Blog om informationssikkerhed, GDPR og compliance

Jakob Holm Hansen


Seneste indlæg

Skal, skal ikke? Vejledning og gode råd til udarbejdelse af en DPIA

[fa icon="calendar'] 20. december 2017 / af Jakob Holm Hansen under GDPR, eu databeskyttelsesforordningen, dpia, data privacy impact assessment

[fa icon="comment"] 0 kommentarer

For nogle virksomheder ligger udarbejdelsen af en DPIA højt på listen over GDPR-opgaver, der skal styr på. Men for rigtigt mange kan en DPIA godt vente – eller i hvert fald simplificeres, så den ikke kræver for mange ressourcer. Neupart-direktør fortæller hvornår og hvordan, der skal laves en konsekvensanalyse af virksomheders databehandlinger.

Læs videre [fa icon="long-arrow-right"]

GDPR: Du behøver ikke at lave en dataflowanalyse

[fa icon="calendar'] 28. juni 2017 / af Jakob Holm Hansen under eu persondataforordning, GDPR, Databeskyttelse

[fa icon="comment"] 0 kommentarer

 – en fortegnelse over dine behandlingsaktiviteter er nok

Er du i fuld gang med jeres GDPR-forberedelser, men hænger fast i udarbejdelsen af dataflowanalysen? Så læs med her. Du skal nemlig ikke gøre mere end det nødvendige. Og en dataflowanalyse er ikke nødvendig.

Læs videre [fa icon="long-arrow-right"]

DPO – hvem har brug for dem?

[fa icon="calendar'] 14. marts 2017 / af Jakob Holm Hansen under eu persondataforordning, eu gdpr, DPO

[fa icon="comment"] 0 kommentarer

DPO’er. Det er et emne som vi alle sammen ser ud til at tænke lidt nærmere over, nu da vi aktivt begynder implementeringen af den kommende databeskyttelsesforordning. Men hvem har egentlig brug for dem?  

Læs videre [fa icon="long-arrow-right"]

Risikovurdering - hvad bruger vi dem til?

[fa icon="calendar'] 28. april 2016 / af Jakob Holm Hansen under risikostyring, risikohåndtering, risikovurdering

[fa icon="comment"] 0 kommentarer

Det er efterhånden blevet god praksis at lave risikovurderinger - eller i hvert fald erkende, at man bør lave dem.

Alt for ofte ser vi desværre, at virksomheder bare udfører risikovurderinger for at efterkomme et eller andet compliance-krav (revision, kontrakt, lovgivning m.v.). Hvis man er heldig, får man endda ressourcer til at gennemføre dem en gang om året.

Man gennemfører sin risikovurdering, taler med sin organisation og laver en fin rapport til sidst. Og så er "projektet" afsluttet. Men det er en fejl at se risikovurdering som et projekt. Risikovurdering skal være en proces. En proces der er tilbagevendende og kontinuerligt justeret.

Læs videre [fa icon="long-arrow-right"]

Risikovurdering er en proces - 3 grunde til at gøre det igen (og igen)

[fa icon="calendar'] 10. juli 2015 / af Jakob Holm Hansen

[fa icon="comment"] 0 kommentarer

Risikovurderinger er en nødvendighed, hvis vi vil have styr på informationssikkerheden. Desværre er det ikke ualmindeligt, at virksomheder ser risikovurdering som noget, der skal overstås, fordi de skal efterleve forskellige krav. 

 
Det kan være krav fra eksterne interessenter som for eksempel lovgivning, samarbejdspartnere, kundekontrakter etc. Eller kravene kan være pålagt af virksomheden selv, fordi man måske ønsker at efterleve internationale standarder som ISO 27001 (om ledelsessystem til informationssikkerhed) og/eller ISO 27005 (om risikostyring).

Læs videre [fa icon="long-arrow-right"]

Hvorfor i alverden skal ledere interessere sig for it-sikkerhed?

