ISO 30301/15489 og ISO 27001 – sammenligning og praktiske skridt mod integration

Når man ser nærmere på ISO 30301 (Records management systems) og ISO 15489 (grundlæggende principper for records management) på den ene side, og ISO 27001 (Information security management systems) på den anden, er det tydeligt, at der er mange fællesnævnere – men også forskelle, som kan udnyttes strategisk.

Centrale Krav og anbefalinger

Emne ISO 30301/15489 ISO 27001
Formål Sikre, at records er autentiske, pålidelige, brugbare og bevaringsværdige gennem hele livscyklussen. Beskytte information mod uautoriseret adgang, ændring eller tab, med fokus på risiko, forebyggelse og respons.
Nøglebegreber Integrity, authenticity, reliability, usability. Confidentiality, integrity, availability (CIA).
Ledelsesfokus Dokumentation af beslutninger, compliance, historisk sporbarhed. Risikostyring, tekniske og organisatoriske sikkerhedsforanstaltninger.
Tidsperspektiv Langsigtet bevarelse og dokumentation (årtier eller længere). Aktuelle trusler, løbende risikovurdering og hurtig respons.
Krav til dokumentation Politik for records management, klassifikationssystem, bevarings- og kassationspolitikker, metadata-standarder. Informationssikkerhedspolitik, risikovurderinger, kontrolprocedurer, hændelseshåndteringsplaner.

Begge standarder kræver ledelsesforankring, løbende evaluering og dokumenteret styring, men de måler succes ud fra forskellige parametre: Records management måler på bevarings- og dokumentationskvalitet, mens informationssikkerhed måler på trusselsniveau og hændelsesforebyggelse.

 

 

Forslag til dokumenter i et integreret system

Hvis organisationen vælger at integrere dele af de to ledelsessystemer, kan følgende dokumenter
med fordel udvikles eller harmoniseres:

  1. Overordnet informations- og records management-politik
    – kombinerer krav om bevaring, anvendelighed og teknisk beskyttelse.
  2. Klassifikations- og metadata-standard
    – så data både kan findes, forstås og beskyttes korrekt.
  3. Risikoregister
    – inkluderer både tekniske risici (cyberangreb) og indholdsmæssige risici (manglende dokumentation).
  4. Retention schedule / bevaringsplan
    – med vurdering af både forretningsmæssig, juridisk og sikkerhedsmæssig relevans.
  5. Incident response plan
    – der også dækker hændelser med fysisk og digitalt arkivmateriale.
  6. Trænings- og awareness-program
    – der integrerer både records management-principper og sikkerhedspolitikker.

 

 

Forslag til opgaver og aktiviteter

For at skabe reel integration bør organisationen arbejde med opgaver, der forbinder de to områder:
  • Fælles risikovurdering – inddrager både informationssikkerhedsteamet og arkiv-/records management-funktionen.
  • Integreret audit – gennemføres mod begge standarders krav på én gang, hvor det er muligt.
  • Tværfaglig projektgruppe – der driver udviklingen af politikker, procedurer og værktøjer.
  • Kontinuerlig metadata-kvalitetskontrol – for at sikre både tilgængelighed og sikkerhed.
  • Sammenkobling af systemer – fx ECM-systemer med sikkerhedsklassificering integreret i adgange og retention.
 

Hvordan kan integrationen foregå i praksis?

Hvis man vælger at arbejde hen imod et integreret ledelsessystem for informationssikkerhed og
records management, rejser der sig hurtigt nogle praktiske spørgsmål:

Organisering – ét team eller tæt partnerskab?

Der er ikke én model, der passer alle, men erfaring viser, at integrationen fungerer bedst, hvis
der etableres et formaliseret samarbejde mellem de to funktioner – enten i form af et samlet
team under samme ledelse eller som to afdelinger med fælles mål, KPI’er og planlægningsmøder.
Fælles governance-struktur og ensartede processer for risikovurdering, klassifikation og incident
management skaber et stærkere fundament.

Audit og løbende kontrol

Et integreret audit-setup kan være en af de store gevinster. I stedet for at afholde separate
audits for ISO 27001 og ISO 30301/15489, kan man planlægge fælles revisionsbesøg, hvor både
tekniske, organisatoriske og indholdsmæssige kontroller vurderes samtidig. Det kræver, at
audit-teamet har tværfaglige kompetencer, så både metadata-strukturer og firewall-konfigurationer
kan vurderes med lige høj kvalitet.

Kompetenceløft – bredere viden på tværs

Integration stiller krav til medarbejdernes forståelse for hinandens fagområder. Records
management-professionelle skal have et grundlæggende kendskab til cybersikkerhed og
risikostyring, mens informationssikkerhedsspecialister skal forstå livscyklusmodeller, bevisværdi
og retention-politikker. Tværgående træning, fælles workshops og jobrotation kan være gode
værktøjer til at bygge denne dobbeltkompetence.

Er det kun for modne virksomheder?

Selvom integrationen kræver planlægning og investering, er det ikke kun for de mest modne
organisationer. Tværtimod kan mindre eller yngre virksomheder opnå en ”shortcut” til højere
informationskvalitet og compliance ved at tænke integreret fra starten. For større, etablerede
organisationer kan integrationen være en gradvis proces, hvor man starter med fælles politikker
og governance, og senere samler værktøjer, audits og træning.

Fra to sprog til ét

En vigtig del af integrationen handler om at skabe et fælles sprog. Begreber som ”integritet” og
”tilgængelighed” skal forstås på begge niveauer – både som tekniske egenskaber og som
indholdsmæssig kvalitet. Denne fælles forståelse gør det lettere at designe processer, der
opfylder begge standarders krav uden at skabe unødvendigt bureaukrati.

Perspektiv

Hvor ISO 27001 traditionelt har haft størst opmærksomhed i ledelseslagene, kan en strategisk integration med ISO 30301/15489 sikre, at organisationen ikke kun beskytter sine informationer mod aktuelle trusler, men også bevarer deres værdi og troværdighed for fremtiden. En sådan integration vil kræve kulturændring, fælles sprog og tværgående styring – men gevinsten er en langt stærkere informationsforvaltning, hvor sikkerhed og bevaring ses som to sider af samme mønt.