Politikker, retningslinier og standarder.

Politikker, retningslinier eller standarder er vigtige set ud fra et sikkerhedsmæssigt synspunkt.
En virksomheds politikker bør opbygges med base i godkendte standarder, for at sikre at man får alle de nødvendige aspekter med.
Hos ALSkens.dk har vi erfaring og kendskab til de engelske og europæiske standarder på IT sikkerhedsområdet.
ISO 17799 er opbygget med base i den britiske standard BS7799 og blev omskrevet for at passe til de europæiske lande. Det er en god standard, omend den er lidt tung.
ISO17799 er i EU oversat og lagt i EU's standardiceringsrammer og hedder her IEC27002.

Det kan virke som et stort arbejde, at skulle opbygge standarder for deres virksomhed ud fra ovenstående, men her kan vi med vores erfaring hjælpe og ved præsis, hvor vi skal sætte ind. Vi har endog udarbejdet basisstandarder som kan tilpasses jeres behov.
Det er vigtigt uanset om De har ansvaret for en virskomhed eller for en skole/uddannelsesinstitution, at De har forholdt Dem til, hvad Deres IT udstyr må bruges til og hvordan. Medarbejdere kan både bevidst og ubevidst bruge Deres udstyr til private interesser, for sig selv eller for andre - en aktivitet der ikke
nødvendigvis er i overenssemmelse med Deres virksomheds interesser.
Lige så vigtigt er det, at deres IT ansatte ikke skal gætte sig til virksomhedens politik. Hvordan skal brugere sættes op, hvad må de kunne ændre selv, er det en ledelsesbeslutning eller er beslutningen lagt ud til medarbejderne.
ALSkens.dk kommer gerne med et oplæg til diskusion, så vi kan få klarlagt deres behov og holdninger.



Hovedpunkterne for en virksomheds politikker kan deles op på følgende måde:

1. Risk assessment
2. Security policy - management direction
3. Organization of information security - governance of information security
4. Asset management - inventory and classification of information assets
5. Human resources security - security aspects for employees joining, moving and leaving an organization
6. Physical and environmental security - protection of the computer facilities
7. Communications and operations management - management of technical security controls in systems and networks
8. Access control - restriction of access rights to networks, systems, applications, functions and data
9. Information systems acquisition, development and maintenance - building security into applications
10. Information security incident management - anticipating and responding appropriately to information security breaches
11. Business continuity management - protecting, maintaining and recovering business-critical processes and systems
12. Compliance - ensuring conformance with information security policies, standards, laws and regulations



Hvis deres virksomhed er registreret på den amerikanske børs, er det ikke nok med ISO17799 eller IEC27002, men derimod skal vi forholde os til Sarbanes-Oxley...



                                                                      



Gå tilbage til forside