Innhold 1. IT-SIKKERHETSLEDELSE OG -KRAV KVALITETSSYSTEM... 6

Transkript

1 Avdeling for informatikk og elæring, Høgskolen i Sør-Trøndelag Greta Hjertø Redigert og tilrettelagt for faget Datasikkerhet av Geir Ove Rosvold 20. november 2006 Opphavsrett: Forfatter og Stiftelsen TISIP Lærestoffet er utviklet for faget LO700D Datasikkerhet Resymé:Denne leksjonen gir en introduksjon til IT-sikkerhetsledelse og krav. Vi benytter Demings sirkel som utgangspunkt for diskusjonen, og viser hvilke oppgaver som inngår i den. Videre ser vi hvordan arbeidet med informasjonssikkerhet inngår i organisasjonens totale kvalitetssystem. Innhold 1. IT-SIKKERHETSLEDELSE OG -KRAV ISMS Læringsmål Demings prinsipper for kontinuerlig forbedring Hvorfor Demingsirkelen - hva var det Deming ville? Så gjør vi så en plan for arbeidet Oppstart Planlegging Gjennomføring av kulturprogram Gjennomføring av teknisk program Evaluering Kontinuerlig forbedring av ISMS KVALITETSSYSTEM Kvalitetssystem kontra informasjonssikkerhet Det formelle og det uformelle kvalitetssystemet Standarder for ISMS Hvorfor bygger BS 7799 på prinsippene i Demingsirkelen? Oppsummering hovedpunktene i leksjonen... 10

2 ISMS I denne leksjonen skal vi behandle sikkerhet fra organisasjonens synspunkt. Vi skal se litt på hva en bedrift må gjøre for å legge på plass et styringssystem for informasjonssikring. På engelsk kalles et slikt styringssystem for ISMS. Dette er forkortelse for: Information Security Management System. Vi kommer til å bruke denne forkortelsen, da vi ikke er kjent med en like innarbeidet forkortelse for den norske oversettelsen: Styringssystem for informasjonssikring. For å bygge opp et ISMS for en bedrift må man kunne vurdere hvilke behov bedriften har for å beskytte sine informasjonsressurser. Dette er grunnlaget for å velge de prinsipper, retningslinjer, prosedyrer, standarder etc. som er nødvendige for at bedriften kan være sikker på at informasjonens integritet, konfidensialitet og tilgjengelighet bevares. Dette er imidlertid en alt for stor oppgave til å kunne behandles i leksjon som dette. Se leksjonen som det den er: en introduksjon til området. For å lykkes med å bygge opp ISMS, må vi se ulike sikkerhetshensyn i sammenheng med hverandre og i forhold til resten av virksomheten, og vi må forstå hva som kreves av et styringssystem for informasjonssikring. I praksis gjennomfører vi da det som kalles sikkerhetsledelse. Omfang og innhold av sikkerhetsledelse kan være vesensforskjellig i forskjellige bedrifter fordi behovet er vesensforskjellig. Det er bedriftens konkrete situasjon som avgjør Læringsmål Etter å ha lest denne leksjonen skal du vite hvorfor sikkerhet er viktig for bedriften, hva bedriften må gjøre for å få på plass et velfungerende ISMS og hvilke utfordringer den vil møte i arbeidet. Ha kjennskap til prinsippene i Demings sirkel for kontinuerlig forbedring og hvordan disse prinsippene kan anvendes som rettesnor i arbeidet med sikkerhetsledelse Vite at kontinuerlig forbedring og prosesstankegangen står sentralt i ISOstandarden, og kunne forklare hvorfor vi legger opp arbeidet med sikkerhetsledelse etter disse prinsippene Kunne forklare hva et ISMS er for noe, og forstå hvilken rolle det har i styring av bedriften Ha noe kjennskap til ISO 9000:2000-serien og hva den brukes til, og å forstå hvorfor vi trekker den inn i en diskusjon om ISMS. Ha noe kjennskap til standardene NS-ISO/IEC og BS 7799, hva de inneholder og hvordan de kan anvendes Demings prinsipper for kontinuerlig forbedring I standarden BS 7799 anbefales det at bedriftens arbeid med sikkerhet styres etter prinsippene fra Demings sirkel for kontinuerlig forbedring. Arbeidet med informasjonssikkerheten i bedriften vil da ha fire faser: Planlegge sikringstiltak, Utføre de planlagte tiltakene, Følge Forfatter og Stiftelsen TISIP side 2 av 10

