Bruk e-post på en sikker måte
Les NorSIS sine råd
om
e-post sikkerhet
Sikkerhetsledelse
I denne veiledningen ser vi spesielt på arbeidet med informasjons-sikkerhetsarbeidet.
Innhold
Innledning
Sikkerhetsledelse er å styre informasjonssikkerhetsarbeidet for å bidra til å nå virksomhetens mål. Det omfatter tiltak for å avdekke og redusere sikkerhetsrisikoen. Sikkerhetsledelse skal bidra til å sikre verdier, informasjon og evnen til å løse prioriterte oppgaver.
Informasjonssikkerhet er et løpende og langsiktig arbeid, som ikke alltid gir raske resultater. Virksomhetens leder er ansvarlig for informasjonssikkerheten i bedriften. Prioriteringer og styring av risiko knyttet til informasjonssikkerhet må derfor forankres hos ledelsen og ledelsen må vise engasjement i arbeidet.
Risikobasert
Arbeid med sikkerhet skal gi et positivt bidrag til virksomheten. Tiltak må
derfor tilpasses virksomheten. Dette krever at virksomheten må kjenne eget risikobilde. Å
gjennomføre systematiske risikovurdering gir mange positive effekter. I forkant av
risikovurderinger er det viktig å ha oversikt over hvilke verdier, informasjon og IKT systemer som
er viktige. Ledelsen må beslutte akseptabelt risikonivå og risiko for ulike deler av virksomheten
bør ses sammen. Se også NorSIS veiledning om risikostyring.
Sikkerhetsdokumentasjon
En viktig del av sikkerhetsledelsesarbeidet er å dokumentere krav og
retningslinjer til informasjonssikkerhet. En sikkerhetspolicy vil normal utgjør øverste nivå og
skal beskrive hvorfor stiller krav til sikkerhet. I tilegg er det nødvendig med mer detaljerte
retningslinjer som beskriver hvilke tiltak som kreves for at policy skal oppnås (hva). Gjerne er
det også nødvendig med mer detaljerte instruksjoner eller veiledninger som støtter bruk av
sikkerhetstiltakene (hvordan). Se også SIS sin veiledning om hvordan lage sikkerhetspolicy.
Opplæring og bevisstgjøring
Alle medarbeidere må gjøres kjent med virksomhetens sikkerhetspolicy og de
viktigste retningslinjene. Det er viktig å planlegge og å gjennomføre løpende opplæring og
bevisstgjøring av informasjonssikkerhet for alle medarbeidere. Mange sikkerhetshendelser kan bare
unngås ved hjelp av bevisste medarbeidere. Ledelsen er viktige rollemodeller. Dersom ledelsen, ved
sine handlinger, viser at rutiner og regler for sikkerhet ikke gjelder for dem, vil heller ikke
ansatte bry seg om sikkerhet i sitt daglige arbeid.
Oppfølging
For å følge opp ledelsens eierskap må sikkerhet inngå i etablert
ledelsesoppfølging. Dette sikrer rapportering og bevisstgjøring om viktigste risiko. Ledelsen må
etablere et klima som sikrer at alle sikkerhetshendelser blir rapportert og danner grunnlag for et
systematisk forbedringsarbeid. På denne måten kan man følge opp om det vedtatte sikkerhetsnivået er
tilfredsstillende, og om iverksatte tiltak virker som forventet. Enhver leder som setter mål for
oppfølging, bør også ha konkrete risikoforbedringer som viktige mål. På denne måten vil effektive
sikkerhetstiltak gi konkrete resultat.
Mer informasjon om sikkerhetsledelse
Standarden NS-ISO/IEC 17799:2005 omhandler styring av informasjonssikkerhet.
