Roller og ansvar

Bliv klogere på de fire centrale roller i arbejdet med informationssikkerhed.

Arbejdet med sikkerhed kræver tydelig rolle- og ansvarsfordeling mellem de relevante personer.

Der er fire centrale roller i arbejdet med informationssikkerhed:

  • Topledelsen
  • Informationssikkerhedskoordinatoren
  • Informationssikkerhedsudvalget
  • Systemejere

Topledelsen

Topledelsen har ansvaret for organisationens informationssikkerhed, og det kan ikke uddelegeres. Fokus skal være på sikkerhedens betydning for forretningen, og der skal sikres opbakning i hele ledelseslaget. I praksis kan dette ske ved, at toplederen eller et andet direktionsmedlem er repræsenteret i sikkerhedsudvalget og at mål for informationssikkerheden er beskrevet i lederens resultatkontrakt.

Organisationens topleder skal fastlægge sikkerhedsniveauet for organisationen. Toplederen har ansvaret for, at der er etableret et ledelsessystem for informationssikkerhed (ISMS), og at medarbejderne er kvalificeret til at arbejde sikkert med organisationens informationer.

Sikkerhedsarbejdet er en løbende proces

Organisationens ledelse skal vedligeholde og justere informationssikkerhedsprocesser hen ad vejen. Det kræver et samarbejde mellem toplederen, sikkerhedskoordinatoren og de personer, som har ansvar for informationsaktiverne. Det er typisk de ledere, som er ansvarlige for organisationens systemer og data.

Samarbejdet er helt afgørende for, at lederen kan holde sig ajour med det aktuelle risikobillede. Det er lederens ansvar at kende risikobilledet og træffe de nødvendige beslutninger om at sikre yderligere eller acceptere den tilbageværende risiko.

Indsatsen skal afvejes ud fra hensynet til sikkerhed, brugervenlighed og økonomi. Det er væsentligt, at indsatsen er proportional med truslerne mod organisationen. Man kan ikke gardere sig hundrede procent mod utilsigtede hændelser, uanset hvor mange ressourcer man bruger på sikkerhed.

Dialog med sikkerhedskoordinatoren

Det er også topledelsens opgave at vurdere, om der er behov for ekstern rådgivning og bistand til sikkerhedsarbejdet. Selv om organisationens it-drift er varetaget af en anden organisation – f.eks. Statens It – har toplederen stadig det endelige ansvar for informationssikkerheden i organisationen. Hvis der er behov for ekstern bistand, er det toplederen som skal sikre en formel aftale med rådgiveren.

Toplederen kan med fordel skabe en konkret anledning til at vedligeholde dialogen med organisationens sikkerhedskoordinator. For eksempel kan man – på baggrund af det seneste halve års hændelser – diskutere organisationens styringssystem, risikovurdering og beredskabsplan. Således får man fjernet uhensigtsmæssigheder og fundet tidssvarende løsninger, når det er nødvendigt.

Informationssikkerhedskoordinatoren

Informationssikkerhedskoordinatoren er organisationens daglige sikkerhedsleder og fungerer som sekretær for sikkerhedsudvalget. Sikkerhedskoordinatoren får sine beføjelser fra topledelsen, og har primært tværgående koordineringsopgaver.

Ideelt set bør sikkerhedskoordinatoren referere direkte til topledelsen, men uanset den organisatoriske placering er det vigtigt, at koordinatoren har direkte adgang til topledelsen.

Sikkerhed som løbende proces

Systematisk informationssikkerhedsarbejde er en løbende proces – faciliteret af sikkerhedskoordinatoren. Mange bruger "Plan-do-check-act"-modellen i arbejdet med sikkerhed, fordi den giver en operationel tilgang til de mange procedurer og aktiviteter, som sikkerhedsarbejdet indeholder.

Læs mere om planlægning

Arbejdet med informationssikkerhed består af planlægning, implementering og vedligeholdelse, administration, kontrol, information og rådgivning om informationssikkerhed i organisationen.

