Ledelsens styring af informationssikkerhed

ISO27001 stiller krav om, at en række styringsaktiviteter er til stede for at kunne lykkes med styringen af informationssikkerhed. Når der i en organisation er skabt et samspil mellem styringsaktiviteterne, er det i realiteten udtryk for, at der er implementeret et fungerende ISMS.

Hvad er et ISMS?

ISMS er en forkortelse for Information Security Management System, dvs. ledelse af et system til styring af informationssikkerhed. Et ISMS er et samlet udtryk for de politikker, procedurer, processer, organisatoriske beslutningsgange og aktiviteter, som udgør komponenterne i organisationens styring af informationssikkerhed. 

Et ISMS er ikke det samme som en sikkerhedsstandard. Et ISMS er en metode til at styre sikkerhed, som kan gøre det nemmere at leve op til standarden. 

ISMS sikrer systematiseret styring 

Vejledning i informationssikkerhedsstyring (ISMS) giver overblik over de elementer og koncepter, der bør indgå i ledelses- og styringssystemet. Samtidig giver vejledningen et bud på, hvordan det kan kombineres i en styringsmodel, der sikrer, at organisationen opnår det ønskede sikkerhedsniveau ved hjælp af kontroller, opfølgning og rapportering.

Hent


Sikkerhed fordrer ledelsesforankring

Informationssikkerhed er et ledelsesansvar på linje med økonomistyring, arbejdsmiljø, service eller borgerbetjening. En grundlæggende forudsætning for al sikkerhedsarbejde er, at arbejdet er forankret i ledelsen, og at ledelsen udviser engagement og forståelse for opgavens betydning. 

Forankring i ledelsen er dermed også en væsentlig forudsætning for at kunne drive et effektivt ISMS. 

Den ledelsesforankring, der er nødvendig på informationssikkerhedsområdet, adskiller sig ikke fra det engagement, ledelsen skal vise på alle andre væsentlige styringsområder. 

Aktiv stillingtagen

Forankringen skal konkret komme til udtryk i, at ledelsen skal fastlægge niveauet for sikkerhed i organisationen, acceptere risici og tage aktiv stilling til organiseringen internt i den enkelte organisation og organiseringen.  

Ledelsen skal fastlægge niveauet for sikkerhed i organisationen bl.a. ved at

  • allokere ressourcer 
  • definere politikker og strategier
  • definere roller og ansvar
  • aktivt følge op på den løbende rapportering
Den øverste ledelse skal således etablere en organisation til koordinering af informationssikkerhedsarbejdet. Organisationen igangsætter aktiviteter, følger op på implementering af politikker og retningslinjer, måler effekt og rapporterer tilbage til ledelsen.

Ledelsen skal fastlægge niveauet for sikkerhed i organisationen bl.a. ved at

  • allokere ressourcer 
  • definere politikker og strategier
  • definere roller og ansvar
  • aktivt følge op på den løbende rapportering

Ledelsen skal fastlægge niveauet for sikkerhed i organisationen bl.a. ved at

  • allokere ressourcer 
  • definere politikker og strategier
  • definere roller og ansvar
  • aktivt følge op på den løbende rapportering