Et system for IT styring og kontroll
Ett av kravene fra GDPR er å ha på plass styrende dokumenter og operative rutiner for behandling av personopplysninger. På nynorsk kalt «Personal Information Management System» eller PIMS. Mange mener at standarden ISO/IEC 27001 om å etablere et styringssystem for Informasjonssikkerhet (Information Security Management System – ISMS) kan bidra til å oppfylle dette kravet. Og i stor grad er dette riktig. Men for å virkelig etablere et styringssystem som ivaretar hele virksomhetens bruk og prosessbehandling av informasjon og ikke bare se på internkontrollhandlinger knyttet til informasjonssikkerhet; må man løfte blikket og etablere et mer omfavnende styringssystem for all bruk av IT i selskapet, datterselskaper og morselskaper (Governance of Enterprise IT).
Governance of Enterprise IT (IT styring og kontroll på selskapsnivå) kan deles inn i 3 klare operative områder:
- IT Forvaltning (IT Governance)
- IT Drift (IT Operations)
- Informasjonssikkerhet (Information Security)
Jeg vil bruke noen blogger på å gå gjennom alle disse aspektene og knytte dem til ISO 27001 og COBIT og ITIL basert på mine egne erfaringer.
ISO 27001 og hvordan implementere et begrenset ISMS fornuftig
Etter min erfaring finnes det 2 hovedgrunner til å etablere et ISMS:
- Man ønsker å dokumentere at man etterlever ISO-standarden slik at man kan bli sertifisert. Gjerne som et «PR-fremstøt» eller med en «Quick-fix mentalitet» om å gjøre minimal med arbeid for å kunne slå i bordet med sertifikatet.
- Man ønsker virkelig å samle et bibliotek med styrende dokumenter, prosedyrer, rutiner, planer etc samlet, slik at man lettere kan finne fram den informasjonen man trenger ved behov. Fokuset er mer på indre forbedringer, modning av IT prosesser og større kvalitet i arbeid og produksjon; enn på å oppnå selve sertifiseringen. Enten det er en nyansatt som lurer på hvordan en arbeidsrutine skal utføres, eller det er en leder som ønsker å se hvilke strategiske veivalg man har trukket opp for IT behandling; så skal de ansatte finne hjelp og dokumentasjon.
Nå er det slik at dersom det eneste man ønsker er å få en ISO 27001 sertifisering, så kan man redusere mye fra ISMS’et og fortsatt få sitt sertifikat.
Men dersom man virkelig ønsker et verktøy for sine ansatte og som kan benyttes som et bibliotek ved daglig drift, så må man virkelig gjøre en innsats i å etablere en god verktøykasse. Og da kan man ikke bare vurdere punktet Informasjonssikkerhet i forrige kapittel, men må også beskrive IT Forvaltning og IT Drift like utførlig. Det pleier å gå dårlig der man kun har beskrevet kontrollhandlingene, men ikke har beskrevet godt nok hva prosessen skal oppnå eller hvordan den skal utrettes. Og for hver av områdene må man beskrive og dokumentere de administrative, ikke-tekniske aspektene så vel som de operative og tekniske aspektene av strukturen.
I de neste bloggene vil jeg derfor bruke litt tid til å beskrive både en «Light» versjon av ISMS og en mer «Fullversjon».
Lurer du på hvordan vi kan hjelpe dere?
Ta en titt på tjenestene vi tilbyr!