Dette er en beskrivelse av delaktivitetene under Måling, evaluering og revisjon. Det er vist til maler, eksempler og støttedokument samt utdypende beskrivelser under aktiviteter som har slike.

Målgruppe

• fagansvarlig informasjonssikkerhet
  
  • Hele beskrivelsen
• ledere med ansvar i internkontrollarbeidet
  
  • Enkeltaktiviteter avhengig av lederens ansvar

Innhold

• Innledning
• Vurdere status på eget ansvarsområde
• Måle tilstanden på definerte indikatorer
• Gjennomføre evalueringer
• Gjennomføre internrevisjon

1 Innledning

Formålet med denne hovedaktiviteten er at ledere på alle nivå skal få bedre kunnskap om tilstanden på sitt ansvarsområde. Man må systematisk vurdere om sikkerhetstiltak fungerer, om regelverk etterleves og om internkontrollarbeidet rundt om i virksomheten blir gjennomført som forutsatt. Slik kunnskap får man gjennom ulike kombinasjoner av målinger, undersøkelser, evalueringer og revisjoner. Målinger og undersøkelser kan være bakgrunnsdata eller inngå i evalueringer og revisjoner.

Forholdet mellom målinger, undersøkelser, evalueringer og revisjon er illustrert i figuren nedenfor.

1.1 Aktiviteter

Under følger en beskrivelse av hver av de systematiske aktivitetene som inngår i måling, evaluering og revisjon. Ledere på alle nivå må systematisk:

• Vurdere status på eget ansvarsområde

Ved regelverkskrav eller krav fra ledelsen må ulike aktører:

• Måle tilstanden på definerte indikatorer
• Gjennomføre evalueringer

*****

2 Vurdere status på eget ansvarsområde

Ansvarlig for gjennomføring:

• Alle ledere samt andre aktører som har fått et eget ansvarsområde knyttet til internkontrollarbeidet.

2.1 Om aktiviteten

Ulike aktører i virksomheten vil normalt ha krav på seg om å vurdere status på eget ansvarsområde og sørge for forbedringer ved behov. Dette kan være

• ledere som delegerer og skal følge opp gjennom linjen
• oppgave- og systemeiere
• tiltaksleverandører
• ansvarlige for tjenestenivåavtaler eller andre avtaler
• ansvarlige for egne deler av internkontrollaktivitetene, som f.eks. hendelseshåndteringssystemet og internrevisjon

Hvem som skal gjennomføre slike vurderinger, bør fremgå av virksomhetens styrende dokumenter.

2.2 Vurdere tilliten til at status er tilfredsstillende

En hensiktsmessig tilnærming kan være å starte med å vurdere hvor stor tillit man har til at status på eget ansvarsområde er slik den bør være. Dette kan uttrykkes i nivå: lav, moderat, høy. Tilliten kan være forskjellig for ulike deler av ansvarsområdet.

Det bør foretas en reell vurdering av

• om sikkerhetstiltak man har ansvaret for fungerer som forutsatt
• om vedkommende selv og de personer han har ansvaret for
  
  • følger gjeldende lov- og regelverk
  • gjennomfører pålagte oppgaver i internkontroll- og sikkerhetsarbeidet på en tilfredsstillende måte
  • etablerer og følger opp vedtatte eller avtalte sikkerhetstiltak
  • etterlever innførte sikkerhetstiltak

Viktige grunnlag er

• egne observasjoner
• formelle og uformelle medarbeidersamtaler
• tilbakemelding fra andre
• rapportering eller indikasjoner fra avviks- og hendelseshåndteringen

2.3 Gjennomføre undersøkelser ved behov

Dersom man etter en slik vurdering ikke har tilstrekkelig tillit til at det man har ansvaret for fungerer tilfredsstillende, bør det gjennomføres en eller flere undersøkelser av reell status.

Omfang og kompleksitet på undersøkelsene vil variere, avhengig av sakens egenart og lederens informasjonsbehov. Enkle undersøkelser kan den ansvarlige gjøre selv. Undersøkelser som er mer tidkrevende eller metodisk og teknisk kompliserte, kan man ha behov for å engasjere noen, interne eller eksterne, for å gjøre.

2.4 Rapportere og forbedre

Dersom undersøkelsen viser at det er avvik, må disse rapporteres, dersom det er krav om dette. Den ansvarlige må også sørge for konkrete forbedringstiltak. Disse må gjennomføres og følges opp systematisk, slik at ting fungerer, og tilliten økes til et tilfredsstillende nivå.

2.5 Dokumentere vurderinger og undersøkelser

Resultatet av statusvurderingen sammen med hvilke undersøkelser og oppfølgingstiltak som eventuelt er gjennomført, bør dokumenteres i et kort notat.

Utdypning:

• Delaktiviteten Vurdere status på eget ansvarsområde er beskrevet mer detaljert i veiledningsmateriellets samling av utdypninger

*****

3 Måle tilstanden på definerte indikatorer

Ansvarlig for gjennomføring: 

• De personer virksomhetsledelsen eller linjeledere har pekt ut til å etablere et system for målinger eller til å gjennomføre og rapportere konkrete målinger.

