Sponseret indhold

Effektivt genbrug: Benyt din gamle ISMS til GDPR og fremtidige krav

Virksomheder kan spare mange ressourcer ved at tænke i genbrug fra ex. ISO27001/ISMS, når de skal leve op til GDPR EU-persondataforordningen.
Illustration: MI grafik

EU’s persondataforordning, GDPR, træder i kraft den 25. maj, og det bliver næppe den sidste skærpelse af lovkrav om datasikkerhed, som virksomheder i forskellige brancher vil blive ramt af.
De konstant skærpede krav udfordrer virksomheder, der ønsker at være compliant, og mange laver den fejl, at de bygger deres compliance op i siloer. Én med kvalitetsledelse, én med informationssikkerhed, én med GDPR, osv.

I stedet bør man arbejde på at få understøttelse af kravene i de forskellige standarder til at smelte sammen. Det mener Jesper B. Hansen, der er seniorkonsulent hos Siscon, som hjælper virksomheder med at blive compliant med informationssikkerhed og GDPR.

Læs også: Halvdelen griber GDPR forkert an

»Hvis man allerede har implementeret ét ledelsessystem, kan man spare ressourcer ved at genbruge hele eller dele af det, når man implementerer et nyt ledelsessystem. Det gør man i praksis ved først at identificere processer, retningslinjer, procedurer og kontroller, som understøtter et sæt af krav, og dernæst vurdere, hvilke af disse der kan genbruges til at understøtte et nyt sæt af krav,« siger Jesper B. Hansen.

»Det kræver dog, at man har en gennemskuelig dokumentation af, hvordan et ledelsessystem er understøttet af de elementer, så man nemt kan vurdere, om de kan genbruges,« fortsætter han.

Sparer tid og penge

Siscon rådgiver i øjeblikket den danske afdeling af virksomheden Teracom, som leverer broadcast- og IP-infrastruktur.

Teracom er allerede certificeret inden for kvalitetsledelse med ISO 9001-standarden og er nu i gang med at implementere informationssikkerhedsstandarden ISO 27001.

»I stedet for at starte helt forfra med ISO 27001, kan vi genbruge mange af beskrivelserne i ISO 9001. Men ISO 27001 er meget omfattende og svær at gennemskue, så derfor har vi hyret Siscon til at hjælpe os med, hvad vi kan genbruge, og hvordan vi mest effektivt får implementeret standarden,« siger Bo Skadkær, der er kvalitetschef i Teracom.

Bo Skadkær ser en del fordele i at genbruge og bygge oven på ISO 9001-standarden.

»Helt grundlæggende sparer vi en masse tid. Det giver et bedre overblik og en hurtigere implementering, når vi kun skal gøre tingene én gang frem for at gentage de samme processer, hver gang vi indfører en ny standard. Det giver i sidste ende en økonomisk gevinst,« siger han.

Konkurrencefordele i at efterleve ISO 27001

ISO 27001-certificeringen er en god indikation på, at man har styr på sin forretning, men der er også andre årsager til, at Teracom implementerer standarden.

»Det er oplagt, fordi Teracom implementerer og drifter kritiske netværk og derfor er underlagt meget skrappe lovkrav inden for området. Med standarden kan vi dokumentere, at de overholdes, bl.a. ved at en ekstern auditor har set os efter i sømmene. Det er et kvalitetsstempel og et bevis på, at vi arbejder sikkert og ensartet med informationssikkerhed. Og kvalitet er selvfølgelig også en salgsparameter,« siger Bo Skadkær.

Ifølge Jesper B. Hansen er der flere og flere virksomheder, der er begyndt at efterleve ISO 27001. Blandt andet fordi der i forbindelse med den Nationale strategi for cyber- og informationssikkerhed er kommet et krav om, at offentlige myndigheder skal efterleve standarden.

»Derfor er det oplagt for private virksomheder at kunne demonstrere, at man arbejder efter samme standard og taler samme sprog som det offentlige. Det er der konkurrencemæssige fordele i,« siger Jesper B. Hansen.

IT-system gør det lettere at blive compliant

ISO 27001 giver en best practice-model for, hvad man bør tænke over for at beskytte sine data bedst muligt. Konkret går det ud på at strukturere virksomhedens processer og sikringstiltag bedst muligt, således at de data, som virksomheden er ansvarlig for eller i berøring med, sikres bedst muligt.

Det er en kompleks proces, og derfor har Siscon implementeret et compliance-system, kaldet ControlManager™, som hjælper virksomheder med at strukturere compliance og skabe overblik over, hvilke elementer der er implementeret.

Man kan eksempelvis opbevare standarder og lovgivningstekster i systemet samt illustrere, hvad hver enkelt medarbejder konkret er ansvarlig for eller skal udføre, for at virksomheden lever op til kravene.

Og systemet kan implementere løbende kontroller ved at sende beskeder ud til ledere og medarbejdere for at få dem til at kontrollere, at de har gjort det, de skal.

Derved er der en rød tråd fra lovgivningsteksten eller standarden til rolle- og ansvarsmodellen og til kontrol af, at et specifikt stykke arbejde er blevet udført.

»Systemet giver struktur, rammer og metoder, som gør, at alle arbejder ensartet. Det gælder om at gøre det så enkelt som muligt for virksomheden at blive compliant,« siger Jesper B. Hansen.

Compliance giver tryghed

Hos Teracom er de helt forberedt på, at EU-forordningen træder i kraft. I forbindelse med arbejdet med ISO 27001 har de gennemgået alle de krav, forordningen stiller. Og når den næste forordning eller lignende kommer, er de klar til at bygge ovenpå.

»Med det system, vi har implementeret, har vi et solidt fundament at bygge videre på, næste gang der kommer nye sikkerhedskrav. Vi er langt bedre stillet, og det vil være en overkommelig opgave at forblive compliant, uanset hvad fremtiden bringer,« siger Bo Skadkær.