Förankring av policy
Det finns många teorier som talar om vad som bör ingå i olika policys men ytterst lite få teorier som säger hur man gör för att förankra dem. Bland dagens organisationer verkar inte förankring av policys vara något som prioriteras och de policys som organisationer har följs sällan fullt ut av de anställda. För att undersöka hur man förankrar en policy har vi använt oss av bl.a. utbildningsteorier och kommunikationsteorier. Vi har gjort en kvalitativ undersökning på en organisation där man har en klart definierad IT-säkerhetspolicy. Vi har gjort kvalitativa intervjuer med både ledning och anställda i organisationen. Resultatet vi fick fram visade att både ledning och anställda ansåg att den IT-säkerhetspolicy de hade behövdes och var helt nödvändig. Denna skulle leda till att de anställda kunde arbeta med informationen på ett säkert sätt som föreskrifterna sade. Ett annat resultat vi fick fram var att ledningen inte undersökte om IT-säkerhetspolicyns innehåll var förankrat hos de anställda. Utbildning i IT-säkerhetspolicyn hade getts till alla anställda enligt ledningen, men enligt de anställda var fallet inte så. Detta tycker vi är värt att anmärka på eftersom ledningen tyckte att det var så viktigt att ha en IT-säkerhetspolicy för det arbete som de anställda utför. Hur kan ledningen veta att innehållet verkligen är förankrat om man inte gör någon uppföljning hos de anställda?