Ett av kravene fra GDPR er å ha på plass styrende dokumenter og operative rutiner for behandling av personopplysninger. På nynorsk kalt «Personal Information Management System» eller PIMS. Mange mener at standarden ISO/IEC 27001 om å etablere et styringssystem for Informasjonssikkerhet (Information Security Management System – ISMS) kan bidra til å oppfylle dette kravet. Og i stor grad er dette riktig. Men for å virkelig etablere et styringssystem som ivaretar hele virksomhetens bruk og prosessbehandling av informasjon og ikke bare se på internkontrollhandlinger knyttet til informasjonssikkerhet; må man løfte blikket og etablere et mer omfavnende styringssystem for all bruk av IT i selskapet, datterselskaper og morselskaper (Governance of Enterprise IT).
Governance of Enterprise IT (IT styring og kontroll på selskapsnivå) kan deles inn i 3 klare operative områder:
Jeg vil bruke noen blogger på å gå gjennom alle disse aspektene og knytte dem til ISO 27001 og COBIT og ITIL basert på mine egne erfaringer.
Etter min erfaring finnes det 2 hovedgrunner til å etablere et ISMS:
Nå er det slik at dersom det eneste man ønsker er å få en ISO 27001 sertifisering, så kan man redusere mye fra ISMS’et og fortsatt få sitt sertifikat.
Men dersom man virkelig ønsker et verktøy for sine ansatte og som kan benyttes som et bibliotek ved daglig drift, så må man virkelig gjøre en innsats i å etablere en god verktøykasse. Og da kan man ikke bare vurdere punktet Informasjonssikkerhet i forrige kapittel, men må også beskrive IT Forvaltning og IT Drift like utførlig. Det pleier å gå dårlig der man kun har beskrevet kontrollhandlingene, men ikke har beskrevet godt nok hva prosessen skal oppnå eller hvordan den skal utrettes. Og for hver av områdene må man beskrive og dokumentere de administrative, ikke-tekniske aspektene så vel som de operative og tekniske aspektene av strukturen.
I de neste bloggene vil jeg derfor bruke litt tid til å beskrive både en «Light» versjon av ISMS og en mer «Fullversjon».