It-sikkerhed - ledelsens ansvar

Transkript

1 Hvordan ser en sikkerhedskoordinator ud? It-sikkerhedsledelse er en profession. Af samme grunde, som man benytter medarbejdere med en regnskabsuddannelse i økonomifunktionen, skal man sikre sig, at it-sikkerhedskoordinatoren har de nødvendige kompetencer til at kunne koordinere it-sikkerhedsindsatsen. Det tager tid at opbygge kompetencer, og det er derfor vigtigt på et tidligt tidspunkt at afdække behovet for eventuel efteruddannelse. Koordinatoren skal være god til at kommunikere med både det talte og det skrevne ord. Det er afgørende, at koordinatoren - med den nødvendige ledelsesmæssige opbakning - kan gøre alle grupper af ansatte bevidst om deres medansvar for it-sikkerhed. Koordinatoren skal have let ved at færdes i organisationens mange lag og have forståelse for, hvordan man sætter ting i gang. Endelig skal it-sikkerhedskoordinatoren være funktionsadskilt fra it-driften. En itsikkerheds-koordinator bør normalt ikke være en del af it-chefens stab, men referere til it-sikkerhedsudvalget eller en chef på et højere niveau. På sammen måde som en regnskabsafdeling ikke reviderer egne regnskaber, reviderer en it-afdeling heller ikke sin egen sikkerhed. På kan man finde en beskrivelse af koordinatorens opgaver og kompetencebehov. < It-sikkerhed - ledelsens ansvar Er organisationen forberedt på at håndtere et omfattende brud på it-sikkerheden? Er ansvaret for sikkerhedsstyring forankret hos en it-sikkerhedskoordinator? Bliver it-sikkerhedspolitikken fulgt? Er it-sikkerhed et punkt ved starten og gennemførelsen af ethvert projekt? Er der noget overblik over, hvad der tabes på grund af utilstrækkelig it-sikkerhed? Hvor mange penge bruger organisationen årligt på it-sikkerhed? Er der etableret en sikkerhedsorganisation? Disse og mange andre spørgsmål er gode at have overvejet som topleder for en institution i den statslige sektor. Som en støtte til statsinstitutioners arbejde med at standardisere it-sikkerhedsprocesser, har IT- og Telestyrelsen udarbejdet en ramme med procesbeskrivelser, referencer og en række hjælpeværktøjer. Desuden er der udarbejdet en samlet vejledning til implementeringsprocessen. Der er indgået en aftale med Dansk Standard, så statens institutioner uden omkostninger kan få standarden hjem på skrivebordet. It-sikkerhed - ledelsens ansvar

2 It-sikkerhed -ledelsens ansvar Udgivet af: IT- og Telestyrelsen Holsteinsgade 63 Telefon: Telefax: Publikationen kan hentes på IT- og Telestyrelsens hjemmeside: ISBN (internet): Tryk: Grefta Tryk A/S Oplag: 500 ISBN:

3 It-sikkerhed - ledelsens ansvar IT- og Telestyrelsen December

4 Indledning I midten af 90 erne var organisationers it-systemer begrænset til få medarbejdere. De færreste havde , hjemmesider var på vej til at blive et hit, og økonomisystemer, registre og sagsoplysninger om borgerne lå på lukkede, interne netværk. I dag er it blevet langt mere komplekst og sammensat, hvor man deler data og åbner for bredere digitalt samarbejde på tværs af den offentlige sektor. Den digitale forvaltning er ved at tage det afgørende skridt mod realisering. Men det har rejst en afhængighed af en teknologi, som de færreste kan overskue. Det har skabt en ny udfordring for enhver topleder, der skal forholde sig til et kompliceret område med vedvarende it-investeringer, uforklarlige problemer og utilfredse brugere. Og så kommer der en regeringsbeslutning om, at man skal bruge yderligere midler og tid på at indføre en standard for it-sikkerhed. Hvorfor det, når der aldrig er sket noget? De færreste offentlige institutioner har oplevet sikkerhedsbrud, men hvis eller når det sker, risikerer organisationen ikke at kunne arbejde i flere timer/dage, data er mangelfulde, og der kan være manipuleret med indholdet. Hvilken topchef ønsker at opleve sådan et scenarie? Denne pjece handler om, hvad en ledelse særligt skal være opmærksom på, når der skal implementeres et ledelsessystem på it-sikkerhedsområdet. Den handler også om, hvordan man kan leve op til standarden for it-sikkerhed (informationssikkerhed) i staten. Den grundlæggende præmis er, at det aldrig vil lykkes at implementere digital forvaltning uden en systematisk styring af sikkerheden. 2

