+45 72 33 22 33 | info@baselines.dk
Har du styr på DORA, NIS2 og GDPR? BaseLines leverer en samlet pakke til styring af IT-sikkerhed og compliance i din organisation
Introduktion
Det er en kompleks opgave at holde styr på virksomhedens overordnede IT-risikobillede og efterleve diverse lovgivning. Det kræver et såkaldt ledelsessystem eller ISMS (Information Security Management System). BaseLines bygger ledelsessystemer med afsæt i ISO 27001.
Med et ledelsessystem får virksomhedens ledelse løbende information om det aktuelle IT-risikobillede og compliance-niveau. Ledelsessystemet sikrer, at virksomheden løbende indsamler, analyserer og rapporterer information, der fortæller noget om risikobilledet og overholdelse af lovgivningen. Dermed bliver ledelsen i stand til at træffe beslutninger om informationssikkerhed og compliance på et oplyst grundlag.
Vi opererer med en fast model for at etablere ledelsessystemer, der kan føre din virksomhed sikkert i mål. Med en holistisk tilgang kan vi hjælpe dig med at komme hele vejen rundt om rammer, governance, processer, IT-understøttelse og forandringsledelse, når du skal have styr på informationssikkerhed og compliance.
Politikker og retningslinjer
Det er organisationens politikker og retningslinjer – styringsdokumenterne – der beskriver ledelsens forventninger til ambitionsniveauet for og tilgangen til informationssikkerhed og compliance, og til de konkrete organisatoriske og tekniske foranstaltninger, som organisationen skal implementere og vedligeholde.
Det er styringsdokumenterne, der er omdrejningspunktet for organisationens daglige arbejde med informationssikkerhed og compliance, og den norm, som kvaliteten af arbejdet vurderes ud fra. Vi kan hjælpe dig med at etablere denne ramme med afsæt i vores store erfaringer med at udarbejde styringsdokumenter baseret på internationalt anerkendt standarder og rammeværker, fx ISO-27000-serien, CIS og NIST.
Dokumentationsmæssig baseline
Der er ingen vej uden om. For at blive i stand til styre informationssikkerhed og compliance på en systematisk måde skal virksomheden vide præcis, hvordan den arbejder. Det kræver et overblik over sammenhængen mellem virksomhedens forretningsprocesser, data, applikationslandskab og IT-infrastruktur. I BaseLines bruger vi modelleringssproget Archimate®, der er udviklet og vedligeholdes af The OpenGroup, til at udarbejde den nødvendige dokumentation af virksomhedens arkitektur. Den opgave kan vi også løfte for dig, så du får fundamentet for at afdække, hvor de største informationssikkerhedstrusler er.
Introduktion af nye IT-løsninger
Informationssikkerhed og compliance skal tænkes ind i nye IT-løsninger så tidligt i projektforløbet som muligt. Det kræver justeringer af de modeller – både de agile og de vandfaldsbaserede – som virksomheden anvender til at styre projekter. BaseLines har stor erfaring med at tilpasse både Scrum-baserede agile styringsmodeller og vandfaldsmodellen PRINCE2®, så de understøtter behovet for tidligt at identificere risici, der skal adresseres fra starten.
Udover styringsmodellerne er det nødvendigt at udarbejde faste koncepter og formater for de analyser og den dokumentation, som arbejdet med informationssikkerhed og compliance kræver. I den sammenhæng kan vi også tilbyde en lang række analyse- og dokumentationsformater, fx til løsningsoverblik, risikovurderinger, databehandleraftaler og konsekvensanalyser.
Leverandørstyring
De fleste virksomheder anvender i dag eksterne leverandører til drift- og vedligehold af IT-løsninger, herunder cloud-leverandører. En stor del af de IT-miljøer, som virksomheden er afhængig af, er derfor kontrolleret af andre end virksomheden selv. Det betyder, at den løbende opfølgning på leverandørens efterlevelse af kravene til informationssikkerhed er en meget væsentlig kilde til ajourføringen af virksomhedens IT-risikobillede. Vores model for informationssikkerhedsstyring sikrer, at resultaterne fra opfølgningen umiddelbart kan anvendes i risikostyringen. Dermed kan vi hjælpe dig med få overblikket over risici, når du indgår relationer med tredjeparter.
Beredskabsafprøvning og tests
Én ting er sikkert: På et eller andet tidspunkt vil alle virksomheder opleve, at hele eller væsentlige dele af IT-miljøet bliver utilgængeligt eller kompromitteret på den ene eller anden måde. I de situationer er det afgørende, at virksomheden har et robust beredskab, der kan træde i funktion, når normaldriften er afbrudt. Det er derfor vigtigt, at virksomheden løbende afprøver, om beredskabet rent faktisk virker. Resultatet af afprøvningerne indeholder også vigtig risikoinformation: Hvis der konstateres svagheder i beredskabet, vil det alt andet lige øge virksomhedens generelle risikoniveau.
Udover den løbende afprøvning af beredskabet skal virksomheden også løbende gennemføre tests af modstandsdygtigheden overfor cyberangreb. Resultatet af disse tests afdækker ligeledes sårbarheder, der har betydning for risikobilledet.
Med vores model for informationssikkerhedsstyring er du sikret, at også resultaterne fra afprøvninger og tests umiddelbart kan anvendes i risikostyringen, så du får et nuanceret billede af, hvor sårbarhederne er.
Intern kontrol
Virksomhedens forventninger til informationssikkerheden udmøntes i politikker og regler. Reglerne udmøntes i forskellige typer af foranstaltninger, fx organisatoriske eller teknologiske. Den daglige brug af foranstaltninger registreres i diverse logs, registre, rapporter med videre. Registreringerne udgør fundamentet for den løbende kontrol af, om de implementerede foranstaltninger fungerer hensigtsmæssigt. Disse kontroller er en meget central kilde til information om virksomhedens risikobillede. Kun hvis de nedskrevne regler rent faktisk efterleves opnår virksomheden det sikkerhedsniveau, der forventes.
Det er en selvfølge for os, at resultaterne af den løbende kontrol også umiddelbart kan omsættes til indsigter om din organisations IT-risikobillede. Derfor følger den indsigt også med vores model for informationssikkerhedsstyring.
IT-risikostyring
Virksomhedens risikobillede ændrer sig over tid. Den løbende introduktion af nye IT-systemer, håndteringen af hændelser, opfølgning på leverandører, interne kontrolaktiviteter, afprøvninger og test, betyder, at der hele tiden opstår ny viden og indsigt, der kræver at risikobilledet skal justeres. Virksomhedens risikostyring skal være indrettet så information fra de forskellige kilder kontinuerligt indsamles, analyseres og anvendes til at opdatere virksomhedens risikovurderinger og risikomitigeringsplaner og derefter rapporteres til ledelsen. Disse risikostyringsaktiviteter er kernen i et velfungerende ledelsessystem.
Vi har omfattende, praktisk erfaring med etablering af IT-risikostyring i virksomheder af alle størrelser og i alle brancher. Det gælder både metodeapparat, for eksempel konsekvensvurderinger (BIA’er) og trusselskataloger, og procesdesign, implementering af risikostyringsværktøjer med videre.
Kontakt os
for mere information om, hvordan vi kan tilpasse konceptet, så det passer til din situation.
Du er velkommen til at bruge formularen nedenfor, sende en e-mail eller ringe.
Telefonnummer:
+45 72 33 22 33
E-mail:
Om os
Det er vores ambition at levere en samlet implementeringspakke, der sikrer, at din virksomhed har styr på informationssikkerhed og compliance. Med flere års erfaring inden for feltet, har vi erfaret, at det ikke er nok at have styr på paragraffer og systemer. Det kræver en holistisk tilgang, hvor også organisation og governance tænkes ind. Derfor tilbyder vi både den dybe specialistviden, strategi og rammesætning og forskellige implementerings- og styringsmodeller, når informationssikkerhed og compliance skal etableres og styrkes i din organisation.