3 opp hvor godt de fungerer og Iverksette vedlikehold og forbedringer på grunnlag av resultatet av oppfølgingen. Deretter starter en ny runde i sirkelen, hvor nye behov og tiltak blir identifisert, slik at arbeidet med sikkerheten går kontinuerlig. Identifikasjon av forbedringsbehov Gjennomfør korrigerende tiltak Læring av uønskede hendelser Iverksette Forankring Mål for sikkerhetsarbeidet Overordnet sikkerhetspolitikk Gap-analyse Risikoanalyse Velg tiltak for å håndtere risiko Planlegge Følge opp Revisjoner Måling Oppfølging og evaluering Trend analyser Benchmarking Sikring av bevis Utføre Opplæring, motivasjon, informasjon Sikkerhetskultur, etikk Detaljert sikkerhetspolitikk Prosedyrer og retningslinjer Sertifisering av produkter og systemer Hvorfor Demingsirkelen - hva var det Deming ville? Deming er en av de såkalte kvalitetsguruene. Det vil si at han var opptatt av kvalitet og teorier for kvalitetsledelse, og var en av pionerene i dette arbeidet. Han var amerikaner, men arbeidet først og fremst med kvalitetsspørsmål i Japan etter annen verdenskrig. Han er en av dem som har fått æren for Japans utvikling som produsent, fra å være kjent for plastjuggel, til å være kjent for Toyota og lignende kvalitetsvarer. Noe som førte til at Japan plutselig utkonkurrerte USA på mange områder. Mange av prinsippene i ISO 9000:2000-serien kommer fra han. Og Deminghjulet. Deminghjulet henger sammen med et annet viktig prinsipp, nemlig prosesstankegangen. Deming mener at all aktivitet i en bedrift bør styres som prosesser. En prosess er definert som samling av beslektede eller samvirkende aktiviteter som omformer tilført grunnlag til resultater. Poenget med å se det som foregår i bedriften som prosesser, er å se helheten, å se hvilke aktiviteter som er avhengige av og påvirker hverandre. Dermed har vi det beste grunnlaget, mener Deming, for å styre all virksomhet i bedriften på en god måte. I dette synspunktet ligger også den forutsetningen at en god prosess er nødvendig for å produsere gode resultater. Prosessene må derfor styres slik at de blir best mulige. Da er det nødvendig å forbedre prosessene, kontinuerlig. Det er her Deminghjulet kommer inn i bildet. Det viser oss hvordan arbeidet med kontinuerlig forbedring av prosessene bør foregå. Kort oppsummert: Arbeidet må gå kontinuerlig, vi blir aldri ferdige Det vi gjør, må baseres på fakta som vi skaffer oss gjennom målinger og evaluering Arbeidet starter med at vi velger ut og planlegger tiltak for forbedring Forfatter og Stiftelsen TISIP side 3 av 10

4 Disse tiltakene gjennomfører vi Så måler vi hvordan det gikk og hvordan effekten var Basert på dette, vurderer vi om forbedringene var riktige og skal fortsette, eller om det må gjøres nye forbedringer Basert på det vi nå har lært, identifiserer og planlegger vi nye tiltak Det kan være litt ugreit å få helt taket på Deminghjulet. For eksempel kan det være uklart hva som er forskjellen mellom Utføre og Iverksette, og mellom de justeringene vi gjør i Iverksette og det å Planlegge en ny runde. Det gjør ingen ting. Det viktigste er å forstå at arbeidet går kontinuerlig, at vi måler og at vi planlegger det vi skal gjøre før vi gjør det Så gjør vi så en plan for arbeidet Forran har vi introdusert prinsippene i Deminghjulet og Demings fire faser som en strukturert og god angrepsmåte for arbeidet med å innføre og kontinuerlig forbedre sikkerhetssystemet i bedriften. Her går vi et skritt videre i planleggingen, og deler de fire fasene videre opp i de seks hovedaktivitetene som du ser i figuren nedenfor. (Hvis du mener at denne figuren har bare fem aktiviteter, så legg merke til tilbakekoblingspilen fra Evaluer til Oppstart, denne