Husker du at dokumentere dine undtagelser?

I mange virksomheder er regler og compliance og de ting der implementeres i praksis et stormfuldt forhold. Der findes altid systemer, leverandører eller brugerscenarier, hvor den perfekte foranstaltning eller de aftalte regler ikke kan sættes i drift som tænkt eller med det samme.

Det er helt normalt – men kun hvis undtagelserne risikovurderes og håndteres kontrolleret.

En undtagelse er i praksis en bevidst afvigelse fra en policy eller kontrol. Det lyder harmløst, men uden dokumentation bliver undtagelsen usynlig, og usynlige undtagelser er gift for både ISO-27001, NIS2 og den interne governance. Man mister overblik, risici bliver ikke vurderet, og midlertidige beslutninger bliver hurtigt til permanente sårbarheder.

Den modne tilgang er enkel: hver undtagelse skal være synlig, risikovurderet, godkendt og tidsbegrænset. Det skaber en kultur, hvor driften kan fungere fleksibelt, uden at organisationen mister grebet om sikkerheden.

Det kan heldigvis gøres uden tunge processer. I vores Nem ISMS app kan undtagelser registreres lige så let som risici og de informationsaktiver de omhandler: du opretter en kort beskrivelse, begrundelse, risikovurdering, forventet varighed og kompenserende kontroller – og systemet hjælper dig med at holde styr på godkendelser og løbende evaluering/ opfølgning. Det giver et overblik, som både auditorer, ledelse og sikkerhedsansvarlige sætter pris på.

Når undtagelser er dokumenteret, bliver de en del af styringen i stedet for et skjult problem. Det er nøglen til at holde et ISMS både realistisk og robust. Det næste skridt er at se på, hvor undtagelserne viser mønstre – for dér gemmer sig ofte input til organisationens vigtigste forbedringer.

Vil du høre mere om hvordan man arbejder professionelt med IT-sikkerhed og compliance, så ræk ud og lad os få en dialog omkring sikkerhed i praksis.