Informationssikkerhedsudvalget sætter mål for sikkerheden

Sikkerhedsudvalget skal sørge for, at informationssikkerheden realiseres og efterleves i organisationen.

At være medlem af informationssikkerhedsudvalget indebærer et vist ansvar og forudsætter en nødvendig viden om ISO27001, som er grundlag for organisationens informationssikkerhedsarbejde. Medlemmernes indsigt i standardens indhold og dækningsområde er væsentligt for sikkerhedsudvalgets arbejde og succes.

Sikkerhedsudvalgets opgaver

Standarden skitserer kun en række normative krav til informationssikkerheden. I praksis er det sikkerhedsudvalget for informationssikkerhed, som fastlægger organisationens styringsmodel. I meget små institutioner vil det ofte være departementet eller en anden organisation i ministerieområdet, som varetager den overordnede styring af informationssikkerheden. Uanset hvilken styringsmodel organisationen vælger, har sikkerhedsudvalget og sikkerhedskoordinatoren det daglige ansvar for informationssikkerheden.

De skal sikre sig, at sikkerhedsarbejdet har ledelsens opbakning. I praksis sker dette ofte ved, at toplederen eller et andet direktionsmedlem er repræsenteret i sikkerhedsudvalget. Lederne af de væsentligste forretningsområder bør også være repræsenteret i sikkerhedsudvalg for informationssikkerhed, fordi disse ledere definerer, hvilke data der er vitale og kritiske for driften.

Udvalget fastlægger sikkerhedspolitikken

Det er sikkerhedsudvalget, som fastlægger sikkerhedspolitikkens organisatoriske rammer, ansvarsfordeling og retningslinjer for kontrol og beredskab. Arbejdet tager udgangspunkt i de sikkerhedsniveauer topledelsen har fastlagt i og med ”Statement of Applicability (SoA)”. Arbejdet i sikkerhedsudvalget sker ofte efter oplæg fra organisationens informationssikkerhedskoordinator, der fungerer som sekretær for udvalget og som organisationens daglige sikkerhedsleder. Udvalgets opgave er bl.a. at revidere og ajourføre informationssikkerhedspolitikken med udgangspunkt i den aktuelle risikovurdering for organisationen.

Formidling til organisationen

Udvalgets beslutninger skal bygge på et afvejet helhedssyn – en balance mellem informationssikkerhed, brugervenlighed og økonomi. Det er væsentligt, at indsatsen er proportional med truslerne for organisationen. Udvalgets medlemmer skal medvirke aktivt til at formidle de trufne beslutninger til organisationen. Systemejere, dataejere, risikoejere og linjechefer har ansvaret for, at der bliver udarbejdet (detaljerede) procedurer, instrukser og tjeklister inden for rammerne af de sikkerhedsniveauer organisationens topledelse har fastlagt i og med ”Statement of Applicability (SoA)”. Den løbende kontrol med overholdelsen af retningslinjer, procedurer mv. ligger også hos de udpegede systemejere, dataejere, risikoejere og linjechefer.