pilen representerer fasen Iverksett i Deminghjulet). Disse seks aktivitetene og innholdet i dem er inspirert av en plan i Software Quality (Sanders og Curran 1994) for å få på plass et kvalitetssystem i en bedrift. Siden ISMS har sin naturlige plass innenfor et kvalitetssystem, passer denne fremgangsmåten veldig bra for oss. Planen er helt i samsvar med Deminghjulet, men vi strukturerer arbeidet enda noe mer. Det gjør vi blant annet fordi vi vil ha fokus på forankring i fasen Oppstart, og på skillet mellom kulturprogram og teknisk program. Et ISMS vil ha både en formell del og en uformell del. Hvis det ikke er samsvar mellom disse to vil vi aldri lykkes med sikkerhetsarbeidet i bedriften. Fokus på kulturprogrammet er nettopp fokus på den uformelle delen av sikkerhetssystemet, den vi finner i folks holdninger og bedriftens kultur i vid forstand. Det er bra å ha en egen aktivitet for dette, da minner vi oss selv på hvor viktig det er. La oss se nærmer på hva som skjer i hver av boksene. Gjennomfør kulturprogram Oppstart Planlegg Evaluer Gjennomfør teknisk program Kontinuerlig forbedring Forfatter og Stiftelsen TISIP side 4 av 10

5 Oppstart I denne fasen skal vi forankre sikkerhetsarbeidet i bedriften. Den aller viktigste aktiviteten her er at ledelsen formulerer mål og strategi for arbeidet og en overordnet sikkerhetspolitikk for firmaet. Hensikten er å fortelle hva ledelsen forventer av sikkerhetsarbeidet i bedriften og hva ISMS skal gi av resultater. Dette skal også gi klart utrykk for hvilke holdninger de ansatte forventes å ha til sikkerhet. Mer om sikkerhetspolitikken i et senere kapittel. Mål og strategi for arbeidet og den overordnede sikkerhetspolitikken gjøres kjent for alle ansatte. Den andre viktige aktiviteten i denne fasen er å opprette en støtteorganisasjon for arbeidet. Dette er en gruppe som skal være pådrivere for arbeidet, og må derfor kunne representere både ledelsen og alle kategorier av de ansatte. Det er viktig at ingen grupper kan stå utenfor og si at sikkerhet er alle andres ansvar. Mer om denne gruppen senere. Oppstart hører hjemme i Demingsirkelens første kvadrant: Planlegge Planlegging Planleggingen starter med å skaffe seg en oversikt over status. Bedriften har høyst sannsynlig elementer av et ISMS på plass allerede. Noe sikkerhetsarbeid driver alle! Husk at deler av ISMS kan være både uformelt og udokumentert. (I en liten bedrift kan det allikevel være godt nok, men generelt kan dette være ting man nå vil ha mer formalisme på). Det er viktig å få oversikt over hvordan ting faktisk gjøres, og det er viktig å vite hva som er bra og hva som er mindre bra. Det gjelder både de dokumenterte retningslinjene og den måten folk faktisk jobber på. Oversikt over status er alfa og omega for å kunne innføre et ISMS på en målrettet måte. Vi ser allikevel forbausende ofte at bedrifter setter i gang uten å gjennomføre denne viktige biten. Videre i planleggingsfasen må vi kartlegge gapet mellom status og det nivået vi ønsker å ha på ISMS. En gapanalyse og en risikoanalyse er viktige hjelpemiddel i dette arbeidet. Med oversikt over status og innsikt i trusler og risiko har vi så skaffet oss grunnlag for å formulere mål og krav til ISMS, og velge hva vi konkret må gjøre. Med det utgangspunktet kan vi lage en detaljert plan for arbeidet. Planlegging hører hjemme i Demingsirkelens første fase: Planlegge Gjennomføring av kulturprogram For at et sikkerhetsarbeid skal bli vellykket må hele organisasjonen stå bak. Hensikten med kulturprogrammet er å skaffe slik støtte. Her skal vi arbeide med folks holdninger og kompetanse og gjøre alle delaktige i arbeidet. Målet er: - å øke bevisstheten angående sikkerhet hos alle - å få engasjert alle i arbeidet med informasjonssikkerheten - å sikre at alle har eierskap til det som skal skje Det vi her kaller eierskap, er helt avgjørende for å lykkes. Eierskap betyr at alle skal føle at dette angår dem. Vi må unngå noe som er veldig vanlig at folk dukker ned og gjemmer seg og venter på at dette maset skal gå over. Arbeidet med kulturprogrammet består av informasjon og opplæring. I tillegg bør alle være med å sette mål for sikkerhetsnivået og finne mulige forbedringstiltak når det gjelder Forfatter og Stiftelsen TISIP side 5 av 10

