Holdningsskapende kampanjer

Holdningsskapende kampanjer skal kjøres for å fremme sikkerhetskulturen til alle som har tilgang til informasjon og systemer i organisasjonen. Målet med kampanjene er å skape en sikkerhetskultur der alle i organisasjonen følger gjeldende sikkerhetspolicyer og bidrar til å hindre at forretningskritisk og sensitiv informasjon blir kompromittert

Holdningsskapende kampanjer skal være:
 

  • Godkjent av ledelsen
  • Ledet av en bestemt person, organisatorisk enhet, arbeidsgruppe eller komité
  • Støttet av et dokumentert sett av mål
  • Levert som en del av et pågående program
  • Oppdatert i forhold til gjeldende praksis og krav
  • Basert på resultatene av risikovurderinger
  • Rettet mot å redusere hyppigheten og omfanget av informasjonssikkerhetshendelser.

 

Målene for sikkerhetskulturarbeidet bør formuleres slik at de er:
 

  • Spesifikke
  • Målbare
  • Action-orienterte
  • Realistiske
  • Tidsbegrenset

 

Sikkerhetsbevissthets programmer bør fremmes:
 

  • Til enkeltpersoner i organisasjonen, inkludert ledelsen, IT-personell og eksternt personell
  • Ved å gi opplæring innen informasjonssikkerhet ved bruk av for eksempel presentasjoner, workshops, videoer og e-læring
  • Ved å levere materiell, for eksempel brosjyrer, nyhetsbrev, veiledninger, plakater og elektroniske dokumenter
  • Med et tilpasset budskap med en tilnærming som er relevant og meningsfylt for målgruppen.

 

Sikkerhetspositiv atferd bør oppmuntres ved å:

  • Gjøre sikkerhetsbevissthetstrening obligatorisk
  • Offentliggjøre sikkerhetssuksesser og fiaskoer i hele organisasjonen
  • Koble informasjonssikkerhet til personlige resultatmål
  • Innlemme informasjonssikkerhet i vanlige dag-til-dag-aktiviteter
  • Gjøre sikkerhetsbevissthetsmeldinger "personlige"
  • Involvere brukere i å beskytte viktig informasjon

 

Medarbeidere skal:

  • Bli jevnlig oppdatert med informasjonssikkerhetsmeldinger ved hjelp av et bredt spekter av kommunikasjonskanaler
  • Bekrefte sin etterlevelse av informasjonssikkerhetspolicyer jevnlig
  • Testes på sin kunnskap om informasjonssikkerhet gjennom året (f.eks ved hjelp spørreskjemaer, databasert undervisning og intervjuer)

Effektiviteten av sikkerhetsbevissthetsprogrammet bør overvåkes ved å:

  • Måle informasjonssikkerhetsbevissthetsnivået hos medarbeidere
  • Gjennomgå nivået på informasjonssikkerhetsbevissthet regelmessig
  • Måle utbyttet av sikkerhetsbevissthetsaktiviteter
  • Få tilbakemeldinger fra brukerne

Her er et forslag til en arbeidsprosess for initiering, planlegging, gjennomføring og evaluering av holdningsskapende kampanjer.

Delaktivitetene under aktiviteten «Utfør kampanje» kan variere og er ment som eksempler.