Formål
Formålet er at skabe sikkerhed fra start til slut, og dette gennemføres med bedst resultat, når virksomheden definerer sikkerhedsniveauet med udgangspunkt i en overordnet informationssikkerhedsstrategi og en konkret it-risikovurdering af kritiske og følsomme data og systemer.
Informationer og understøttende teknologi er som andre aktiver i virksomheden væsentlige for virksomhedens forretningsprocesser og skal derfor beskyttes hensigtsmæssigt. Sikkerhed er den samlede mængde af sikkerhedsforanstaltninger til sikring af virksomhedens driftsmæssige kontinuitet og minimere afledte risici og tab ved misbrug af systemer og data, herunder risikoen for tab af fortrolighed, integritet og tilgængelighed. Sikkerhed kan defineres inden for en forståelse af sikkerhed som fysisk sikkerhed (fysisk/miljømæssig beskyttelse), it-sikkerhed (den indbyggede tekniske sikkerhed), informationssikkerhed (inddrager teknologi, processer og mennesker) og cybersikkerhed (kompleksiteten interaktion mellem udstyr, teknologi, aktører og handlinger på internettet).
Input
Alle dokumenter med relevans for vurdering af sikkerheden kan indgå i denne aktivitet. Specielt skal fremhæves løsningsprojekters it-risikovurderinger og arkitekturdokumentation med direkte relevans for informationssikkerhed, som eksempelvis bruger-/rettighedsstyring.
Vi har refereret til en række af de vigtigste og mest nyttige former for dokumentation, men andre kan være relevante og der kan findes typer af dokumentation, der ikke er defineret her i OIO EA rammen. Det anbefales derfor, at man også forholder sig til dokumenter anbefalet i mere specifikke standarder og vejledninger vedrørende sikkerhed. jf nedenfor.
Output
Sikkerhedsstrategi – for udvikling/drift (sætter sikkerhedskrav relateret til forretningen; krav kan efterfølgende indarbejdes i udbud/kontrakter). Knytter sig til forretningsstrategien og omfatter en sikkerhedsanalyse og en sikkerhedspolitik.
Sikkerhedsaktiviteter – kan være ‘bløde’ eller ‘hårde’ aktiviteter, dvs. knyttet til organisationen eller til den tekniske it-understøttelse. Det kan være i form af retningslinjer og procedurer.
Sikkerhedskontroller – sikkerhedsforanstaltninger. Kan være organisatoriske, tekniske eller fysiske.
Desuden en kvalitetssikring af det arkitekturarbejde og de valg, der sker i teknikaktiviteterne, herunder bl.a.
- It-arkitektur – som fx sikkerhedsmodeller
- Teknologier – som kan være databaser, platforme, filsystemer, web design, SSL, SQL, HTTP, Java, Windows etc.
Metode
ISO 27001 er den internationale standard for styring af informationssikkerhed. Vejledning om sikkerhedsforanstaltninger i udviklings-, drifts- og vedligeholdelsesprocesser finder man fx i ISO 27002, som finder anvendelse indenfor planlægning, projektering, opbygning og opretholdelse af tekniske og administrative sikringsforanstaltninger til forøgelse af sikkerheden for it-systemer og -anlæg. Det er obligatorisk for alle statslige organisationer at efterleve ISO 27001 fra 2013.
Digitaliseringsstyrelsen har udarbejdet en række vejledninger og værktøjer i forbindelse med implementering af styring af informationssikkerhed. Udgangspunktet er en procesmodel, som strukturerer aktiviteter i alle delprocesser – ’PLAN-DO-CHECK-ACT.’
Målgruppen er primært personer, som er ansvarlige for at lede og koordinere informationssikkerhed i en af statens organisationer, og som ønsker et overblik over og en anbefaling om, hvordan sikkerhedsarbejdet kan gribes an i praksis.
Den primære udførende aktør er den sikkerhedsansvarlige (kan evt. defineres som en sikkerhedsarkitekt).