I det här blogginlägget ska jag gå igenom vår IT-säkerhetspolicymall. Målet är du ska kunna använda denna mall och medföljande guide för att skapa en säkerhetspolicy för din organisation och därmed öka er IT-säkerhet. En effektiv IT-säkerhetspolicy är ett viktigt verktyg för att uppnå och upprätthålla en hälsosam och stark kultur inom IT-säkerhet i din organisation.
Vad är skillnaden mellan en IT-säkerhetspolicy och Riktlinjer för IT-användare?
När du arbetar med IT-säkerhet i din organisation kan det vara mycket användbart att ha en IT-säkerhetspolicy, samt riktlinjer för IT-användare, oavsett storleken på din organisation. Med IT-policy och riktlinjer sätter du tonen för ditt arbete inom IT-säkerhet, vilket också gör säkerheten starkare.
IT-säkerhetspolicy
Syftet med en IT-säkerhetspolicy är att skapa ett generellt ramverk för er organisation som inkluderar mål och delegerar ansvar inom IT-säkerhet. Det är ett mindre dokument med bara några få sidor som ses som en ledningsnotering med ambitioner för organisationens agerande vad gäller IT-säkerhet.
Riktlinjer för IT-användare
Riktlinjer för IT-användare är ett större dokument med regler och riktlinjer som alla anställda måste följa. Medan policyn är generell och strategisk är riktlinjerna konkreta och genomförbara. Den kan till exempel inkludera riktlinjer för starka lönsenord, säker användning av Wifi och internet eller säker hantering av personuppgifter i e-post.
I det här blogginlägget kommer jag gå igenom vår IT-säkerhetspolicy mall och informerar dig om vad du ska vara medveten om när du skapar din egen IT-policy för din organisation.
Lyssna på vår podcast om IT-säkerhetspolicyn
IT-säkerhetspolicy: Steg för steg med mall
Som tidigare nämnts är syftet med IT-säkerhetspolicyn att skapa ett ramverk för organisationens arbete med IT säkerhet. Policyn kommer att hjälpa dig skapa mål, delegera ansvar och rapportera utvecklingen.
Jag kommer nu att gå igenom varje steg av säkerhetspolicymallen med kommentarer om hur den ska användas och vad man bör vara medveten om.
Vi rekommenderar starkt att du följer mallen medan du läser denna guide, då den är fylld med användbara exempel.
IT-säkerhetspolicyn består av sju delar som du behöver reflekterat över och genomföra. De sju delarna är:
Syfte
Giltighet
Mål
Organisation och ansvar
Dispens
Rapportering
Överträdelse
Steg 1: Syfte
Den första delen du behöver tänka över är syftet med IT-policyn. Syftet är oftast att sätta ett ramverk för hanteringen av informationssäkerhet inom organisationen. I denna del kan du, exempelvis, skriva något som:
“Säkerhetspolicyn definierar ramverket för hanteringen av informationssäkerhet i X.”
Steg 2: Giltighet
Giltighet handlar om vem säkerhetspolicyn gäller för. Oftast är det alla anställda inom organisationen. Men den kan också inkludera konsulter som arbetar för organisationen och alla som använder organisationens IT-system. Därmed är det upp till dig att avgöra vem policyn inkluderar.
Det kan låta såhär:
“Säkerhetspolicyn gäller alla anställda i X och alla som har tillträde till X informationssystem.”
Steg 3: Mål
Den tredje delen är målen. På många sätt är målen det centrala elementet i IT-säkerhetspolicyn. Det är här du definierar vad du vill åstadkomma. Du är i linje med policyn om du följer målen.
I vår mall finns det 8 exempel på potentiella mål som kan användas, justeras eller tas bort, så det passar din organisation. Det är viktigt att tänka över varför du väljer de målen som du väljer, och huruvida de är realistiska. Alla 8 exemplen hittar du i mallen, men du kan läsa ett av dem här:
“ORG X använder en risk-baserad approach där nivån av skydd och kostnaden för skyddet ska baseras på en analys av affärsrisker och konsekvenser som måste göras åtminstone en gång om året.”
Exemplen i vår IT-policy mall pekar i riktning mot redan existerande ramverk som exempelvis ISO270001. Det här beror på att inte är nödvändigt att återuppfinna hjulet när du skriver en säkerhetspolicy. Det är helt ok att använda redan existerande ramverk.
Skapa realistiska mål
I exemplen använder vi ordet strävanden några gånger. Vissa skulle nog påpeka att det är vagt att använda ordet "strävande" i ett mål. Men vi använder det för att visa hänsyn till hur mycket arbete som krävs för att följa ISO27001 och alla GDPR-regler. För många organisationer kan det vara ett orealistiskt mål att följa. Därför, genom användandet av ordet strävande, ställer du krav på rörelse i rätt riktning, men du accepterar också att det är en resa. Många organisationer kan helt enkelt inte uppnå alla regler redan från dag ett.
Målen ändras i takt med att din organisation gör det
Säkerhetspolicyn är ett dokument som alltid är under utveckling och som måste utvärderas regelbundet. Formuleringarna kan ändras flera gånger i takt med att ni blir klokare och mer erfarna inom er organisation. Genom att omvärdera och uppdatera policyn varje år kommer du därmed att se ändringar i målen som gör att de passar din organisations egen utveckling.
Det säkerställer att policyn inte blir ett gammalt dammigt dokument, utan förblir istället ett aktivit verktyg i ert säkerhetsarbete.
