Sikkerhetshendelse? Ring nødnummer 21 62 79 79!

Hendelse?
MENY
Tjenester

Sikkerhetspolicy

Styring av sikkerhetsarbeidet for å støtte virksomhetens mål

Hva hjelper en sikkerhetspolicy deg med?

Ledelsesforankret dokument som styrer sikkerhetsarbeidet i virksomheten.

En bedrifts overordnede sikkerhetspolicy skal beskrive for både ansatte, ledelse og partnere hvordan virksomheten definerer informasjonssikkerhet, og hvordan de adresserer informasjonssikkerhet. På hvilke prinsipper bygges sikkerheten, hvem er ansvarlig for de forskjellige elementene, og hvordan skal virksomheten operativt jobbe med og håndheve sikkerhetsarbeidet. Dette er bare noen av områdene som må adresseres i en sikkerhetspolicy.

Innholdet i policyen avgjøres mye på bakgrunn av behovet til styring hos kunden, samt i forhold til hvilke lover og standarder virksomheten må forholde seg til. Dette sammen med god risikostyring og bruk av risiko- og sårbarhetsanalyser vil avdekke behovet for policy og tydlige retningslinjer.

Hvorfor trenger vi en sikkerhetspolicy?

De fleste standarder, forskrifter og rammeverk krever at virksomheten jobber strategisk og systematisk i forhold til sikkerhet. Nesten alle slike autoriteter krever også spesifikt at man skal ha en sikkerhetspolicy. Den viktigste årsaken til å jobbe med en levende sikkerhetspolicy som er forankret hos ledelsen er at man har en plan og en strategi å følge i forhold til hvordan angripe alle sikkerhetsutfordringer. Man får fordelt ansvar, man har satte regler, og man har rutiner og prosedyrer å følge ved kritiske hendelser.

Det er et stort behov for et tydeligere regelverk for den enkelte bruker, leder og administrator. Derfor utvikler vi retningslinjer rettet mot brukergrupper eller for bruk av spesielle systemer eller områder. Retningslinjene vil typisk inneholde konkret informasjon om hva en bruker eller administrator har lov til å benytte virksomhetens it-utstyr til, og hvordan den ansatte f.eks. er pliktig å oppføre seg på internett. Retningslinjene vil også ofte være styrt av hvilke lover og standarder virksomheten forholder seg til. Det kan være i forhold til ISO 27000, Personopplysningsloven med forskrifter eller PCI Data Security Standard. Uavhengig av hvor komplekst regelverk man er pålagt så mener vi at man må påse å skrive tekst på et nivå som passer målgruppen. Vi søker å skrive innholdet enkelt og tydelig, da vi ønsker at alle mottakere skal forstå og få eierskap til dokumentene vi utvikler.

For at den enkelte bruker, leder eller administrator skal kunne forholde seg til retningslinjene så er det nødvendig med godt dokumenterte rutiner og prosedyrer, slik at enkelte kan tilegne seg kunnskap om hvordan man operativt skal forholde seg til retningslinjene. Det er også vært viktig med god dokumentasjon, og man kan også gjerne involvere andre vesentlige dokumenter som beredskapsplan som en del av sikkerhetspolicyprosjektet.

Hvor ofte og når skal man implementere og revidere policyer?

Alle virksomheter bør ha en sikkerhetspolicy implementert, og nøkkelordet er at den må være implementert.

Omfanget og størrelsen på policyen kan variere avhengig av virksomheten, men ledelsen har ansvar for å ta stilling til dette. Har man først utviklet en policy for virksomheten så er det viktig at det ikke er et "dødt" dokument, men en levende policy som oppdateres i forhold til ny utvikling, og som revideres av ansvarlig minst en gang årlig, og etter større endringer.