It strategi og it-sikkerhedspolitik

 It-strategi og it-sikkerhedspolitik.pdf

Rammerne for it-anvendelsen

It er i dag et helt naturligt led i det at drive en virksomhed, hvad enten det gælder produktion, administration eller salg. De fleste virksomheder er derfor i mange sammenhænge afhængige af it, og at den fungerer som forventet.

At få it-miljøet til at fungere optimalt afhænger af mange forskellige forhold, der i et samspil, skal være tilpasset virksomhedens art og karakter. Det kræver, at der på et overordnet niveau er taget stilling til rammerne for it-anvendelsen i virksomheden.

Vigtige redskaber til dette er it-strategien og it-sikkerhedspolitikken.

It-strategi

It-strategien bør være en naturlig del af den forretningsmæssige strategi. Dette sikrer, at it-anvendelsen bliver et middel til at nå virksomhedens forretningsmæssige mål og ikke bliver et mål i sig selv.

Formålet med it-strategien er målrettet at sikre, at virksomhedens it-anvendelse:

• Understøtter virksomhedens forretningsmæssige strategi og mål
• Har en hensigtsmæssig udviklingsplan
• Udnytter ressourcer effektivt
• Anvender en hensigtsmæssig platform af hard- og software
• Har de nødvendige organisatoriske rammer
• Overholder relevant lovgivning

I praksis betyder det, at it-strategien bliver et styringsværktøj, som både virksomhedens ledelse og it-afdeling kan bruge. Ledelsen kan styre udviklingen på it-området på et overordnet niveau, mens it-afdelingen kan agere og træffe beslutninger indenfor rammer ledelsen har godkendt. It-strategien kan understøttes af en lang række traditionelle kontrol- og opfølgningsværktøjer, herunder budgetter, regnskaber og statusrapporter.

It-sikkerhedspolitik

Udover en it-strategi bør virksomheden have en it-sikkerhedspolitik, som fastlægger retningslinierne og niveauet for sikkerheden, der kræves ved anvendelse af it. Retningslinjerne tager hensyn til virksomhedens størrelse og karakter. Niveauet bør fastlægges med udgangspunkt i en risikoanalyse, der anskueliggøre virksomhedens sårbarhed på itområdet.

It-sikkerhedspolitikken bør blandt andet omfatte sikkerhedsmæssige retningslinier og niveau for:

• Organisation
• Risikoanalyse
• Beskyttelse af det samlede it-miljø
• Udvikling og vedligeholdelse af systemer, herunder dokumentation
• Driftsafvikling
• Sikkerhedskopiering
• Videreførelse af forretningsaktiviteter
• Lovgivning
• Outsourcing

En it-sikkerhedspolitik kan medvirke til at give virksomheden et generelt løft på itsikkerhedsområdet.

Herunder sikres, at medarbejderne er bekendt med, hvad der er tilladt omkring Internet og elektronisk post, og medarbejderne får et klart billede af, hvad det er for et sikkerhedsniveau, som ledelsen ønsker i virksomheden.

It-afdelingen kan herved undgå en lang række diskussioner med brugerne, fordi reglerne ligger fast. It-sikkerhedspolitikken medvirker til at sikre, at it-afdelingen beskytter de rigtige data og systemer på rette niveau, og at der ikke bliver brugt ressourcer på at sikre systemer mod risici, som ledelsen ikke vurderer som kritiske og / eller væsentlige.

Hvordan kan Grant Thornton hjælpe?

Vi ser i IT-Revision & Risikostyring tendenser i retning af, at det er ”god skik” at have en it-strategi. Det er en udbredt opfattelse, at dette er en del af ”god virksomhedsledelse” (Corporate governance). Grant thorntons afdeling for IT-Revision & Risikostyring har stor erfaring med at være sparringspartner for klienterne, ved klientens udarbejdelse af it-strategi og ikke mindst itsikkerhedspolitik, derfor kan vi medvirke til, at Deres virksomheden får etableret en målrettet it-strategi og it-sikkerhedspolitik.