5 Standard for it-sikkerhed i staten Regeringen har besluttet, at alle ministerier og underliggende institutioner senest med udgangen af 2006 skal have implementeret de basale krav i den danske standard for informationssikkerhed. Standarden er baseret på Dansk Standards DS 484, som er udarbejdet til danske forhold efter internationale standarder og best practice for styring af it-sikkerhed. Når man har implementeret standarden i sin organisation, får man: enheder og personer, der er gjort ansvarlige og bevidste om deres rolle i it-sikkerhed et grundlag for at prioritere ressourcer til det krævede it-sikkerhedsniveau tryghed for, at risici håndteres på en tilrettelagt og hensigtsmæssig måde. Hjælpeprogrammet IT- og Telestyrelsen har i samarbejde med statens it-sikkerhedsarbejdsgruppe udarbejdet et hjælpeprogram for, hvordan institutioner i staten kan implementere sikkerhedsstandarden. Denne pjece er en del af programmet, der også rummer workshops, seminarer, vejledninger og hjemmesiden Alle har som følge af regeringsbeslutningen brug for DS 484. Derfor har IT- og Telestyrelsen indgået en aftale med Dansk Standard, så statens institutioner uden omkostninger kan bruge sikkerhedsstandarden i arbejdet med implementeringen. 3

6 It-sikkerhed er ledelse Styring af it-sikkerhed er et ledelsesansvar, som skal tilgodese de tre overordnede sikkerhedskrav: Tilgængelighed, der skal sikre, at informationer med tilhørende service er tilgængelige på de tidspunkter, autoriserede brugere ønsker det. Integritet, som skal sikre, at informationer er akkurate og fuldstændige, og at anvendte it-programmer fungerer korrekt. Fortrolighed, der skal sikre, at følsomme informationer beskyttes, så de forbliver hemmelige for alle, der ikke har ret til at kende dem. Alle eksperter i selskabs- og forvaltningsret er enige om, at ansvaret for virksomhedens informationssikkerhed ligger hos den øverste ledelse. Det er ledelsen, der overordnet fastlægger sikkerhedsniveauet på baggrund af det samlede risikobillede. Det er ledelsen, der har ansvaret for, at medarbejderne er kvalificerede til at løse den stillede opgave, og at arbejdet med standarden bliver sat i gang. It-sikkerhed - eller informationssikkerhed - handler om at beskytte kritisk og følsom information uanset medie. Det er et empirisk faktum, at it-sikkerhedsarbejde uden ledelsens klare opbakning vil fejle. 4

7 Styring af it-sikkerhed IT-SU 80 pct. af kravene i it-sikkerhedsstandarden er organisatoriske kun 20 pct. vedrører it. De fleste af kravene vil sandsynligvis være på plads, men de færreste institutioner ved præcis, hvilke der mangler. Derfor er der behov for en systematisk styring af it-sikkerheden. Det kræver bl.a. en tilbagevendende tilstandsrapportering, som gennemføres af en kompetent itsikkerhedskoordinator. Funktionen som koordinator kan i mange organisationer være et fuldtidsjob, der kræver kendskab til opgaver, struktur, teknologi, information og brugere. Også kendskab til de risici, som organisationen er udsat for. Koordinatoren kan i større organisationer referere til et tværorganisatorisk it-sikkerhedsudvalg, hvor ledelsen fra de vigtigste afdelinger er repræsenteret. Udvalgets opgaver er løbende at følge op på rapporteringerne og it-sikkerheden. It-sikkerhedsstyring er en proces om forhold i konstant forandring og skal indføres for at vedligeholde og følge op på aktiviteter, som alle har betydning for it-sikkerheden i organisationen. For at implementere styringen anbefaler IT- og Telestyrelsen, at man bruger en metode, der fremgår af denne pjece. Det drejer sig om en 12-trinsmodel, der giver en fælles offentlig referenceramme, som hjælpeprogrammet er designet til. Der er dog fire forhold, som bør påkalde sig særlig opmærksomhed fra ledelsen i en organisation. Det drejer sig om itsikkerhedspolitik, risikovurdering, beredskab og kontrol. Dem beskriver vi i det følgende. 5

