Informationssikkerhedspolitik

Informationssikkerhedspolitikken (P01) fastlægger en organisations grundlæggende forpligtelse til at beskytte fortrolighed, integritet og tilgængelighed for sine informationsaktiver. Ved at kræve implementering af et formelt ledelsessystem for informationssikkerhed (ISMS) fastsætter politikken den strategiske retning, der er nødvendig for at opretholde en virksomhedsdækkende sikkerhedsprofil, som er risikobaseret, målbar og underlagt løbende forbedring. Denne politiks ISMS-omfang er omfattende og bindende for alle medarbejdere, kontrahenter, tredjepartstjenesteudbydere samt alle fysiske og digitale miljøer, der indgår i behandlingen af virksomhedens data. Den dækker hele informationslivscyklussen med strenge krav om, at enhver udelukkelse fra dette omfang skal være fuldt dokumenteret og godkendt af øverste ledelse. Denne bindende anvendelse sikrer ensartede beskyttelsesstandarder på tværs af forretningen, uanset aktivets placering eller funktion. De fastlagte målsætninger søger ikke blot at opfylde overholdelse af internationale standarder såsom ISO/IEC 27001:2022, NIST SP 800-53 og COBIT 2019, men også at fremme en kultur, hvor sikkerhed er indlejret i daglige aktiviteter, partnerskaber og informationssystemer. Til dette formål tydeliggør tildelte roller og ansvar forventningerne til øverste ledelse, sikkerhedsansvarlige, informationsaktivejere, IT- og teknisk driftspersonale samt alt personale. Dette sikrer, at alle – fra topledelse til eksterne kontrahenter – forstår deres pligter i at opretholde organisatorisk sikkerhed og understøtte håndtering af sikkerhedshændelser, træning og revisionsaktiviteter. Styring inden for ISMS er en kritisk søjle i politikken og kræver formaliserede strukturer, såsom styregrupper og en rolle- og ansvarsmatrix, til at overvåge løbende vurdering af ISMS-udførelse og muliggøre rettidig ledelsesevaluering. Politikken beskriver krav til tværorganisatorisk integration og sikrer, at informationssikkerhed ikke er silo-opdelt, men væves ind i projektledelse, indkøb, HR samt juridiske og compliance-funktioner. Procedurer for gennemgang og opdatering er stramt regulerede med versionsstyringssystemer og eksplicit ledelsesmæssig godkendelse, hvilket yderligere understøtter ansvarlighed og regulatorisk forsvarlighed. For at imødekomme regulatoriske, kunde- og revisionskrav kræver politikken, at alle kontroller og understøttende dokumentation både er reviderbar og verificerbar. Der beskrives klare forløb for risikobaseret kontroludvælgelse, undtagelseshåndtering og accept af restrisiko. Håndhævelse understøttes af konkrete konsekvenser ved manglende overholdelse, whistleblowerordningsbeskyttelse og obligatorisk træning. Sammenhænge med andre centrale organisatoriske politikker – rolle- og ansvarsregister, politik for acceptabel brug, adgangskontrolpolitik, risikostyringsproces samt revision og compliance – sikrer fuld tilpasning på tværs af ISMS for samlet risiko- og compliance-styring.