Steg 4: Organisation och ansvar
Ansvaret för IT-säkerhet måste delegeras genom hela organisationen, och en IT-policyn kan vara ett effektivt sätt att göra detta på.
Du kanske väljer att utse en anställd som övervakar över hela IT-avdelningen och arbetar med dagliga uppgifter och drift. Eller så skulle det kanske också kunna vara ett dataskyddsombud. Du måste däremot se till att även andra anställda i din organisation är delaktiga och ansvariga för IT-säkerheten. Målet är att uppmuntra anställda på alla nivåer i organisationen att aktivt delta i att stärka din IT-säkerhet.
Som visas i IT-policymallen kan en delegering av ansvar se ut ungefär såhär:
Bolagsstyrelsen har det slutgiltiga ansvaret för informationssäkerhet i X.
Den verkställande styrelsen är ansvarig för ledningsprinciper och delegerar specifika ansvar för skyddande åtgärder, vilket inkluderar ägande av informationssystem.
Ägandet är fastställt för varje kritiskt informationssystem, och ägaren faställer hur detta går till.
IT-avdelningen konsulterar, koordinerar, kontrollerar och rapporterar säkerhetsstatus. IT-avdelningen förbereder riktlinjer och procedurer.
Den enskilda anställda är ansvarig för att följa säkerhetspolicyn och att ta del av informationen om den i “Policyn för IT-användande”.
Det är viktigt att påpeka att det inte nödvändigtvis är IT-avdelningen som har äganderätt över varje informationssystem. Det kan, till exempel, vara marknadsavdelningen som har äganderätt över företagets hemsida. Därför är det viktigt att delegeringen av ansvar speglar organisationens verklighet.
Steg 5: Dispens
Dispens är undantag där ansvar och mål inte är tillämpliga. Om du inte har några tydliga undantag kan du formulera ett uttalande som detta som tillåter framtida ändringar vid behov:
“Dispens för X policy för informationssäkerhet och riktlinjer godkänns av IT-avdelningen baserat på riktlinjerna som den verkställande styrelsen lagt fram.”
Steg 6: Rapportering
Rapportering är viktigt eftersom det skapar en ordning och en process i arbetet kring IT-säkerhet. Rapporteringen lyfter fram de olika ansvarsområdena. Om IT-avdelningen exempelvis måste rapportera till den verkställande styrelsen säkerställer du att framsteg görs eftersom IT-avdelningen måste uppvisa resultat i rapporterna.
Därmed säkerställer rapporteringen framsteg i arbetet med målen och försäkrar dig om att ansvarsområden respekteras.
Den här delen av säkerhetspolicyn kan formuleras såhär:
IT-avdelningen informerar den verkställande styrelsen om alla relevanta säkerhetsintrång.
Dispens-status inkluderas i IT-avdelningens årliga rapport till den verkställande styrelsen.
Den verkställande styrelsen granskar säkerhetsstatusen årligen och rapporterar sedan till bolagsstyrelsen.
Steg 7: Överträdelse
Den sista delen av IT-policyn handlar om vad som händer om någon med uppsåt bryter mot policyn. Det kan vara HR-avdelningens ansvar att hantera sådana överträdelser, eller så kan det vara personen som är ansvarig för hela IT-avdelningen. Det är viktigt att avgöra vem som måste agera vid en överträdelse och att ha det nedskrivet på papper. I vår IT-policy mall har vi skrivit:
“Uppsåtlig överträdelse och missbruk rapporteras av IT-avdelningen till HR-avdelningen och den närmaste auktoriteten med huvudansvar. Överträdelser mot denna policy för informationssäkerhet och kompletterande riktlinjer kan innebära konsekvenser för arbetsrätten.”
IT-säkerhetspolicyn för informationssäkerhet är ramverket för din säkerhet
Dessa sju delar är innehållet i din IT-säkerhetspolicy. Den behöver inte ta mer plats än några sidor eftersom den ”bara” är ramverket för organisationens säkerhetsarbete.
När ambitionerna och målen är på plats kan du och din organisation dyka ner i mer konkreta regler och riktlinjer som anställda måste följa. Dessa regler och riktlinjer brukar vanligtvis skrivas ned i ett annat dokument, kallat ”Riktlinjer för IT-användare”.
Tillsammans skapar policyn för informationssäkerhet och riktlinjerna för IT-användande grunden för en stark kultur inom IT-säkerhet i din organisation.
Kom ihåg att det är viktigt att uppdatera IT-säkerhetspolicyn årligen för att säkerställa att den fortfarande är aktuell och användbar. Du måste jobba aktivt med målen och reglerna i de två dokumenten för att säkerställa att din organisation rör sig framåt.
Nå målen i din IT-säkerhetspolicy genom kontinuerligt lärande
Jag hoppas att du tycker mallen var användbar! Kom ihåg att skriva en IT-säkerhetspolicy bara är ett steg mot en starkare säkerhetskultur i din organisation. Att endast berätta för dina anställda om din IT-policy, trots mycket viktigt, räcker inte för att främja goda IT-säkerhetsvanor. Vi rekommenderar därmed kontinuerligt lärande om IT-säkerhetshot genom utbildning i medvetenhet och nätfisketräning. Tveka inte att kontakta vårt team om du tror att vi kan hjälpa dig att uppnå en starkare säkerhetskultur genom dessa metoder.
Du kan också se vår video om hur man skapar en IT-säkerhetspolicy här