Alle virksomheter trenger en oversikt over selskapets retningslinjer for IT-sikkerhet. Med en IT-policy sikrer man gode beslutninger som ivaretar sikkerheten – på tvers av virksomheten.
Hva er en IT-policy?
En IT-policy er ledelsens styringsdokument for IT-sikkerhet i virksomheten. Policyen beskriver de langsiktige føringene og prioriteringene selskapet skal følge for å sikre en god IT-sikkerhet i selskapet.
IT-policyen skal på en oversiktlig og enkel måte beskrive hvilke hensyn og sikkerhetsprinsipper virksomheten legger til grunn for å sikre mål og verdier. Policyen skal blant annet beskrive de overordnede sikkerhetsmålene for selskapet, og ta for seg risikoområdene til bedriften. Et godt tips er å legge inn noen målbare mål, slik at man etter en stund kan gå tilbake å vurdere om policyen er tilstrekkelig.
IT-policyen legger grunnlaget for selskapets IT-instruks, og policyen skal derfor ikke ta for seg detaljerte retningslinjer, rutiner, ulike sikkerhetstiltak eller beskrive bruk av teknologi. Denne informasjonen skal finnes i IT-instruksen.
For at policyen skal fungere som et nyttig IT-verktøy er det viktig at den forankres i hele selskapet – ikke bare i ledelsen. Policyen må gjøres tilgjengelig for de ansatte slik at de kan gjøre seg kjent med den og arbeide etter de føringene som står der. En IT-policy skal være kort, konsis og helst ikke beskrives på mer enn to A4-sider.
Hvorfor trenger du en IT-policy?
Som sagt er IT-policyen ledelsens styringsdokument for IT-sikkerhet, og IT-instruksen beskriver retningslinjene og sikkerhetstiltakene i detalj. Så hvis man har en detaljert instruks, hvorfor skal man da trenge en policy?
Jo, IT-policyen gir alle avdelingene i selskapet en felles sikkerhetsplattform å arbeide ut ifra. Med et knippe felles retningslinjer vil man kunne ta gode beslutninger og konsekvente valg når det gjelder IT-sikkerhet. Dette gjør det enklere når man skal gå til innkjøp av digitale tjenester og utstyr, eller inngå leverandøravtaler og nye samarbeid.
