Sikkerhedspolitik

En informationssikkerhedspolitik er det overordnede dokument, der definerer en organisations tilgang til beskyttelse af informationsaktiver. Det er fundamentet for al cybersikkerhedsarbejde og et krav under både ISO 27001 og NIS2-direktivet.

Hvad skal en sikkerhedspolitik indeholde?

Formål og omfang

Definer klart, hvad politikken dækker, hvilke systemer og data der er omfattet, og hvem der er ansvarlige. Topledelsen skal formelt godkende politikken og demonstrere deres engagement.

Roller og ansvar

• CISO/Sikkerhedsansvarlig: Overordnet ansvar for sikkerhedsprogrammet
• IT-afdelingen: Teknisk implementering og drift
• Afdelingsledere: Sikkerhed inden for eget ansvarsområde
• Alle medarbejdere: Overholdelse af politikker og rapportering af hændelser

Klassificering af data

Etabler et system til at klassificere data baseret på følsomhed:

• Offentligt: Information der frit kan deles
• Internt: Kun til intern brug
• Fortroligt: Begrænset adgang, f.eks. persondata
• Strengt fortroligt: Kritisk for forretningen, f.eks. forretningshemmeligheder

Adgangskontrol

Definer principper for adgangsstyring: principle of least privilege, need-to-know, adskillelse af opgaver og krav til autentificering (inklusiv MFA).

Hændelseshåndtering

Beskriv processen for rapportering, håndtering og eskalering af sikkerhedshændelser, inklusiv kontaktinformation og eskaleringsprocedurer.

Implementering i praksis

1. Ledelsesforankring: Sikkerhedspolitikken skal godkendes af den øverste ledelse
2. Kommunikation: Alle medarbejdere skal kende og forstå politikken
3. Uddannelse: Regelmæssig awareness-træning om politikkens indhold
4. Revision: Årlig gennemgang og opdatering af politikken
5. Håndhævelse: Klare konsekvenser ved overtrædelse

Danske krav

Under NIS2-direktivet er topledelsen personligt ansvarlig for at sikre, at organisationen har passende sikkerhedspolitikker. Politikken bør desuden adressere GDPR-compliance, herunder databeskyttelsesprocesser og samarbejde med DPO (Data Protection Officer).