Informationssikkerhedspolitik

Informationssikkerhedspolitikken er det overordnede dokument, der fastlægger ledelsens vision og forpligtelse til informationssikkerhed i organisationen. Det er et obligatorisk krav i ISO 27001 (klausul 5.2) og fungerer som det øverste styrende dokument i ISMS'et.

Tilbage til ordbog

Hvad er informationssikkerhedspolitikken?

Informationssikkerhedspolitikken er et kortfattet, overordnet dokument, der formulerer organisationens holdning til og ambitioner for informationssikkerhed. Den skal godkendes og udstedes af den øverste ledelse, hvilket understreger, at informationssikkerhed er et ledelsesansvar.

Politikken er ikke en detaljeret teknisk instruks, men en strategisk erklæring, der sætter rammen for alle underliggende politikker, procedurer og kontroller i ISMS'et.

Krav til indholdet

ISO 27001 klausul 5.2 kræver, at informationssikkerhedspolitikken:

Er passende i forhold til organisationens formål og kontekst
Indeholder mål for informationssikkerhed eller angiver en ramme for at fastsætte dem
Indeholder en forpligtelse til at overholde gældende krav
Indeholder en forpligtelse til løbende forbedring af ISMS'et

Kort og konkret: En effektiv informationssikkerhedspolitik er typisk 1-2 sider. Den skal kommunicere klart til medarbejdere og interessenter, ikke dykke ned i tekniske detaljer. Tekniske krav hører hjemme i specifikke politikker og procedurer.

Kommunikation og tilgængelighed

ISO 27001 kræver, at informationssikkerhedspolitikken:

Er tilgængelig som dokumenteret information
Kommunikeres til alle relevante parter i organisationen
Stilles til rådighed for interessenter som kunder og samarbejdspartnere (relevante dele)

I praksis betyder det, at alle medarbejdere bør have adgang til og kendskab til politikken, og at den typisk er tilgængelig på intranettet og i onboarding-materialer.

Vedligeholdelse og opdatering

Politikken skal revideres regelmæssigt, mindst én gang om året, eller ved væsentlige ændringer i organisationens kontekst, risikomiljø eller lovgivning. Revisionen bør drøftes som en del af ledelsesgennemgangen.

Ofte stillede spørgsmål om informationssikkerhedspolitik

Hvad er en informationssikkerhedspolitik?

Informationssikkerhedspolitikken er det overordnede dokument, der fastlægger ledelsens vision og forpligtelse til informationssikkerhed. Det er et obligatorisk krav i ISO 27001 (klausul 5.2) og fungerer som det øverste styrende dokument i ISMS'et.

Hvad skal en informationssikkerhedspolitik indeholde?

Ifølge ISO 27001 klausul 5.2 skal politikken være passende for organisationens formål, indeholde mål for informationssikkerhed eller en ramme for at fastsætte dem, indeholde en forpligtelse til at overholde gældende krav og en forpligtelse til løbende forbedring af ISMS'et.

Hvem skal godkende informationssikkerhedspolitikken?

Informationssikkerhedspolitikken skal godkendes og udstedes af den øverste ledelse. Dette demonstrerer, at informationssikkerhed er et ledelsesansvar og sikrer organisatorisk forpligtelse på højeste niveau.

Hvor ofte skal informationssikkerhedspolitikken revideres?

Politikken bør revideres mindst én gang om året, eller når der sker væsentlige ændringer i organisationens kontekst, risikomiljø eller gældende lovgivning. Revisionen drøftes typisk under ledelsesgennemgangen.

Hvor lang skal en informationssikkerhedspolitik være?

En effektiv informationssikkerhedspolitik er typisk 1-2 sider lang. Den bør være et kortfattet, strategisk dokument, der kommunikerer klart til alle interessenter. Detaljerede tekniske krav hører hjemme i underliggende politikker og procedurer.