6 informasjonssikkerhet for sine egne arbeidsområder. Gjennom hele kulturprogrammet må ledelsen være synlig som frontfigur. Dette er veldig viktig. Kulturprogram hører hjemme i Demingsirkelens andre fase: Utføre Gjennomføring av teknisk program. Dette er kort sagt å få på plass all krav, retningslinjer og prosedyrer som skal gjelde. Her vil standarden NS-ISO/IEC være til uvurderlig hjelp. Den forteller på hvilke områder det er viktig å ha retningslinjer og gir føringer for hva retningslinjene skal dekke. Et måleprogram er et annet viktig element i det tekniske programmet. Det er måleprogrammet som skal sikre at vi kan overvåke effektiviteten og godheten til det ISMS vi legger på plass og det er gjennom måleprogrammet vi samler informasjon om hva som bør forbedres. Teknisk program hører hjemme i Demingsirkelens andre fase: Utføre Evaluering Evaluering er en typisk representant for det gode vi vil, men som vi ikke gjør. Å evaluere er kanskje den viktigste og mest oversette hovedaktiviteten ved innføring av et ISMS. Det hender alt for ofte at en bedrift med stor innsats satser på økt informasjonssikkerhet og gjennomfører alle de andre aktivitetene vi har snakket om, men stopper før evalueringen. Et ISMS, som alle andre styringssystemer, må kontinuerlig måles, evalueres og forbedres hvis det skal gi den effekten som er ønsket. Det må det, det er ingen vei utenom. Vi har ulike evalueringsaktiviteter: rutinekontroller, benchmarking, ledelsesgjennomganger, måling, revisjoner, trend-analyser. Målet for alle er å for å samle data om effektiviteten av ISMS, og vi skal omtale de viktigste av dem. I tillegg må vi også ha: - et opplegg for å analysere data og kunne trekke konklusjoner av data; hvis vi ikke vet hva et resultat betyr har det liten verdi - et opplegg for å kunne benytte konklusjonene til å gjøre noe Evaluering hører hjemme i Demingsirkelens tredje fase: Følge opp Kontinuerlig forbedring av ISMS All verdens målinger og revisjoner har ingen verdi med mindre vi bruker resultatet til å få svar på spørsmålet: hva kan bli bedre. Dette skal vi bruke som grunnlag for å starte en ny syklus: planlegge nye tiltak, gjennomføre dem og måle hvor godt de fungerer, og bruke resultatet til å starte på nytt, osv. Kontinuerlig forbedring hører hjemme i Demingsirkelens fjerde fase: Iverksette og dels også ved å gjennomføre en ny runde i sirkelen. 2. Kvalitetssystem Enhver bedrift har et kvalitetssystem. Men det er ikke sikkert det er oppbygd etter kravene i verken ISO-standarden eller andre standarder. Kvalitetssystemet er samlingen av de elementene som ledelsen innfører i bedriften rett og slett for å kunne styre den. I en liten bedrift finner vi antagelig ikke noe formelt system. Her vil vi finne vår måte eller slik gjør vi det her. Antagelig er vår måte heller ikke skrevet ned, men finnes i ledelsens hode og formidles i det daglige i den direkte kontakten. Forfatter og Stiftelsen TISIP side 6 av 10