8 Ledelsens fokusområder It-sikkerhedspolitikken I en it-sikkerhedspolitik fastlægger ledelsen målsætningen og de overordnede regler for institutionens behandling af informationer og informationssystemer. Et kernebegreb er sikkerhedsniveauet. På hvilket niveau vil man beskytte informationerne? Er der en balance mellem sikkerheden og informationernes værdi? Hvilke data er mere vitale og kritiske for driften end andre? Alt sammen er det spørgsmål, som ledelsen skal tage stilling til. It-sikkerhedspolitikken skal tage udgangspunkt i en overordnet risikovurdering, som er gennemført af ledelsen, og skal bruges som styringsværktøj for arbejdet med it-sikkerhed. De fleste institutioner har informationer og informationssystemer, der skal beskyttes ekstra godt DS 484 giver nogle minimumskrav til politikkens udformning og indhold. På itsikkerhed/sisis kan man finde hjælp til at formulere en it-sikkerhedspolitik. Risikovurdering En forudsætning for at fastlægge sikkerhedsniveauet er, at man kender risici og en given konsekvens af, at f.eks. personfølsomme oplysninger bliver offentlige. Hvilke data er i fare, hvad truer, hvor meget og hvor ofte? Risikovurdering er et afgørende og gennemgående element i styringssystemet. Igen skal ledelsen bl.a. vurdere, hvad der er kritisk og følsom information, og vælge risikoniveauet. Mere sikkerhed koster penge, og derfor har kun ledelsen kompetencen til at vurdere, hvilken beskyttelse og hvilken risiko man kan leve med. 6

9 Beredskabsplanlægning Det tredje fokuspunkt for ledelsen er at vurdere behovet for it-beredskab. Foreløbige undersøgelser fra statens it-sikkerhedsarbejdsgruppe har vist, at it-beredskab ikke får den tilstrækkelige ledelsesopmærksomhed. Et beredskab træder i kraft, når det, som ikke må ske, alligevel sker. Formålet med at have et beredskab er at sikre, at en myndighed kan løse sine mest kritiske opgaver i en situation, hvor f.eks. it-systemer er sat ud af kraft på grund af strømnedbrud, mislykkede systemopdateringer, defekt hardware, hackerangreb eller lignende. Ledelsen er ansvarlig for at kende de kritiske opgaver i institutionen. På den baggrund kan den fastlægge, hvor længe institutionen må være ude af stand til at løse opgaverne. Beredskabet skal være dimensioneret derefter. Kontrol, opfølgning og vedligeholdelse It-sikkerhed er en del af omkostningerne ved at bruge it. Derfor er det vigtigt at følge op på nytten af indsatsen og foranstaltningerne. Kontrol skal foregå på alle niveauer: Strategisk, dvs. ledelsen skal vurdere hændelsesstatistik, ændringer i risikobilledet og eventuelle tab. Varetager f.eks. system- og dataejere deres opgaver godt nok? Taktisk, hvor sikkerhedskoordinatoren og it-sikkerhedsudvalget sætter mål og formulerer handlingsplaner Operationelt, hvor den driftsansvarlige tester, tager stikprøver osv. 7

10 It-sikkerhedsudvalget har blandt andet til opgave at kontrollere, at handlingsplanen bliver gennemført. Ikke den detaljerede kontrol ude i organisationen. Men om it-sikkerhedspolitikken bliver udmøntet korrekt, at retningslinjerne er tidssvarende, og at den overordnede handlingsplan faktisk følger de opstillede mål. Tilsvarende er det lederens opgave at følge op på rapporteringen fra udvalget. Afrapportering For at kunne følge it-sikkerheden skal ledelsen løbende have rapporter, evt. i skemaform, der på en logisk måde viser status på it-sikkerheden i forhold til politikken og de opstillede mål. På side 9 er der et eksempel på et afrapporteringsskema. Her måles it-sikkerhedsområderne op mod tre faktorer: Retningslinjer, implementering og forankring. En lav værdi i kolonnen for retningslinjer ud for risikovurdering og håndtering betyder, at det kniber med at få vedtaget retningslinier om, at alle it-projekter skal gennemgå en it-sikkerhedsmæssig risikovurdering. For at området kan få en høj værdi og godkendes for så vidt angår implementering, skal organisationen have indført en fast procedure til risikovurderingen, som alle følger. At området er forankret vil sige, at ledelsesniveauet sætter sig ind i risikovurderingen og forholder sig til, om den er tilfredsstillende eller ej. Gennemsnittet nederst viser, hvordan det samlet set går med it-sikkerheden for de tre faktorer. Her illustreret ved smileyfigurer. Det skal understreges, at man ikke kan udlicitere ansvaret for it-sikkerheden, selv om man har valgt en ekstern leverandør af driften. IT-sikkerhed er stadig et ansvar for ledelsen. 8

