GapSolutions projektmodel informationssikkerhed

Den første fase, Kortlægning, handler om at få et overblik over organisationens nuværende sikkerhedstilstand. Her analyserer GapSolutions organisationens struktur og sikkerhedsprofil. Det sker gennem en grundig dataindsamling og en række interviews, hvor organisationens medarbejdere og ledere bidrager med viden om processer, ressourcer og trusselsbillede. Fasen inkluderer en vurdering af organisationens eksponering for risici i offentligheden, dens politiske omdømme og andre eksterne faktorer, som kan påvirke sikkerheden. Kortlægningen omfatter også en identifikation af nøgleprocesser og -aktiver, som er essentielle for organisationens drift. Det giver et detaljeret billede af, hvilke områder der er mest sårbare og kræver øget beskyttelse.

Når kortlægningen er gennemført, overgår projektet til den næste fase, Risikostyring. I denne fase fokuserer GapSolutions på at analysere og håndtere de identificerede risici, og processen tager udgangspunkt i anerkendte standarder som ISO 27005:2022 og NIST RMF. Disse standarder giver en systematisk tilgang til risikovurdering, hvor GapSolutions sammen med organisationen vurderer og prioriterer sikkerhedsrisici ud fra, hvor sandsynlige de er, og hvor alvorlige deres konsekvenser kan blive. De kritiske aktiver, der blev kortlagt i første fase, analyseres nu for deres sårbarhed og vigtighed. Med dette grundlag udvikles afhjælpningsstrategier, der har til formål at mindske risiciene så effektivt som muligt, hvilket kan inkludere tekniske løsninger, ændringer af processer og procedure eller medarbejderuddannelse.

I den sidste fase – Implementering – gennemgås hele organisationens compliance og sikkerhedsforanstaltninger. Målet er at sikre, at organisationen lever op til gældende standarder og lovkrav såsom ISO 27001/2 og NIS2. Revisionen indebærer typisk en gennemgang af organisationens interne og eksterne compliance-niveau, herunder hvordan ledelsen håndterer informationssikkerhed og hvilke politikker, der er på plads for at beskytte organisationens aktiver og data. Det kan også omfatte opdateringer i audit-funktioner og ledelsestræning samt implementering af politikker og procedurer, der kontinuerligt skal opretholde et højt sikkerhedsniveau. Denne fase skal sikre, at organisationen er robust og klar til at håndtere potentielle sikkerhedshændelser i fremtiden.