Säkerhetspolicy

En säkerhetspolicy bör vara ”Så Tydlig Och Kort Som Möjligt” och helst inte längre än 1 sida.
Policyn är ett styrdokument som talar om att organisationen anser något om säkerhet. Normalt (och förhoppningsvis 😉 att ledningen anser att säkerhet är viktigt och att organisationen ska vidta åtgärder för att bibehålla och förbättra säkerheten.
Exakt hur policyn ska skrivas säger inte ISO-standarden men den lämnar vägledning om viktiga delar. Mer konkret vägledning om vad som behövs hittar du t.ex. på www.informationssäkerhet.se
Min uppfattning är att nedanstående nyckelord/punkter är saker som bör beaktas när man står i begrepp att skriva en säkerhetspolicy.
VÄNLIGEN OBSERVERA!
Alla punkter måste inte vara med i det dokument som författas. En mindre organisation behöver t.ex. inte en lika omfattande policy som en större organisation. Däremot rekommenderar jag att du/ni funderar på varje punkt huruvida den är något som ni behöver förhålla er till och följaktligen ska skrivas in i policyn eller ej. Vissa nyckelord kommer i sin tur att behöva ett eget dokument som vidareutvecklar vad som ska göras/en egen policy.
Det finns mallar från flera håll att köpa. Dessa kan vara en grund att stå på när man ska ta fram sin egen policy.
 

Säkerhetspolicy ska finnas och vara uppdaterad

En KORTFATTAD säkerhetspolicy godkänd av i första hand styrelse eller för mindre företag VD är grundstenen som säkerhetsarbete i en organisation bygger på. Inte minst viktigt är att för organisationens anställda tydligt visa ledningens engagemang och att ledningen lägger vikt vid säkerhet.
 

Säkerhetspolicyn ska ha en tydlig målgrupp

Normalt riktar sig en säkerhetspolicy mot organisationens styrelse/styrgrupp, VD, organisationens anställda, kunder samt myndigheter och samhälle.
 

Säkerhetspolicyn ska ovillkorligen kommuniceras till de som den berör

Milt uttryckt nödvändigt om organisationen vill få nytta av den tid och kraft man lägger ner på sitt säkerhetsarbete. I första hand behöver alla i organisationen få information om säkerhetspolicyn. Skäl kan även finnas att delge andra som t.ex. kunder, media eller myndigheter. Rätt hanterat kan en publik säkerhetspolicy stärka samt om (när?) något händer även skydda varumärket.
 

Ledningen ska vara införstådd med sitt ansvar

Ledningen har alltid det yttersta ansvaret för verksamhetens säkerhet. Även om säkerhetsarbetet delegeras så är det fortfarande ledningen som har ansvaret. Om detta måste ledningen vara medveten. Inte minst måste ledningen inse och agera i enlighet med sitt ansvar.
 

Ansvarig person för säkerhetspolicyn ska finnas

ISO-standarderna säger egentligen ”ledningens genomgång” dvs att det är ledningens ansvar. Detta fungerar dock inte alltid perfekt i alla organisationer, följaktligen…
Ansvarig person måste vara utsedd. Denna person måste vara medveten om och ha accepterat sitt ansvar.
 

Säkerhetspolicyn ska vara fastställd av organisationens högsta ledning

En  säkerhetspolicy bör beslutas på allra högsta nivå dvs styrelse i de flesta organisationer. I mindre och medelstora organisationer, samt i de fall styrelse eventuellt saknas bör VD besluta. Det är av vikt att organisationen kan konstatera och förstå att policyn och de saker som behöver göras sker i enlighet med högsta ledningens vilja.
 

Säkerhetspolicyn ska hållas uppdaterad med beslutade intervall

En policy som enbart skapats och därefter aldrig granskas och uppdateras kan snabbt bli värdelös. Det är alltså av vikt att med beslutade intervall granska samt vid behov uppdatera policyn.
SS-ISO/IEC 27001:2006 Ledningssystem för informationssäkerhet avhandlar detta under punkt 7 på sid 10 i standarden.
”Ledningen skall gå igenom organisationens LIS vid planerade intervall (minst en gång per år) för att säkerställa systemets fortlöpande lämplighet, tillräcklighet och verkan. Genomgången skall innefatta bedömningar av möjligheter till förbättring och behovet av förändringar i LIS, inklusive policy och mål för informationssäkerheten. Resultaten från ledningens genomgångar skall tydligt dokumenteras och dokumenten skall bevaras.”
 

Ändringshistorik ska finnas

Grundläggande krav på en säkerhetspolicy/dokumenthantering.
 

Finns befintliga för policyn relevanta styrande dokument, har hänsyn till dessa tagits vid framställning av säkerhetspolicyn?

De flesta organisationer har oftast någon form av styrande dokument när man ska börja arbetet med att ta fram en säkerhetspolicy. Vill man vara konstruktivt lat dvs slippa uppfinna hjulet på nytt, är det klokt att börja med att sammanställa vilka styrande dokument som redan finns samt i vilken mån de kan påverka och/eller underlätta arbetet med framställning av en säkerhetspolicy.
 

Drift av IT-system ska ske på ett ur verksamhetens perspektiv godtagbart sätt

I förhållande till de behov som verksamheten har måste t.ex. IT-drift och kommunikation tryggas så att system etc verkligen fungerar när verksamheten behöver dem. För i stort sett alla organisationer, liten såväl som stor, behöver detta nämnas i säkerhetspolicyn. Detaljer etc hänvisas lämpligen till ett underordnat dokument (informationssäkerhetspolicy, anvisningar it-drift etc).
 

Policyn ska på en övergripande nivå behandla hur man ställer sig till kunder och kundkrav

Alla, eller i stort sett alla, organisationer har någon form av kund. Det är lämpligt att i policyn mycket kortfattat beröra detta.
 

