Bedriftens informasjon må beskyttes. Rutiner for hvordan man behandler og sikrer informasjonen bør formaliseres i en informasjonssikkerhetsstrategi.
Her får du vite hva som bør inngå i en informasjonssikkerhetsstrategi og hvorfor. Anbefalingene beskriver laveste sikkerhetsnivå. Hvilket nivå som kreves på din arbeidsplass avhenger selvsagt av organisasjons behov.
For noen bedrifter er det i stor grad lover og forskrifter som regulerer hvordan data skal håndteres. Sikkerhetsloven regulerer blant annet organisasjoner som skal behandle og lagre sikkerhetsgradert informasjon. Organisasjoner som skal behandle og lagre personopplysninger må forholde seg til personopplysningsloven og personopplysningsforskriften. Se spesielt forskriftens kapittel 2 om informasjonssikkerhet og kapittel 3 om internkontroll. Datatilsynet er faglig tilsynsmyndighet når det gjelder oppfølging av lovgivning innen personvernspørsmål.
Her fokuseres det på hvordan man sikrer og begrenser den digitale tilgangen til informasjon og system. Et komplett sikkerhetssystem innebærer naturligvis også rutiner for fysisk sikkerhet.
En veileder for Hvordan lage informasjonssikkerhetspolicy kan du også finne på hjemmesidene til NorSIS. Veilederen ble publisert 26. august 2005. Policyen skal gi et overordnet uttrykk for ledelsens intensjoner og mål for IKT-sikkerhetsarbeidet.
Mer generell informasjon om IT-sikkerhet til hjelp for små og mellomstore bedrifter for å sikre IT-systemene finner du i Symantec sin bok Lukk vinduet for uønskede gjester - IT sikkerhet for småbedrifter som du enten kan laste ned i pdf-format eller få tilsendt i posten. Håndboken har mange praktiske tips og er skrevet for brukere med få eller ingen forkunnskaper.
Tjenesten Nettvett leveres