Records management og informationssikkerhed smelter sammen

Konvergens mellem records management og informationssikkerhed

I takt med at digitale data udgør en stadig større del af moderne organisationers drift, identitet og risikoprofil, ses en voksende konvergens mellem to tidligere adskilte discipliner: records management og informationssikkerhed. Spørgsmålet er, om det blot er en nyttig overlapning – eller om vi reelt står over for en strukturel sammensmeltning, hvor de to områder i fremtiden vil blive tænkt og drevet mere integreret?

To standarder – én bevægelse?

Et sted at begynde analysen er i de to internationale ledelsesstandarder, ISO 27001 (informationssikkerhed) og ISO 30301 (records management). Begge standarder fremhæver centrale krav og principper for håndtering af information, men med lidt forskellige perspektiver:

  • ISO 27001 lægger vægt på confidentiality (fortrolighed), integrity (integritet) og availability (tilgængelighed) – kendt som CIA-triaden. Her fokuseres på risikostyring, kontrolforanstaltninger og teknisk sikkerhed, herunder beskyttelse mod brud på datasikkerheden, uautoriseret adgang og tab af data.
  • ISO 30301 fokuserer også på integrity, men føjer begreber som authenticity (autenticitet), reliability (pålidelighed) og usability (anvendelighed) til. Her ses informationens værdi gennem hele dens livscyklus, og der lægges vægt på beviskraft, sporbarhed og organisering i en compliance-kontekst.

På overfladen kan det ligne semantiske forskelle – men de afspejler faktisk forskellige logikker: Informationssikkerhed tager primært udgangspunkt i risiko og teknisk beskyttelse. Records management ser informationen som et aktiv, der skal kunne dokumentere, forklare og understøtte forretningen – også 10, 50 eller 100 år senere.

Forskelle og ligheder – to sikkerhedsniveauer

Man kan med fordel tænke i to forskellige niveauer af sikkerhed:

  • Det tekniske niveau: Adresseret af informationssikkerhed, som beskytter mod uautoriseret adgang, hacking, systemnedbrud m.m. Dette sikrer, at informationen fysisk overlever og ikke kompromitteres i datainfrastrukturen.
  • Det indholdsmæssige niveau: Her sikrer records management, at informationen er korrekt klassificeret, tilgængelig, forståelig og anvendelig, når den skal bruges – ofte længe efter den er skabt.

Eksempelvis: En e-mail eller en rapport kan være sikkert opbevaret bag firewalls (ISO 27001), men hvis den er gemt med forkerte metadata, mangler kontekst eller ikke kan spores til rette kilde, mister den sin evidensværdi (ISO 30301).

Begge systemer arbejder altså med beskyttelse af information, men fra forskellige vinkler og med forskellig slutbrug for øje.

En vigtig forskel mellem disciplinerne er deres tidsperspektiv:

  • Records management arbejder med et langsigtet og historisk blik: Formålet er at bevare kritisk forretningsinformation, så den også mange år frem kan dokumentere beslutninger, give adgang til viden og sikre compliance – ofte i forbindelse med juridiske, organisatoriske, samfundsmæssige krav eller for at sikre historien. Records management handler om hukommelse, sporbarhed og vedvarende bevisværdi.
  • Informationssikkerhed opererer i højere grad i nuet og det nære fremtidsperspektiv. Trusselsbilledet forandrer sig konstant, og derfor handler sikkerhedsarbejdet ofte om at reagere hurtigt på aktuelle trusler, etablere robuste tekniske værn og sikre adgangsstyring og driftssikkerhed her og nu.

Sagt lidt firkantet: Hvor records management spørger ”Hvordan skal vi kunne dokumentere dette om 20 år?”, spørger informationssikkerhed ”Hvordan undgår vi et brud i dag – og hvad gør vi, hvis det sker i morgen?”

Hvorfor bliver sammenfletningen mere relevant?

I mange organisationer er informationssikkerhed i dag bedre forankret i ledelsen end records management. Der er ofte flere ressourcer, mere opmærksomhed og stærkere juridisk pres – især med introduktionen af EU-lovgivning som GDPR, NIS2 og DORA. Dette skaber en asymmetri, hvor det tekniske aspekt får ressourcer, mens det indholdsmæssige og forretningsmæssige aspekt får mindre opmærksomhed.

Men som lovgivning og risikobilleder udvikler sig, vokser behovet for fælles forståelse og koordination. For eksempel kræver GDPR både tekniske og organisatoriske sikkerhedsforanstaltninger. DORA (Digital Operational Resilience Act) stiller krav til digital robusthed og hænger uløseligt sammen med dokumentation og sporbarhed – områder, hvor records management er uundværligt.

Er det tid til at integrere ledelsessystemerne?

Et integreret ledelsessystem, der kobler informationssikkerhed og records management, kan give flere fordele:

  • Effektiv risikostyring – der kombinerer teknisk og organisatorisk beskyttelse
  • Bedre compliance – når dokumentation, retention og informationssikkerhed går hånd i hånd
  • Stærkere forankring – records management kan vinde synlighed ved at koble sig på den strategiske dagsorden, informationssikkerhed allerede er en del af
  • Øget forretningsværdi – information bliver ikke bare beskyttet, men også struktureret og gjort anvendelig

Der er naturligvis udfordringer – forskellige fagkulturer, organisatoriske siloer og manglende fælles begrebsapparat. Men i praksis arbejder mange allerede med at finde overlap: Hvor længe skal en e-mail gemmes? Hvordan sikrer vi bevis for samtykke? Hvordan dokumenterer vi en beslutning 10 år senere i en retssag?

Konklusion: Samarbejde eller sammensmeltning?

Det er for tidligt at sige, at de to discipliner smelter sammen fuldstændigt – men det er oplagt at fremme tættere samarbejde og fælles modeller. Informationssikkerhed og records management er to sider af samme sag: De handler begge om at beskytte, dokumentere og skabe tillid til vores informationer – både nu og i fremtiden.

Ved at koble deres styrker, kan organisationer både stå stærkere i et risikobåret landskab og opnå mere værdi af deres data og dokumentation.