Hos GapSolutions hjælper vi jer med at løfte informationssikkerhed fra teknisk nødvendighed til en integreret del af forretningen. Vi arbejder pragmatisk, risikobaseret og tilpasset – og vi ved, at one-size-løsninger sjældent passer nogen.
Uanset om I skal implementere ISO 27001, komme i mål med NIS2 – direkte fordi I er omfattet eller indirekte fordi jeres kunder kræver det – eller bare skabe bedre struktur omkring jeres kontroller, hjælper vi jer med at finde den optimale kombination af governance, teknologi og dokumentation.
Vi understøtter både opbygning af ISMS, kortlægning af risici, kontroldesign og ledelsesforankring – og vi sørger for, at alt kan dokumenteres. Ikke bare ved audit, men i hverdagen. Vi giver jer en sikkerhedsindsats der sikrer, at jeres compliance er med til at understøtte driften. Vi tager altid udgangspunkt i netop jeres drift, så I får indsatser, der fungerer både på papiret og i praksis.
Vi hjælper jer med at etablere og forankre de nødvendige processer, kontroller og dokumentationskrav i jeres organisation. Det kan fx være i forbindelse med opbygning af et ISMS, risikobaseret tilpasning af foranstaltninger eller alignment med krav i ISO 27001, NIS2 eller CIS18.
Implementeringen sker med udgangspunkt i jeres eksisterende setup og modenhedsniveau – og dokumenteres løbende i GapPortalen.
Med en serviceaftale sikrer I, at jeres arbejde med informationssikkerhed vedligeholdes systematisk. Vi står for løbende opdatering af politikker, risikovurderinger og kontroller – og følger op, når der sker organisatoriske eller teknologiske ændringer.
Aftalen inkluderer faste statusmøder, dokumentation i GapPortalen og sparring efter behov. Formålet er at sikre fremdrift, overblik og compliance – så jeres setup altid er opdateret og fungerer i praksis.
Vi udarbejder en dokumenteret vurdering af jeres sikkerhedsarbejde – fx på baggrund af en audit, kontrolgennemgang eller modenhedsvurdering. Rapporten giver et overblik over styrker, mangler og prioriterede anbefalinger og kan anvendes internt eller som dokumentation over for ledelse, revisor eller tilsyn.
Alle observationer og anbefalinger knyttes til relevante krav – fx i ISO 27001, NIS2 eller egne politikker.
Vi hjælper med forberedelse til ekstern audit – fx i forbindelse med ISO 27001-certificering, ISAE-erklæring eller tilsyn. Det omfatter review af dokumentation, gapvurdering op mod relevante kontrolmål og klargøring af beviser.
Vi kan også deltage som støtte under selve auditten, hvis det ønskes – og bidrage til at sikre konsistens i det, der fremvises og forklares.
Beredskabsplaner er en central del af arbejdet med informationssikkerhed og sikrer, at organisationen kan reagere effektivt ved alvorlige hændelser som systemnedbrud, databrud eller leverandørfejl.
Vi hjælper med at udarbejde planer, der omfatter både hændelseshåndtering, krisestyring og genopretning – med tydelig rollefordeling, aktiveringskriterier og konkrete procedurer. Planerne forankres i jeres risikoscenarier og afhængigheder og dokumenteres i GapPortalen.
Vi rådgiver også om test og review af planerne, så de kan anvendes i praksis og understøtte krav i fx ISO 27001 og NIS2.
Vi tilbyder målrettet uddannelse af ledelsen i informationssikkerhed – med fokus på ansvar, risici og det strategiske beslutningsgrundlag. Forløbet kan tilpasses som sidemandsoplæring, workshop eller kursus og tager udgangspunkt i jeres forretning og trusselsbillede.
Uddannelsen giver et klart overblik over krav, de væsentligste risici og de konkrete tiltag, som ledelsen kan iværksætte for at styrke sikkerheden og sikre, at organisationen efterlever gældende standarder og lovkrav.
At blive certificeret kræver mere end gode intentioner. ISO 27001 stiller krav til både ledelsesforankring, dokumentation og kontroller, der fungerer i praksis. Med en målrettet klargøring hjælper vi jer med at vurdere, hvor I står i dag, identificere huller og få etableret de nødvendige processer. Målet er, at I kan gå til audit med et setup, der er både robust og tilpasset jeres forretning.
Der bliver talt meget om NIS2 – og med god grund. Direktivet stiller øgede krav til sikkerhed, ledelsesansvar og dokumentation i en lang række sektorer. Men det er ikke nok at læse lovteksten og tage den fra ende til anden. NIS2 skal omsættes til konkret praksis i jeres egen kontekst.
Det kræver overblik over jeres forretningskritiske funktioner, risici og eksisterende kontroller – og en systematisk tilgang til, hvor og hvordan I skal styrke jeres sikkerhedsniveau.
Hos GapSolutions hjælper vi med at operationalisere kravene, så I får en løsning, der er til at arbejde med – og som kan dokumenteres.
