Sikker nok? Blog om informationssikkerhed

Er Plan-Do-Check-Act forsvundet i den nye ISO 27001?

[fa icon="calendar"] 17. januar 2014 / af Lars Neupart

Plan-Do-Check-Act (PDCA) processer kommer oprindeligt fra kvalitetssikring i produktionsmiljøer, men har jo i nogle år også været et krav i ISMS-standarden ISO 27001 (ISMS = Information Security Management System eller bare it-sikkerhedsledelse). 

Hvis du kigger i den nye ISO 27001, altså den der udkom i slutningen af 2013, vil du måske lægge mærke til at den ikke længere indeholder et konkret krav om en PDCA-proces, en Plan-Do-Check-Act-proces. Selvom der er overskrifter som Planning, Operation, Performance Evaluation og Improvement, som unægteligt er meget tæt på PDCA, kan jeres virksomhed nu følge den nye ISO 27001 uden at have en decideret PDCA-process.Men der er et klart krav om, at I løbende forbedrer jeres ISMS, formelt formuleret som "at organisationen løbende skal forbedre egnethed, tilstrækkelighed og effektivitet af ISMS'et" (min oversættelse fra den originale engelske tekst).

Generelt introducerer den nye ISO 27001 jo mere fleksibilitet til valg af metode og form, end den gamle standard tillod, og et godt eksempel på den fleksibilitet er kravet om løbende forbedringer. I kan så vælge at bruge PDCA, som jeres måde at udføre jeres løbende forbedringer. 

Min anbefaling er, at I kun skal lave PDCA i det omfang det giver mening for jer, for I kan jo også lave de vigtige løbende forbedringer på andre måder. Start med noget så simpelt som at have (eller få) et overblik over jeres ISMS-opgaver. Da informationssikkerhed jo vedrører de fleste eller måske alle jeres forretningsprocesser, så involverer det også en del personer. Hvis I vil forbedre jeres it-sikkerhed, så bliver overblik, synlighed og opfølgning på om opgaverne er udført, vigtige punkter for jer.

At styrke informationssikkerheden ved netop at få styr på alle opgaver omkring sikkerhed og compliance er en af hovedfunktionerne i Workflow TNG, et helt nyt modul i SecureAware, som vi er stolte over at annoncere i dag. Læs mere her.

Vi har en række ressourcer og tilbud til dig:

Sådan får I styr på sikkerheds-opgaverne 

 

Sikker Nok?

Neuparts blog er gode råd og viden om effektiv it-sikkerhedsledelse, it-sikkerhedsstrategier, risikostyring, efterlevelse af standarder og andre krav, beredskabsplanlægning, ISO2700x, EU persondatakrav, PCI DSS etc.

Populære indlæg