Til små og mellemstore virksomheder

Virksomheder kan med fordel vælge at tilrettelægge IT sikkerhed i 5 faser. Vi giver her nogle ideer til
retningslinier man kan følge:

Målsætning for sikkerheden
Det første en virksomhed skal gøre er helt overordnet at tage stilling til følgende:

1. Hvad er formålet med sikkerheden?
2. Hvad skal sikres?
3. Hvilke krav skal sikkerheden leve op til?
4. Hvilke retningslinjer skal udstikkes?

Sikkerhedsanalyse/ risikoanalyse
Når de overordnede retningslinjer er på plads, skal virksomheden foretage en sikkerheds- og risikoanalyse.
Den skal omhandle følgende:

1. Hvilke systemer og aktiver er virksomheden i besiddelse af? (IT-systemer, servere, netværk med videre
    og aktiver, data, viden og informationer.)
2. Har IT-systemerne præcis den betydning, de er tiltænkt, eller benyttes de til andre opgaver end de egentlige tiltænkte,
    kan visse processer influere på hinanden og er der risici ved det? 
3. Hvilke trusler står virksomheden overfor? (Interne fejl, backup, nødstrøm med videre.)
4. Hvordan har virksomheden allerede sikret sig?
5. Hvilke nye initiativer er der behov for? (Vurder om de nuværende foranstaltninger er tilstrækkelige.)
    Anvend evt. denne model:

IT-sikkerhedspolitik
Som en del af de overordnede retningslinjer, er det nødvendig at udarbejde en it-sikkerhedspolitik.
Formålet er at offentliggøre den for alle medarbejdere og få deres bindende tilsagn om at overholde den.
Politikken bør max være på et par sider, og bør indeholde følgende:

1. En definition af sikkerheden og dens overordnede mål og omfang.
2. Krav om overholdelse af procedurerne i politikken.
3. Krav til beskyttelse, overvågning og beredskabsplaner.
4. Beredskabsforhold.
5. Krav til løbende ajourføring af den overordnede risikovurdering.
6. Beskrivelse af hvordan politikken skal implementeres, håndhæves og vedligeholdes.

Sikkerhedsdesign
Lav en kort beskrivelse af, hvordan din virksomhed planlægger sin IT-sikkerhed. Det vil gøre det lettere
senere hen at rette eller reducere eventuelle på lang sigt. I denne fase skal man derfor gennemgå
følgende punkter:

1. Har virksomheden tilstrækkelig dokumentation? (Dokumentation for IT-systemer, procedurer for backup,
    opbevaring af it-aktiver med videre.)
2. Er der dokumentation for sikkerhedsinitiativer, der senere hen skal implementeres?
3. Forstår brugere og samarbejdspartnere virksomhedens IT politik og er der kontroller til at se at det efterleves?
4. Er der overblik over netværket i virksomheden og services fra it-leverandører?
5. Er de nødvendig kompetencer til stede?

Implementering og test
I praksis foregår arbejdet med sikkerhedsimplementeringen, ved at følge disse punkter:

1. Har virksomheden et beredskab?
2. Er der fastlagt procedurer for løbende udvikling?
3. Er virksomhedens it-systemer offentligt udstillet?
4. Anvender virksomheden sine logfiler?
5. Er virksomheden forsikret mod trusler, som man umiddelbart ikke kan håndtere?
6. Har virksomheden taget stilling til eksterne partneres IT-sikkerhed - også cloud og hosting providere?
7. Foretages der løbende målinger og test af virksomhedens IT-sikkerhed?
8. Foretages der løbende Security Awareness tiltag overfor brugere og samarbejdspartnere?

Powered by wpsnet.com
Design based on CC-BY: html5up.net