Sikkerhedspolitik
Den vigtigste forudsætning for opnåelse af optimal IT-sikkerhed er, at ledelsen udviser et uforbeholdent engagement i IT-sikkerheden, og at sikkerhedsmål og -aktiviteter er baseret på en skriftlig IT-sikkerhedspolitik, der fastlægger det ønskede sikkerhedsniveau og de organisatoriske rammer for sikkerhedsaktiviteterne. I forskellige brancher benyttes forskellige standarder for sikkerheden (som fx DS 484, der skal benyttes i den offentlige sektor). Ingen af disse standarder beskriver imidlertid, hvorledes det konkrete sikkerhedsarbejde tilrettelægges, for at gøre sikkerhedsopgaven håndterbar, og nem at tilpasse til skiftende krav. Her benytter vi en simpel 3-delt model, som gennem årene har bevist sin værdi i en række af verdens førende IT-organisationer:
Modellens øverste niveau er den overordnede sikkerhedspolitik, der fungerer som topledelsens ”trosbekendelse”. Den bør som minimum indeholde en beskrivelse af:
- Virksomhedens forretningsmæssige behov for informationssikkerhed
- De øvrige overordnede krav til sikkerheden, f.eks love og aftaler
- Hvilke områder der er dækket af sikkerheds politikken
- Sikkerhedens prioritering i forhold til andre vigtige forhold
- Hvorledes sikkerhedsfunktionerne er placeret organisatorisk
- De overordnede krav til håndtering af sikkerhedsbrud og uheld
Det næste niveau i sikkerhedsmodellen er de generelle sikkerhedsbestemmelser, som blandt andet bør omfatte en klassifikation af virksomhedens data, definition af sikkerhedsdomæner samt ejerskab og ansvar for IT-sikkerheden. Desuden beskrives de generelle regler for IT-anvendelsen og sikkerhedsorganisationens opbygning. De generelle sikkerhedsbestemmelser kaldes ofte for sikkerhedsarkitekturen, fordi det er her, sikkerhedsbegreberne defineres og organiseres.
Det tredje og mest detaljerede niveau i sikkerhedsmodellen er de konkrete specifikationer, aftaler og instrukser, som udmønter sikkerhedsbestemmelserne i de konkrete tiltag. Hertil hører fx specifikation af firewall-opsætning, aftaler med driftsleverandører og procedurer, som medarbejderne skal følge i forbindelse med deres informationsbehandling.
For at sikre, at sikkerhedsforanstaltningerne til enhver tid følger politikken og sikkerhedsbestemmelserne, bør der løbende gennemføres et sikkerhedsreview (audit), hvor en uvildig part kontrollerer, om reglerne bliver fulgt. Sikkerhedspolitikken bør iøvrigt revideres løbende i overensstemmelse med de identificerede trusler og sårbarheder, på baggrund af en risikoanalyse.