Informationssikkerhedskoordinatoren styrer processen

Informationssikkerhedskoordinatoren er organisationens daglige sikkerhedsleder og fungerer som sekretær for sikkerhedsudvalget. Sikkerhedskoordinatoren har primært tværgående koordineringsopgaver.

Ifølge ISO27001 er topledelsen den vigtigste bidragyder til arbejdet med informationssikkerheden, bl.a. ved at specificere organisationens sikkerhedsniveau i ”Statement of Applicability (SoA)”. Ledelsen skal sikre rammer for informationssikkerhed i organisationen gennem sit uforbeholdne engagement, sin synlige medvirken og sin præcise ansvarsplacering. Herunder også en præcisering af de beføjelser sikkerhedskoordinatoren har.

Ideelt set bør sikkerhedskoordinatoren referere direkte til topledelsen, men uanset den organisatoriske placering er det vigtigt, at koordinatoren har direkte adgang til topledelsen.

Sikkerhed som løbende proces

Systematisk informationssikkerhedsarbejde er en løbende proces – faciliteret af sikkerhedskoordinatoren. Mange bruger "Plan-do-check-act"-modellen i arbejdet med sikkerhed, fordi den giver en operationel tilgang til de mange procedurer og aktiviteter, som sikkerhedsarbejdet indeholder. Arbejdet med informationssikkerhed består af planlægning, implementering og vedligeholdelse, administration, kontrol, information og rådgivning om informationssikkerhed i organisationen.

Til støtte for sikkerhedskoordinatorens rådgivning og kommunikation er der udarbejdet situationsbestemte kommunikationsredskaber. Redskaberne kan downloades fra boksen til højre.

Sikkerhedskoordinatoren skal bl.a. sørge for at:

  • gennemføre risikovurderinger
  • komme med forslag til at opdatere informationssikkerhedspolitikken
  • registrere og rapportere kritiske hændelser
  • evaluere og benchmarke organisationens sikkerhed
  • skabe opmærksomhed om informationssikkerhed blandt organisationens medarbejdere (awareness)
  • indkalde til møder i informationssikkerhedsudvalget
  • være sekretær for udvalget.

Relationen til andre politikker

Når man skal etablere – eller revidere – organisationens styringssystem for informationssikkerhed, er det vigtigt, at finde en model, der egner sig til organisationen. Informationssikkerhed har fællestræk med en række andre styringsopgaver – f.eks. it-drift, økonomistyring og kvalitetsstyring. Har organisationen allerede et system for kvalitetsstyring, bør man udvide og tilpasse dette styringssystem til også at kunne håndtere informationssikkerheden. Som sikkerhedskoordinator skal man være opmærksom på grænsesnit med øvrige politikker i organisationen og vurdere behovet for drøftelse af informationssikkerhedspolitikken i f.eks. teknologi-, MED- og sikkerhedsudvalg. 

Ressourcer til sikkerhed

Ledelsen skal sikre budget for informationssikkerhed og medarbejdere med kvalifikationer og beføjelser til at udføre informationssikkerhedsarbejdet i organisationen. Derfor er det vigtigt at få involveret topledelsen i en løbende dialog om organisationens informationssikkerhed. Kommunikation med topledelsen fungerer bedst, når koordinatoren fokuserer på, hvad sikkerhedsarbejdet betyder for forretningen.