I många små och medelstora företag uppstår en säkerhetspolicy i all hast: kunden efterfrågar den i offertskedet, en revision närmar sig eller ledningen vill ha ett dokument som visar att informationssäkerheten är under kontroll. Problemet är att policyn alltför ofta blir ett övergripande uttalande som inte styr vardagen, ansvar eller beslut. Då är den inte till mycket nytta – varken för personal, ledning eller ISO 27001-arbetet.
I denna artikel går vi igenom vad en säkerhetspolicy konkret innehåller, vad ISO 27001 kräver av den och hur ni skiljer på en användbar policy och enbart en malltext. Ni får också en konkret metod för att bygga en policy som är tillräckligt klar för personalen och trovärdig för kunder och revisioner.
Vad är en säkerhetspolicy och varför är den viktig?
En säkerhetspolicy är en ledningsstyrd riktlinje för hur information skyddas och på vilka principer informationssäkerheten leds. I praktiken berättar den vad företaget värdesätter, vilka mål som sätts och vem som ansvarar för vad. Den är alltså inte en detaljerad arbetsinstruktion utan en övergripande grunddokumentation.
Ur ISO 27001-perspektiv är policyn en del av informationssäkerhetens ledningssystem, ett systematiskt sätt att planera, genomföra, följa upp och förbättra informationssäkerheten. Utan en policy saknas en gemensam riktning i ledningssystemet. Om personalen inte vet vad som skyddas, på vilken nivå och varför blir rutiner lätt godtyckliga.
En bra policy underlättar särskilt i dessa situationer:
- när en nyanställd introduceras till informationssäkerhetens principer
- när en kund begär en beskrivning av företagets informationssäkerhet
- när ledningen bedömer risker, investeringar och ansvarsfördelning
- när en avvikelse, såsom en informationsläcka eller felaktig behörighet, måste hanteras snabbt
- när ledningsengagemang ska visas i en ISO 27001-revision
Observera
ISO 27001 kräver inte att säkerhetspolicyn är ett dokument på tiotals sidor. För små och medelstora företag räcker ofta 1–3 sidor, förutsatt att innehållet är tydligt, aktuellt och kopplat till praktisk verksamhet.
Vad kräver ISO 27001 av säkerhetspolicyn?
ISO 27001 ger ingen exakt rubrikstruktur som alla måste kopiera. Istället kräver standarden att policyn passar organisationens syfte, stödjer informationssäkerhetsmålen och innehåller ett åtagande om kravuppfyllelse samt ständig förbättring. Detta kan låta abstrakt, så vi bryter ner det till praktisk nivå.
Säkerhetspolicyn bör innehålla minst följande:
| Innehållsområde | Vad det innebär i praktiken | Exempel för små och medelstora företag |
|---|---|---|
| Syfte | Varför policyn finns | Företaget skyddar kund-, personal- och affärsinformation systematiskt |
| Tillämpningsområde | Vilka verksamheter, enheter eller tjänster policyn gäller för | Gäller hela företaget, alla anställda och centrala SaaS-tjänster |
| Principer | På vilka allmänna grunder informationssäkerheten genomförs | Tillgång till information begränsas enligt arbetsuppgift, förändringar godkänns i förväg |
| Mål | Vad som ska uppnås med informationssäkerheten | Kritiska behörighetsfel minskas med 50 % per år |
| Ansvar | Vem äger, godkänner och genomför | VD godkänner, IT ansvarar för teknisk kontroll, chefer för introduktion |
| Åtagande till krav | Följs lagar, avtal och interna krav? | Kundavtal, dataskydd och interna riktlinjer beaktas |
| Ständig förbättring | Hur policyn och verksamheten utvecklas | Policyn granskas minst en gång per år |
När ni läser tabellen kanske ni märker en viktig sak: policyn är inte en lista på alla kontrollåtgärder. Den beskriver inte tekniska detaljer kring säkerhetskopiering eller brandväggsregler. Dessa hör hemma i mer detaljerade instruktioner och processer.
Policyn ska istället svara på frågor som:
- Vilken information skyddar vi?
- Vad är ledningens avsikt?
- Vilka är de viktigaste reglerna?
- Hur fördelas ansvar?
