Artiklar

Informationssäkerhet – här är 10 viktiga dokument

Skriven av Åsa Ljungkvist
Informationssäkerhet

Hur ser er dokumentation kring informationssäkerhet ut? Och visste du att din egen personal ofta är företagets största sårbarhetskälla? Med väldokumenterade processer och policies kan ni som organisation reagera snabbare i händelse av ett hot eller en attack. Här listar vi tio standarddokument inom informationssäkerhet.

Vad är dokumentation inom informationssäkerhet?

Först och främst – vad pratar vi om när vi pratar om informationssäkerhet och dokumentation? Det handlar om all dokumentation som beskriver hur en organisation bör reagera på säkerhetshot och incidenter. Eftersom personalen ofta är ett företags största sårbarhetskälla bör det också finnas dokumentation och processer för att utbilda alla anställda. Bra dokumentation kommer att göra det möjligt för er som organisation att reagera snabbare i händelse av ett hot eller en attack. Om ni följer väldokumenterade policies blir ert beslutsfattande bättre och ni kan begränsa skador på verksamheten. Dokumentation kan också göra det tydligare för alla i verksamheten vad som har hänt, varför och hur ni kan undvika liknande situationer i framtiden.

Vilka typer av dokument behövs?

Så hur ser då dokumentationen kring informationssäkerhet ut? Här är tio standarddokument som är bra att upprätta för att minska dataintrång i er organisation. Tänk på att dokumentationen behöver skyddas – annars riskerar den i stället att bli en nyckel till organisationens svagaste punkter.

Informationssäkerhetspolicy
Det mest grundläggande dokumentet när det gäller organisationers informationssäkerhet. Här finns företagets regler och riktlinjer kring IT-säkerhet samlade och förklarar varje enskild anställds ansvar i händelse av en incident. Policyn fyller dock ingen funktion om den bara är ord på ett papper. Det är viktigt att medarbetarna känner till dess innehåll och att det finns rutiner för att se till att policyn efterlevs.

Kontinuitetsplan
Det här dokumentet diskuterar organisationens strategi för att vara motståndskraftig vid till exempelvis en brand, naturkatastrof eller attentat. Detta gäller inte minst IT-driften. Kontinuitetsplanen kan ses som mer lång­siktig än katastrof­beredskap. 

Katastrofberedskapsplan
I katastrofberedskapsplanen beskrivs de konkreta stegen som måste till för att återuppta verksamheten efter en incident, som till exempel strömavbrott eller en cyberattack. Planen upprättas i samband med kontiniutetsplanen. 

Utbildningsdokument för ökat säkerhetsmedvetande
Den mänskliga faktorn är ansvarig för många framgångsrika dataintrång. Utbildning i informationssäkerhet bör därför ske regelbundet. I takt med att nya säkerhetshot uppstår måste också anställdas förståelse för hur man kan identifiera och förebygga dem utvecklas.

Incidenthanteringspolicy
En incident kan enkelt beskrivas som en oönskad händelse. Den kan vara till exempel ett fullbordat dataintrång, ett mejl med skadlig kod, en anställd som för vidare säkerhetsklassad information eller som har glömt ett papper med ett nedskrivet lösenord framme på skrivbordet.

En nedskriven policy för incidenthantering specificerar roller och ansvar i händelse av exempelvis en attack, och liknar därmed katastrofberedskapsplanen. Incidenthanteringspolicyn fokuserar dock mer på IT- och säkerhetshändelser. Denna policy prioriterar att minska eventuella skador orsakade av till exempel dataintrång. Detta inkluderar affärsverksamhet, ekonomiska förluster eller kunders data. 

Standarder och procedurer för riskbedömning
Standard och procedurer för riskbedömning beskriver processen att identifiera, analysera och utvärdera eventuella informationssäkerhetsrisker. Denna typ av dokumentation är avgörande för att förhindra dataförlust och undvika dataintrång.

Policy för förändringshantering
Syftet med att ha en policy för förändringshantering är att kunna hantera förändringar på ett väl kommunicerat, planerat och förutsägbart sätt. Det i sin tur kan minimera oplanerade avbrott och oförutsedda systemproblem. Detta dokument förklarar hur eventuella förändringar kan undvika att påverka affärsverksamheten eller kunderna. Ladda gärna ned vårt white paper om du vill läsa mer om hur du kommunicerar förändring på rätt sätt.

Policy för säkerhetskopiering av data
En policy för säkerhetskopiering av data är en handlingsplan som beskriver hur organisationen ska agera i händelse av dataförlust, raderade eller korrupta filer. Detta inkluderar strategier för hur man återställer viktiga dokument och hur man återupptar affärstjänster efter att en nödsituation har inträffat. Den beskriver också vilken typ av säkerhetskopiering som behövs för att tjäna din organisation på bästa sätt.

Policy för fjärråtkomst
I och med pandemin började miljontals kontorsanställda arbeta på distans utan förvarning. Det gjorde att policyer för fjärråtkomst blev mer framträdande. Denna policy beskriver hur anställda kommer att interagera med företagets system på distans.

Policyn kan innehålla information om att förvara sin utrustning på ett säkert sätt, och ge detaljerad information om vad som gäller kring appar och besök på icke-arbetsrelaterade webbplatser. Den bör också beskriva bästa praxis för att upprätthålla starka lösenord, använda multifaktorautentisering och hur anställda följer grundläggande säkerhetsregler för e-post.

Informationsklassning
Informationsklassning är den bedömning ni gör av vilket skydd som behöver omgärda olika typer av data. Själva informationsklassningen i sig bör därefter dokumenteras, samt även de åtgärdspaket som följer med den, som riskanalys och riskbedömningar.  

Håll dokumentationen uppdaterad

Tänk på att uppdatera dokumentationen kring informationssäkerhet kontinuerligt. Annars finns risken att dokumentationen skapar fler problem än vad den löser. Dessutom är säkerhetshoten ständigt i förändring. Dokumentationen måste hänga med i svängarna här för att vara relevant. Det spelar ingen större roll hur dokumentationen är utformad, så länge den är konsekvent. Det underlättar för trovärdigheten och för att hela organisationen ska agera konsekvent i händelse av en attack. 
 

Sammanfattning

Bra dokumentation inom informationssäkerhet är viktigt för att er organisation ska kunna reagera snabbt och samordnat i händelse av ett hot eller en attack. För att dokumentationen inte ska göra mer skada än nytta behöver ni också se till att den är uppdaterad. Men det räcker inte med bara dokumentation. Efterlevnaden är minst lika viktig och ofta är personalen er största sårbarhet. Därför behöver ni också ha processer för att utbilda alla anställda kontinuerligt. Känns det ändå svårt att få till dokumentationen eller att se till så att den är relevant och konsekvent? Kontakta oss på Dokumentera så kan vi hjälpa till.

 

 

DELA
Författare
Åsa LjungkvistTeknisk skribent

Åsa har tidigare arbetat många år som journalist och har även en examen i data- och systemvetenskap. I rollen som teknisk skribent kombinerar hon sina intressen för språk och teknik. Hon har bland annat jobbat med UX-texter och är övertygad om att riktigt bra texter och dokumentation utgår från användarens behov.