7 Når en bedrift vokser og får flere ansatte, vil det etter hvert være nødvendig å skrive ned noe regler for hvordan ting skal gjøres, få på plass noen jobbeskrivelser og bli enige om noen standarder. Hensikten er å sikre at alle gjør det de skal, at det er en viss orden i bedriften og at ressursene utnyttes på best mulig måte. Jo større bedriften er, jo mer øker behovet for systematikk og dokumentasjon. I en stor bedrift vil vi finne et temmelig omfattende, formelt og dokumentert system. En slik bedrift kan ikke fungere uten et formelt og dokumentert styringssystem. Det er ikke sikkert bedriften kaller det et kvalitetssystem, men vær sikker kvalitetssystemet er der. Skal dette kvalitetssystemet være effektivt, må det inneholde de riktige elementene, det må ha en struktur som gjør innholdet lett tilgjengelig og det må holdes oppdatert. Det er her ulike standarder kommer til nytte. Ved å følge en standard får bedriften en modell som viser en anerkjent måte å bygge opp systemet på. En standard gir ingen fasitsvar på hvordan en virksomhet skal styres, men den setter opp en del viktige krav til hva styringssystemet bør omfatte. Med andre ord hva bedriften skal ha regler for. Grunnen til at vi diskuterer dette her, er at ISMS har sin naturlige plass innenfor kvalitetssystemet. En bedrift kan ikke styres mot å ha kvalitet i alle ledd, slik ISO-standardene legger opp til, uten at den også har nødvendig fokus på arbeidet med informasjonssikkerhet. Når vi skal diskutere utvikling og innføring av et hensiktsmessig ISMS for en bedrift, er det derfor naturlig at vi starter med de prinsippene som gjelder for det overordnede systemet som ISMS er en del av. Vi summerer opp: Kvalitetssystemet omfatter hele bedriften og all virksomhet i bedriften. Det omfatter dermed også bedriftens retningslinjer og holdninger når det gjelder informasjonssikkerhet. De overordnede prinsippene som gjelder for kvalitetssystemer, og som vi blant annet finner i ISO 9000:2000-serien, vil også være overordnede prinsipper når vi skal etablere et ISMS i en bedrift. Et ISMS kan også være mer eller mindre formelt, på samme måte som kvalitetssystemet. Hvor formelt og veldokumentert vårt ISMS må være, vil, som for kvalitetssystemet, avhenge av bedriftens behov Kvalitetssystem kontra informasjonssikkerhet Hva er et kvalitetssystem og hva har det med informasjonssikkerhet å gjøre? Kortfattet kan vi definere et kvalitetssystem slik, hentet fra ISO 9000:2000: styringssystem for å rettlede og styre en organisasjon når det gjelder kvalitet Når vi studerer standardens prinsipper for dette styringssystemet, vil vi se at det omfatter hele bedriften. Standarden sier at bedriften styres gjennom fire hovedprosesser: 1. ledelsens ansvar 2. ressursstyring 3. realisering av produkt 4. måling, analyse og forbedring. For hver av hovedprosessene inneholder standarden krav til hvilke styringselementer som må være på plass. I tillegg gir den noen overordnede prinsipper for styring, her er de viktigste for oss: Forfatter og Stiftelsen TISIP side 7 av 10

8 sterkt kundefokus toppledelsens klare engasjement prosesstankegangen, dvs en systematisk identifisering og styring av bedriftens prosesser og spesielt samspillet mellom dem at prosessene skal kontinuerlig forbedres, basert på faktiske hendelser 2.2. Det formelle og det uformelle kvalitetssystemet La oss se litt nærmere på det formelle og det uformelle kvalitetssystemet. Asbjørn Aune i Kvalitetsdrevet ledelse Kvalitetsstyrte bedrifter (Aune, 2000) peker på at det totale kvalitetssystemet i en bedrift alltid vil bestå av tre delsystemer: 1. Kjernen er det dokumenterte systemet. Det omfatter alt som er formalisert og dokumentert. Hvis vi går til en bedrifts styrende dokumenter, kvalitetshåndbøker, stillingsinstrukser og så videre, er alt dette deler av det dokumenterte systemet. Det dokumenterte systemet er lett å få øye på. Dette er det formelle i organisasjonen. Det er ledelsens intensjoner vi finner her. Som nyansatt i en bedrift vil vi kunne sette oss ned med en rekke håndbøker og ganske raskt bli kjent med det dokumenterte styringssystemet. 