- Hur vet vi att verksamheten förbättras?
Vad innehåller en bra säkerhetspolicy i praktiken?
I praktiken är en fungerande policy tydlig, avgränsad och kopplad till företagets vardag. Om ni säljer mjukvarutjänster bör policyn exempelvis täcka skydd av kunddata, behörighetshantering, leverantörsberoenden och hantering av avvikelser. Om ni är en konsultorganisation kan fokus ligga på personalens arbetsmetoder, enheter och konfidentiell kommunikation.
En bra struktur inkluderar ofta dessa delar:
- syfte med policyn och koppling till affärsverksamhet
- tillämpningsområde, alltså vilka verksamheter och vilken information policyn gäller för
- centrala säkerhetsmål med en 12-månaders tidsram
- ledningens engagemang i resurser och efterlevnad
- roller och ansvar
- referenser till mer detaljerade instruktioner som behörighetshantering, säkerhetskopiering och avvikelsehantering
- rutiner för granskning och uppdatering, till exempel en gång om året eller vid betydande förändringar
Till exempel kan policyn formulera behörigheter så här: behörigheter beviljas baserat på arbetsuppgift, godkänns i en namngiven process och tas bort inom 24 timmar efter anställningens slut. Den faktiska instruksen kan sedan beskriva vem som gör borttagningen, i vilket system och hur den dokumenteras.
Tips
Om policyn känns för generell, testa med en fråga: kan chefen fatta ett bättre beslut imorgon baserat på policyn? Om inte, lägg till en konkret princip, ansvar eller mätetal.
Vanligaste misstagen i säkerhetspolicyn
Många företag börjar med en mall, vilket i sig är förnuftigt. Problemen uppstår först när texten inte anpassas till den egna verksamheten. Vid revisioner och kundbedömningar märks detta snabbt: policyn nämner miljöer, roller eller processer som företaget inte har.
De vanligaste misstagen är:
- policyn är för lång, exempelvis 8–15 sidor, och personalen läser den inte
- policyn är för generell och saknar mätbara mål och ansvar
- dokumentet är föråldrat och stämmer inte med aktuella tjänster, system eller organisation
- policyn är inte godkänd av ledningen och ägare är inte utsedd
- policyn kopplas inte till riskbedömning, avvikelsehantering eller utbildning
Ett särskilt vanligt problem är att policyn skrivs för revisionen, inte för ledningen. Då blir den lätt ett statiskt dokument som öppnas endast en gång per år. En användbar policy syns i vardagen, till exempel i introduktioner, leverantörsval, behörigheter och ledningsgenomgångar.
Varning
En vanlig fallgrop är att i policyn lova saker ni inte kan verifiera. Om ni skriver att alla avvikelser hanteras inom 24 timmar måste ni också ha process, ansvar och uppföljning för att säkerställa detta.
Hur hänger säkerhetspolicyn ihop med andra ISO 27001-dokument?
Säkerhetspolicyn lever inte ensam. Den är ett övergripande dokument under vilket mer detaljerade rutiner, instruktioner och register finns. Om policyn säger att risker hanteras systematiskt måste detta återspeglas i riskbedömningen. Om policyn styr avvikelsehantering måste organisationen ha rutiner för registrering och hantering av avvikelser.
En typisk dokumenthierarki ser ut så här:
| Dokument | Roll | Uppdateringsfrekvens |
|---|---|---|
| Säkerhetspolicy | Övergripande riktlinje och ledningens vilja | Minst årligen |
| Säkerhetsmål | Konkreta mätetal och förbättringsområden | Kvartalsvis eller halvårsvis |
| Riskbedömning | Identifierar 3–5 centrala risker och hantering | 1–2 gånger per år |
| Rutininstruktioner | Beskriver praktiskt agerande | Vid behov, vid förändringar |
| Register | Bevis för genomförande, som godkännanden och utbildningar | Kontinuerligt |
Om företaget redan har ett ISO 9001-kvalitetssystem är det klokt att anpassa informationssäkerhetspolicyn till samma ledningsmodell. Detta förenklar godkännanden, genomgångar och versionshantering. Många små och medelstora företag vinner på att kvalitet och informationssäkerhet inte lever i separata siloer.
