Home

informationssikkerhedsstyring

Informationssikkerhedsstyring er ledelsen af informationssikkerheden i en organisation. Den omfatter politikker, procedurer og kontroller, der beskytter information og it-aktiver mod trusler og sikrer fortrolighed, integritet og tilgængelighed af dataene (CIA-triaden).

Omfanget omfatter mennesker, processer og teknologi og gælder for alle informationselementer, inklusive data, systemer, netværk og

De mest udbredte rammer er ISO/IEC 27001 for ledelsessystem for informationssikkerhed og ISO/IEC 27002 som kontrolkatalog.

Vigtige komponenter omfatter politik og styringsdokumentation, risikovurdering og behandling af risici, asset management, adgangskontrol og identitetsstyring,

Implementering kræver ledelsens opbakning, afgrænsning af ISMS-omfang, gennemførelse af risikovurdering, valg og implementering af kontroller samt

Udbyttet er øget modstandsdygtighed over for sikkerhedshændelser, bedre håndtering af sikkerhedsrisici og overholdelse af gældende databeskyttelsesregler.

fysiske
faciliteter.
Det
bygger
på
en
risikostyret
tilgang
og
klare
ansvarsområder
samt
beslutningsprocesser.
Risikostyring
følger
ofte
ISO
31000
eller
tilsvarende
praksis,
og
en
systematisk
forbedringscyklus
(PDCA)
er
centralt.
kryptografi,
drifts-
og
systemesikkerhed,
leverandørsikkerhed,
hændelsesstyring,
forretningskontinuitet
og
træning
samt
overvågning
og
revision.
uddannelse.
Efterfølgende
følger
måling,
intern
revision
og
ledelsens
gennemgang
med
fokus
på
løbende
forbedringer.
ISO
27001-certificering
er
frivillig,
men
ofte
ønsket.
En
veldokumenteret
infosikkerhedsstyring
letter
også
samarbejde
med
kunder,
myndigheder
og
leverandører
og
understøtter
risikostyringskommunikation.