Politik for informationssikkerhedsbevidsthed og -uddannelse

Politik for informationssikkerhedsbevidsthed og -uddannelse (P08) etablerer en formel, organisationsdækkende ramme for bevidstgørelse og uddannelse for at sikre, at alt personale, kontrahenter og tredjepartsagenter forstår deres informationssikkerhedsansvar. Den kræver omfattende træning, der understøtter overholdelse af ISO/IEC 27001:2022 og andre førende globale rammeværk. Dokumentet beskriver en risikoinformeret tilgang, der kræver, at sikkerhedsbevidsthed løbende adresseres gennem onboarding, periodisk genopfriskningstræning og hændelsesdrevne træningstiltag tilpasset udviklende trusler og reguleringsmæssige krav. Denne politik fastlægger et klart omfang og angiver, at alle brugere med adgang til informationssystemer eller organisationens faciliteter – uanset om de er interne brugere, midlertidige medarbejdere, kontrahenter eller leverandører – skal deltage. Kravene specificerer indledende onboarding-sikkerhedsbevidsthedstræning, rollespecifik uddannelse for stillinger som udviklere eller højt privilegerede brugere samt bevidstgørelseskampagner. Leveringsmekanismer omfatter e-læring, virtuelle instruktørledede sessioner, fysiske briefinger, simuleringer og multimedieaktiver, med årlig genopfriskning og yderligere træning udløst af sikkerhedshændelser eller større retlige/teknologiske ændringer. Detaljerede styringskrav sikrer, at alle brugere vejledes af tilgængeligt og inkluderende undervisningsindhold, der dækker centrale temaer som phishing-modstandsdygtighed, adgangskodehygiejne og reguleringsmæssige forpligtelser. HR og informationssikkerhedschef (CISO)-funktionerne er centrale for at vedligeholde registreringer af gennemført træning, sikre at nyansatte og rolleændrere overholder forfaldsdatoer og spore fuldførelse via læringsstyringssystem. Manglende overholdelse medfører progressive disciplinære foranstaltninger – fra automatiske påmindelser til tilbagekaldelse af adgang og HR-eskalering. Periodiske phishing-simuleringer og bevidstgørelseskampagner er obligatoriske; deres resultater bruges til at forfine indhold og eskalere målrettet genoptræning, hvor risici gentagne gange konstateres. Undtagelseshåndtering er defineret gennem en dokumenteret, risikobaseret godkendelsesproces, og politikken lægger vægt på regelmæssige politikgennemgange, indholdsopdateringer og revisionsparathed, så der fortsat er overensstemmelse med ISO/IEC 27001, 27002, NIST SP 800-53, GDPR, NIS2, DORA og COBIT 2019. Dermed understøtter politikken et målbart og udviklende forsvar mod menneskerelaterede sårbarheder, som er afgørende for at opretholde organisationens robusthed.