[fa icon="calendar'] 18. februar 2015 / af Jakob Holm Hansen

[fa icon="comment"] 0 kommentarer

Du skal involvere dig i sikkerhed fordi sikkerhed betyder noget for jeres kunder og fordi cyberangreb og sikkerhedshændelser er begyndt at ske for alle slags virksomheder. CSC, Nets, IBM, Terma, Novozymes, Erhvervsministeriet m.fl. er eksempler på virksomheder i Danmark, som man forventede eller håbede var bedre beskyttet end de faktisk var. It-sikkerhed er i den grad kommet på dagsordenen i 2014, både i virksomhederne og i medierne.

Læs videre [fa icon="long-arrow-right"]

Skydeskivens sikkerhedskvadranter - sådan forklarer du informationssikkerhed til ledelsen

[fa icon="calendar'] 12. december 2014 / af Jakob Holm Hansen

[fa icon="comment"] 0 kommentarer

 

 

 

Der findes mange forskellige former for tiltag, som virksomheder kan udføre for at beskytte deres informationer og deres forretning. Lige fra klassiske eksempler som firewalls og antivirus, backup/restore til sikkerhedspolitik og it-beredskab, til en række mere eller mindre avancerede teknologier. Modellen viser en række eksempler på tiltag.

For at få struktur på alle disse tiltag deler vi dem op i Fysiske & tekniske tiltag – det er den nederste halvdel på modellen, og Administrative tiltag og processer, som er den øverste halvdel.

Læs videre [fa icon="long-arrow-right"]

DS 484 er død. Her er de vigtige forskelle fra DS 484 til ISO 27001

[fa icon="calendar'] 5. november 2014 / af Jakob Holm Hansen

[fa icon="comment"] 0 kommentarer

Det er en misforståelse at tro at hvis man har kørt et DS484-projekt (den nu udgåede danske standard for informationssikkerhed) så har man styr på sin informationssikkerhed. Det betyder nemlig blot at man på et tidpunkt har indført den checkliste-sikkerhed som den gamle standard krævede. I dag ved man at tilstrækkeligt sikkerhed kun kan fås ved at virksomheden indfører processer det sikrer at der løbende gennemføres en række aktiviteter heriblandt:
Læs videre [fa icon="long-arrow-right"]

De tre beredskabsdyder

[fa icon="calendar'] 15. august 2014 / af Jakob Holm Hansen

[fa icon="comment"] 0 kommentarer

"Hvor lang skal en beredskabsplan være?" Dette spørgsmål hører vi tit ude hos vores kunder. Mit svar plejer altid at være: "Så kort som muligt!" For sandheden er, at den perfekte beredskabsplan (hvis den overhovedet findes) skal være tre, nogen gange modstridende, ting på én gang:

Læs videre [fa icon="long-arrow-right"]

Tips og erfaringer med it-sikkerhedshåndbøger og -politikker - Ny vs gammel ISO 27002

[fa icon="calendar'] 3. juni 2014 / af Jakob Holm Hansen

[fa icon="comment"] 0 kommentarer

Nu har jeg arbejdet med informationssikkerhed i en del år og har set mange forskellige politikker, regler, procedurer, forretningsgange, og andre former for dokumentation på sikkerhedsområdet. Det der virker bedst er, at have en klar, veldefineret opdeling, fx:
  1. Politik: Vores ambitionsniveau og mål, hvad vil vi, hvem er omfattet. Bør være kort, gerne højst en side.
  2. Regler:  Hvad gør vi, hvad gør vi ikke, hvad vi må og ikke må. Reglerne skal være præcise i forhold til, hvem der skal udføre de forskellige aktiviteter.
  3. Procedurer: Sådan-gør-vi-dokumenter.
Jeg vil koncentrere resten af dette indlæg om regel-dokumentet, som har det med at blive (for) langt for en del virksomheder. Et godt råd er derfor at lave målgruppeopdeling, så en bruger kun behøver at læse de regler, der har relevans i forhold til hendes/hans job. Nogle virksomheder skriver og trykker en slutbruger-venlig folder, nogle gange kaldet en pixi-bog om informationssikkerhed.
Læs videre [fa icon="long-arrow-right"]

Om vores GRC blog

Vores GRC blog giver gode råd og viden om effektiv styring af governance, risk og compliance. Vi fokuserer på at tale primært om informationssikkerhed og databeskyttelse. Standarderne er oftest ISO 27001/2, GDPR, NIS2, DORA og TISAX.

Populære indlæg