Politikker og procedurer

Politikker og procedurer er de interne dokumenter, der omsaetter lovkrav og standarder til konkret praksis i din organisation. Politikker saetter retningen, og procedurer beskriver, hvordan du foelger den i det daglige arbejde.

Tilbage til ordbog

Politik vs. procedure

En politik er et overordnet dokument, der beskriver, hvad organisationen vil opna og hvilke regler der gaelder inden for et bestemt omrade. En informationssikkerhedspolitik siger f.eks., at organisationen forpligter sig til at beskytte informationsaktiver og beskriver de overordnede principper.

En procedure er en detaljeret arbejdsgang, der beskriver, hvordan du udfoerer en specifik opgave. Proceduren for haendelsesrespons beskriver trin for trin, hvad du goer, nar du opdager et sikkerhedsbrud: hvem du kontakter, hvordan du dokumenterer haendelsen, og hvem der beslutter, om den skal anmeldes.

Politikker godkendes typisk af ledelsen og aendres sjaeldent. Procedurer opdateres oftere, fordi de afspejler den aktuelle praksis. Begge dele er noedvendige: politikker uden procedurer er tomme erklaerninger, og procedurer uden politikker mangler forankring.

Sammen udgoer de fundamentet i din compliance-ramme og dokumenterer over for tilsynsmyndigheder, at du arbejder systematisk med overholdelse.

Typiske compliance-politikker

De fleste organisationer har brug for politikker inden for disse omrader:

Informationssikkerhedspolitik: Det overordnede dokument for beskyttelse af informationsaktiver. Kraevet af ISO 27001 og forudsat af de fleste reguleringer.
Databeskyttelsespolitik: Beskriver, hvordan organisationen behandler persondata i overensstemmelse med GDPR.
Acceptabel brug: Regler for medarbejderes brug af IT-systemer, e-mail, internet og mobile enheder.
Adgangsstyringspolitik: Regler for tildeling, gennemgang og fjernelse af adgangsrettigheder.
Beredskabs- og kontinuitetspolitik: Rammer for beredskabsplanlaegning og katastrofegendannelse.
Leverandoerpolitik: Krav til leverandoersikkerhed og tredjepartsrisikostyring.
Whistleblowerpolitik: Procedure for, hvordan medarbejdere kan indberette bekymringer om lovovertraedelser.

Antallet af politikker varierer efter organisationens stoerrelse og kompleksitet. Det vigtige er ikke maengden, men at politikkerne er relevante, opdaterede og kendte af medarbejderne.

Regulatoriske krav til politikker

GDPR kraever, at du kan demonstrere overholdelse (accountability-princippet). Politikker og procedurer er det vigtigste redskab til at dokumentere, at du har implementeret passende foranstaltninger.

ISO 27001 kraever en raekke dokumenterede politikker, herunder en informationssikkerhedspolitik godkendt af ledelsen, og politikker for specifikke kontroller i Annex A.

NIS2 kraever politikker for risikoanalyse, haendelseshandtering, forretningskontinuitet, forsyningskaede-sikkerhed og cyberhygiejne. Ledelsen skal godkende cybersikkerhedspolitikker og overvage implementeringen.

DORA stiller krav om politikker for IKT-risikostyring, IKT-haendelsesrapportering og test af digital operationel modstandsdygtighed.

Alle disse reguleringer forventer, at politikker er dokumenterede, godkendte, kommunikerede til relevante medarbejdere og regelmaessigt gennemgaet.

Udarbejdelse og vedligeholdelse

Gode politikker er korte, klare og relevante. En politik, som ingen laeser, har ingen vaerdi. Skriv i et sprog, medarbejderne forstar, og undga unoedvendig jura.

Soerg for, at hver politik har en ejer, der er ansvarlig for at holde den opdateret. Brug versionsstyring, sa du altid ved, hvilken version der er gaeldende.

Gennemga alle politikker mindst en gang om aret, og opdater dem, nar lovgivningen aendrer sig, organisationen aendrer sig, eller intern revision afsloerer svagheder.

Kommuniker politikker til alle relevante medarbejdere, og soerg for, at de forstar indholdet. Sikkerhedsbevidsthed og traening er afgoerende for, at politikker omsaettes til adfaerd.

Dokumenter alt centralt. Nar din DPO eller compliance officer skal svare en tilsynsmyndighed, skal de hurtigt kunne finde den relevante politik med godkendelsesdato og seneste gennemgang.

Ofte stillede spørgsmål om politikker og procedurer

Hvad er forskellen pa en politik og en procedure?

En politik er et overordnet dokument, der beskriver organisationens retning og regler inden for et omrade. En procedure er en detaljeret arbejdsgang, der beskriver, hvordan politikken udfoeres i praksis, trin for trin.

Hvilke politikker kraever GDPR?

GDPR kraever ikke specifikke navngivne politikker, men forordningen forudsaetter politikker for databeskyttelse, databehandling, brudrespons, registreredes rettigheder og opbevaring. De fleste organisationer har ogsa en cookiepolitik og en privatlivspolitik.

Hvor ofte skal politikker opdateres?

Mindst en gang om aret og ved lovaendringer, organisatoriske aendringer eller efter revisioner, der identificerer svagheder. ISO 27001 kraever regelmaessig gennemgang af informationssikkerhedspolitikken.

Hvem skal godkende politikker?

Overordnede politikker boer godkendes af den oeverste ledelse. Mere specifikke procedurer kan godkendes af afdelingsledere, men de skal vaere i overensstemmelse med de overordnede politikker.