3.1 Om aktiviteten

Dersom ledelsen ønsker å følge tilstanden i virksomheten over tid, kan det være hensiktsmessig å etablere et system med relevante måleindikatorer, samt krav til systematisk måling og rapportering. En slik beslutning tas normalt i tilknytning til virksomhetsledelsens gjennomgang.

3.2 Indikatorer kan brukes til statusoversikt og styring

Indikatorene kan gi nyttig statusinformasjon. Dersom de er egnet, kan de også benyttes som styringsindikatorer som virksomhetsledelsen setter konkrete resultatmål for. Målene kan gjelde hele eller deler av virksomheten.

Vurderer man å benytte dem som styringsindikatorer, bør man være oppmerksom på mulige sideeffekter av å styre for strengt etter enkelte indikatormål. Indikatorer viser alltid kun én side. Det er også vanskelig å utforme et indikatorsett som i tilstrekkelig grad sikrer at konfidensialitet, integritet og tilgjengelighet balanseres.

3.3 Utarbeide innhold i målingene

Ønsker virksomhetsledelsen å følge utviklingen på indikatorer over tid, anbefaler vi at de først nedsetter en arbeidsgruppe som i samarbeid med relevante aktører utarbeider et forslag til målinger. Forslaget bør inneholde

• innen hvilke områder det bør måles
• aktuelle indikatorer for hvert område
• metoder for datainnsamling for hver indikator
• frekvens og tidspunkt for hver måling
• ansvarlig for hver måling
• rapporteringstider og -måter

Vi anbefaler at man i første omgang velger ut noen få indikatorer, eventuelt også noen få spesielt etterspurte indikatorer eller nøkkeltall. Det er bedre å få prøvd ut noen få først, og eventuelt utvide senere ved behov, enn å gå for bredt ut i starten. Da kan man også bedre se og vurdere ressursbruken i forhold til nytten.

3.4 Etablere, gjennomføre og rapportere målingene

Når forslaget er behandlet og vedtatt av virksomhetsledelsen, må de som blir ansvarlig for målingene, etablere nødvendige målepunkt og målemetoder. Det vil ofte være behov for at dette arbeidet koordineres av fagansvarlig informasjonssikkerhet eller en annen utpekt person. Det bør være klare frister for å få målingene i gang.

Når målingene og rutinene rundt er etablert, må målingene gjennomføres i henhold til angitt tidspunkt, frekvens og ansvar.

Det vil oftest være naturlig at fagansvarlig informasjonssikkerhet får ansvaret med å sammenstille de utførte målingene, og presentere disse for ledelsen i rapporter. Dette kan blant annet være til virksomhetsledelsens gjennomgang.

3.5 Bruk i linjestyringen forøvrig

Linjeledere på ulikt nivå kan ved interesse eller behov innføre måleindikatorer for oppfølging av eget ansvarsområde.

Dersom virksomheten allerede har et indikatorsett, vil disse ofte kunne danne en god basis. For lokale ledere vil det oftest være interessant å se resultatet både for egen organisatorisk enhet, sammenlignet med andre enheter og for virksomheten samlet.

Ut fra de ulike enheters egenart kan det også være aktuelt å etablere helt egne indikatorer.

3.6 Systematisk evaluering av indikatorsett

Noen i virksomheten bør pekes ut som ansvarlig for å vedlikeholde det indikatorsett som er valgt på virksomhetsnivå, og eventuelt på underliggende nivå.

De ansvarlige bør sørge for at bruken og nytten blir evaluert systematisk. Indikatorer som fungerer dårlig, bør justeres. Man må samtidig være oppmerksom på at indikatorer må kunne sammenlignes over tid dersom man skal se en utvikling, så det er viktig å ikke gjøre for hyppige endringer.

*****

4 Gjennomføre evalueringer

Ansvarlig for gjennomføring: 

• De personer virksomhetsledelsen eller linjeledere har pekt ut til å gjennomføre konkrete evalueringer.

4.1 Om aktiviteten

En evaluering er som regel bestilt fra virksomhetsledelsen. Bestillingen vil ofte ha sin bakgrunn i enten

• en overordnet risikovurdering
• usikkerhet om viktige prosesser i internkontrollen fungerer godt nok
• behov for å vite mer om hvordan spesifikke deler av internkontrollarbeidet virker inn på virksomhetens informasjonssikkerhetsmål, primære mål, effektivitet og regelverksetterlevelse.

Evalueringer kan for eksempel være:

• Analyse av status på internkontrollområdet informasjonssikkerhet generelt, eller på et spesifikt delområde, utført på oppdrag fra virksomhetsledelsen
• Gjennomføring av lovpålagte eller avtalte systemgjennomganger, systemrevisjoner o.l., utført på oppdrag fra risikoeiere eller systemeiere fellessystem
• En grundig undersøkelse som oppfølging av en leders usikkerhet i aktiviteten Vurdere status på eget ansvarsområde

4.2 Kan utføres av både interne og eksterne fagmiljø

Evalueringer kan ledes og utføres av både interne og eksterne fagmiljø. Tilgjengelige ressurser og behov for uavhengighet til det som skal evalueres, er viktige kriterier når man velger hvem som skal utføre arbeidet.

