Plan-Do-Check-Act (PDCA) processer kommer oprindeligt fra kvalitetssikring i produktionsmiljøer, men har jo i nogle år også været et krav i ISMS-standarden ISO 27001 (ISMS = Information Security Management System eller bare it-sikkerhedsledelse).
Hvis du kigger i den nye ISO 27001, altså den der udkom i slutningen af 2013, vil du måske lægge mærke til at den ikke længere indeholder et konkret krav om en PDCA-proces, en Plan-Do-Check-Act-proces. Selvom der er overskrifter som Planning, Operation, Performance Evaluation og Improvement, som unægteligt er meget tæt på PDCA, kan jeres virksomhed nu følge den nye ISO 27001 uden at have en decideret PDCA-process.Men der er et klart krav om, at I løbende forbedrer jeres ISMS, formelt formuleret som "at organisationen løbende skal forbedre egnethed, tilstrækkelighed og effektivitet af ISMS'et" (min oversættelse fra den originale engelske tekst).
Generelt introducerer den nye ISO 27001 jo mere fleksibilitet til valg af metode og form, end den gamle standard tillod, og et godt eksempel på den fleksibilitet er kravet om løbende forbedringer. I kan så vælge at bruge PDCA, som jeres måde at udføre jeres løbende forbedringer.
Min anbefaling er, at I kun skal lave PDCA i det omfang det giver mening for jer, for I kan jo også lave de vigtige løbende forbedringer på andre måder. Start med noget så simpelt som at have (eller få) et overblik over jeres ISMS-opgaver. Da informationssikkerhed jo vedrører de fleste eller måske alle jeres forretningsprocesser, så involverer det også en del personer. Hvis I vil forbedre jeres it-sikkerhed, så bliver overblik, synlighed og opfølgning på om opgaverne er udført, vigtige punkter for jer.
At styrke informationssikkerheden ved netop at få styr på alle opgaver omkring sikkerhed og compliance er en af hovedfunktionerne i vores compliance værktøj. Læs mere her.
Hvis du kigger i den nye ISO 27001, altså den der udkom i slutningen af 2013, vil du måske lægge mærke til at den ikke længere indeholder et konkret krav om en PDCA-proces, en Plan-Do-Check-Act-proces. Selvom der er overskrifter som Planning, Operation, Performance Evaluation og Improvement, som unægteligt er meget tæt på PDCA, kan jeres virksomhed nu følge den nye ISO 27001 uden at have en decideret PDCA-process.Men der er et klart krav om, at I løbende forbedrer jeres ISMS, formelt formuleret som "at organisationen løbende skal forbedre egnethed, tilstrækkelighed og effektivitet af ISMS'et" (min oversættelse fra den originale engelske tekst).
Generelt introducerer den nye ISO 27001 jo mere fleksibilitet til valg af metode og form, end den gamle standard tillod, og et godt eksempel på den fleksibilitet er kravet om løbende forbedringer. I kan så vælge at bruge PDCA, som jeres måde at udføre jeres løbende forbedringer.
Min anbefaling er, at I kun skal lave PDCA i det omfang det giver mening for jer, for I kan jo også lave de vigtige løbende forbedringer på andre måder. Start med noget så simpelt som at have (eller få) et overblik over jeres ISMS-opgaver. Da informationssikkerhed jo vedrører de fleste eller måske alle jeres forretningsprocesser, så involverer det også en del personer. Hvis I vil forbedre jeres it-sikkerhed, så bliver overblik, synlighed og opfølgning på om opgaverne er udført, vigtige punkter for jer.
At styrke informationssikkerheden ved netop at få styr på alle opgaver omkring sikkerhed og compliance er en af hovedfunktionerne i vores compliance værktøj. Læs mere her.
