Politikker i ISO 27001

ISO27001
Skrevet af Flemming Engstrøm

Når I begynder at arbejde med ISO 27001, støder I hurtigt på ordet "politik" i mange forskellige sammenhænge. Det kan være både omfattende og forvirrende, fordi politikker optræder på flere niveauer - og fordi der nogle gange er behov for virksomhedsspecifikke eller branchespecifikke politikker oven i det hele.

I dette blogindlæg vil jeg give jer en forståelsesramme til at navigere mellem de forskellige politiktyper, så I kan få styr på, hvad der skal til hvor.

Den overordnede informationssikkerhedspolitik

Det helt grundlæggende i enhver ISO 27001 implementering er den overordnede informationssikkerhedspolitik. Det er her, den øverste ledelse sætter retningen for, hvad I gerne vil opnå med jeres informationssikkerhedsledelsessystem.

Denne politik skal typisk forholde sig til:

  • Målene og forudsætningerne for jeres informationssikkerhedsarbejde

  • Hvordan I vil organisere det

  • De overordnede rammer for arbejdet

  • Ledelsens forpligtelse til løbende forbedring

Som kunde og andre interessenter kan man læse politikken og danne sig et indtryk af, at I har organiseret jeres informationssikkerhed på en forsvarlig måde. Den fungerer som de strategiske og organisatoriske rammer for, hvad informationssikkerhedsledelsessystemet skal kunne levere.

Udfordringen: At gøre det operativt

Men når I står der som CISO eller ansvarlig for informationssikkerhed med jeres overordnede politik, så mangler I noget væsentligt. I mangler en måde at gøre det operativt på.

Den overordnede politik fortæller jo ikke, hvordan backup skal udføres. Den siger ikke noget om, hvordan adgangskontrol skal implementeres i virksomheden. Og det er her I hurtigt finder ud af, at I bliver nødt til at blive mere specifikke.

Emnespecifikke politikker

Så bevæger I jer ind i det, man kalder emnespecifikke politikker. Det er politikker for enkelte områder, som er betydeligt mere konkrete end den overordnede.

Et eksempel på en emnespecifik backup-politik kunne være: "Virksomhedens backup-politik sikrer daglig backup, så man altid kan reetablere 30 dage tilbage. Det må maksimalt tage 4 timer at reetablere hele setupet, og man vil maksimalt tabe én dags data."

Det er langt mere konkret og operativt end den overordnede politik. Den, der skal sætte virksomhedens backup op, får noget håndgribeligt at forholde sig til.

En emnespecifik politik skal svare på tre grundlæggende spørgsmål:

  1. Hvad skal man have? (Hvilken kontrol eller løsning?)

  2. Hvilke kriterier er der? (Hvordan skal det udføres?)

  3. Hvem har ansvaret? (Og eventuelt hvornår?)

I kan skrive det ind i selvstændige politikker, eller I kan samle det i en informationssikkerhedshåndbog. Men essensen er den samme.

To forskellige modtagere

De emnespecifikke politikker har to forskellige modtagergrupper, og det er vigtigt at forstå forskellen:

Modtager 1: Dem der skal planlægge driften Det er retningslinjer rettet mod dem, som skal planlægge virksomhedens drift. IT-driftschefen, der skal implementere backup-løsningen, har brug for at vide, hvad kravene er, så han kan planlægge sin drift derefter.

Modtager 2: Brugerne Det er retningslinjer til medarbejderne om adfærd og anvendelse. Det handler ikke om driftplanlægning, men om: Hvad må man som bruger? Hvad må man ikke? Hvordan reagerer man på sikkerhedshændelser?

Fra politik til praksis

Under de emnespecifikke politikker finder I procesbeskrivelser og procedurer:

Procesbeskrivelser forklarer, hvordan løsningen fungerer i praksis:

  • Hvem udfører backupen?

  • Hvilke systemer er involveret?

  • Hvem har I aftaler med?

Procedurer er de helt konkrete trin-for-trin instruktioner:

  • Sådan laver du backup

  • Sådan reetablerer du efter nedbrud

Den, der skal udføre backupen, forholder sig til processerne og procedurerne - ikke nødvendigvis til retningslinjerne.

Organiseringen i praksis

I praksis ender de fleste med at organisere det sådan:

  • Informationssikkerhedshåndbog for ledelse/drift - Emnespecifikke politikker rettet mod dem, der skal planlægge og implementere

  • Informationssikkerhedshåndbog for medarbejdere - Det, medarbejderne skal forholde sig til.

Sammenhængen

Hierarkiet ser sådan ud:

  • Overordnet informationssikkerhedspolitik (strategisk)

    • Emnespecifikke politikker (retningslinjer for drift og adfærd)

      • Procesbeskrivelser (hvordan fungerer det)

        • Procedurer (sådan gør du)

Politikker i ISO 27001 Overordnet informationssikkerhedspolitik Strategisk niveau - Ledelsens retning Emnespecifikke politikker Krav til driftsledelsen Emnespecifikke politikker Krav til brugerne Procesbeskrivelser Hvordan fungerer løsningen? Informationssikkerhedshåndbog Samlet brugerguide Procedurer (SOP'er) Trin-for-trin instruktioner STRATEGISK TAKTISK OPERATIONELT UDFØRENDE

Det I skal være opmærksomme på

Politikudvikling i ISO 27001 er ikke bare et spørgsmål om at skrive nogle dokumenter. Det handler om at skabe en sammenhængende struktur, hvor:

  • Strategien fra toppen kan omsættes til handling i bunden

  • Alle ved, hvad der forventes af dem

  • I kan dokumentere compliance overfor revisorer

Og ja, det bliver omfattende. Jo mere I dykker ned i det, jo større bliver opgaven. Men det er nødvendigt, hvis I skal have et informationssikkerhedsledelsessystem, der rent faktisk virker i praksis.

Min anbefaling er at starte med overblikket. Få samlet interessenterne, og giv dem en fælles forståelse for, hvad I skal igennem. Og lav så en grundig analyse af, hvor I står i dag, før I kaster jer over at skrive politikker.

Med den tilgang får I et realistisk grundlag for at lave en implementering, der holder hele vejen igennem.

Flemming Engstrøm