Sikkerhedspolitik Model

Sikkerhedspolitikker er det afgørende grundlag for at en effektiv og omfattende IT sikkerhedsstrategi kan sættes i værk. Stærke sikkerhedspolitikker er den primære måde, hvorpå en virksomhed kan foretage en sikkerhedsplan der kan oversættes til konkrete, målbare målsætninger, der også kan testes på.

Sikkerhedspolitikker skal give udtryk for en sammenhængende beskrivelse af  hvad der er-, og hvad der ikke er tilladt, med hensyn til styring af adgang til virksomhedens informationsressourcer. De skal hænge sammen med retningslinjerne for branchen og de tekniske, juridiske og lovgivningsmæssige rammer for virksomheden (både nationalt og internationalt).

Vi anbefaler at man går følgende faser igennem, når man udarbejder sikkerhedspolitikker for virksomheden.

Fase 1 - Indledning:
Der bør under indledningen, fremgå hvad formålet med IT politikkerne er. Læseren skal have en kort beskrivelse af trusselsbilledet der ligger til grund for hver enkelt sikkerhedspolitik, samt nødvendigheden af sikkerhedspolitikken. Dette skulle give læseren en kort beskrivelse af, hvad denne politik vil angive, og hvorfor det er nødvendigt. Det er vigtigt at virksomhedens standpunkt angives klart og tydeligt.

Fase 2 - Roller og ansvar:
Det er vigtigt, at IT Politikkerne er så detaljerede at de også specificerer ansvarsområder, for hver enkelt identificerbare brugergruppe, herunder Ledelse, HR, Produktion, Juridisk afdeling, lager, evt. Eksterne konsulenter etc..

Fase 3 – IT Politikker:
Dette afsnit beskriver detaljerne i sikkerhedspolitikken. Det bør give tilstrækkelige oplysninger til at styre udviklingen og implementering af retningslinjer og specifikke sikkerhedsprocedurer.

Fase 4 - Håndhævelse, Revision, Rapportering:
Dette afsnit angiver, hvad der betragtes som en overtrædelse, og beskriver sanktioner for manglende overholdelse. Krænkelsen af en politik vil normalt skulle indebære en reprimande eller kan være fyringsgrunden. Dette bør altid håndhæves.

Fase 5  - Referencer:
Dette afsnit viser alle referencer nævnt i politikken, herunder specifikke afdelingens regler, Nationale og internationale lovgivninger, Standarder, Procedurer m.m.

Fase 6 - Kontrol og vedligeholdelse:
Dette afsnit angiver forfatteren og ejeren af den specifikke IT politik. Det beskriver også de vilkår og processen for, hvordan politikken vil blive revideret . En gennemgang af politikken skal udføres mindst en gang om året for at sikre, at politikken er relevant.

Vi kan selvfølgelig assistere med analyse af- og inspiration til hvordan IT politikkerne bør udarbejdes og formuleres, så det forstås af alle virksomhedens målgrupper.