Kategorier
Uncategorized @no

IT-sikkerhetspolicy – en trinnvis veiledning

Slik lager du en IT-sikkerhetspolicy – en trinnvis veiledning og gratis mal

Template
Bryde

Anders Bryde Thornild

• 15. JULI 2020 • LESETID 7 MIN.

I dette blogginnlegget skal jeg gjennomgå malen vår for en effektiv informasjonssikkerhetspolicy. Du vil kunne opprette en policy for organisasjonen din, og dermed også øke IT-sikkerheten i organisasjonen din. IT-sikkerhetspolicyen er et viktig verktøy for å oppnå og opprettholde en sunn og god IT-sikkerhetskultur i organisasjonen.  

Hva er forskjellen mellom en IT-sikkerhetspolicy og retningslinjer for IT-bruk?

Når du jobber med IT-sikkerhet i organisasjonen, kan det være nyttig å ha en IT-sikkerhetspolicy og retningslinjer for IT-bruk. Med en policy og et sett med retningslinjer danner du rammene for IT-sikkerhetsarbeidet, noe som vil øke sikkerheten. 

Formålet med en IT-sikkerhetspolicy er å gi en generell ramme for organisasjonen som inkluderer mål og delegerer ansvaret for IT-sikkerhet. Det er et lite dokument  bare noen få sider, og det ansees som et styringsnotat med ambisjoner for organisasjoners IT-sikkerhetshandlinger. 

«Retningslinjer for IT-bruk» er et større dokument med regler og retningslinjer som alle ansatte må følge. Der policyen er generell og strategisk, er retningslinjene konkrete og gjennomførbare.

I dette blogginnlegget går jeg gjennom malen for en effektiv IT-sikkerhetspolicy og skriver om hva du bør være klar over når du oppretter en policy til deg selv eller til organisasjonen din. 

IT-sikkerhetspolicyen: trinn for trin

Formålet med IT-sikkerhetspolicyen er, som tidligere nevnt, å skape et rammeverk for organisasjonens arbeid med IT-sikkerhet. Policyen hjelper deg med å lage mål, delegere ansvar og rapportere om fremgang. 

Jeg skal nå gå gjennom hvert trinn av malen med kommentarer for hvordan den brukes, og hva du må tenke på. 

 Vi anbefaler på det sterkeste at du følger malen mens du leser denne veiledningen, ettersom den er full av nyttige eksempler. 

IT-sikkerhetspolicyen inneholder syv deler som du må vurdere og fullføre. Disse delene er: 

Trinn 1: Formål

Den første delen du må vurdere er formålet med policyen. Formålet vil nesten alltid danne rammeverket for administrering av informasjonssikkerheten i organisasjonen. I denne delen bør du for eksempel skrive noe som: 

«Sikkerhetspolicyen utgjør rammeverket for administrering av informasjonssikkerhet i X.» 

Trinn 2: Gyldighet

Gyldighet dreier seg om hvem policyen gjelder for, noe som omfatter alle ansatte i organisasjonen. Det kan imidlertid også omfatte konsulenter som jobber for organisasjonen og alle som bruker IT-systemet i organisasjonen. Det er derfor opp til deg å avgjøre hvem som omfattes av policyen. 

Dette kan formuleres slik: 

«Sikkerhetspolicyen gjelder for alle ansatte i X og hele tilgangen til informasjonssystemene til X.» 

Trinn 3: Mål

Den tredje delen er målene. På mange måter er målene det sentrale elementet av policyen. Dette er et sted der du definerer hva du vil oppnå. Du er i tråd med policyen så lenge målene overholdes.

I malen vår finnes det åtte eksempler på mulige mål som kan brukes, justeres eller slettes for å tilpasse organisasjonen din. Det er viktig å vurdere hvorfor du velger målene du velger og om de er realistiske. De åtte eksemplene finner du i malen, men du kan se ett av dem her: 

«ORG. X benytter en risikobasert tilnærming der beskyttelsesnivået og dets kostnad må være basert på forretningsrisikoen og konsekvensutredningen, som må utføres årlig som et minimum» 

Eksemplene i malen peker i retning av allerede eksisterende rammeverk som ISO270001: 2013. Dette er fordi det ikke er nødvendig å finne opp hjulet på nytt. Det er helt greit å bruke allerede eksisterende rammeverk. 

I eksemplene bruker vi ordet bestrebelser noen få ganger. Enkelte vil påpeke at det er for vagt å bruke et ord som bestrebelse i et mål. Bruken av dette ordet må oppfattes som en forståelse av arbeidsmengden som kreves for å samsvare med ISO27001:2013 og alle GDPR-forskriftene. For mange organisasjoner ville det vært et urealistisk mål å samsvare med alt. Ved å bruke ordet bestrebelser setter du derfor krav til å gå i riktig retning, men du aksepterer også at det er en reise. Mange organisasjoner klarer rett og slett ikke å samsvare med alle reglene fra første dag. 

