Risikovurdering og -håndtering

En risikovurdering tager udgangspunkt i organisationens forretningsmæssige forhold, trusselsbilledet, sårbarheden og konsekvenserne for organisationen, hvis et uheld skulle ske.

Overordnede retningslinjer

Organisationens politik for informationssikkerhed er det centrale styringsredskab for informationssikkerhedslederen. Sikkerhedslederens første opgave er sammen med sikkerhedsudvalget at formulere en sikkerhedspolitik, som skal godkendes af organisationens topledelse.

Organisering af informationssikkerhed

Informationssikkerhed skal styres og evalueres hele tiden af informationssikkerhedslederen, informationssikkerhedsudvalget og ledelsen i organisationen. Kommunikation – med interne og eksterne parter – er en stor del af arbejdet med informationssikkerhed.

Styring af informationsrelaterede aktiver

I en organisation skal der udpeges en ansvarlig for hvert informationsaktiv. Organisationens informationer skal klassificeres, og det skal beskrives hvem der har adgang til informationerne.

Medarbejdernes ansvar

Medarbejderne skal være bevidste om deres betydning og ansvar for at beskytte organisationens informationsaktiver. Og medarbejderne skal bruge de administrative procedurer, som sikrer organisationen mod menneskelige fejl og uhensigtsmæssig adfærd.

Fysisk sikkerhed

Organisationen skal være tilstrækkeligt sikret mod eksterne trusler med alarmer, adgangskontrol og beskyttelse af informationsaktiverne. Og organisationens informationsaktiver skal være sikret mod eksempelvis oversvømmelse, kabelnedbrud og brand.

Styring af netværk og drift

En forudsætning for styring af organisationens netværk og en sikker afvikling af institutionens drift er, at ansvaret er placeret entydigt – også når det gælder samarbejde med eksterne parter, konsulenter, andre myndigheder og leverandører.

Adgangsstyring

Adgangsstyring handler om krav til kontrol og administration af adgangen til organisationens informationer, medarbejdernes brug af mobilt udstyr og fjernarbejdspladser.

Anskaffelse, udvikling og vedligeholdelse

Organisationen skal gøre sig en række sikkerhedsmæssige overvejelser, når man køber, udvikler og vedligeholder informationsbehandlingssystemer. Hvis DS 484 skal overholdes, skal der være styr på både anskaffelse og afskaffelse af systemer.

Styring af sikkerhedshændelser

Sikkerhedshændelser skal styres og rapporteres, og svagheder skal håndteres. Registrering af hændelser, som truer organisationens sikkerhed, er forudsætningen for at kunne give en korrekt vurdering af trusselsbilledet.

Beredskabsstyring

Rådgivning, planlægning, afprøvning og vedligeholdelse af beredskab. Et beredskab, der ikke er vedligeholdt er ikke noget beredskab.

Overensstemmelse med lovbestemte og kontraktlige krav

Vurdering af organisationens forretningsgange og procedurer med henblik på at opfylde standardens krav. Intern kontrol og revision af organisationens informationssikkerhed.