Hvem som utfører arbeidet, påvirker graden av uavhengighet. Dette må virksomhetsledelsen være klar over både ved organisering, bestilling og forståelse av sluttrapporten fra en evaluering.

4.3 Planlegging, informasjonskilder og metoder

En evaluering er en systematisk planlagt prosess. Evalueringsoppdraget bør være spesifisert og avgrenset. Som en del av planleggingen må den som skal utføre evalueringen, finne ut hvilken informasjon som må hentes inn og analyseres for å svare på oppdraget. Dette skjer ofte i dialog med oppdragsgiver før datainnhentingen gjennomføres.

Man må også ta stilling til om man skal bruke kvantitative metoder, kvalitative metoder eller kombinasjoner, og man vil i vår sammenheng ofte benytte referansepunkt som standarder eller dette veiledningsmateriellet.

4.4 Resultat

Resultatene fra evalueringer presenteres for oppdragsgiver. De vil ofte inneholde anbefalinger om konkrete tiltak for å rette opp i de avvik eller svakheter man har funnet. I hvilken grad slike anbefalinger skal gis, vil normalt være styrt av oppdraget.

Resultatet bør også gjøres kjent for dem som er omfattet av evalueringen. Det sikrer forståelse og læring av målinger, undersøkelser og evalueringer.

*****

5 Gjennomføre internrevisjon

Ansvarlig for gjennomføring:

• De personer virksomhetsledelsen eller linjeledere har pekt ut til å gjennomføre konkrete internrevisjoner.

5.1 Om aktiviteten

Formålet med en internrevisjon er å få en formell vurdering av om virksomheten følger bestemte krav, og om kravene er implementert og vedlikeholdt på en formåls- og kostnadseffektiv måte. Revisjonen utføres på oppdrag fra virksomhetsledelsen.

Kravene kan være virksomhetens egne retningslinjer for internkontrollarbeidet innen informasjonssikkerhet, kravene i standarden ISO/IEC 27001, bestemte lovkrav eller kombinasjoner av dette.

Virksomhetsledelsen bør systematisk vurdere behovet for slike revisjoner og ved behov sørge for gjennomføring.

5.2 Avgrenset krav til internrevisor

En internrevisjon for internkontroll informasjonssikkerhet, slik det er beskrevet i ISO/IEC 27001, trenger ikke å bli utført av formelle revisorer eller av en egen internrevisjonsfunksjon i virksomheten. Det er tilstrekkelig at de som får oppdraget vet hvordan det skal gjøres, vurderes som faglig kvalifisert for oppdraget og har tilstrekkelig objektivitet og avstand til det som revideres.

Som for evalueringer kan oppdraget utføres av både eksterne og interne fagmiljø.

5.3 Evalueringer - et alternativ når man ikke trenger sertifisering

En revisjon etter ISO/IEC 27001 må følge kravene i standardens kapittel 9.2.

For virksomheter som ikke skal sertifiseres etter ISO/IEC 27001, men kun skal basere seg på standarden, vil evalueringer med spisset mandat være gode alternativ til slike internrevisjoner.

Det er formålet og resultatet som er det viktigste. Det er imidlertid her viktig at de som gjør en slik evaluering, har tilstrekkelig objektivitet.

Evalueringer av ulike deler av internkontrollarbeidet vil uansett være nyttige som supplement i virksomhetens status- og styringsinformasjon.

Det er også viktig å være klar over at det kan være at virksomheten må gjennomføre sikkerhetsrevisjoner for å oppfylle lovkrav.

5.4 Tre faser i en revisjon

En revisjon består i grove trekk av tre faser:

• Planleggingsfasen, der revisjonsprogrammet settes opp. Her skal man fastsette metoder, ansvar og krav til rapportering samt utforme revisjonshandlingene. Man må også spisse revisjonen og avsette riktige ressurser.
• Gjennomføringsfasen, der revisjonshandlingene gjennomføres for å skaffe til veie revisjonsbevis som understøtter om en aktivitet, prosess eller organisatorisk enhet fungerer som forutsatt eller ikke.
• Rapporteringsfasen, der revisjonen oppsummeres gjennom de funn og observasjoner som er gjort, med tilhørende anbefalinger.

5.5 Revisjonsrapporten

Revisjonsrapporten vil være et viktig styringsdokument for ledelsen. I informasjonssikkerhets­sammenheng bør revisjonsrapporten benyttes i forbindelse med virksomhetsledelsens gjennomgang.

5.6 Sentrale standarder i revisjonsarbeidet

Følgende internasjonale standarder kan være nyttige i forbindelse med gjennomføring av internrevisjon av internkontrollarbeidet på informasjonssikkerhetsområdet:

• NS-EN ISO 19011:2011 Retningslinjer for revisjon av styringssystemer
• NS-ISO/IEC 27007:2017 Veiledning i revisjon av styringssystem for informasjonssikkerhet

────────────────────────────────────────────────────────────────────

Til toppen av siden

────────────────────────────────────────────────────────────────────