktøj i jeres arbejde med IT-sikkerhed.

IT Security Policy

   

Step 4: Organisation og ansvar

Det er vigtigt, at I får fordelt ansvaret for IT-sikkerheden på tværs af organisationen. Her kan politikken også være et vigtigt redskab. Det er muligvis den IT-ansvarlige, der sidder med mange daglige opgaver og driften, men der skal også placeres ansvar og opgaver andre steder i organisationen, hvis den IT-ansvarlige skal lykkes. Der er både et ansvar helt oppe på bestyrelsesniveau, men også helt nede på medarbejderniveau.

Som det ses i skabelonen, kan en ansvarsfordeling f.eks. se således ud:

  • Bestyrelsen har det ultimative ansvar for informationssikkerheden i ORG X  

  • Direktionen er ansvarlig for styringsprincipperne og delegerer specifikke ansvarsområder for beskyttelsesforanstaltninger, herunder ejerskab af informationssystemer 

  • Ejerskab fastsættes for hvert kritisk informationssystem. Ejeren fastlægger hvorledes sikringsforanstaltninger anvendes og administreres i overensstemmelse med IT-sikkerhedspolitikken  

  • IT-afdelingen rådgiver, koordinerer, kontrollerer og rapporterer om status på sikkerheden. IT-afdelingen udarbejder hertil understøttende retningslinjer og procedurer 

  • Den enkelte medarbejder er ansvarlig for at overholde IT-sikkerhedspolitikken og er informeret herom i ”IT-anvendelsespolitikken” 

Det er vigtigt at påpege, at det ikke nødvendigvis er IT-afdelingen, der har ejerskab over alle informationssystemer. Det kan f.eks. være, at marketing-afdelingen har ejerskab over virksomhedens hjemmeside. Det er vigtigt, at ansvarsfordelingen afspejler jeres organisations virkelighed.

   

Step 5: Dispensationer

Punktet dispensationer kan udfyldes med undtagelser, der betyder at enten ansvar eller målsætninger ikke er gældende i særlige tilfælde. Hvis I ikke har nogle tydelige undtagelser, kan der formuleres, at det potentielt kan gives i fremtiden, hvis der opstår situationer, der kræver det. Der kan f.eks. stå:

”Dispensationer til ORG Xs informationssikkerhedspolitik og retningslinjer godkendes af IT-afdelingen ud fra retningslinjer udstukket af direktionen.”

 
 
   

Step 6: Rapportering

Rapportering er vigtigt, da det skaber et loop og en proces i IT-sikkerhedsarbejdet. Rapporteringen handler om at belyse ansvar. Ved at der f.eks. skal rapporteres fra IT-afdelingen til ledelsen sikrer man, at der skabes fremgang, da rapporterne skal vise resultater.  

Rapporteringen er altså et værktøj til at sikre, at ansvaret holdes, og at der arbejdes med målsætningerne. 

Punktet kan f.eks. se således ud:

  • IT-afdelingen informerer direktionen om alle væsentlige sikkerhedsbrud.  

  • Status over dispensationer inkluderes i IT-afdelingens årlige rapport til direktionen.  

  • Direktionen behandler årligt sikkerhedsstatus og rapporterer til bestyrelsen herom. 

   

Step 7: Overtrædelse

Det sidste step i IT-sikkerhedspolitikken omhandler, hvad der skal ske ved en forsættelig overtrædelse af IT-sikkerhedspolitikken. Det kan f.eks. være, at det er HR-afdelingens ansvar at tage sig af overtrædelser. Det vigtige er, at man har skrevet ned, hvem der tager sig af overtrædelser, så man sikrer sig, at der bliver taget handling. I vores skabelon står der f.eks.:

”Forsætlig overtrædelse og misbrug rapporteres af IT-afdelingen til HR-afdelingen og nærmeste leder. Overtrædelse af informationssikkerhedspolitikken eller understøttende retningslinjer kan få ansættelsesretlige konsekvenser.”

 
Smart CTA_e-book DK

 

   

IT-sikkerhedspolitikken sætter rammen for jeres sikkerhed

De syv punkter udgør din IT-sikkerhedspolitik. Den behøver ikke nødvendigvis at fylde mere end et par sider, da dens formål blot er at sætte rammerne for organisationens IT-sikkerhedsarbejde.  

Når ambitionerne er på plads gennem politikkens målsætninger, kan dig og din organisation dykke ned i mere konkrete regler og guidelines i form af et sæt retningslinjer for IT-anvendelse, som medarbejdere skal følge for at IT-sikkerhedspolitikkens målsætninger kan opnås. 

IT-sikkerhedspolitikken og retningslinjerne giver til sammen et stærkt grundlag for at skabe en god IT-sikkerhedskultur i din organisation. Hvis du også gerne vil have hjælp til at lave gode retningslinjer for IT-anvendelse, så kan du finde en lignende guide her.

Det er vigtigt, at dokumenterne ikke bare ligger og samler støv, når I har udfyldt dem, men at I kontinuerligt evaluerer og opdaterer dem. Vi anbefaler, at man opdaterer dokumenterne årligt. 

Tip: Skriv det eventuelt ind i kalenderen til året efter, så du får en automatisk påmindelse om, at det er tid til at gennemgå sikkerhedspolitikken, og eventuelt rette den til.

Der skal arbejdes aktivt med målsætningerne og reglerne fra de to dokumenter, således at organisationen bevæger sig fremad, og får en stærk IT-sikkerhedskultur. Her giver de årlige evalueringer gode muligheder for at se, om man rent faktisk har rykket sig. 

Jeg håber, at I har fundet skabelonen og guiden brugbar.

Hvis du gerne vil læse mere om, hvordan din virksomhed overholder GDPR, så kan du læse det her.


Du kan også se vores video om, hvordan du laver IT-sikkerhedspolitik lige her