Börja med att göra en informationsklassning
Lista organisationens tillgångar, det vill säga allt ni har som är skyddsvärt. Det kan vara kritisk data, processer eller personal. Vad har ett skyddsvärde och vad har ett högt sådant? Gör en riskvärdering och prioritera utifrån den.
Hur frekvent ändras respektive tillgång?
Hur ofta byter ni personal eller andra tillgångar? Är personalen i din organisation relativt statisk kan det räcka med att säkra introduktionen av nya medarbetare till inlagda riktlinjer. Har du ett mjukvaruföretag som producerar källkod eller har andra tillgångar som ständigt vidareutvecklas behöver du ett annat typ av säkerhetsprogram för att upprätthålla en hög standard.
Skapa en risk- och kontinuitetsplan
Vad händer om dina tillgångar försvinner? Eller om kritiska personer försvinner? Hur återställer du data och vad gör du om någon blir långtidssjukskriven eller en cyberattack stänger ner dina mailservrar under flera dagar? Se till att prioritera viktiga tillgångar för att minska riskerna och få kontroll. Använd din riskplan för att skapa en kontinuitetsplan. Öva, utvärdera och repetera.
Ha en tydlig ansvarsfördelning
För att säkerhetsarbetet ska fungera långsiktigt krävs en tydlig ansvarsfördelning. Det gäller oavsett om du har en stor eller liten organisation. Informationssäkerhetspolicyn måste vara förankrad på ledningsnivå och distribueras nedåt i organisationen. Det är viktigt att ledningen har en tydlig plan för hur de tar arbetet vidare till chefsledet, genom hela livscykeln av anställning och system.
Läs mer om varför du ska ha en informationssäkerhetspolicy