It-branchen vælter sig i forkortelser - og nogle af dem glemmer vi hurtigere end andre. En der dukkede op i Danmark i 2009, og som har gode chancer for at få mere fodfæste i it-sikkerhedsbranchens bevidsthed, er GRC: Governance, Risk- og Compliance management. It-delen af GRC omfatter (IT GRC):
- Governance: It-ledelse, it-sikkerhedsledelse, tilpasning af it og it-sikkerhed med forretningsmål, ISMS, sikkerhedspolitikker, beredskabsplaner, forankring, awareness-kampagner med mere.
- Risk Management: Hvor stor er organisationens "risikoappetit"? Hvordan afhænger forretningen af it og hvad gør ondt på forretningen (konsekvensvurdering, "BIA"). Hvor sandsynligt er det at det sker? Hvordan håndterer organisationen dens risici?
- Compliance Management: Identifikation og aktiviteter der sikrer efterlevelse (helt eller delvist) af kravsæt eller anbefalinger, der typisk er i form af lovgivning, kundekrav eller standarder for et område eller for en branche.
GRC-begrebet er tilsyneladende kommet for at blive, fordi det ret godt definerer de opgaver der ligger under informationssikkerhed, databeskyttelse og bæredygtighed. Der er også det forhold at langt de fleste, hvis ikke alle, organisationer har brug for de tre begreber hver for sig. En anden årsag til den store interesse for governance, risk og compliance er, at IT GRC hjælper med - eller er måske ligefrem en forudsætning for - en ordentlig implementering af informationssikkerhed og databekyttelse.