11 Skema til vurdering af it-sikkerhed Område Faktor Retningslinjer Implementering Forankring Risikovurdering og -håndtering Overordnede retningslinjer Organisering af info. sikkerhed Styring af informationsrel. aktiver Medarbejdersikkerhed Fysisk sikkerhed Adgang til systemer og data Styring af netværk og drift Adgangsstyring Indkøb, udvikling og vedligeholdelse Styring af sikkerhedsbrud Beredskabsstyring Overenst. m.lovbest. og kontr. krav Samlet vurdering (80) (60) (30) 9

12 Sådan kan it-sikkerhed implementeres I det følgende beskrives IT- og Telestyrelsens forslag til en 12-trinsmodel for implementering af standarden for it-sikkerhed. Modellen er designet, så man gennemfører den nødvendige planlægning, implementering, overvågning og opfølgning af it-sikkerhedsarbejdet og evaluerer på det i en tilbagevendende cyklus. Modellen er illustreret på omslagets flap. 1. Styringssystem Som det første skal man etablere en systematisk styring. Et styringssystem for it-sikkerhed kaldes et Information Security Management System (ISMS). Det beskriver bl.a. den organisatoriske struktur med ansvarsfordeling, procedurer og metoder. Desuden sikrer systemet balance og effektivitet. Topledelsen træffer beslutningen om at etablere og godkende styringssystemet. 2. It-sikkerhedsudvalg Ifølge standarden skal der etableres et it-sikkerhedsudvalg eller et andet organ, der bl.a. har til opgave at sikre, at it-sikkerhedspolitikken efterleves. Udvalgets opgave er også at behandle sikkerhedsspørgsmål af principiel karakter og fastsætte principper for, hvordan politikken opfyldes. IT-sikkerhedsudvalget har som nævnt deltagelse af ledelsen fra de vigtigste afdelinger. 10

13 3. It-sikkerhedspolitik Første opgave for udvalget er at udarbejde en it-sikkerhedspolitik som grundstenen i arbejdet med it-sikkerhed. It-sikkerhedspolitikken er den øverste ledelses udmelding om bl.a. det fastlagte sikkerhedsniveau. Politikken bliver stemt af med eksterne krav (lovgivning, aftaler, standarder) og interne krav (risikovurdering) og forholder sig til organisationens samlede risikobillede. Den fastlægger også de organisatoriske rammer, ansvarsfordelingen og de overordnede retningslinjer for, hvordan man skal udforme kontrolprocedurer, sikringsforanstaltninger m.m. It-sikkerhedspolitikken skal altid godkendes af organisationens øverste ledelse. 4. Retningslinjer vedrørende de basale krav It-sikkerhedspolitikken er den overordnede ramme, men er som regel for generel til at vise, hvad kravene betyder for de enkelte enheder i organisationen. Derfor skal der udarbejdes retningslinjer, som uddyber indholdet af politikken og de basale krav i DS 484. De basale DS 484 indeholder en liste over basale krav til it-sikkerhed i statslige institutioner krav skal overholdes af alle, men der kræves lokal stillingtagen til, hvordan det kan ske. Retningslinjerne er grundlaget for, at man kan indarbejde de sikkerhedsmæssige krav i arbejdsgange, procedurer m.m. Retningslinjerne 11

