Globeteam

Procesdokumentation

henrik600x400
Kontakt mig gerne, hvis du vil høre mere
gdpr

Dokumentation af informationssikkerheden skridt for skridt

Over tid opstår der i enhver virksomhed mange processer og procedurer, og der er mange platforme og systemer at holde styr på. Mange har nok oplevet etablering af ’war rooms’, hvor væggene er blevet dekoreret med store, flotte proceslandskaber ud fra de bedste intentioner. Når så det kommer til forankring og drift, er det dog ofte mindre vellykket.

Det er her, et enkelt og effektivt værktøj til procesdokumentation og beskrivelse af organisationens sikkerhedspolitik, overholdelse af ISO27001, GDPR  m.v. kommer til undsætning. Værktøjet giver din informationssikkerhedsproces et løft og et link mellem politikker og virkelighed.

Procesdokumentation – Overholdelse af GDPR

Når du har dokumenteret organisationens processer i forhold til EU’s persondataforordning eller ISO27001, vil det rette værktøj bistå og være en god hjælp under en audit.

Problemet kan være at bevare overblikket over, hvor og hvordan dataforordningen rammer virksomheden. Man kan selvfølgelig etablere en række større excel-ark, der viser diverse sammenhænge, men risikoen for, at de sander til, er stor.

Vores erfaring er, at et velfungerende værktøj til procesdokumentation vil vise, nøjagtigt hvor en specifik regel eller kontrol påvirker organisationen.

Case med Udenrigsministeriet

I den løsning, Globeteam har etableret hos Udenrigsministeriet, vil man – med få klik – kunne besvare f.eks. Rigsrevisionens direkte spørgsmål om, hvor og hvordan persondata sikres mod en specifik defineret risiko som f.eks. hacking.

Man kan vise eller trække oversigter over regler/controls opsat for berørte systemer, hvilke processer der er omfattet, og hvordan de enkelte aktiviteter i processen udføres. Det hele vises i en wiki-løsning, hvor man linker rundt mellem de forskellige enheder.

Procesværktøjet ChangeDriver har en omfattende rapportgenerator, som endvidere kan generere de ønskede snit fra ledelse, auditor eller medarbejder ned i databasen og visualisere dette på en overskuelig måde.

Helt konkret og praktisk har organisationen defineret en overordnet IT-sikkerhedspolitik, der afføder en række risici med dertil afledte regler/controls. Disse relateres i værktøjet til de enkelte processer og aktiviteter. Dette link viser sig i medarbejdernes personlige processtillingsbeskrivelse på need to know-basis. Det giver medarbejderen et operationelt overblik over, præcis hvad der forventes af vedkommende for at leve op til f.eks. GDPR.

Hvilke egenskaber skal jeg forlange af et værktøj til procesdokumentation?

For at sikre ejerskab og dyb forankring af processer bør man som minimum forlange en række basale egenskaber af et værktøj til procesdokumentation:

Procesforståelse

At det på en enkelt måde formår at visualisere de røde tråde fra de overordnede strategiske sikkerhedspolitikker og ned til processerne og opgaverne i den enkelte medarbejders hverdag. På den måde får medarbejderen en klar fornemmelse af, hvor han/hun passer ind og kan bidrage med værdi til informationssikkerhedsprocessen.

Globeteam benytter værktøjet ChangeDriver, som bl.a. viser sammenhængen fra den overordnede politik helt ned på ’hvad betyder det for mig i min dagligdag’-niveau.

Engagement

Involveres medarbejderne ikke i skabelsen af proceslandskabet, kan man heller ikke forvente, at de står på mål for det. Medarbejderne skal have mulighed for at videndele og hurtigt kunne bidrage til proceslandskabet. Det er derfor vigtigt, at et procesværktøj er effektivt og enkelt, når processerne skal skitseres og gerne med faciliteter, medarbejderne kender i forvejen, f.eks. Office-pakken (Visio, Word og Excel).

I praksis sikrer man dette engagement ved afholdelse af workshops, hvor processerne skitseres direkte f.eks. i Visio. Herefter publiceres de i en wiki-løsning, således at medarbejderen kan lave opfølgende kvalitetstjek. Ønsker medarbejderen at tilføre rettelser, anvendes feedback-funktionalitet til den respektive procesansvarlige. Dette giver indtryk af en effektiv og dynamisk proces hos medarbejderen, hvor værdiinput håndteres hurtigt.

Ejerskab

Procesværktøjet skal via oversigter vise, hvilke relationer og forpligtlser den enkelte medarbejder har til dele af proceslandskabet på ’need to know’-basis.

I praksis kan du med stor fordel arbejde med processtillingsbeskrivelser, der angiver hvilke overordnede processer, procesdiagrammer, aktiviteter, applikationer osv., medarbejderen er ansvarlig for, og hvad der forventes af vedkommende. Ligeledes kan det fremgå eksplicit af proces- og aktivitetsbeskrivelserne, hvilken adfærd medarbejderen skal udvise for at overholde f.eks. GDPR, ISO-standarder osv.

Best practice

Medarbejderne besidder en kæmpe ressource i form af viden og erfaring i at drive deres funktion optimalt. Mange medarbejdere har oplevet, at der ikke eksisterer en struktureret måde at aflevere, behandle og modtage svar på forbedringsforslag, hvorfor best practice ikke bliver implementeret. Problemet er derfor ofte, at organisationen langsomt udvikler forskellige personlige og personafhængige måder at løse opgaverne på, og dermed øges sårbarheden.

Oplever medarbejderne et værktøj, der på enkel vis sikrer, at deres forslag kan afleveres, evalueres, kommunikeres og implementeres, vil de opleve, at det nytter noget at komme med input til processerne og dermed bidrage til virksomhedens ve og vel.

Vedligehold

Det er gift for procesarbejdet, når medarbejderne oplever, at proceslandskabet sander til. Her er et effektivt procesværktøj bydende nødvendigt. Værktøjet skal sikre, at en rettelse slår igennem over hele linjen, dvs. i processer, aktiviteter, processtillingsbeskrivelser, rollebeskrivelser osv., således at proceslandskabet fastholder sin konsistente opbygning.

Vores praktiske erfaringer viser, at hvis systemløsningen er effektiv og smidig, vil selv større virksomheder kunne nøjes med, at en enkelt person anvender mindre end 20 procent af arbejdstiden til at tage sig af vedligeholdelse af proceslandskabet, når det først er etableret.

Er det besværligt eller uoverskueligt at implementere ændringer, vil den ansvarlige proceseditor meget hurtigt opleve ikke at kunne leve op til medarbejdernes forventninger og se alle de gode intentioner forsvinde i en jungle af beklagelser og negative tilkendegivelser.

gdpr

Vi klæder din organisation på til GDPR

Globeteam tilbyder assistance med hele den proces, som din organisation skal igennem for at leve op til GDPR – fra foranalyse og projektdefinition over kortlægning og løsningsforslag til implementering og drift.

Se hvordan vi kan hjælpe jer i mål med GDPR compliance

Nyhedsbrev

Få vores nyhedsbrev

Hold dig opdateret på din virksomheds digitale muligheder med cases og faglige artikler