Af Eskil Sørensen, 01/06/21
Informationssikkerhed er ledelsens ansvar. Brud på sikkerheden og brud på databeskyttelseslovgivningen kan koste dyrt i form af økonomisk tab, dårlig omtale og udgifter til oprydning. DKCERT anbefaler, at institutionens ledelse afsætter de fornødne ressourcer til at løfte opgaven.
- Inkluder informationssikkerhed i den langsigtede strategiske planlægning og udarbejd i tilknytning til det en strategi for kommunikations- og læringsindsatsen i forhold til cyber- og informationssikkerhed.
- Gør det tydeligt, at ledelsen er aktivt og løbende involveret i arbejdet med informationssikkerhed.
- Afsæt ressourcer til uddannelse og kompetenceudvikling af alle medarbejdere i informationssikkerhed.
- Sørg for løbende at adressere behovet for at efterleve retningslinjer for informationssikkerhed i organisationen, og monitorer efterlevelsen. Det er ikke nok, at medarbejderne undervises.
- Overvej evt. disciplinære forholdsregler og mulige konsekvenser ved overtrædelse af sikkerhedspolitikken og -retningslinjerne.
- Understøt en kultur, hvor risiko og sikkerhed er tænkt ind fra starten i udviklingen af produkter og tjenester.
- Sørg for, at der er ressourcer til, at der kan føres tilsyn med overholdelse af databeskyttelsesforordningen.
- Hold de ansatte, studerende og gæster informeret om informationssikkerhedspolitikken og aktuelle problemer.
- Etabler et beredskab, udarbejd en beredskabsplan for kritiske hændelser og gennemfør øvelser med jævne mellemrum.
- Prioriter og synliggør risikostyring.
- Foretag løbende risikovurderinger af forretningskritiske systemer – også ved hændelser, der rammer lignende institutioner.
- Arbejd sammen med andre institutioner om informationssikkerhed, del viden og erfaringer.
- Afsæt tid, penge og personale til håndtering af informationssikkerhed.
- Understøt en kultur, hvor dialog om informationssikkerhed er en del af sikkerhedsarbejdet.