Policyen er et dokument som alltid er under behandling og må revurderes regelmessig. Ordlyden kan endres mange ganger etter hvert som dere blir smartere og bedre i organisasjonen. Ved å revurdere og oppdatere policyen hvert år, vil du dermed se endringene i målene og sørge for at de passer til organisasjonen.  

Det sikrer at policyen ikke blir et gammelt, støvete dokument, men et aktivt verktøy i sikkerhetsarbeidet. 

Trinn 4: Organisasjon og ansvar

Du må delegere ansvaret for IT-sikkerheten i hele organisasjonen. Policyen kan være en effektiv måte å gjøre dette på. 

Det er kanskje personen som er ansvarlig for IT som sitter med de daglige oppgavene og driften, men det må finnes ansvar og oppgaver i andre stillinger i organisasjonen også. I alle nivåer av organisasjonen, fra styremedlemmer til ansatte, er det et ansvar når det er snakk om IT-sikkerhet. 

Som vist i malen kan delegering av ansvar for eksempel se ut slik: 

  • Styret har det endelige ansvaret for informasjonssikkerheten hos X 
  • Hovedstyret er ansvarlig for styringsprinsipper og delegerer spesifikt ansvar for beskyttelsestiltak, som inkluderer eierskap av informasjonssystemer 
  • Eierskap er angitt for hvert kritiske informasjonssystem. Eieren fastslår på hvilken måte.  
  • IT-avdelingen konsulterer, koordinerer, kontrollerer og rapporterer om sikkerhetsstatusen. IT-avdelingen utarbeider retningslinjer og prosedyrer 
  • Hver enkelt ansatt er ansvarlig for å overholde sikkerhetspolicyen og for å holde seg informert om den under «IT-brukspolicy». 

Det er viktig å merke seg at det ikke nødvendigvis er IT-avdelingen som har eierskap over hvert enkelt informasjonssystem. Det kan for eksempel være markedsføringsavdelingen som har eierskapet for selskapets nettsted. Derfor er det viktig at ansvarsfordelingen gjenspeiler organisasjonens realitet. 

Trinn 5: Frafall

Frafall er unntak der ansvar og mål ikke er aktuelle. Hvis du ikke har noen klare unntak, kan du formulere en uttalelse som gir mulighet til å gjøre endringer i fremtiden etter behov: 

«Frafall for informasjonssikkerhetspolicyen og retningslinjene til X er godkjent av IT-avdelingen basert på retningslinjene som er lagt frem av hovedstyret.» 

Trinn 6: Rapportering

Rapportering er viktig fordi det skaper en løkke og prosess i arbeidet knyttet til IT-sikkerhet. Rapporteringen belyser ansvarsområdene. Hvis for eksempel IT-avdelingen må rapportere til hovedstyret, sørger du for at det skapes fremdrift fordi IT-avdelingen må legge frem resultater i rapportene. 

Rapportering sikrer fremgang i arbeidet med målene og sikrer at ansvaret blir respektert. 

Denne delen av policyen kan formuleres slik:  

  • IT-avdelingen informerer hovedstyret om alle relevante sikkerhetsbrudd  
  • Status på frafall er inkludert i IT-avdelingens årsrapport til hovedstyret 
  • Hovedstyret gjennomgår sikkerhetsstatusen årlig og rapporterer deretter til styret 

Trinn 7: Brudd

Det siste trinnet i IT-sikkerhetspolicyen tar for seg hva som skjer hvis noen med vilje bryter policyen. Det kan være HR-avdelingens ansvar å håndtere slike brudd, eller det kan til og med være personen som er ansvarlig for alt knyttet til IT. Det viktige aspektet er å vite konkret hvem som må handle dersom det forekommer brudd. På denne måten sikrer du at situasjonen blir håndtert. I malen har vi skrevet følgende:  «Forsettlig brudd og misbruk rapporteres av IT-avdelingen til HR-avdelingen og nærmeste myndighet med lederansvar. Brudd på informasjonssikkerhetspolicyen og støttende retningslinjer kan føre til arbeidsrettslige konsekvenser.» 

Informasjonssikkerhetspolicyen er rammeverket for sikkerheten din

Disse syv delene utgjør policyen din. Den trenger ikke å ta mer plass enn noen få sider, ettersom det «bare» er et rammeverk for organisasjonens sikkerhetspolicy. 

Når ambisjonene og målene er på plass, kan du og organisasjonen dykke inn i mer konkrete regler og retningslinjer som ansatte må følge. Disse reglene og retningslinjene skrives vanligvis inn i et annet dokument kalt «Retningslinjer for IT-bruk». Du finner veiledningen og malen vår HER. 

Sammen danner informasjonssikkerhetspolicyen og retningslinjene for IT-bruk grunnlaget for en god IT-sikkerhetskultur i organisasjonen. 

Det er viktig å oppdatere dokumentene årlig for å sørge for at de er oppdaterte og nyttige. Du må jobbe aktivt med målene og reglene i de to dokumentene for å sikre at organisasjonen beveger seg fremover. 

Jeg håper du syns malen var nyttig! 

Få oppdateringer med gratis mal, verktøy og nyheter fra CyberPilot