IT-sikkerhet i jobben:
Informasjonssikkerhet for bedrifter
Her får du grunnleggende råd om hvordan din bedrift kan bedre sin IT-sikkerhet.
Bedriftsledelsen har sikkerhetsansvaret
Det er ledelsen i bedriften som har det endelige ansvaret for at IT-sikkerheten er i orden. En viktig oppgave for ledelsen er å utvikle et ledersystem for IT-sikkerheten. Dette systemet bør behandle mål med IT-sikkerheten, hvilket sikkerhetsnivå man skal ha, hvordan bedriften skal arbeide med risikohåndtering, samt styringsmidler.
Det er også ledelsens ansvar å sørge for nødvendige dokumenter, som informasjons-sikkerhetsstrategi, og at instrukser lages og revideres.
Norsk senter for informasjonssikring (NorSIS) har laget flere veiledninger rettet mot små og mellomstore bedrifter.
Lær mer om sikringstiltak for din bedrift på norsis.no.
Ansatte må læres opp om sikkerhetsrisiko
De enkelte brukernes betydning for IT-sikkerheten blir ofte ikke presisert nok. IT-sikkerhetsarbeid handler ikke bare om å skape rutiner og sette opp riktig utstyr. Det handler også om å få brukerne på arbeidsplassen til å forstå hvilken risiko de kan utsette bedriften eller organisasjonen for.
En håndfull enkle råd som kommuniseres til brukerne kan være tilstrekkelig for å høyne sikkerhetsnivået.
Lover og regler for IT-sikkerhet
Arbeidet med å håndtere risiko er i noen tilfeller pålagt i lov eller forskrift.
For behandling av personopplysninger gjelder § 2-4, i forskrift om behandling av personopplysninger av 15. desember 2000 nr 1265, om at en behandlingsansvarlig skal gjennomføre en risikovurdering. Datatilsynet er tilsynsmyndighet for denne forskriften, og har laget en veiledning til arbeidet med å foreta en risikovurdering.
Les mer:
Lov og rett på Internett
For foretak som er underlagt tilsyn av Kredittilsynet, gjelder forskrift om bruk av informasjons- og kommunikasjonsteknologi av 21. mai 2003 nr 630. Hvem denne forskriften gjelder for er beskrevet i forskriftens § 1. I denne forskriftens § 3 beskrives krav til gjennomføring av risikoanalyse.
Kreditttilsynet har mer om risiko- og sårbarhetsanalyser for finansforetak
