Hoppa över navigering, hoppa direkt till textinnehållet Hoppa till navigeringen Startsida

För dig på ledningsnivå

Ledningen har det övergripande ansvaret för informationssäkerheten inom sin organisation och är ytterst ansvarig vid incidenter.

Ledningens roll

Det mest väsentliga för dig som tillhör ledningen inom en organisation är oftast verksamheten, alltså produktion och ekonomi. Andra delar är kundnytta, att skydda verksamheten och dess anställda, undvika negativ publicitet och upprätthålla kontinuitet, hur man kan undvika informationsläckage.

Genom ett systematiskt informationssäkerhetsarbete minskar man risken för detta.

Alla organisationer råkar förr eller senare ut för informationssäkerhetsincidenter som får negativa konsekvenser för verksamheten och dess intressenter i form av ex. ekonomiska förluster. Hur allvarliga konsekvenserna blir beror till stor grad på hur bra man organiserat arbetet med sin informationssäkerhet.

Avsaknad av korrekt information när den behövs medför att man inte kan göra det man planerat, eller att arbetet blir mycket ineffektivt.

Avslöjande av information till obehöriga, exempelvis en konkurrerande verksamhet, innebär att de kan välja att agera på ett annat sätt utifrån den nya informationen. De kan försöka ta över kunderna, motarbeta affärsstrategin och kanske till och med bidra till att svärta verksamhetens rykte på marknaden.

Det enskilt största hotet mot informationens säkerhet brukar vara den egna medarbetarens oavsiktliga handlande, det vill säga att någon råkat göra en felaktig inställning i ett it-system. Men hot kommer också från angripare utifrån, tekniska fel, och naturbetingade missöden.

Konsekvensen av bristande informationssäkerhet är alltid en ekonomisk förlust. Sedan kan det även medföra stopp i verksamheten, att varumärke och rykte påverkas negativt, samt att information går förlorad eller rentav stjäls.

Verksamhetens ledning ska ge en riktning genom att utfärda en policy för informationssäkerhet, och därefter kräva återkoppling på hur arbetet fortskrider och dess resultat. I policyn ska det framgå hur informationssäkerheten i stort ska organiseras.

Ansvaret för informationssäkerhet ska följa den ordinarie organisationen på så sätt att:

  1. Verksamhetens högsta ledning är ytterst ansvarig för informationssäkerheten.
  2. Chefer för olika verksamhetsdelar är ansvariga för informationssäkerheten i sin del.
  3. Medarbetaren är ansvarig för informationssäkerhet för de egna arbetsuppgifterna
  4. Informationssäkerhetschefens ansvar är, att på uppdrag av ledningen, förvalta policy och riktlinjer för informationssäkerhet och stödja de olika verksamhetsdelarna i säkerhetsfrågor vid behov.

 

Publicerad: 2012-12-18
Uppdaterad: 2018-01-02
Skribent: MSB
Innehållsansvarig: MSB