Compliance – et vigtigt skridt på din modenhedsrejse

Thomas Wong

Thomas Wong

Audit & Advice Business Manager

April 11, 2019 at 17:33

Jeg deltog for nylig i tredje og sidste modul på ESL-kursus, hvor emnet var Compliance. I dette indlæg kan du derfor blive klogere på, hvad Compliance er, og hvorfor det er et vigtigt skridt på din modenhedsrejse.
 

Governance, Risk og Compliance (GRC)

Ifølge Wikipedia er Governance, Risk og Compliance tre beslægtede facetter, der er med til at sikre, at en organisation med sikkerhed opnår mål, afhjælper usikkerhed og handler med integritet.

Jeg synes selv, at alle tre er meget vigtige facetter, og alt efter hvor meget de bruges, er de et tegn på, hvor moden en virksomhed er indenfor informationssikkerhed.
 

Her er en kort beskrivelse af Governance, Risk og Compliance:

  •     Governance: Beskriver den overordnede ledelsesstrategi, hvorigennem ledende medarbejdere styrer organisationen. Governance indeholder også elementer som organisationsstruktur, politikker og krav.
     
  •     Risk: Er det sæt processer, som ledelsen i virksomheden identificerer, analyserer og om nødvendigt reagerer hensigtsmæssigt på. Vi taler om risici, der kan påvirke realiseringen af virksomhedens forretningsmål.
     
  •     Compliance: Betyder at være i overensstemmelse med de angivne krav. På organisationsniveau opnås det gennem ledelsesprocesser, der identificerer de gældende krav (defineret for eksempel i love, regler, kontrakter, strategier og politikker), vurderer overholdelsestilstanden og finansierer og igangsætter eventuelle afhjælpende foranstaltninger, der er nødvendige.
     

Informationssikkerhedsrejse

De virksomheder, der implementerer informationssikkerhed i deres organisation, starter typisk med styringsaktiviteter som at implementere informationssikkerhedsroller og informationssikkerhedskrav.

Efterhånden som modenhedsniveauet begynder at stige, skifter fokusset til at vurdere og håndtere de forskellige risici, som virksomheden udsættes for - både på virksomhedsplan og inden for de enkelte systemer.

I den højeste ende af modenhedsniveauet, implementerer virksomhederne en decideret Compliance-funktionen for at sikre relevante love og virksomhedernes egne informationssikkerhedskrav er overholdt.

Derfor er rejsen gennem de forskellige Governance, Risk og Compliance aktiviteter en modenhedsrejse, som er nem at spotte udefra. Hvor langt er virksomheden, og hvad har den formået?
 

Tænk på Compliance som fartkontrol

Compliance spiller en meget vigtig rolle i forhold til at sikre din virksomhed. Du kan betragte det på samme måde som fartkontrol. Uden fartkontrol vil der være en risiko for, at din bils hastighed gradvist vil krybe op over det tilladte. En Compliance-funktion sikrer netop, at I som organisation overholder love, regulativer og jeres egne krav til informationssikkerhed.
 

Intern og ekstern Compliance

Mange virksomheder overlader Compliance aktiviteter til deres årlige eksterne revisorer, som typisk kommer ind én gang om året og auditerer en lille del af de overordnede informationssikkerhedsaktiviteter og processer. Selv om dette er en vigtig og nyttig aktivitet, er der også en stor gevinst ved at have en intern Compliance funktion. En intern Compliance funktion kan implementeres mere bredt på tværs af virksomheden og vil bidrage til at identificere sårbarheder og huller i informationssikkerhedsniveauerne i alle afdelinger og systemer. En intern Compliance funktion kan også bruges gennem hele kalenderåret i stedet for blot en gang om året, som den eksterne revision typisk ville gøre. Ligesom alt andet indenfor informationssikkerhed, så kræver det en kontinuerlig proces at være sikker.
 

Vil du gerne vide mere?

Hvis du gerne vil vide mere omkring Compliance, eller hvordan Nixu kan assistere dig med jeres Governance, Risk og Compliance aktiviteter, så tag endelig fat i mig eller en af mine kolleger.