It-branchen vælter sig i forkortelser - og nogle af dem glemmer vi hurtigere end andre. En der dukkede op i Danmark i 2009, og som har gode chancer for at få mere fodfæste i it-sikkerhedsbranchens bevidsthed, er GRC: Governance, Risk- og Compliance management. It-delen af GRC omfatter (IT GRC):

  • Governance: It-ledelse, it-sikkerhedsledelse, tilpasning af it og it-sikkerhed med forretningsmål, ISMS, sikkerhedspolitikker, beredskabsplaner, forankring, awareness-kampagner med mere.
  • Risk Management: Hvor stor er organisationens "risikoappetit"?  Hvordan afhænger forretningen af it og hvad gør ondt på forretningen (konsekvensvurdering, "BIA"). Hvor sandsynligt er det at det sker? Hvordan håndterer organisationen dens risici?
  • Compliance Management: Identifikation og aktiviteter der sikrer efterlevelse (helt eller delvist) af kravsæt eller anbefalinger, der typisk er i  form af lovgivning, kundekrav eller standarder for et område eller for en branche.

GRC-begrebet er tilsyneladende kommet for at blive, fordi det ret godt definerer den opgave der hedder informationssikkerhed. Der er også det forhold at langt de fleste, hvis ikke alle, organisationer har brug for de tre begreber hver for sig. En anden årsag til den store interesse for GRC er, at IT GRC hjælper med - eller er måske ligefrem en forudsætning for - en ordentlig implementering af informationssikkerhed.

Wikipedia om GRC

 

Mere om it governance med Secure ISMS Compliance og BCP

Mere om risikostyring med Secure ISMS Risk

Mere om compliance gap måling med Secure ISMS