Hvad er en governance-model? I databeskyttelse og informationssikkerhed

En governance-model er en organisatorisk opskrift, som svarer på spørgsmålet: Hvem gør hvad, hvornår, hvordan og hvorfor? Her lærer du, hvad sådan en skal indeholde, og vi giver dig to konkrete eksempler fra informationssikkerhed og databeskyttelse.

Publiseringsdato: 
18/11/24
Jacob Høedt Larsen
PR & PA

Jacob Høedt Larsen, PR & PA hos Wired Relations, er værten for podcasten Sustainable Compliance og en ekspert i GRC-workflows, understøttet af software, opbygning af et GRC-program, ledelse af et GRC-team og sikring af ledelsens opbakning.

Læs mere fra forfatteren

Hvis du er i tvivl om, hvad governance er, kan du læse meget mere her. www.wiredrelations.com/dk/viden/hvad-er-governance

Hvorfor have en governance-model? 

En god governance-model skaber klarhed. Det gør den ved at sikre konsistens i hvem der træffer beslutninger, og hvordan de træffer. Derved undgår man gråzoner og uklarheder.

Samtidig styrker man (forhåbentligt) samarbejdet mellem funktioner som jura, IT og forretning, fordi man får anledning til at reflektere over, hvordan de bedst arbejder sammen.

Samlet set understøtter det risikostyringen og compliance med eksempelvis GDPR, NIS2, ISO 27001.

Hvad indeholder en governance-model? 

En governance-model indeholder typisk:

  • Roller og ansvar
    • Hvem kan træffe hvilke beslutninger?
    • Hvem har ansvaret for det operationelle?
    • Hvem skal involveres og hvornår? 
    • Ledelse, DPO, CISO, systemejere og databehandlere er eksempler på roller i en governance-struktur omkring informationssikkerhed og databeskyttelse.
  • Beslutningsprocesser
    • Hvordan træffes beslutninger i forskellige situationer?
    • Hvilke mødefora eller udvalg findes? Eksempler på vigtige processer i databeskyttelse og informationssikkerhed kan være nye systemanskaffelser, risikostyring og sikkerhedshændelser / databrud.
  • Politikker og retningslinjer
    • Hvilke principper ligger til grund for beslutninger?
    • Hvordan skal de implementeres og følges? Informationssikkerhedspolitikken, privatlivspolitikken og politikken for adgangskontrol er eksempler på politikker inden for informationssikkerhed og databeskyttelse.
  • Opfølgning og kontrol
    • Hvordan måles og kontrolleres det, at vi efterlever modellen? Eksempelvis via audits, KPI’er, risikovurderinger eller review af fortegnelsen.
  • Rapportering og transparens
    • Hvordan rapporteres der til ledelsen?
    • Hvordan dokumenteres governance-aktiviteter?

Governance-model skal passe til organisationen 

Organisationer er forskellige. Derfor skal en governance-model altid tilpasses organisationen. Når det gælder databeskyttelse, kan du imidlertid finde inspiration i lovgivningen og de forskellige frameworks og standarder.

Vi har udarbejdet to eksempler på en governance-model inden for:

De kan måske tjene som inspiration.

📰 Bliv opdateret på GRC

Få historier som denne direkte i din indbakke. Fra GDPR til cybersikkerhed – vi holder dig opdateret på, hvad der former den digitale fremtid.

👉 Tilmeld dig nyhedsbrevet

Måske er dette også noget for dig

Hvad er et GRC-system? En enklere vej til compliance

Skal vi tjene penge på vores data? Og andre historier fra sommerlandet

GDPR har givet store økonomiske gevinster