4 Anbefalinger

Følgende, samlede række af anbefalinger baserer sig på konklusionerne og den bedste praksis, der kan udledes af interviewundersøgelsen. I parentes efter hver anbefaling angives det relevante, underbyggende afsnit i kap. 3.

Står man over for at skulle implementere informationssikkerhed på basis af DS 484, kan det anbefales, at man som projektleder:

• Sikrer sig ledelsens fokus (afsnit 3.1, 3.2)
• Udarbejder en foranalyse med henblik på at bedømme opgavens indhold og vurdere omfanget i tid, ressourcer og økonomi (afsnit 3.2)
• Får allokeret nødvendige ressourcer og fornøden tid (afsnit 3.4)
• Fokuserer på at have en forretningsorienteret - og ikke en snæver it-mæssig - tilgang til sikkerhed (afsnit 3.4)
• Identificerer ildsjælene i organisationen, og evt. ’omvender’ de vrangvillige til at blive projektets ambassadører (afsnit 3.6)
• Organiserer projektet med en projektgruppe, evt. i form af et sikkerhedsudvalg, og en styregruppe. Det hjælper på forankringen af informationssikkerhed i organisationen, stor som lille, når projektet ikke kører isoleret fra den (afsnit 3.2)
• Etablerer en informationssikkerhedsorganisation, der også kan tage over, når projektet overgår til drift (afsnit 3.1)
• Fokuserer mindre på at anvende et it-værktøj til informationssikkerhed og mere på at planlægge implementeringen og procesoptimeringen (afsnit 3.2)
• Udleder og kommunikerer ’what’s in it for me?’ (afsnit 3.6)
• Anvender et bredt udsnit af informations- og kommunikationskanaler for at øge bevidstheden om informationssikkerhed og dermed adfærden i organisationen (afsnit 3.6)
• Løbende registrerer, opsamler og formidler ’de gode historier’ i organisationen. ’De gode historier’ handler vel at mærke både om eksempler på hændelser, der gik godt pga. stor opmærksomhed på sikkerhed og strukturerede processer, og om eksempler på hændelser, der gik skidt, fordi man et øjeblik glemte sikkerhedsspørgsmålet (afsnit 3.6)
• Definerer, identificerer og forankrer ejerskab til informationsaktiverne (afsnit 3.2)
• Foretager en cost benefit vurdering i tilknytning til risikoanalysen (afsnit 3.2)
• Får samlet op på risikoanalysen og holder ledelsen fast på at drage konklusioner ud fra den (afsnit 3.2)
• Genbruger, hvad andre har haft gavn af, fx låner sig frem til skabeloner og andre hjælpeværktøjer (afsnit 3.3)
• Udveksler erfaringer med andre, fx Hvad gik godt? Hvorfor? Hvilke faldgruber skal man forsøge at navigere udenom? (afsnit 3.3)
• Løbende vedligeholder, forbedrer og videreudvikler informationssikkerheden i et stadigt samspil med de ændrede forretningsmæssige risici (afsnit 3.5)

Herudover kan det anbefales, at man fra centralt hold leverer konkrete, operationelle hjælpeværktøjer som fx standard skabeloner, vejledninger og køreplaner samt til brug for selvevalueringer: en model for temperatur-/modenhedsmåling (afsnit 3.5).

Til sidens top

Denne side er kapitel 4 af 6 til publikationen "Erfaringer fra implementeringen af DS 484".
Version nr. 1.0 af 01-05-2009

© IT- og Telestyrelsen 2009