Ledelsessystem for informationssikkerhed (ISMS)

Forankring i ledelsen er en grundlæggende forudsætning for al sikkerhedsarbejde.

Informationssikkerhed er et ledelsesansvar på linje med økonomistyring, arbejdsmiljø, service eller borgerbetjening. ISO 27001 stiller krav om, at en række styringsaktiviteter er til stede, herunder at ledelsen engagerer sig systematisk i organisationens informationssikkerhed.

Plan - Do - Check - Act

Det kræver styring, indsigt og overblik at implementere et passende niveau af informationssikkerhed. En måde at planlægge og arbejde systematisk med forbedringer af informationssikkerheden er at benytte plan, do, check, act-modellen, der viser, hvor man befinder sig ud fra en tanke om løbende forbedringer. 

Løbende proces: Plan (afstem forventninger), Do (implementer), Check (Mål, test og rapporter), Act (Identificer forbedringer). Gentag øvelsen igen.

Figuren illustrerer procesmodellen med referencer til styringsaktiviteterne i standarden. 

  • Foretag risikovurdering
  • Udarbejd informationssikkerhedspolitik
  • Udarbejd handlingsplan
  • Udarbejd SoA-dokument (Statement of Applicability)
  • Få ledelsesgodkendt risikovurderingens resultat, SoA-dokument og informationspolitik

  • udarbejde/opdater sikkerhedspolitikken
  • udarbejde/opdater retningslinjer
  • udarbejde/opdater beredskabsplan
  • opdater SoA-dokumentet
  • Få ledelsesgodkendt sikkerhedspolitik, retningslinjer og beredskabsplan

  • Gennemfør måling på sikkerhed
  • Udarbejd/opdater ledelsesrapport på sikkerhed
  • Opdater SoA-dokumentet
  • Få ledelsesgodkendt sikkerhedsrapporteringe

  • Vurder og prioriter behov for ændringer i sikkerhedsarbejdet
  • Opdater SoA-dokumentet
  • Få ledelsesgodkendt notat med forbedringsforslag

Konteksten er vigtig

Organisationen skal stræbe efter at forstå egne informationsaktiviteters forretningsmæssige betydning, og hvordan grænseflader til omverdenen kan påvirke denne betydning.

Læs mere om kontekstens betydning for styringen

Forankring i ledelsen

Ledelsen skal fastlægge niveauet for sikkerhed i organisationen og acceptere risici. Ledelsen skal tage aktiv stilling til organiseringen internt i den enkelte organisation og organiseringen generelt.

Det sker blandt andet ved, at de, udover allokering af ressourcer, også:

definerer politikker og strategier

definerer roller og ansvar

aktivt følger op på den løbende rapportering

Planlægning og virkemidler

For at styre informationssikkerheden og for sikre, at ledelsen har de rette styringsværktøjer, gentages en række aktiviteter løbende år efter år, mens andre er enkeltstående aktiviteter.

Læs mere om årshjul og planlægning

Et velfungerende ISMS kan understøttes med en række virkemidler, tilstrækkelige ressourcer, relevante kompetencer, uddannelse af medarbejdere, løbende kommunikation og dokumentation.

Læs mere om virkemidler til et velfungerende ISMS

Organiseringen skal på plads

Det er en forudsætning for succes, at styringen af informationssikkerhed integreres i den eksisterende organisation, så der tages hensyn til eksisterende arbejdsgange, organiseringer, ansvarsfordelinger mv.

Den øverste ledelse skal etablere en organisation til koordinering af informationssikkerhedsarbejdet. Den igangsætter aktiviteter, følger op på implementering af politikker og retningslinjer, måler effekt og rapporterer tilbage til ledelsen.

Bliv klogere på roller og ansvar i arbejdet med informationssikkerhed

Prioriteringen af indsatsen skal flyttes ud af it-afdelingen og fra it-leverandøren og over til forretningen. Organiseringen skal godkendes af topledelsen. Det kan overvejes, om informationssikkerhed skal indgå i organisationens resultatkontrakter.

Organisationen skal også stræbe efter at forstå egne informationsaktivers forretningsmæssige betydning, og hvordan grænseflader til omverdenen kan påvirke denne betydning.