14 skal betragtes som en integreret del af it-sikkerhedspolitikken og skal kommunikeres til de relevante personer, f.eks. linjeledere, ejere af aktiver og brugere. Man udarbejder retningslinjerne ved at gennemgå DS 484 og forholde sig til dens basale krav. 5. Retningslinjer vedrørende de supplerende krav De basale krav er det, som alle som minimum bør overholde. Der er ingen garanti for, at dette minimumsniveau er godt nok. Erfaringen viser, at de fleste institutioner har systemer og data, der skal beskyttes ekstra godt. Formålet med at formulere såkaldte supplerende krav er at gøre organisationen bevidst om disse yderligere krav til sikringsforanstaltninger. Dette følger af lovbestemte, kontraktlige, aftalemæssige og andre krav til organisationen. De supplerende krav bruges til at beskytte institutionens særlige informationer ekstra godt 6. Ændrings- og hændelsesstyring Ændringsstyring er nødvendig for at få en sikker proces, når der skal foretages ændringer eller introduceres nyudviklinger. Ændrings- og hændelsesstyring er velkendte begreber i it-drift, it-driftsledelse og projektledelse i det hele taget. Disciplinerne er af afgørende betydning for arbejdet med it-sikkerhed i praksis. Mange sikkerhedsmæssige hændelser opstår faktisk pga. ustrukturerede ændringer i it-systemerne eller ændringer i it-systemerne. Det er derfor vigtigt at 12

15 være enige om en struktureret proces, der sikrer, at ændringer godkendes og gennemføres på en forsvarlig måde. På samme måde skal man etablere hændelsesstyring, for at brud på it-sikkerheden ikke udvikler sig til alvorlige situationer. Effektive reaktionsprocedurer er helt afgørende for, hvor store konsekvenserne af evt. brud på sikkerheden bliver. Hændelsesstyring er en operativ funktion, hvor det skal være helt klart, hvornår - hvis en hændelse eskalerer - ledelsen skal involveres og træffe beslutning om beredskabsmæssige skridt. Man etablerer hændelsesstyring, fordi der ikke findes 100 pct. ufejlbarlige systemer. At installere ny teknologi indebærer altid en risiko, der skal vurderes og håndteres 7a. Afvigelsesanalyse (gap-analyse) Afvigelsesanalysen er nødvendig, når man skal planlægge og budgettere sikkerhedstiltagene. Her ser man, om retningslinjernes basale og supplerende krav bliver overholdt. Er der afvigelser, skal man skrive dem ned i handlingsplanen (punkt 9) og reagere på dem. 13

16 7b. Risikovurdering Når man gennemfører en risikovurdering på dette niveau, identificerer og prioriterer man risici med udgangspunkt i virksomhedens forretningsmæssige forhold. Efter vurderingen har man et grundlag for at imødegå relevante risici. Hvilke indgreb skal ledelsen foretage, hvilke sikringsforanstaltninger er mulige, og hvordan skal de prioriteres? Risikovurderinger skal gennemføres regelmæssigt, og når risikobilledet ændres væsentligt. Også når der er organisatoriske eller teknologiske forandringer. En risikovurdering skal altid gennemføres, så man kan sammenligne med gamle vurderinger. 8. Opdatering af retningslinjer Når man har gennemført sin risikovurdering, skal man altid gå et par trin tilbage og se, om vurderingen har givet anledning til at ændre retningslinjerne. Især på områder, hvor de ikke har været tilstrækkelige eller præcise nok. Blev der fundet noget kritisk og risikofyldt? Efter risikovurdering: Opdatér retningslinjerne 14

17 9. Handlingsplan Efter analyserne er det på tide at gå til handlingsplanen. Formålet er her at kortlægge, hvilke risici ledelsen vil acceptere, og hvilke den ikke kan leve med. Handlingsplanen skal vise: hvad der skal gøres hvem der skal gøre det og har ansvaret for det hvor mange ressourcer, der skal bruges, og hvornår hvor i organisationen, aktiviteterne finder sted interne og eksterne afhængigheder om der skal etableres egentlige projekter. Handlingsplanen skal altså indeholde en opgørelse over fysiske og administrative skridt. Det handler om at definere den bedste kombination af aktiviteter, der kan forebygge sikkerhedsbrud og afhjælpe dem, der evt. opstår. 10. Detailplanlægning og implementering Efter handlingsplanen skal man implementere sine sikringsaktiviteter. Det kræver, at de respektive ansvarlige planlægger i detaljer. Planlægningen skal bl.a. sikre, at driften påvirkes mindst muligt under implementeringen. Det er også vigtigt ikke at etablere tekniske løsninger, før 15