Policyn skall ta upp vad som gäller för personalens säkerhet

Policyn bör klargöra eller hänvisa till underordnat klargörande dokument vad som gäller för personalens säkerhet.
 

Policyn bör ta upp vad som gäller för personalens integritet

Pollicyn bör klargöra eller hänvisa till underordnat dokument vad som gäller för personalens nivå på personlig integritet i förhållande till arbetsgivaren.
 

Policyn bör ta upp vad som gäller avseende Fysisk säkerhet och Anläggningssäkerhet

Policyn bör klargöra vad som gäller eller hänvisa till underordnat dokument.
 

Policyn bör ta upp vad som gäller avseende hållbarhet

Corporate Social Responsibility och på vad sätt säkerhet hör ihop med hållbar utveckling.
 

Policyn bör ta upp vem som är ansvarig för, samt hur incidenter och rapportering ska hanteras

Om inte annat är detta en möjlighet både för ledningen och underställda att få ett grepp om risker, kostnader och därmed sammanhängande investeringsbehov samt möjlighet att spara pengar eller minska kostnader.
 

Policyn bör ta upp att utbildning av personalen i säkerhet ska göras

Personalen är sannolikt den enskilt viktigaste faktorn för god säkerhet. Får inte personalen kännedom om vad som gäller finns inte förutsättning för god säkerhet.
 

Policyn måste ta upp att informationsklassning ska göras

En organisations infomation/kunskap behöver värderas och klassas med avseende på skyddsvärde och därmed hörande skyddsbehov.
 

Policyn måste ta upp att en informationssäkerhetspolicy behövs

Policyn bör innehålla en kortfattad skrivning om att principer avseende behörigheter och åtkomstbehov behövs t.ex. hur ett dokument ska klassas samt vem som får ta del av informationen.
 

Ansvarsförhållanden måste klargöras i policyn

Policyn ska klargöra att ansvarsförhållanden måste klargöras. Antingen i policyn eller med hänvisning till underliggande dokument.
 

Policyn måste klargöra att Business Continuity Planning ovillkorligen måste göras

Grundläggand för säkerhetsarbete är att man indentifierar de för verksamheten kritiska funktionerna. Att behöver göras måste finnas med i en säkerhetspolicy.
 

Policyn måste klargöra att organisationen behöver kunna hantera en kris

Alla organisationer råkar förr eller senare ut för en kris i större eller mindre omfattning. Att kunna hantera krisen kan var en direkt överlevnadsfråga för organisationen, följaktligen bör säkerhetspolicyn hantera frågan om krishantering.
 

Policyn måste klargöra att  en process för uppföljning/revision måste finnas

Principer för revision t.ex. att revision skall ske med hjälp av oberoende part och att revision liksom säkerhet i första hand syftar till att vara ett hjälpmedel för att förbättra organisationens verksamhet.
 

Policyn måste klargöra att nyckelprocesser måste identifieras

Vilka verksamheter/processer är grundläggande för organisationens verksamhet och överlevnad? Dessa måste identifieras. Policyn måste tydliggöra att detta skall ske.

Policyn måste klargöra att organisationen behöver kunna hantera en kris

Alla organisatioenr råkar förr eller senare ut för en kris i större eller mindre omfattning. Att kunna hantera krisen kan vara en direkt överlevnadsfråga för organisationen, följaktligen bör säkerhetspolicyn hantera frågan om krishantering.
 

Policyn ska hantera frågan om befarad eller konstaterad extern brottslighet

Vad gäller vid befarande eller konstaterad extern brottslighet som direkt riktar sig mot eller påverkar organisationen. Hanteras direkt i policyn eller i underordnat dokument.
 

Policyn ska hantera att principer för vad som gäller vid olagligt agerande av organisationens personal måste finnas

 

Policyn måste hantera att principer för hantering av säkerhetsincidenter behöver finnas

Utan förberedda principer för hantering av säkerhetsincidenter kan bli mycket kostsamt och jobbigt att hantera en säkerhetsincident. Likaså kan varumärket ta skada.
 

Policyn bör hantera vad som gäller avseende sanktioner mot egen personal samt vem som ansvarig för sanktioner

 

Policyn bör hantera tele samt datakommunikation

Vad gäller för Tele respektive datakommunikation. Behandlas lämpligen i en underliggande policy/dokument.
 

Policyn bör hantera vad som gäller avseende kunders integritet

Behöver kunders integritet tas hänsyn till? Hur ska kunders integritet säkerställas?
 

Policyn bör hantera de produkter och/eller tjänster som organisationen levererar

 

Policyn bör hantera vad som gäller avseende produkt och tjänsteutveckling/FoU

Ställningstagande till skydd av produkt och tjänsteutveckling bör tas. Behövs skydd eller inte?
 

Policyn bör hantera resesäkerhet

Säkerhet relaterad till personal kan eventuellt sorteras in under personal. Resesäkerhet är dock på många sätt en separat fråga.
 

Policyn måste hantera vad som gäller revision

Skall, och i så fall hur, granskning av verksamheten göras?
 

Policyn skall hantera vad som gäller avseende access och behörighet

Policyn bör innehålla kortfattad skrivning om principer avseende behöverigheter och åtkomstbehov.
 

Policyn måste hantera vad som gäller avseende Risk och sårbarhetsanalys

För att kunna bedöma risker och skyddsbehov behöver risk och sårbarhetsanalyser göras. Något som uttryckligen bör stadgas i en säkerhetspolicy.
 

Policyn ska behandla vad som gäller för utveckling, anskaffning samt avveckling av t.ex. system

Policyn bör kortfattat behandla vad som gäller för utveckling, anskaffning samt avveckling av t.ex. system

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *