3 råd: Sådan kan du komme i mål med ISAE-erklæringer

ISAE-erklæringer – hvor tørt kan det lige lyde? Sådan ville standupkomiker og TV-vært Jan Gintberg nok have sagt det i et hypotetisk program om “Den Digitale Verden”. Hvis du som mig er DPO eller sidder i en funktion i organisationen, hvor du er ansvarlig for arbejdet med GDPR og informationssikkerhed, så kender du nok erklæringerne. Måske får din organisation også udarbejde dem eller måske skal I snart i gang med processen?

For halvandet år siden traf ledelsen i Emento en beslutning om, at GDPR og informationssikkerhed skulle være en topprioritet i virksomheden. Vi etablerede en intern arbejdsgruppe, som vi kaldte TRUST – fordi det handler om at vores medarbejdere, kunder, samarbejdspartnere og brugere skal have tillid til vores virksomhed og vores løsning.

Dengang ledte jeg med lys og lygte efter gode råd til, hvordan man kom i gang med denne proces, men jeg fandt kun nogle introvideoer på YouTube til ISO 27001. Jeg ved, at der er mange andre mindre virksomheder, der står med samme udfordring, så i det her blogindlæg vil jeg dele lidt ud af vores erfaringer i Emento. Til slut i indlægget får du 3 gode råd til at komme godt i mål.

En af TRUST-gruppens første opgaver var at udarbejde en risikoanalyse, hvori vi kortlagde alle de scenarier, vi kunne komme i tanke om, som potentielt kunne kompromittere tilgængeligheden til, integriteten eller fortroligheden af data og dermed skade forretningen eller de registreredes rettigheder. Vi vurderede dernæst alle scenarierne ud fra sandsynligheden for, at de indtraf, og hvor stor konsekvensen ville være. Dette gav os et godt indblik i det samlede trusselsbillede og vi begyndte derefter arbejdet med at håndtere vores risici. Man kan kort sagt håndtere risici på 4 forskellige måder:

Når man arbejder ud fra en risikobaseret tilgang, så er kunsten at implementere de foranstaltninger, der er nødvendige, og som økonomisk set kan svare sig. Der vil altid være risici, men det samlede trusselsbillede skal nedbringes til et niveau, hvor organisationen med ro i maven og god samvittighed kan acceptere det.

Trusselsbilledet ændrer sig løbende, så arbejdet med informationssikkerhed skal hele tiden vedligeholdes og opdateres. Det har vi fx. set her under COVID-19, hvor ondsindede hackere har udnyttet, at mange medarbejdere arbejder hjemmefra og rent IT-sikkerhedsmæssigt i visse tilfælde ikke er beskyttet på samme måde, som hvis de sad på kontoret. Derfor er arbejdet med GDPR og informationssikkerhed ikke en engangsfornøjelse men en proces, der skal være dybt forankret i hele organisationen på tværs af HR, udvikling, implementering, salg og markedsføring. Processen er forankret ved at implementere et informationssikkerheds-ledelsessystem – et ISMS – der sikrer en systematisk og transparent arbejdsgang ud fra princippet “Plan, Do, Check, Act”. Det er ikke nok at implementere en lang række politikker, procedurer, instrukser, retningslinjer, kontroller og dokumentation. Man er også nødt til løbende at måle på effekten af det, tage ved lære og konstant tilpasse systemet til den kontekst, man arbejder i.

I december indledte vi samarbejdet med REVI_IT, et eksternt, uafhængigt revisionsselskab som vi bad udarbejde en ISAE 3000 og en ISAE 3402-erklæring. REVI-IT har lavet en vurdering af, i hvor høj grad vores organisation efterlever reglerne i GDPR/databeskyttelsesloven for ISAE 3000-erklæringen og retningslinjerne i ISO 27002 Code of Practice for Information Security Controls for ISAE 3402-erklæringen. Revisorernes vurdering er baseret på interviews med organisationens medarbejdere, fysiske observationer i organisationen, inspektion af politikker, procedurer, instrukser, retningslinjer og anden dokumentation. Derudover tester de et udpluk at de kontroller, som vi har implementeret for at se, om de fungerer efter hensigten.

Så ud fra mine erfaringer med, hvordan vi kom i mål med vores ISAE-erklæringer kommer her 3 gode råd til, hvordan I som organisation kommer godt igennem processen med udarbejdelse af jeres første ISAE-erklæringer.

Sørg for at topledelsen er involveret helt fra starten og støtter op om opgaven. Det er nødvendigt for at forankre processen i hele organisation og for at sikre de fornødne ressourcer.

Processen er lang, tidskrævende og omkostningstung. Derfor anbefaler jeg jer at undersøge, om jeres organisation kan få ekstern funding. De regionale Erhvervshuse tilbyder økonomisk tilskud til iværksættere og små virksomheder, der har behov for rådgivning inden for GDPR og informationssikkerhed. Er organisationen mere en 3 år gammel, så tilbyder SMV:Digital også små og mellemstore virksomheder tilskud til privat rådgivning inden for digital sikkerhed.

Skab internt ejerskab. GDPR og informationssikkerhed er hele organisationens ansvar. Vær præcis i kommunikationen omkring de her emner – også internt. Tag afsæt i dine kollegers opgaver og involver dem aktivt i processen, der hvor det også giver en værdi for dem i det daglige. Her et par eksempler:

Hvis dine kolleger føler sig involveret og kan se værdien af arbejdet med GDPR og informationssikkerhed, så er det min erfaring, at de tager ejerskab for deres egen del af processen og hjælper dig med at implementere det i resten af organisationen. I Emento har vi brugt begrebet co-creation nogle gange i vores tidligere blogindlæg. Det er bestemt også værdifuldt i den her proces.

Så for at slutte hvor jeg startede, nemlig hos Gintberg, så ja, det kan lyde virkelig tørt, men det er faktisk super spændende og meget meget meningsfyldt at arbejde med GDPR og ISAE-erklæringer. Det er for vores eget og alle andres bedste. Og så er der vist kun tilbage at sige; god arbejdslyst!