2. Tar vi med oss neste delsystem, har vi det formaliserte systemet. I tillegg til det dokumenterte systemet består det av alt som er formalisert i bedriftens behandling av ulike styringsspørsmål, selv om det ikke er dokumentert. Eksempel kan være ledermøtet, hvor kvalitetsspørsmål eller informasjonssikkerhet regelmessig er satt på agendaen, og det kan være medarbeidersamtaler, hvor man blir enige om kvalitetsmål for medarbeiderne eller medarbeiderens holdning til sikkerhet blir vurdert. 3. Tar vi med også det uformelle, får vi Det i praksis fungerende systemet. Det omfatter alt slik gjør vi det hos oss. Det vil si både det formaliserte systemet og i tillegg alt uformelt arbeid som angår styringen av bedriften. Den ytre ringen i det i praksis fungerende systemet er svært viktig. Her finner vi organisasjonens kultur og verdier. Her finner vi normer, ritualer, holdninger og regler for adferd som ikke lar seg dokumentere i form av prosedyrer og instrukser. Som nyansatte i en bedrift vil det ta oss lang tid før vi har knekt koden og får full oversikt over dette. Det er ikke engang sikkert det hjelper å spørre. De som har vært ansatt i bedriften lenge, tar mye av dette som en selvfølge, og er kanskje ikke engang klar over at de følger noen uskrevne regler. Det er av flere grunner viktig å være oppmerksom på disse delsystemene. For det første må vi være oppmerksomme på at alle tre systemer spiller en rolle. Hvis det ikke er samsvar mellom det dokumenterte og formelle systemet og det i praksis fungerende systemet, er det vanskelig å gjennomføre ledelsens gode intensjoner i praksis. Det er dette som er grunnen til at mange regler brytes i bedriftene. Reglene skal ikke bare kunne leses i det formelle systemet, de skal trenge helt ut i den ytterste ringen og følges i praksis. Dette er krevende, mye mer krevende enn ledelsen mange ganger har forståelse for. Det er svært mange bedrifter som har sitt formelle system i orden, men hvor dette får liten betydning for den måten de ansatte oppfører seg på, fordi det ikke er samsvar mellom det formelle og det som finnes i folks hoder. Forfatter og Stiftelsen TISIP side 8 av 10

9 Det andre problemet med disse delsystemene, er å finne det riktige omfanget på hver av dem. Foran sier vi at kvalitetssystemet, og ISMS som en del av det, kan være mer eller mindre formelt, avhengig av bedriftens behov. Det er da det relative omfanget på de tre delsystemene vi tenker på. En liten bedrift kan for eksempel krympe det formaliserte systemet til nesten ingen ting, og fremdeles ha tilstrekkelig fokus på både kvalitet og informasjonssikkerhet. Et større firma som prøver på det samme, vil helt klart få problemer. Et vanlig problem er at et firma starter som lite, og klarer seg fint med det uformelle systemet, så vokser firmaet uten at styringssystemet tilpasses den nye situasjonen, og prøver etter hvert å styre en komplisert foretning basert på tro og håp og muntlige overleveringer. Dette gjelder kanskje ikke minst for informasjonssikkerheten? Det må gå galt. Vær oppmerksom på at standarder for kvalitetssystemet og for ISMS gjelder for det dokumenterte systemet. Det samme gjelder alle revisjoner og kontroller av disse systemene Standarder for ISMS Vi har slått fast at ISO 9000:2000- serien er viktig for oss. Dette er en utbredt og anerkjent serie standarder for utforming av kvalitetssystemer. ISO 9000:2000-serien gir dermed overordnede prinsipper og føringer som det kan være naturlig å ta utgangspunkt i når vi skal forme et ISMS. Men ISO 9000:2000-serien hjelper oss ikke konkret med utformingen når det gjelder styring av informasjonssikkerheten. (Her får vi imidlertid hjelp av to andre standarder: NS-ISO/IEC 17799:2000 og BS 7799 del 2:2002. Vi skal gi en kort