18 de administrative retningslinjer er på plads (ansvar, procedurer, uddannelse mm.). At nøjes med at installere teknik giver en falsk tryghed, hvis ikke brugerne ved, hvordan de skal og må bruge den. 11. Kontrol og opfølgning Man skal altid gennemføre løbende kontrol og opfølgning efter planlægning og implementering. Det er tiden moden til nu, så man kan sikre sig, at man har fået noget ud af arbejdet. Alt, der er omfattet af it-sikkerhedspolitikken, skal kontrolleres: Arbejdsgange, it, de fysiske omgivelser. Noget af kontrollen ligger hos ledelsen, it-sikkerhedsudvalget og koordinatoren. Også systemejere, dataejere og driftspersonale har kontrolopgaver. Frekvensen af kontrol skal altid modsvare den risiko, der er, hvis foranstaltningerne svigter. Høj risiko kræver meget kontrol. Lav risiko, mindre kontrol. 12. Forbedring og vedligehold Man etablerer et systematisk styringssystem for it-sikkerheden ved at følge punkt 1-11 i kronologisk rækkefølge. Det 12. punkt udtrykker, at man skal igennem processen igen fra punkt 3 og dermed gøre it-sikkerhed til en tilbagevendende driftsopgave. It-sikkerhedspolitikken skal faktisk revurderes hvert år, og alene det kan medføre, at Hvert år en ny risikovurdering af it-sikkerhedspolitikken og af styringssystemet 16

19 man ændrer sine basale og supplerende retningslinjer. Også beredskabet skal afprøves mindst en gang om året. I takt med, at teknologien udvikler sig og nye risici opstår, er der også behov for nye risikovurderinger, retningslinjer, detailplanlægning, implementering, kontrol osv. Den samlede proces tager udgangspunkt i, at it-sikkerheden skal vurderes ud fra områder som: forbedringer i virksomhedens sikkerhedsstyring ændringer i ledelsens overordnede sikkerhedsmålsætning ændringer i ressourceallokeringer og/eller ansvarsplaceringer. Det skal understreges, at it-sikkerhed ikke kun har med it at gøre. Organisationsændringer eller en opsagt medarbejder kan være en sikkerhedshændelse, som kræver en risikovurdering og måske særlige forholdsregler. It-sikkerhedsledelse handler grundlæggende om at gentage og forbedre processer, ikke kun som følge af en teknologisk udvikling, men også som en følge af, at organisationen får nye opgaver, og folk ændrer brugsmønstre. It-sikkerhedsledelse skal hele tiden følges op, justeres og ændres, så det passer til nye tider. Ligesom almindelig ledelse.

20 Implementeringsmodel Etablering af et ISMS - afklaring af styringsmodel - Topledelse Tilbagevendende Etablering Udførende Operativt Taktisk Strategisk Strategisk Retningslinjerne - de basale krav IT-sikkerhedsudvalget Retningslinjerne - supplerende krav IT-sikkerhedsudvalget Procedurerne for ændringsprojekter IT-sikkerhedsudvalget - change management (evt. arbejdsgrupper) 9. Handlingsplan IT-sikkerhedsudvalget It-sikkerhedspolitik 3. Topledelse Forbedring (Act) Detailplanlægning af implementeringen Detailplanlægning af implementeringen Etablering af it-sikkerhedsudvalg 12. Revision af retningslinjer Linjeledelse / ejere Projektledelse / samarbejdspartnere Linjeledelse / ejere Projektledelse / samarbejdspartnere Implementeringen Brugere / Eksperter a. Afvigelsesanalyse b. Risikovurdering Vurdering af forudsætning - og krav 11. Regnskab 11. Loganalyse 11. Logning 11. Overvågning 11. Statusrapporter 11. Tests Kontrol på samme niveau som planlægningen - eller funktionsadskilt / sikret rapportering Planlægning Implementering, Udførelse Kontrol (Plan) (Do) (Check)

