sikkerhetsfilosofi

En del virksomheter behandler eller gjør bruk av informasjon som er beskyttet av offentlige lover og regler, for eksempel medisinske data eller andre personrelaterte data. Disse virksomhetene kan pålegges at informasjonen og systemene som behandler informasjonen skal holde et gitt sikkerhetsnivå, bestemt av myndighetene. Virksomhetens sikkerhetsfilosofi må som et minimum ta hensyn til dette. I tillegg kommer vurderinger som tar hensyn til virksomhetens egne sikkerhetsbehov.

Å utarbeide en helhetlig sikkerhetsfilosofi er bedriftsledelsens ansvar. I en stor og kompleks virksomhet vil de praktiske sikkerhetstiltakene som sikkerhetsfilosofien består i, måtte delegeres nedover i systemet. Ansvaret for å utføre sikkerhetstiltakene ligger ofte hos fagpersoner innen drift og vedlikehold av IT-systemene i de forskjellige delene av virksomheten. Lavere nivåer i bedriftshierarkiet arbeider etter delfilosofier som er avledet fra den overordnede sikkerhetsfilosofien. Til sammen må de ulike tiltakene oppfylle intensjonene i den overordnede sikkerhetsfilosofien.

Organisering av sikkerhetsarbeid i virksomheter begynner med å etablere en sikkerhetsfilosofi for hele organisasjonen som fastslår de grunnleggende prinsippene for sikkerhetsarbeid og –praksis i organisasjonen, inkludert ansvarsområder. Det praktiske arbeidet kan innebære følgende:

• Innføre et administrativt system for å kunne håndtere endringer og modifiseringer av IKT-systemet (maskinvare, infrastruktur og programvare) for å sikre at systemet holdes konsistent med sikkerhetsfilosofiene på de forskjellige nivåene.
• Etablere administrative rutiner for å kunne analysere måledata i IKT-systemet og vurdere trusler og sårbarhet.
• Gjennomføre regelmessige risikovurderinger.
• Velge forebyggende sikkerhetstiltak som reduserer restrisikoen til et nivå som er tilfredsstillende for organisasjonen.

Sikkerhetsbevissthet hos ansatte på alle nivåer i organisasjonen er kanskje den aller viktigste enkeltmekanismen for å oppnå tilstrekkelig sikkerhet over tid. Dette omtales også som sikkerhetskultur i bedriften. Regelmessig informasjonsflyt om gjeldende sikkerhetsfilosofi og begrunnelse for hvilke valg som er gjort, er av avgjørende betydning for at brukerne skal akseptere sikkerhetstiltakene og drive aktiv medvirkning.

Den enkelte virksomhet står ikke alene i arbeidet med å utvikle sikkerhetsrutiner. ISO er en verdensomfattende sammenslutning av nasjonale standardiseringsorganer, og de har gitt ut ISO/IEC-standardene 27001 og 27002, som konkretiserer overordnede retningslinjer for sikkerhetsfilosofi.

ISO/IEC 27001 er utgitt i norsk oversettelse med tittel "Ledelsessystemer for informasjonssikkerhet". ISO/IEC 27002 benyttes av mange bedrifter og organisasjoner som beslutningsstøtte for å velge ut passende sikkerhetstiltak som beskyttelse mot en vurdert trusselsituasjon, samt for å iverksette disse. Standarden kan også benyttes som mal for en bedrift som ønsker å utvikle sin egen sikkerhetsfilosofi.

• Informasjonssikkerhet
• Sikkerhetskultur

• I 2002 publiserte OECD sitt forslag til overordnet sikkerhetsfilosofi: Retningslinjer på OECDs nettsider
• ISO-standard 27001
• ISO-standard 27002