Til støtte for sikkerhedskoordinatorens rådgivning og kommunikation er der udarbejdet situationsbestemte kommunikationsredskaber.

Læs mere om rådgivnings- og kommunikationsmaterialet

Sikkerhedskoordinatoren skal bl.a. sørge for at:

  • gennemføre risikovurderinger
  • komme med forslag til at opdatere informationssikkerhedspolitikken
  • registrere og rapportere kritiske hændelser
  • evaluere og benchmarke organisationens sikkerhed
  • skabe kendskab til informationssikkerhed blandt organisationens medarbejdere
  • indkalde til møder i informationssikkerhedsudvalget
  • være sekretær for udvalget
  • relationen til andre politikker

Når man skal etablere – eller revidere – organisationens styringssystem for informationssikkerhed, er det vigtigt, at finde en model, der egner sig til organisationen. Informationssikkerhed har fællestræk med en række andre styringsopgaver – fx it-drift, økonomistyring og kvalitetsstyring.

Har organisationen allerede et system for kvalitetsstyring, bør man udvide og tilpasse dette styringssystem til også at kunne håndtere informationssikkerheden.

Sikkerhedskoordinatoren skal være opmærksom på snitflader med øvrige politikker i organisationen og vurdere behovet for drøftelse af informationssikkerhedspolitikken i fx teknologi-, MED- og sikkerhedsudvalg.

Ressourcer til sikkerhed

Ledelsen skal sikre budget for informationssikkerhed og medarbejdere med kvali-fikationer og beføjelser til at udføre informationssikkerhedsarbejdet i organisationen. Derfor er det vigtigt at få involveret topledelsen i en løbende dialog om organisationens informationssikkerhed. Kommunikation med topledelsen fungerer bedst, når koordinatoren fokuserer på, hvad sikkerhedsarbejdet betyder for forretningen.

Få hjælp i rejsefortællingen til kommunikation med ledelsen

Informationssikkerhedsudvalget

Sikkerhedsudvalget skal sørge for, at informationssikkerheden realiseres og efterleves i organisationen, og har det daglige ansvar for styring af informationssikkerheden.

At være medlem af informationssikkerhedsudvalget indebærer et vist ansvar og forudsætter en nødvendig viden om ISO 27001, som er grundlag for organisationens informationssikkerhedsarbejde. Medlemmernes indsigt i standardens indhold og dækningsområde er væsentligt for sikkerhedsudvalgets arbejde og succes.

Sikkerhedsudvalgets opgaver

Standarden skitserer kun en række normative krav til informationssikkerheden. I praksis er det sikkerhedsudvalget for informationssikkerhed, som fastlægger organisationens styringsmodel.

I meget små institutioner vil det ofte være departementet eller en anden organisation i ministerieområdet, som varetager den overordnede styring af informations-sikkerheden. Uanset hvilken styringsmodel organisationen vælger, har sikkerhedsudvalget og sikkerhedskoordinatoren det daglige ansvar for informationssikkerheden.

De skal sikre sig, at sikkerhedsarbejdet har ledelsens opbakning. I praksis sker dette ofte ved, at toplederen eller et andet direktionsmedlem er repræsenteret i sikkerhedsudvalget.
Lederne af de væsentligste forretningsområder bør også være repræsenteret i sikkerhedsudvalg for informationssikkerhed, fordi disse ledere definerer, hvilke data der er vitale og kritiske for driften.

Udvalget fastlægger sikkerhedspolitikken

Det er sikkerhedsudvalget, som fastlægger sikkerhedspolitikkens organisatoriske rammer, ansvarsfordeling og retningslinjer for kontrol og beredskab. Arbejdet tager udgangspunkt i de sikkerhedsniveauer topledelsen har fastlagt i og med SoA-dokumentet.