Effektiv informationssikkerhed starter med en skarp risikovurdering. Vi hjælper jer med at identificere og vurdere jeres kritiske aktiver, trusler og sårbarheder – så I kan prioritere indsatserne og dokumentere, at der er styr på risikoen. Lad os tage en snak om jeres risikoscenario – kontakt os i dag.
Standarder og rammeværk er vigtige, men de gør først en forskel, når de omsættes til praksis. Vi hjælper jer med at skabe overblik, vurdere modenhed og identificere de indsatsområder, der styrker jeres informationssikkerhed. Uanset om det handler om ISO, NIS2 eller et andet framework, får I et setup, der styrker jeres modstandsdygtighed og giver jer en solid ramme for både drift og udvikling.
Uanset om I er direkte omfattet af NIS2, eller oplever krav som led i værdikæden, bistår vi med at operationalisere direktivets krav. Vi hjælper med fastlæggelse af omfang og rolle, gapanalyse i forhold til Artikel 21, etablering eller tilpasning af ISMS, risikovurderinger, kontrolkatalog og governancedokumentation.
Derudover rådgiver vi om registreringspligt, tilsynsmodellen og ledelsesforankring – så I både lever op til kravene og står stærkt over for kunder, samarbejdspartnere og tilsynsmyndigheder.
ISAE 3402 er en international revisionsstandard, som er relevant for serviceleverandører, der skal dokumentere deres kontroller over for kunder. Vi bistår med strukturering af kontrolbeskrivelser, procesdokumentation og governance, så I kan levere det nødvendige materiale til en type I- eller type II-erklæring.
ISO 27001 er den førende standard for etablering og drift af et Information Security Management System (ISMS). Den giver en struktureret ramme for risikobaseret styring af informationssikkerhed og stiller krav til ledelsesmæssigt engagement, systematisk kontrol og løbende forbedringer. ISO 27002 understøtter med konkrete retningslinjer til valg og implementering af kontroller. Vi hjælper med fortolkning af krav, gapanalyse, implementering og klargøring til audit – altid tilpasset jeres kontekst og modenhedsniveau.
CIS18 er et praksisnært kontrolrammeværktøj, der dækker hele spektret af cybersikkerhed – fra asset management og access control til monitoring og incident response. Kontrollerne er opdelt i tre implementeringsgrupper (IG1–IG3) og tilpasses organisationens størrelse, kompleksitet og risikoprofil. Vi bruger ofte CIS18 som supplement til eksisterende sikkerhedsrammeværk – fx ISO 27001 – og som en effektiv metode til at validere, om tekniske og organisatoriske foranstaltninger reelt er implementeret og fungerer efter hensigten.
NIST Cybersecurity Framework (CSF) anvendes bredt i USA og er velegnet i miljøer med høje krav til dokumentation, drift og regulering – fx hvis I opererer på det amerikanske marked eller samarbejder med amerikanske virksomheder. Rammeværket opdeler cybersikkerhed i fem funktionsområder: Identify, Protect, Detect, Respond og Recover. Vi bruger det til modenhedsvurderinger, gapanalyser, målbilleder og valg af kontroller – ofte som supplement til ISO 27001, når der er behov for et mere operationelt eller amerikansk orienteret afsæt.
En GapAnalyse er en systematisk gennemgang af jeres kontroller, processer og dokumentation op mod krav i fx ISO 27001 og NIS2. Formålet er at identificere afvigelser mellem jeres nuværende setup og de krav, I skal leve op til – både teknisk og organisatorisk. Resultatet er en prioriteret handlingsplan, der kan danne grundlag for næste skridt i arbejdet med styrket informationssikkerhed.
SKI-aftalerne stiller i dag markante krav til dokumenteret informationssikkerhed gennem sikkerhedsbilagene i bl.a. SKI 02.14 og SKI 02.17.
Det gælder både for leverandører, der ønsker at byde ind, og for dem, der allerede er tilknyttet og skal kunne demonstrere efterlevelse over for kunder og tilsyn.
Vi hjælper jer med at omsætte kravene i sikkerhedsbilagene til konkret praksis: fastlæggelse af roller og ansvar, gapanalyse mod bilagskravene, etablering eller styrkelse af ISMS-principper, risikovurderinger, kontrolmål og nødvendig dokumentation.
Derudover rådgiver vi om kravene til kontraktstyring, leverandørhåndtering og den løbende opfølgning, som SKI-aftalerne forventer.
For at gøre processen effektiv har vi udviklet en komplet skabelon til SKI-sikkerhedsbilagene, så I kan få en struktureret og gennemprøvet opsætning, der matcher både SKIs formuleringer og almindelig best practice i informationssikkerhed.
Har du spørgsmål til jeres setup – eller brug for sparring på næste skridt? Vores konsulenter møder jer på jeres niveau og guider jer sikkert videre. Tag fat i os, hvis I vil høre mere om, hvordan vi kan hjælpe.
