IT-Governance

Buzzword eller brugbart?

Igennem længere tid har jeg spekuleret på, hvad det ligger i begrebet “IT-Governance”, Et buzzword der er oppe i tiden eller om det ikke allerede er dækket af det, jeg har beskæftiget mig med de sidste 20 år, nemlig ledelse af informationssikkerhed.

Jeg er også ofte blevet spurgt om informationssikkerhedsledelsesværktøjet ControlManager™ by Siscon også er et GRC-tool. Jeg har aldrig været i tvivl om, at vi til fulde dækker som et RC-tool, men jeg har til tider haft min tvivl, om vi dækker G’et for Governance, ikke mindst fordi det ikke har stået fuldstændig klart for mig hvad IT-Governance dækker over.

Da ISO38500 dukkede op på mit bord den anden dag, kiggede jeg nærmere på ISO38500 og IT-Governance. ISO38500 beskriver 6 områder, som ledelsen skal forholde sig til, ved brugen af IT i organisationen:

– Strategi
– Ansvar
– Overtagelse/erhvervelse
– Ydelse
– Efterlevelse
– Menneskelig adfærd

For hvert af disse områder omtaler ISO38500, at der skal gøres en vurdering, beskrives tiltag og endelig laves opfølgning! Netop her begynder det, at ligne den samme arbejdsmetodik, som der ligger til grund for arbejdet med ledelse af informationssikkerhed, som også ControlManager™ by Siscon er bygget op omkring, så metoden er altså tilnærmelsesvis den samme.

De seks områder for IT-Governance som ISO38500 standarden omtaler, er alle nogen der bliver behandlet i større eller mindre grad hvis du benytter ISO27001 som referenceramme for din ledelse af informationssikkerhed, så omfanget er altså også tilnærmelsesvis dækket. Er der så ikke nogen forskel?

Den store forskel ligger i at der i ISO38500 er beskrevet at det er Ledelsen der skal lave vurdering, det Ledelsen der skal sikre iværksættelse af tiltag og det er Ledelsen der skal lave den løbende opfølgning. Det er meget eksplicit skrevet – Ledelsen – , men står det ikke også i ISO27001?
Jo, det gør det i indledningen og starten af standarden, men det fortoner sig hurtigt, når de enkelte tiltag skal implementeres i organisationen, så er det ikke længere et ledelsesprojekt, så er det havnet et sted nede i organisationen – det er her jeg ser den store forskel! Så ikke bare et Buzzword – men faktisk brugbart.

Jeg har i de sidste mange år sagt ”forankring i ledelsen – med løbende opfølgning” giver en succesfuld implementering af informationssikkerhed, hvilket betyder at jeg har sagt IT-Governance uden at vide det.

ja – ControlManager™ by Siscon er et GRC-Tool, til styring af processerne omkring IT-Governance, Risk og Compliance.

Betyder det så, at det lettere, at få lydhørhed for informationssikkerhed i ledelsen, hvis budskabet sælges indpakket i IT-Governance?
Netop dette emne og et dybere indblik i de 6 områder fra ISO 38500 standarden kommer jeg ind på i 2. del af denne artikel.

Du kan læse del 2 IT-Governance ISO38500