Ledelsens styring af informationssikkerhed er afgørende
Som myndighed er det vigtigt at have et system for, hvordan man styrer informationssikkerheden. Et styringssystem vil sige, at man har gentagne og genkendelige processer for, hvordan en ledelse kan træffe bevidste valg på forskellige områder.
Som regel har man styringssystemer for en lang række processer, fx økonomi, regnskabsaflæggelse, tilsyn, årsrapporter, HR, arbejdsmiljø mv. Dette er områder, der er reguleret gennem lovgivning og best practices, og som har udviklet sig gennem de seneste årtiers generelle samfundsudvikling.
Sådan er det også på informationssikkerhedsområdet, hvor ISO 27001 er den internationale standard for styring af informationssikkerhed.
ISO 27001 skaber systematik i sikkerhedsstyringen
ISO 27001 er obligatorisk for statslige myndigheder i Danmark, men alle myndigheder kan med fordel anvende standarden. Ved at etablere processer for styring af informationssikkerhed med ISO 27001 sikrer man, at ledelsen kan træffe bevidste valg omkring beskyttelsen af informationer og data.
At have implementeret ISO 27001 betyder ikke, at man har høj sikkerhed i en organisation. Man kan heller ikke forhindre en organisation i at blive udsat for fx ransomware eller direktørsvindel, der medfører tab for virksomheden. Men benytter man principperne fra ISO 27001 til at professionalisere sikkerhedsstyringen, får man sikkerhed for, at de ledelsesmæssige beslutninger på sikkerhedsområdet træffes på et oplyst grundlag.
En styrket bevidsthed om risici, trusler og sårbarheder gør det lettere for ledelsen at træffe valg om, hvordan truslerne skal imødegås. Med dette kan ledelsen vælge et passende sikkerhedsniveau, der er afstemt med organisationens ledelse, trusselsbillede og risikoprofil.
Løbende vurdering og evaluering er nødvendig
Som sikkerhedskoordinator skal du løbende vurdere og evaluere sikkerhedsstyringen, når du arbejder med ISO 27001 som standard. Det er vigtigt, at du bliver ved med at udvikle din virksomheds styring af informationssikkerheden. Det kan være i forbindelse med interne organisationsændringer, udvikling i teknologi, ændret trusselsbillede og andre relevante fagområder. Ellers risikerer du, at et ellers veldrevet styringssystem kan være forældet, uden du opdager det.