Husk jevnlig sikkerhetskopi av din maskin

Les NorSIS sine råd
om sikkerhetskopi

Nyheter Veiledninger Leksikon Sikkerhetsverktøy Arrangementer Lenker Om NorSIS

Veiledning for IT-outsourcing

Mal for informasjonssikkerhetspolicy

Denne veiledningen er en mal for hvordan små og mellomstore virksomheter kan lage sin informasjonssikkerhetspolicy.

Det finnes mange måter å skrive en informasjonssikkerhetspolicy på. Denne malen er et eksempel som vi tror kan passe for mange små og mellomstore virksomheter. En informasjons-sikkerhetspolicy kan også struktureres på en annen måte. Velg noe som passer din virksomhet. I tillegg til en policy, vil de fleste virksomheter også behøve mer detaljerte regler for informasjons-sikkerhet. Bytt ut Virksomheten med navnet på din virksomhet, endre eller slett momenter som ikke passer og legg til nye som er mer relevante for å lage en informasjonssikkerhet policy for din virksomhet.

Informasjonssikkerhetspolicy for virksomhet

Informasjonssikkerhet

Informasjon er en viktig verdi for Virksomheten. Informasjonssikkerhet omfatter tiltak som bidrar til å verne verdier, informasjon og evnen til å løse prioriterte oppgaver, gjennom å sikre:

Konfidensialitet, som innebærer at ingen skal ha tilgang til informasjon uten tjenstlig behov.
Integritet, som innebærer at informasjon og systemer skal være korrekt og pålitelig.
Tilgjengelighet, som innebærer at informasjon og systemer skal være tilgjengelig for autoriserte brukere ved behov.

Mål for informasjonssikkerhet

Målet for informasjonssikkerhetsarbeidet i Virksomheten er å verne

verdier som Virksomheten forvalter,
vår evne til å løse prioriterte oppgaver og tjenester,
integriteten og konfidensialiteten til Virksomhetens informasjon

mot ulovlige handlinger, ulykker og uhell.

Viktige prinsipper

Risikoen identifiseres gjennom risikovurdering.
Nye trusler skal plukkes opp og vurderes fortløpende.
Sikkerhetstiltakene skal til enhver tid stå i forhold til akseptabelt risikonivå.
Når uønskede hendelser inntreffer, skal beredskapstiltak bidra til å begrense skaden og raskt komme tilbake til normal drift.
Sikkerhetsarbeidet skal integreres i arbeidet i linjen.
God sikkerhet skal bygges på riktige holdninger blant medarbeiderne.
Alle ansatte skal få nødvendig opplæring for å ivareta sitt sikkerhetsansvar.
All tilgang til informasjon og verdier skal være basert på tjenstlig behov.

Ansvar og roller

Styret/ Daglig leder fastsetter policy for informasjonssikkerhet i Virksomheten. Styret fastsetter konkrete mål for Virksomhetens sikkerhetsnivå og skal ha en årlig status for disse.

Informasjonssikkerhetsansvarlig er ansvarlig for å utarbeide og oppdatere Virksomhetens policy og regelverk for informasjonssikkerhet, og for holdningsskapende aktiviteter i Virksomheten.

Den enkelte medarbeider i Virksomheten er ansvarlig for å følge vedtatte sikkerhetsregler/ sikkerhetshåndbok. Han/hun skal varsle nærmeste leder ved sikkerhetsbrudd eller mistanke om brudd.

Eier av IKT system, informasjon eller IT-infrastruktur er ansvarlig for at systemet tilfredsstiller virksomhetens behov for funksjonalitet, sikkerhet og kvalitet og skal sørge for at oppgavene knyttet til systemet er ivaretatt. Et system eies av den avdelingen som primært bruker systemet (største brukers prinsipp).

Linjeleder har ansvar for sikkerheten innen egen avdeling.

Underskrift av daglig leder/ styreleder

Denne ukens ansvarlige for spørsmål og svar

Har du spørsmål om informasjonssikkerhet? Spør oss i NorSIS!