Sikkerhedspolitikker

Når man I en virksomhed skal udfærdige sine IT politikker, så bør man både tage hensyn til trusselsbilledet, branche, vidensniveau hos brugerne og implementerede værktøjer. Vi yder selvfølgelig gerne konsulentassistance, men sikkerhedspolitikker bør som udgangspunkt indeholde følgende overordnede dele:

Implementerings guidelines:
Informations sikkerheds politikken skal basere sig på de krav virksomheden er underlagt, herunder:

  • Forretnings strategien
  • Reguleringer, lovgivning og kontrakter virksomheden er underlagt
  • Nuværende og forventede trusselsbillede mod virksomheden eller generelt indenfor informations sikkerhed

Sikkerhedspolitikken bør indeholde:

  • Definering af informations sikkerhed og principper der relaterer sig til håndteringen af informations sikkerheden i virksomheden
  • Definering af ansvarsområder indenfor informations sikkerheden, fra ledelses plan til den enkelte medarbejder eller gruppe af medarbejdere
  • En proces for håndtering af hændelser og afvigelser

Mere lavpraktisk bør sikkerhedspolitikken indeholde en række kontroller og processer vedrørende:

  • Adgangskontrol, herunder restriktioner i adgange til data nødvendige for arbejdets udførelse, adgange til netværk, servere osv.
  • Informations klassificering og håndtering, herunder labelling af information
  • Fysisk og miljø mæssig sikkerhed (bygninger, fysisk adgangskontrol, døre mm. men også sikring mod f.eks. brand, vandskade osv.)
  • Bruger orienterede aktiviteter, f.eks. acceptabel brug af virksomhedens assets, clear desk og clear screens (f.eks. automatiske screensavers, password beskyttede), politikker og tekniske foranstaltninger ved information transfer, brug af mobile enheder og fjernarbejde, begrænsninger i software installeringer og brug
  • Backup
  • Information transfer (hvordan kan / må data flyttes)
  • Malware beskyttelse ( På hvilke enheder og I hvilke led og niveauer - scannes der mod malware, samt hvor avancerede er løsningerne der anvendes)
  • Håndtering af tekniske sårbarheder, patch management, netværks overvågning m.m.
  • Kryptografiske kontroller, implementering, nøglehåndtering mm
  • Kommunikations sikkerhed, mediehåndtering, bortskaffelse af eksterne medier (USB nøgler, gamle harddiske, papir)
  • Beskyttelse af personlige, personhenførbare og personfølsomme data (regler, kontroller, tekniske foranstaltninger)

En række proces orienterede kontroller skal endvidere være på plads, bl.a.

  • Funktions adskillelse / adskillelse af opgaver (sikring mod at enkelte medarbejdere udfører funktioner der muliggør misbrug eller at medarbejdere kontrollerer sig selv, der hvor der er brug for kvalitets / sikkerheds kontroller
  • Sikkerhed vedr. medarbejdere, Før ansættelse, Under ansættelse, Ved opsigelse og efter ophør af ansættelse
  • Operationelt ansvar / rettigheder osv.
  • Ejerskab af assets / data mm. herunder klassificering og beskyttelse
  • Brugerhåndtering, herunder håndtering af privilegerede adgange, periodisk gennemgang af rettigheder baseret på forretningsmæssige behov mm.
  • Password politikker
  • Change management
  • Adskillelse af test fra produktions miljø
  • Event logging
  • Håndtering af leverandører / eksterne konsulenter / partnere
  • Periodisk review / evaluering og tilretning af sikkerhedspolitikken

Disse ovenstående punkter er for en stor del baseret på ISO27002.Det man bør holde for øje er at der kan være behov for i en virksomhed at forholde sig til flere facetter, end blot de almindelige opsatte retningslinier og krav i standarderne.

Til virksomheder

Til virksomheder

Vejledninger, standarder IT politik m.m.

Vejledninger, standarder
IT politik m.m.

Til private

Til private

Powered by wpsnet.com
Design based on CC-BY: html5up.net