Arbejdet i sikkerhedsudvalget sker ofte efter oplæg fra organisationens informationssikkerhedskoordinator, der fungerer som sekretær for udvalget og som organisationens daglige sikkerhedsleder. Udvalgets opgave er bl.a. at revidere og ajourføre informationssikkerhedspolitikken med udgangspunkt i den aktuelle risikovurdering for organisationen.

Formidling til organisationen

Udvalgets beslutninger skal bygge på et afvejet helhedssyn – en balance mellem informationssikkerhed, brugervenlighed og økonomi. Det er væsentligt, at indsatsen er proportional med truslerne for organisationen.

Udvalgets medlemmer skal medvirke aktivt til at formidle de trufne beslutninger til organisationen. Systemejere, dataejere, risikoejere og linjechefer har ansvaret for, at der bliver udarbejdet (detaljerede) procedurer, instrukser og tjeklister inden for rammerne af de sikkerhedsniveauer organisationens topledelse har fastlagt i og med SoA-dokumentet. Den løbende kontrol med overholdelsen af retningslinjer, procedurer mv. ligger også hos de udpegede systemejere, dataejere, risikoejere og linjechefer.

Systemejere

De mest sårbare forretningsområder for organisationens informationssikkerhed skal identificeres af de personer, ledelsen har udpeget som ansvarlige for de enkelte systemer og data.

Ansvarlige for systemer og/eller data har også ansvar for informationssikkerhed knyttet til disse systemer og data. Systemejerne yder et væsentligt bidrag til, at organisationens interne brugere og eksterne kunder har adgang til de informationer, de skal bruge, når de skal bruge dem (tilgængelighed). Informationerne være korrekte og fuldstændige (integritet). Og følsomme informationer skal beskyttes mod uvedkommendes adgang (fortrolighed).

Sammenhæng med forretningen

Det kræver ikke særlig teknisk indsigt at være systemejer. Til gengæld er det nødvendigt at have overblik over hvilke forretningsprocesser, systemer og data understøtter. Som ansvarlig for systemer og/eller data skal man bruge dette overblik til at stille de relevante sikkerhedsmæssige krav med udgangspunkt i de sikkerhedsniveauer organisationens topledelse har fastlagt i SoA-dokumentet.

De vigtigste informationssikkerhedsmæssige opgaver som ejer af systemer og data er at:

  • identificere og dokumentere de enkelte sikkerhedsaktiver
  • klassificere aktiver og specificere sikkerhedsmæssige krav for hvert aktiv
  • godkende anskaffelser og installation af disse
  • give adgang til systemer og data
  • godkende placering af kritiske aktiver, udviklings- og hjælpemiljøer
  • godkende beredskabsplaner
  • følge op på sikkerhedshændelser.

Uddelegering og entydigt ansvar

Systemejer kan delegere rutinemæssige opgaver til en person, der dagligt holder øje med aktiverne, men systemejeren har stadig det endelige ansvar for systemets informationssikkerhed i hele systemets levetid.

Med mere brugervenlige systemer bliver det almindeligt, at et antal løst koblede tjenester (services) gør brug af en fælles data- eller informationsmængde fx ved at en tjeneste samkører eller sammenstiller data fra flere kilder. Det er vigtigt, at systemejeren tager stilling til, om det kræver en præcisering af ejerskabet og ansvaret.

Systemejere bør adskille modstridende funktioner og ansvarsområder, hvis risikoen for fejlagtig brug eller bevidst misbrug af jeres aktiver skal reduceres.

Systemejere skal sikre, at ingen enkeltpersoner kan få adgang til, ændre eller bruge aktiver uden autorisation og uden at blive opdaget. Hvis det er vanskeligt at gennemføre funktionsadskillelse, bør man overveje andre kontroller, fx overvågning af aktiviteter, audit og tilsyn fra ledelsens side.

Tilknytning til ISO 27001

Roller og ansvar er omtalt i afsnit 5.3 (Roller, ansvar og beføjelser i organisationen).