Så bygger ni en säkerhetspolicy i praktiken
Följande arbetsmetod fungerar bra i små och medelstora företag som vill få en policy klar utan tungt projekt. En realistisk tidsplan är ofta 1–2 veckor, om beslutsfattare är involverade och underlag finns.
Avgränsa policyns tillämpningsområde
Börja med att definiera vilken verksamhet, tjänster, team och information policyn ska omfatta. Dokumentera detta konkret, till exempel om policyn gäller hela företaget eller bara en specifik tjänst, och om den innefattar underleverantörer och molntjänster.
Identifiera 3–5 viktigaste informationssäkerhetsteman
Välj de teman med störst påverkan på affärsverksamheten och kundförtroendet. Vanligtvis är det behörigheter, enheter, skydd av kunddata, leverantörshantering och avvikelsehantering.
Formulera principer, ansvar och mätbara mål
Skriv tydliga principer för varje tema och utse en ansvarig. Lägg till 2–4 mätbara mål, såsom introduktion inom 7 dagar från anställning eller borttagning av behörigheter inom 24 timmar efter anställningens slut.
Godkänn policyn i ledningen och kommunicera till personalen
Säkerhetspolicyn gäller först när ledningen formellt godkänt den och personalen vet vad den innebär i sitt arbete. Gå igenom policyn exempelvis i ett 30-minuters personalmöte och inkludera den i introduktion och årlig utbildning.
Koppla policyn till uppföljning och årshjul
Bestäm redan från början när policyn ska ses över och med vilken information dess effektivitet utvärderas. Det kan vara en årlig ledningsgenomgång, trendanalys av avvikelser och genomgång av mål kvartalsvis.
Vilken policy fungerar bäst i små och medelstora företag?
I små och medelstora företag är den bästa säkerhetspolicyn ofta kortfattad och praktiskt inriktad. Den behöver inte likna ett koncernhäftes manual. Viktigare är att personalen förstår den, ledningen står bakom den och innehållet syns i vardagliga beslut.
En fungerande policy uppfyller ofta dessa kriterier:
- är cirka 1–3 sidor lång
- språket är begripligt även för andra än IT-experter
- varje huvudprincip har en utsedd ansvarig
- innehåller minst 2–4 mätetal eller mål
- dokumentet ses över regelbundet och ändringar godkänns kontrollerat
Om ni undrar om er policy är tillräckligt bra, ställ er tre frågor:
- Finns ett tydligt ledningsåtagande i dokumentet?
- Speglar det just våra affärsrisker?
- Kan personalen utifrån dokumentet avgöra hur de ska agera i praktiken?
Om svaret är nej på någon fråga bör policyn skärpas.
Hur underlättar Tietoturvapankki arbetet?
I många organisationer är det svåraste inte själva skrivandet utan helhetshanteringen. Policyn ska kopplas till risker, mål, ansvar, utbildningar och revisionsbevis. När detta finns i skilda filer och hos olika ägare blir underhållet snabbt tungrott.
Tietoturvapankki hjälper till att skapa en ISO 27001-kompatibel helhet så att säkerhetspolicyn inte blir ett isolerat dokument. När policy, risker, åtgärder och uppföljning finns i samma tjänst är det lättare att göra uppdateringar och genomgångar i tid. Tjänsten bygger på Softapankki Oy:s och QMClouds Oy:s erfarenhet av ledningssystem och är kopplad till Kvalitetsbanken — Koncernens varumärke för kvalitetsledning.
Sammanfattning
- Säkerhetspolicyn är en ledningsgodkänd övergripande riktlinje, inte en detaljerad arbetsinstruktion.
- ISO 27001 kräver att policyn passar organisationen, stödjer mål och innehåller åtagande om kravuppfyllelse och ständig förbättring.
- En fungerande policy innehåller minst syfte, tillämpningsområde, principer, ansvar, mål och en rutin för granskning.
- För små och medelstora företag fungerar ofta en kort, 1–3 sidor lång och mätbar policy bättre än ett långt generellt dokument.
- Största nyttan fås när policyn kopplas till riskbedömning, utbildning, avvikelsehantering och ledningens uppföljning.
Behöver ni hjälp med informationssäkerhet?
Våra experter hjälper er vidare.