Det er en misforståelse at tro at hvis man har kørt et DS484-projekt (den nu udgåede danske standard for informationssikkerhed) så har man styr på sin informationssikkerhed. Det betyder nemlig blot at man på et tidpunkt har indført den checkliste-sikkerhed som den gamle standard krævede. I dag ved man at tilstrækkeligt sikkerhed kun kan fås ved at virksomheden indfører processer det sikrer at der løbende gennemføres en række aktiviteter heriblandt:
- Risikovurdering i regelmæssige intervaller og efter behov
- Løbende opfølgning på risikovurderingerne, herunder stillingtagen og eventuel ændring af de tiltag man indfører (se evt Neuparts skydeskive)
- Regelmæssige målinger (metrikker) af om sikkerheden er god nok
- Intern audit dvs en egen-kontrol af om sikkerhedspolitik og regler følges og om valgte tiltag virker efter hensigten
- Ledelsens løbende stillingtagen til sikkerhedsniveauet.
- Løbende forbedringer, justeringer eller ændringer.
Nøgleord i ISO 27001 er netop processer og løbende forbedringer - uden disse kan man som virksomhed ikke sige, at man har styr på informationssikkerheden.
