Informationssikkerhed

English

Du er her: Informationssikkerhed Sikkerhedsledelse på AU (ISMS) Etablering af lokal sikkerhedsledelse (ISMS)

Etablering af lokal sikkerhedsledelse (ISMS)

På AU skal der etableres lokale ledelsessystemer for informationssikkerhed (ISMS), som skal være i tråd med AU's minimumskrav til ISMS. På siden her, kan du se, hvordan I kommer godt i gang med at etablere et ISMS.

Formål

  • Formålet med et lokalt ISMS er at have klart dokumenterede aftaler og retningslinjer for, hvordan der arbejdes med informationssikkerheden og informationer beskyttes i den enhed, det drejer sig om.
  • I nogle forskningssamarbejder stiller fx udenlandske samarbejdspartnere skærpede krav til, hvordan informationer behandles, hvilket et ISMS kan dokumentere.
  • Arbejdet med ISMS er desuden med til at øge bevidstheden om informationssikkerhed i organisationen.

Sådan kommer I i gang

Selve etablering af et lokalt system til sikkerheddsledelse (ISMS) kan opdeles i 4 faser, som er beskrevet herunder med tips til, hvordan I kommer godt i gang samt anbefalinger til brug af metode, skabeloner og vejledninger. Aktiviteterne i faserne er obligatoriske i ISO 27001, som ligger til grund for AU's minimumskrav til et lokalt ISMS.

1. Organisering

Spørgeguide:

  • Hvilket område eller enhed er I ansvarlige for?
  • Hvem har hvilke roller?
  • Hvordan er ansvarsfordelingen?
  • Hvordan sikres ledelsesforankring?
  • Hvordan eskaleres internt og hvornår?

Der er ikke en fast måde til at organisere sig om sit ISMS. Det afhænger bl.a. af, hvordan I ellers er organiseret. Herunder er beskrevet roller og ansvar, som varetages lokalt, og I skal overveje, hvordan forskellige roller agerer i forhold til hinanden, hvordan ansvarsfordelingen skal være og kriterier for, hvornår en situation skal eskaleres.

  • Enhedsledelsen: Har ansvaret for informationssikkerhed på instituttet eller fakultetet, og i den funktion også det overordnede risikoejerskab. Enhedslederen er ansvarlig for at fastlægge og dokumentere ejerskab af aktiver, herunder projekter og systemer, risici, foranstaltninger, krav og lovgivning. I tilfælde af, at ejerskabet er delt, bør der være forvaltningsaftaler, der dokumenterer ansvarsfordelingen. 
  • System-/aktivejer: Kan tildeles forvaltning af et væsentligt aktiv. Det er oftest en person med ledelsesansvar og med kendskab til brug og værdi af det pågældende aktiv for at sikre forretningens daglige virke. System-/aktivejer kan også være risikoejer, men her kan der være fastsætte interne kriterier for, hvornår og hvilke risici og scenarier, der skal eskaleres til enhedsledelsen. Hvis der er tale om et it system.
  • Risikoejer: Denne rolle kan tildeles på flere niveauer. Det vigtigste er, at en risikoejer har ansvaret for og beføjelsen til at forvalte de risici, de er ansvarlige for, herunder at træffe beslutninger om håndtering af risici. Har en bestemt risiko høj konsekvens, bliver risikoejer ofte en person, som er højt i ledelseshierakiet.
  • Systemforvalter: Har et dybdegående kendskab til aktivet, hvordan det benyttes og indgår som et vigtigt redskab i en kritisk forretningsproces. Systemforvalter forvalter systemet rent praktisk i det daglige. AU IT har beskrevet systemforvalterens opgaver ved it-systemer Systemforvalterens opgaver
  • Lokal Informationssikkerhedskoordinator: Er udpeget på enten et fakultet eller et institut, hvor de er udførende i forhold til informationssikkerhedsaktiviteter.

Risikoejerskab og eskalering af risici

Placering af risikoejerskab og eskalering af risici kan identificeres gennem følgende:

  • Hændelse, der har en negativ påvirkning på enhedens eller AU's omdømme.
  • Hændelse til stor gene for forretningen eller en bred brugergruppe.
  • kompromittering af følsomme eller fortrolige informationer eller stort omfang af berørte personer.
  • Økonomi ud over systemejers budget.
  • Utilgængeligt centralt system eller aktiv.
  • Behov for kontakt til Datatilsynet

2. Overblik over aktiver

Spørgeguide:

  • Hvad har højst værdi for jer?
  • Hvilke informationsaktiver er I ansvarlige for?
  • Hvilke informationsaktiver skal prioriteres?
  • Hvem ejer informationsaktivet?
  • Hvordan sikrer I opdatering af overblik over aktiver?

Overblik over jeres aktiver gør jer i stand til at prioritere ressourcer på et oplyst grundlag. Ledelsen kan prioritere indsatsområder ud fra jeres risikoaccept.

Spørgeguide til identifcering og prioritering af informationsaktiver:

1. Identificér enhedens aktiver
  • Hvilke aktiver er vi ansvarlige for?
  • Har vi en dækkende fortegnelse over de vigtige aktiver, den er ansvarlig for?
  • Hvem er den respektive ejer af hvert aktiv? Ejerskab skal dokumenteres, og ejer skal være bekendt med sin rolle og sit ansvar.
2. Vurdér aktivernes kritikalitet og konsekvenser

Kritikalitet

  • Hvilken dataklassifikation tilhører enhedens informationer og aktiver? (afgør kritikalitet)

  • Hvad er mængden og koncentrationen af informationer? (påvirker kritikalitet)​

  • Hvilken forretningsproces understøtter informationen? (strategisk værdi/kritisk forretningsproces?) - herunder hvor vigtig infomationernes tilgængelighed, fortrolighed og integritet er for forretningen.​

  • Hvilke forventninger har interessenter til informationernes fortrolighed, integritet og tilgængelighed?

