Informationssikkerhed (infosec) henviser til politikker, processer og værktøjer designet og implementeret til at beskytte følsomme forretningsoplysninger og dataaktiver mod uautoriseret adgang. Der er tre kerneaspekter af informationssikkerhed: fortrolighed, integritet og tilgængelighed. Dette er kendt som CIA-triaden.
Informationssikkerhed (infosec) henviser til politikker, processer og værktøjer designet og implementeret til at beskytte følsomme forretningsoplysninger og dataaktiver mod uautoriseret adgang. Der er tre kerneaspekter af informationssikkerhed: fortrolighed, integritet og tilgængelighed. Dette er kendt som CIA-triaden.
Infosec-politikker opstiller en liste over regler, som medarbejdere og andre interessenter (f.eks. leverandører) skal følge, hvor det er relevant. Dette omfatter, men er ikke begrænset til:
En skræddersyet hands-on session baseret på dine behov og mål
Der er næsten ingen forskel mellem et robust sæt infosec-politikker, der ikke overholdes, og slet ikke at have nogen infosec-politikker. Virksomheder og organisationer har brug for, at deres medarbejdere forstår, hvad der kræves af dem. Alle medarbejdere skal demonstrere deres bevidsthed og overholdelse af de relevante informationssikkerhedspolitikker.
Det er de tildeltes ansvar Chief Information Security Officer (CISO) eller Information Security Manager (ISM) i en organisation for at sikre, at alle medarbejdere og systemer overholder reglerne i informationssikkerhedspolitikkerne.
Før en virksomhed implementerer nogen infosec-politikker, skal den definere målene for både organisationen og politikken. Eventuelle uoverensstemmelser i en infosec-ramme kan gøre informationssikkerhedspolitikken ineffektiv. Informationssikkerhedspolitikker skal regelmæssigt gennemgås og ændres af en organisation. Disse ændringer skal afspejle enhver ændring i den pågældende organisations risici, arbejdsmetoder og nye teknologier, for at nævne nogle få.
Dette kan opnås ved, at organisationen vedtager, tilpasser og tilføjer deres eksisterende politikdokumentation eller informationssikkerhed ledelsessystem (ISMS). Dette gør det muligt at holde informationssikkerhedspolitikker ajour, forblive omfattende, konsekvente og praktiske.
Veletablerede infosec-politikker lader alle interessenter og medarbejdere forstå organisationens informationssikkerhedsramme. De centrale spørgsmål, som en politik skal besvare er:
Disse politikker viser også, hvordan organisatoriske risici kan mindskes. Disse omfatter hjælp til:
Etablering af rammer for politikker er vigtige for din informationssikkerhed. En ramme giver dig mulighed for at handle for at håndhæve overensstemmelse. For at en informationssikkerhedspolitik skal lykkes, skal den opdateres som svar på eventuelle ændringer i:
Hvis du ikke bruger ISMS.online, gør du dit liv sværere, end det behøver at være!
Off-the-shelf informationssikkerhedspolitikker er bredt tilgængelige. Én størrelse passer dog ikke til alle. Forskellige organisationer og brancher har forskellige standarder og regulatoriske krav. CISO'en skal tage hensyn til deres organisations juridiske forpligtelser, når de opretter eller vedtager informationssikkerhedspolitikker. Hvis en organisation kun beskæftiger sig med offentlige data, vil den have et helt andet sæt regulatoriske krav end et statsligt organ eller et aktieselskab.
Når en organisation forpligter sig til at vinde ISO 27001 certificering, skal den opstille retningslinjer for sine informationssikkerhedspolitikker. Dette gøres ved at oprette en informationssikkerhedspolitik på topniveau.
Informationssikkerhedspolitikken en organisation opretter er drivkraften bag denne organisations ISMS (informationssikkerhedsstyringssystem). Den fastlægger bestyrelsens politik og krav i forhold til informationssikkerhed. Det skal kun være et kort dokument, men skal være i overensstemmelse med organisationens værdier. Når man sigter til opnå ISO 27001 certificering, skal ISMS også opfylde kravene i standarden.
Politikerklæringen bør kræve, at alle medarbejdere deltager, samtidig med at alle andre eksterne interessenter, der har adgang til organisationens information og systemer. Når man overvejer sikkerhedspolitik, skal bestyrelsen overveje, hvordan det vil påvirke virksomhedens interessenter samt de fordele og ulemper, som virksomheden vil opleve som følge heraf.
ISO 27001 kræver dig til at identificere dine informationsrisici, evaluere og derefter reducere dem til et acceptabelt niveau ved at bruge de kontroller, der er fastlagt i dit ISMS. Dette vil forbedre din informationssikkerhedsstilling, og selvom det ikke eliminerer mulighed for brud, det reducerer sandsynligheden for forekomst og/eller virkningen af et brud og giver dig processer, du skal følge i tilfælde af en.
En UKAS-akkrediteret ISO 27001-certificering vil give kunder, regulatorer og andre interessenter sikkerhed for, at du administrerer informationssikkerheden effektivt. Det er den internationalt anerkendte best practice ISMS-standard og giver dig en ramme at følge håndtering af alle informationsaktiver, ikke kun personlige data til GDPR.
Mange af de obligatoriske krav vedr GDPR er behandlet af ISO 27001, så du er allerede et stort skridt i retning af at implementere det, når du adresserer compliance. Sagt på en anden måde; hvis du allerede er tilpasset ISO 27001-standarden, er du også en væsentlig vej frem til at opnå GDPR-overholdelse.
Formål: Det er her, organisationen fastlægger sit mål med politikken, og hvordan den planlægger at gøre det.
Anvendelsesområde: Organisationen definerer, hvad politikken skal dække, såsom netværk, lokationer, brugere og leverandører.
Sikkerhedsmål: Organisationen opstiller veldefinerede målsætninger om sikkerhed og strategi, som ledelsen er blevet enige om.
Lovgivning: Det er også vigtigt, at informationssikkerhedspolitikken indeholder henvisninger til den relevante lovgivning eller certificering, som virksomheden arbejder inden for eller hen imod, såsom ISO 27001-certificeringen.
Andre ting kan være inkluderet i informationssikkerhedspolitikker. Disse kan dog variere afhængigt af din organisation, dens aktiviteter og behov osv. For en komplet liste over ISO 27001 bilag og politikker, klik her.
Download din gratis guide til hurtig og bæredygtig certificering
Vi har bare brug for et par detaljer, så vi kan e-maile dig din guide til at opnå ISO 27001 første gang
Download din gratis guide nu, og hvis du overhovedet har spørgsmål Book en demo or Kontakt os. Vi hjælper gerne.
100 % af vores brugere opnår ISO 27001-certificering første gang
Der er mange elementer i informationssikkerhedspolitikken.
En CISO skal bestemme omfanget af deres informationssikkerhedspolitikker. Disse omfatter, men er ikke begrænset til:
ISMS.online giver alle beviserne bag informationssikkerhedspolitikkerne, der fungerer i praksis, og inkluderer en skabelon på topniveau informationssikkerhedspolitik, som organisationer kan vedtage, tilpasse eller tilføje for at opfylde deres krav hurtigt og nemt.
ISMS.online platform omfatter en tilgang til risikostyring. Det giver værktøjerne til at identificere, vurdere, evaluere og kontrollere informationsrelaterede risici gennem etablering og vedligeholdelse af et ISMS efter ISO 27001 standarden. Valgfrit kan du også drage fordel af ISO 27001 Virtual Coach, der tilbyder ekspertvejledning til hver af ISO 27001 krav og kontroller.