21 Hvordan ser en sikkerhedskoordinator ud? It-sikkerhedsledelse er en profession. Af samme grunde, som man benytter medarbejdere med en regnskabsuddannelse i økonomifunktionen, skal man sikre sig, at it-sikkerhedskoordinatoren har de nødvendige kompetencer til at kunne koordinere it-sikkerhedsindsatsen. Det tager tid at opbygge kompetencer, og det er derfor vigtigt på et tidligt tidspunkt at afdække behovet for eventuel efteruddannelse. Koordinatoren skal være god til at kommunikere med både det talte og det skrevne ord. Det er afgørende, at koordinatoren - med den nødvendige ledelsesmæssige opbakning - kan gøre alle grupper af ansatte bevidst om deres medansvar for it-sikkerhed. Koordinatoren skal have let ved at færdes i organisationens mange lag og have forståelse for, hvordan man sætter ting i gang. Endelig skal it-sikkerhedskoordinatoren være funktionsadskilt fra it-driften. En itsikkerheds-koordinator bør normalt ikke være en del af it-chefens stab, men referere til it-sikkerhedsudvalget eller en chef på et højere niveau. På sammen måde som en regnskabsafdeling ikke reviderer egne regnskaber, reviderer en it-afdeling heller ikke sin egen sikkerhed. På kan man finde en beskrivelse af koordinatorens opgaver og kompetencebehov. < It-sikkerhed - ledelsens ansvar Er organisationen forberedt på at håndtere et omfattende brud på it-sikkerheden? Er ansvaret for sikkerhedsstyring forankret hos en it-sikkerhedskoordinator? Bliver it-sikkerhedspolitikken fulgt? Er it-sikkerhed et punkt ved starten og gennemførelsen af ethvert projekt? Er der noget overblik over, hvad der tabes på grund af utilstrækkelig it-sikkerhed? Hvor mange penge bruger organisationen årligt på it-sikkerhed? Er der etableret en sikkerhedsorganisation? Disse og mange andre spørgsmål er gode at have overvejet som topleder for en institution i den statslige sektor. Som en støtte til statsinstitutioners arbejde med at standardisere it-sikkerhedsprocesser, har IT- og Telestyrelsen udarbejdet en ramme med procesbeskrivelser, referencer og en række hjælpeværktøjer. Desuden er der udarbejdet en samlet vejledning til implementeringsprocessen. Der er indgået en aftale med Dansk Standard, så statens institutioner uden omkostninger kan få standarden hjem på skrivebordet. It-sikkerhed - ledelsens ansvar

22 Hvordan ser en sikkerhedskoordinator ud? It-sikkerhedsledelse er en profession. Af samme grunde, som man benytter medarbejdere med en regnskabsuddannelse i økonomifunktionen, skal man sikre sig, at it-sikkerhedskoordinatoren har de nødvendige kompetencer til at kunne koordinere it-sikkerhedsindsatsen. Det tager tid at opbygge kompetencer, og det er derfor vigtigt på et tidligt tidspunkt at afdække behovet for eventuel efteruddannelse. Koordinatoren skal være god til at kommunikere med både det talte og det skrevne ord. Det er afgørende, at koordinatoren - med den nødvendige ledelsesmæssige opbakning - kan gøre alle grupper af ansatte bevidst om deres medansvar for it-sikkerhed. Koordinatoren skal have let ved at færdes i organisationens mange lag og have forståelse for, hvordan man sætter ting i gang. Endelig skal it-sikkerhedskoordinatoren være funktionsadskilt fra it-driften. En itsikkerheds-koordinator bør normalt ikke være en del af it-chefens stab, men referere til it-sikkerhedsudvalget eller en chef på et højere niveau. På sammen måde som en regnskabsafdeling ikke reviderer egne regnskaber, reviderer en it-afdeling heller ikke sin egen sikkerhed. På kan man finde en beskrivelse af koordinatorens opgaver og kompetencebehov. < It-sikkerhed - ledelsens ansvar Er organisationen forberedt på at håndtere et omfattende brud på it-sikkerheden? Er ansvaret for sikkerhedsstyring forankret hos en it-sikkerhedskoordinator? Bliver it-sikkerhedspolitikken fulgt? Er it-sikkerhed et punkt ved starten og gennemførelsen af ethvert projekt? Er der noget overblik over, hvad der tabes på grund af utilstrækkelig it-sikkerhed? Hvor mange penge bruger organisationen årligt på it-sikkerhed? Er der etableret en sikkerhedsorganisation? Disse og mange andre spørgsmål er gode at have overvejet som topleder for en institution i den statslige sektor. Som en støtte til statsinstitutioners arbejde med at standardisere it-sikkerhedsprocesser, har IT- og Telestyrelsen udarbejdet en ramme med procesbeskrivelser, referencer og en række hjælpeværktøjer. Desuden er der udarbejdet en samlet vejledning til implementeringsprocessen. Der er indgået en aftale med Dansk Standard, så statens institutioner uden omkostninger kan få standarden hjem på skrivebordet. It-sikkerhed - ledelsens ansvar