  • Er det i overensstemmelse med AU’s risikokriterier/risikotolerancer?

­

Konsekvenser

  • Hvilken konsekvens kan læk eller tab af informationer have? - nedenstående er eksempler, men listen er ikke udtømmende:

    • Dødsfald eller skade på enkeltpersoner eller grupper.​

    • Tab af frihed, værdighed eller retten til privatliv​.

    • Tab af medarbejdere og viden (færdigheder og ekspertise).​

    • Skade på forretningsfunktion eller –proces​.

    • Indvirkning på planer og deadlines​.

    • Tab af forretningsmæssig og økonomisk værdi.​

    • Skade på tillid fra offentligheden og omdømme​.

    • Brud på juridiske, lovmæssige eller regulatoriske krav.​

    • Brud på kontrakter eller serviceniveauer​.

    • Negativ indvirkning på interessenter​.

    • Negativ påvirkning på miljøet.
3. Prioritér enhedens mest kritiske og/eller sensitive aktiver
  • Hvilke er enhedens mest kritiske og/eller sensitive aktiver?
  • Hvordan skal de prioriteres i forhold til hinanden?

3. Opmærksomhed på risikostyring

Spørgeguide:

  • Hvilke risici kan påvirke jeres informationsaktiver?
  • Hvordan beskytter I jeres informationsaktiver?
  • Hvordan forholder ledelsen sig til de identificerede risici?
  • Hvilke anbefalinger har I til passende foranstaltninger?

Risikostyring tager udgangspunkt i jeres identificerede og prioriterede aktiver. Når I skal risikostyre, kan I med fordel følge fremgangsmåde for risikovurdering: Se mere om risikovurdering.

Processen for risikostyring dækker følgende:

  1. Systemklassifikation (såfremt informationsaktivet er et it-system), der ud fra forskellige parameter viser, hvorvidt et system har en kritikalitet, som kræver en risikovurdering.
  2. Risikovurdering giver et overblik over, hvilke risici og trusler, der kan påvirke enhedens mest følsomme og fortrolige informationer eller aktiver.
  3. Resultatet af risikovurderingen forelægges for ledelsen, som træffer beslutninger om handlemuligheder.
  4. Handleplan afhænger af ledelsens risikoaccept og mulige foranstaltninger; hvorvidt de vil acceptere risikoen eller implementere tiltag, der sænker risikoen.

4. Opfølgning og optimering

Spørgeguide:

  • Hvordan følger I op på aktiviteter?
  • Hvor ofte følger I op?
  • Hvordan er det gået?
  • Hvilke risici skal præsenteres for jeres ledelse?
  • Hvad kan I gøre bedre?

En risikobaseret tilgang kræver, at I er bevidste om, at risici ændrer sig, og derfor er der behov for jævnlig opfølgning.

Kadencen på opfølgning kan variere, men ledelsen bør som minimum følge op på konkrete aktiviteter i handleplanen og aktiviteter i det lokale ISMS 1 gang om årder

Status på handleplanen aktiviteterne kan fx være et punkt på et ledelsesmøde eller gennem etablering af et lokalt informationssikkerhedsudvalg i enheden. Der er ingen formkrav til opfølgningen, men udviklingen skal kunne følges og dokumenteres.

Eksempel på punkter til status og opfølgning på informationssikkerhed:

  • Er der identificeret nye aktiver eller risici, som kan have en effekt på informationssikkerheden?
  • Hvad er status på igangværende informationssikkerhedsmæssige tiltag eller aktiviteter?
  • Har der været hændelser, som giver anledning til ændringer i trusselsbilledet eller betyder, at vi skal opdatere risikovurdering og -håndtering?
  • Hvilke nye tiltag kan vi implementere?
  • Hvor kan vi forbedre vores arbejde og aktiviteter med informationsikkerhed?
  • Virker det lokale ISMS efter hensigten eller er der behov for tilretninger? I så fald, hvilke?
  • Hvordan og hvilke opmærksomhedspunkter skal rapporteres til ledelsen?
  • Er der relevante lovkrav eller andre formelle krav fra samarbejdspartnere, der skal tages højde for?

Værktøjer

Her kan I downloade grafiske værktøjer med hjælpespørgsmål, som I kan bruge, når I skal etablere jeres lokale system til sikkerhedsledelse. Det anbefales, at I begynder med overvejelserne til de fire faser og derefter gennemgår dem fra trin 1 til 3.

Årlig gennemgang

Når det lokale ISMS er etableret, er det en god ide, at det løbende arbejde med det struktureres som et årshjul ud fra faserne Plan-Do-Check-Act. 

  • PLAN: Udarbejdelse og vedligeholdelse af grundlæggende dokumenter.
  • DO: Implementering og drift i praksis.  
  • CHECK: Evaluering og dokumentation af aktiviteter og informationssikkerhedstiltag samt identificering af forbedringsmuligheder. 
  • ACT: Nye tiltag og løbende forbedringer.

Nedenstående lister er primært målrettet enheder, der skal certificeres, men kan benyttes til inspiration i forhold til implementering af et Årshjul.

Har I spørgsmål?

Vi kan hjælpe jer og faciliterer gerne, at I kommer godt i gang med at etablere lokalt ISMS.
Revideret 24.03.2026
-
Informationssikkerhed