Virkemidler forstås i denne sammenhæng som alle de forudsætninger i form af processer, materialer, beslutninger, der skal være til stede for at sikre et velfungerende ISMS.
De væsentligste er:
- Ressourcer
- Kompetencer
- Uddannelse og bevidsthed (kendskab)
- Kommunikation
- Dokumentation
Ressourcer
Organisationen skal sikre, at der er allokeret tilstrækkeligt med ressourcer til, at de af ledelsen definerede informationssikkerhedsmæssige mål kan nås. Det betyder bl.a., at der skal være nok ressourcer til stede til, at informationssikkerhedsindsatsen i praksis er egnet til at understøtte organisationens opgavevaretagelse og implementering af kontrollerne sikres.
Implementering betyder, at kontrollerne er dokumenteret, at krævede aktiviteter rent faktisk udføres, og at status rapporteres. Ressourcer bør være eksplicit afsat i budgetter mv. på linje med alle andre omkostninger i organisationen. Dermed bliver det også synliggjort, hvad organisationen bruger på informationssikkerhed.
Kompetencer
Organisationen skal sikre, at den råder over de nødvendige informationssikkerhedsfaglige kompetencer i relation til at styre informationssikkerhed. Det indebærer, at et passende antal medarbejdere skal have den rette uddannelsesmæssige baggrund og erfaring til opgaven med realisering af ledelsens mål for informationssikkerheden. Jo mere kompleks en organisation og it-anvendelse er, jo større vil kravene til medarbejdere og ledelse være.
Den samlede pulje af kompetencer, der er til rådighed på et ministerområde vil kunne have betydning for de kompetencer, den enkelte organisation under ministerområdet skal råde over. Det er ikke alle organisationer, som i dag har en it-sikkerhedskoordinator på fuld tid, og nogle af opgaverne kan være fordelt på flere. Det endelige ansvar for en organisations informationsaktiver er dog altid forankret hos ledelsen af organisationen.
Kompetencekravet betyder, at organisationen skal vedligeholde og opbygge kompetencer i takt med, at risikolandskabet og truslerne udvikler sig.
Uddannelse og bevidsthed
Uddannelsesaktiviteter skal sikre, at organisationens medarbejdere har kendskab til og forstår, hvordan de skal agere for at minimere risikoen for sikkerhedshændelser. Det vil sige, at der skal være en bevidsthed omkring beskyttelse af data i organisationen, og at arbejdet med informationssikkerhed prioriteres på alle niveauer.
Aktiviteterne afhænger af den enkelte institution, men som udgangspunkt skal indholdet af informationssikkerhedspolitikken og basale adfærdsnormer i forhold til medarbejdernes omgang med informationsaktiver, herunder it-udstyr, formidles til medarbejderen. Det gælder fx også proces for rapportering af hændelser og sanktionsmuligheder ved overtrædelse af informationssikkerhedspolitikken.
Uddannelsesaktiviteterne kan med fordel kombineres med interne kurser og lignende. Fx kan informationssikkerhed indgå som en fast del af et introduktionsforløb for nye medarbejdere.
Få konkret hjælp til uddannelse af medarbejderne
Kommunikation
Kommunikation både internt i organisationen og eksternt til samarbejdspartnere og andre interessenter er væsentlige bestanddele i den daglige drift af ISMS’et. Kommunikation med eksterne parter skal styres stramt, og der bør være præcise retningslinjer på området.
Oplysninger om området vil som regel være af fortrolig karakter, som kan afsløre sårbarheder og information om, hvordan kontroller i øvrigt er tilrettelagt. De situationer, der nødvendiggør kommunikation med eksterne parter, kan være:
- Udveksling af oplysninger med eksterne serviceleverandører
- Information til borgere og samarbejdspartnere om brud på fortroligheden omkring personoplysninger og andre fortrolige oplysninger
- Information til borgere og samarbejdspartnere om beredskabssituationer, der påvirker den almindelige opgavevaretagelse.
Kommunikation internt i organisationen om informationssikkerhed er uddannelsesaktiviteter. Derudover skal der etableres rapporteringsprocedurer, så der er tilstrækkelig information til stede, for at ledelsen kan udøve sine beføjelser på et rettidigt og oplyst grundlag.
Brug eksisterende kanaler
Rapporteringen bør ske via de eksisterende kanaler for kommunikation af ledelsesinformation. Hvis organisationen har etableret et dedikeret informationssikkerhedsudvalg, skal kommunikationen selvfølgelig tilrettelægges, så alle væsentlige oplysninger tilgår dette udvalg.
Kommunikation er endvidere en central del af risikostyringsprocessen, og det skal sikres, at repræsentanter for forretningen både høres om forretningsmæssige konsekvenser ved brud på informationssikkerheden og informeres om resultatet af risikovurderinger og de besluttede handlingsplaner.
Medarbejderkommunikation
Der kan også være behov for kommunikation til medarbejderne. Det er som regel aktuelt ved sikkerhedshændelser, eller hvis der er behov for ændring af en bestemt adfærd eller agtpågivenhed i forhold til fx en ny trussel.
Endelig er der også ledelsens generelle kommunikation til medarbejderne om informationssikkerhed som et vigtigt led i forankringen.
Besluttet og dokumenteret
Fælles for kommunikation gælder, at følgende skal være besluttet og dokumenteret:
- Hvad skal kommunikeres?
- Hvornår?
- Til hvem?
- Af hvem?
- Og via hvilke kommunikationskanaler?
Dokumentation
Dokumentationen af ISMS’et er et centralt element i dets etablering og drift, om end ikke alt behøver at skulle dokumenteres.
ISO 27001 angiver hvilke konkrete dokumenter, der skal være udarbejdet om styringen af informationssikkerhed. Desuden konstaterer ISO 27001, at dokumentationsbehovet afhænger af den konkrete organisations størrelse, typer af aktiviteter, kompleksitet og modenhed.
Læs mere om dokumentation og få en bruttoliste over de vigtigste dokumenter