Politik for informationssikkerhed

Informationssikkerhedspolitikken er først og fremmest et strategisk styringsredskab, hvor organisationen fastsætter målsætning, afgrænsning, ansvarsplacering og rammer for arbejdet med informationssikkerhed.

Rammerne for arbejdet

Sikkerhedspolitikken er et af de mest centrale dokumenter i sikkerhedsarbejdet. Her beskrives rammerne for arbejdet, organisationen, fordelingen af ansvaret og målsætningen.

Vejledningen beskriver, hvordan man udarbejder en politik for informationssikkerhed, herunder hvordan den kan passes ind i en organisations øvrige styringsdokumenter.

Den store model kan bruges til at opnå en stor detaljeringsgrad i udformningen af politikker for forretningen. Den lille model er tiltænkt en organisation, som ikke har behov for at udarbejde flere politikker for konkrete aspekter af it-anvendelsen.

Topledelsens ansvar

Det er topledelsens ansvar, at der defineres en politik, som anviser det ledelsesvalgte sikkerhedsniveau. Det er vigtigt, at politikken er afstemt med de forretningsmæssige mål og eksterne krav fra fx lovgivning og samarbejdspartnere.

Overblik over forretningen, godt kendskab til formål og strategi samt eventuelle overordnede politikker er en forudsætning for en god politik. Ledelsen bør involveres i arbejdet med politikken, så det sikres, at dens vurderinger og beslutninger indgår.

Bredt kendskab

Informationssikkerhedspolitikken bør være tilgængelig for alle ansatte i organisationen, så ledelsens målsætning og baggrunden herfor er kendt af medarbejderne. Den skal skabe en fælles forståelse i organisationen for, hvad informationssikkerhed indebærer, og hvilken tilgang man har til det. 

Få inspiration til at sætte sikkerhed på dagsordnen blandt medarbejderne