"Vi har valgt at implementere ledelsessystemet til informationssikkerhed, som fungerer efter principperne i ISO 27001. Derudover har vi begyndt implementeringen af en risikostyringsmodel baseret på ISO 27005."
"Vi påbegyndte arbejdet med etablering af ledelsessystemet i andet halvår af 2022, med det mål at have det på plads i forbindelse med krav til MitID-integration, da dette blev lanceret i slutningen af Q2 2023. Implementeringen skete sideløbende med andre aktiviteter i relation til krav for MitID."
"Arbejdet med at implementere standarden omkring ledelsessystemet skete op imod en klar deadline, der var med til at definere metode og værktøjer. Rent praktisk blev processen drevet i mål af en ekstern forretningskonsulent og et mindre hold medarbejdere."
"Systemet, som det er defineret omkring snitfladerne til MitID skulle revideres, og bliver kontinuerligt revideret af ekstern revision, så det blev skåret til og begrænset til udelukkende at omhandle de relevante områder."
"Det blev også besluttet at holde de tekniske værktøjer til arbejdet så lavpraktiske som muligt, og i de fleste tilfælde genbruge organisatoriske roller og processer frem for at etablere nye."
"For nuværende pågår et arbejde med at udskifte nogle af de mere lavpraktiske værktøjer og brede standarden omkring ledelsessystemet ud over flere områder. Heri ligger også et arbejde i at tage en risikovurderingsmodel baseret på ISO 27005 i bredere brug."
"Man kan vælge at se på opgaven som en masse ressourcer og krav, eller som noget, der hjælper en til at forholde sig til udfordringerne. Vi valgte at bruge det som en løftestang til at styrke organisationen."
"Der var helt sikkert en udfordring med den meget stramme deadline ift. implementeringen at MitID, og det faktum, at der lå en revisionsproces og ventede i slutningen af forløbet."
"Desuden har der været udfordringer med nødvendige ressourcer, og med at Lejerbo ikke tidligere har arbejdet med en ledelsesorganisering på denne måde og ikke har erfaring med at arbejde risikobaseret."
"Her har vi i implementeringen lænet os op ad de lignende problemstillinger, som mødte de ansvarlige for at implementere systemer og procedurer til overholdelse af GDPR-lovgivning."
"Den mest direkte effekt af implementeringen har været, at vi overholder kravene, så vi kan gøre det, vi skal gøre."
"Men vi har også set, at implementeringen har gjort det lettere for os at have en samlet og sammenhængende dialog om informations- og cybersikkerhed på tværs af organisationen. Det har gjort det nemmere at prioritere ud fra denne fælles referenceramme. Eksempelvis kunne forsikringer være noget, der traditionelt set blev varetaget af direktionen, men man kan bruge standarden til at stille krav til, hvad forsikringen skal indeholde, og hvordan den skrues sammen, så det bliver en bredere beslutning blandt forskellige fagligheder."
"Derudover har det sat ledelsesmæssigt fokus på behovet for standardiseringer og efterlevelse af eksterne krav, både på dette og andre områder."
"Der skabes et værdifuldt samarbejde omkring prioriteringer på tværs af organisationen. Der er faktisk nogle krav og behov som ledelsen kan forholde sig til."
"Ja, det er helt sikkert det værd. Nu har vi nogle standarder og systemer som sikrer styring ind i organisationen. Det har vist sig effektivt."
"Men det kræver at man forholder sig til alle områderne og laver et realistisk system ud fra det, organisationen har brug for. Ikke mere end det."
"Men det med at forstå kernen i, hvad organisationen gør, og kigge på, hvordan processer og strukturer kan skaleres, det er en vigtig øvelse."
Lejerbo er et almennyttigt boligadministrationsselskab, hvor overskuddet skal gå til almennyttige formål i de organisationer, Lejerbo administrerer.
Lejerbo varetager udlejning,
økonomistyring, HR-funktioner, jura,
driftsledelse og IT-systemer.
Ca. 200 ansatte.
Læs mere om Lejerbo- At kigge på, hvordan processer og strukturer kan skaleres, det er en vigtig øvelse Max Thomsen, IT-systemadministrator, Lejerbo
