Topledelsen har ansvaret

Ansvaret for organisationens informationssikkerhed kan ikke uddelegeres. Topledelsen skal fokusere på sikkerhedens betydning for forretningen.

Organisationens topleder skal fastlægge sikkerhedsniveauet for organisationen. Toplederen har ansvaret for, at der er etableret et ledelsessystem for informationssikkerhed (ISMS), og at medarbejderne er kvalificeret til at arbejde sikkert med organisationens informationer.

I ISO-standarden er ”Statement of Applicability (SoA)” en vigtig forudsætning for og et krav til ledelsessystemet for informationssikkerhed. Med et godkendt SoA-dokument kender sikkerhedskoordinatoren ledelsens prioriteringer af sikkerhedsniveauet og kan arbejde i forhold standardens sikringsforanstaltninger.

Toplederen skal sikre, at arbejdet med informationssikkerhed også har de andre lederes opbakning. I praksis kan dette ske ved, at toplederen eller et andet direktionsmedlem er repræsenteret i sikkerhedsudvalget og at mål for informationssikkerheden er beskrevet i lederens resultatkontrakt.

Sikkerhedsarbejdet er en løbende proces

Arbejdet med informationssikkerhed er en løbende proces. Organisationens ledelse skal vedligeholde og justere informationssikkerhedsprocesser hen ad vejen. Derfor skal toplederen samarbejde med sikkerhedskoordinatoren og de personer (entiteter), som har ansvar for informationsaktiverne – typisk de ledere, som er ansvarlige for organisationens systemer og data.

Dette samarbejde er helt afgørende for, at lederen kan holde sig ajour med det aktuelle risikobillede. Det er lederens ansvar at kende risikobilledet og træffe de nødvendige beslutninger om at sikre yderligere eller acceptere den tilbageværende risiko.

Indsatsen skal afvejes ud fra hensynet til sikkerhed, brugervenlighed og økonomi. Det er væsentligt, at indsatsen er proportional med truslerne mod organisationen. Man kan ikke gardere sig hundrede procent mod utilsigtede hændelser, uanset hvor mange ressourcer man bruger på sikkerhed. Økonomi, brugervenlighed og sikkerhed skal med andre ord balanceres i forhold til hinanden.

Dialog med sikkerhedskoordinatoren

Det er også topledelsens opgave at vurdere, om der er behov for ekstern rådgivning og bistand til sikkerhedsarbejdet. Selv om organisationens it-drift er varetaget af en anden organisation – f.eks. Statens It – har toplederen stadig det endelige ansvar for informationssikkerheden i organisationen. Hvis der er behov for ekstern bistand, er det toplederen som skal sikre en formel aftale med rådgiveren.

Toplederen kan med fordel skabe en konkret anledning til at vedligeholde dialogen med organisationens sikkerhedskoordinator. For eksempel kan man – på baggrund af det seneste halve års hændelser – diskutere organisationens styringssystem, risikovurdering og beredskabsplan. Således får man fjernet uhensigtsmæssigheder og fundet tidssvarende løsninger, når det er nødvendigt.