2023-09-28
Vad är compliance?
Compliance, eller regelefterlevnad som vi säger på svenska, är ett begrepp som figurerat allt oftare på senare tid. Men vad lägger vi i begreppet compliance? Har alla samma uppfattning om dess innebörd? Vår medarbetare Juha Nikumaa reder ut begreppet en gång för alla.
Vad?
När man pratar om compliance eller regelefterlevnad syftar man ofta till olika typer av lagar, standarder eller ramverk. Dessa kan vara internt beslutade av en organisation, men oftast handlar det om bestämmelser eller regelverk inom en viss bransch, utfärdade av en myndighet. Ett tydligt exempel som många kan relatera till är GDPR, som de allra flesta i vår bransch har arbetet med i någon form.
Compliance är också en viktig del i arbetet med systematisk informationssäkerhet, framförallt när det gäller att skapa eller upprätthålla ett ledningssystem, förkortat LIS eller på engelska ISMS (information security management system). Den kanske mest kända standarden för detta är ISO 27001. Vare sig man har som mål att uppnå ett certifikat eller endast söker ett beprövat sätt att arbeta med informationssäkerhet så är ISO 27001 något att följa, helt eller delvis.
”Compliance är den del inom informationssäkerhet som arbetar stödjande med de regler och krav som ska efterlevas inom en verksamhet”
Hur?
Oavsett om man följer en lag (som GDPR) eller håller sig till en standard (som ISO 27001) finns sådant som antingen rekommenderas eller kravställs. Och det är just här compliance kommer in i bilden. De som jobbar med compliance är oftast de som kommer med rekommendationer och därmed kommunicerar kravbild, utför revisioner och stödjer arbetet. I Microsoft 365 finns tekniskt stöd inbyggt i Compliance Manager, men vi på Exobe har valt att även skapa en egen runbook, tillsammans med Cirio Advokatbyrå. Denna runbook kan användas dels för att utföra revision inom tidigare nämnda lagar och standarder, men också staka ut riktningen för vad som bör införas framgent.
För att lyckas med implementeringen krävs att representanter från hela verksamheten – som är väl insatta i arbetssätt, vision samt inre och yttre krav – är delaktiga. Som extern konsult kan vi inte gå in med ett färdigt paket av dokument och riktlinjer, utan detta måste skräddarsys utifrån varje givet tillfälle. Vår långa erfarenhet och Cirios djupa kunskap skapar förutsättningar att förenkla och hålla en bra fart framåt. Och här ska tilläggas att vi inte ser något tydligt slut i denna typ av projekt, då såväl omvärlden som de interna kraven och målen förändras med tiden.
Varför?
Utöver de fall då det finns en lag eller standard som man måste följa för att få utöva sin verksamhet, är det flesta måna om att skydda sin information då kunskapen inom bolaget ofta utgör dess hela värde. Det kan handla om att skydda informationen från stöld, skydda mot att den försvinner eller förstörs samt att säkerställa att informationen är tillgänglig när den behövs. Ett vanligt misstag är att man börjar titta på tekniska lösningar, utan att först ha gjort sitt förarbete. Vår rekommendation är att man alltid börjar med att kartlägga informationen, utföra riskanalyser, designa informationsklasser, sätta rutiner för incidenthantering och liknande. Genom detta arbete skapar man en grundtrygghet både internt och mot kunder och partners.
Summering
Compliance är alltså den del inom informationssäkerhet som arbetar stödjande med de regler och krav som ska efterlevas inom en verksamhet, samt följer upp att man nått de målsättningar som finns definierade i valda regelverk. Inom kort kommer vi att publicera en uppföljningsartikel med fokus på vilka verktyg som finns i Microsoft 365 Purview för att skydda information och leva upp till compliancekraven. Håll utkik!
Vill du veta mer om hur vi på Exobe kan hjälpa dig med compliance och regelefterlevnad? Hör av dig!
Relaterade inlägg
Vill du vara säker på att inte missa något
Som du märker brinner vi för att dela med oss av våra erfarenheter, nyttiga lärdomar och spaningar ut i exosfären. Se till att följa vårt nyhetsbrev eller vårt flöde på Linkedin så du inte missar något.