introduksjon til hver av dem. Før vi gjør det vil vi imidlertid si noe viktig om standarder for både kvalitetssystemer og ISMS: En standard er et hjelpemiddel og et rammeverk for et styringssystem, det er ikke et styringssystem En standard sier hvilke prinsipper vi skal bygge på og hvilke styringselementer som bør være på plass. Den sier ikke hvordan disse konkret skal utformes En standard forteller ikke hvor lista skal ligge Enhver bedrift må tilpasse standardens anbefalinger til sine egne behov Behovene avhenger av type bedrift, størrelse, type produksjon osv. To bedrifter vil derfor med utgangspunkt i samme standard få ulike styringssystemer Du kan aldri innføre en standard og dermed få innført en sikkerhetshåndbok (eller et styringssystem) For å bruke standarden til å utarbeide en sikkerhetshåndbok trenger du i tillegg kunnskap om din egen bedrift, om IT-sikkerhet og om IT generelt Hvorfor bygger BS 7799 på prinsippene i Demingsirkelen? Vi har ført omtalt prinsippene bak Demings sirkel som en anerkjent måte å gå frem på for å sørge for at en hvilken som helst prosess fungere som den skal. Vi planlegger, vi gjennomfører, vi følger opp og vi forbedrer. Dette er et kontinuerlig arbeid, sier prinsippene, som aldri går over. Den mest kjente standarden for bedriftens kvalitetssystem ISO 9000:20000-serien bygger på disse prinsippene.. Forfatter og Stiftelsen TISIP side 9 av 10

10 Standarden BS 7799 slår fast at styringssystemet for informasjonssikkerhet bør være i samsvar med, og aller helst integrert i, bedriftens øvrige styringssystem (kvalitetssystemet). Å etablere et ISMS, sier standarden, krever den samme angrepsmåten som å etablere et hvilket som helst annet styringssystem i bedriften. BS 7799 er (på samme måte som ISO 9000:2000- serien) prosessorientert. (Det betyr at den definerer arbeidet med informasjonssikkerhet som en rekke samvirkende prosesser). Når standarden tar utgangspunkt i prinsippene i Demingsirkelen er målet å sørge for at: arbeidet med informasjonssikkerhet foregår på en slik måte at de bygger på bedriftens egne sikkerhetsbehov vi etablerer en sikkerhetspolicy og setter mål for sikkerhetsarbeidet i samsvar med behovene vi gjennomfører sikkerhetstiltakene innefor rammene av bedriftens totale styringssystem (kvalitetssystemet) vi overvåker og måler godheten av sikkerhetstiltakene og sørger for kontinuerlig forbedring av sikkerhetstiltakene basert på fakta 2.4. Oppsummering hovedpunktene i leksjonen 1. Kvalitetssystemet omfatter hele bedriften og all virksomhet i bedriften. Det omfatter dermed også bedriftens retningslinjer og holdninger når det gjelder informasjonssikkerhet. 2. De overordnede prinsippene som gjelder for kvalitetssystemer, og som vi blant annet finner i ISO 9000:2000-serien, vil også være overordnede prinsipper når vi skal etablere et ISMS i en bedrift. 3. Et ISMS kan også være mer eller mindre formelt, på samme måte som kvalitetssystemet. Hvor formelt og veldokumentert vårt ISMS må være, vil, som for kvalitetssystemet, avhenge av bedriftens behov. 4. Det er viktig å være oppmerksom på at ISMS har både en formell og en uformell del, og at bare deler av den formelle kan finnes igjen i dokumentene. Hvis vi vil lykkes med sikkerhetsarbeidet, må vi sørge for at det er samsvar mellom alle delene av ISMS. Det hjelper ikke om vi har verdens beste system på papiret, hvis ingen i bedriften gjør det etter boka. 5. Følgende standarder er av særlig interesse i sikkerhetsarbeidet: ISO 900:2000-serien som gir retningslinjer for etablering av kvalitetssystemer NS-ISO/IEC som gir anbefalinger om hvordan arbeidet med informasjonssikkerheten i en bedrift bør administreres BS 7799som gir retningslinjer for å etablere et ISMS i en bedrift Forfatter og Stiftelsen TISIP side 10 av 10