Internkontroll/styringssystem (Versjon 1.5)
Dette er en beskrivelse av delaktivitetene under Måling, evaluering og revisjon. Det er vist til maler, eksempler og støttedokument samt utdypende beskrivelser under aktiviteter som har slike.
Formålet med denne hovedaktiviteten er at ledere på alle nivå skal få bedre kunnskap om tilstanden på sitt ansvarsområde. Man må systematisk vurdere om sikkerhetstiltak fungerer, om regelverk etterleves og om internkontrollarbeidet rundt om i virksomheten blir gjennomført som forutsatt. Slik kunnskap får man gjennom ulike kombinasjoner av målinger, undersøkelser, evalueringer og revisjoner. Målinger og undersøkelser kan være bakgrunnsdata eller inngå i evalueringer og revisjoner.
Forholdet mellom målinger, undersøkelser, evalueringer og revisjon er illustrert i figuren nedenfor.
Under følger en beskrivelse av hver av de systematiske aktivitetene som inngår i måling, evaluering og revisjon. Ledere på alle nivå må systematisk:
Ved regelverkskrav eller krav fra ledelsen må ulike aktører:
*****
Ansvarlig for gjennomføring:
Ulike aktører i virksomheten vil normalt ha krav på seg om å vurdere status på eget ansvarsområde og sørge for forbedringer ved behov. Dette kan være
Hvem som skal gjennomføre slike vurderinger, bør fremgå av virksomhetens styrende dokumenter.
En hensiktsmessig tilnærming kan være å starte med å vurdere hvor stor tillit man har til at status på eget ansvarsområde er slik den bør være. Dette kan uttrykkes i nivå: lav, moderat, høy. Tilliten kan være forskjellig for ulike deler av ansvarsområdet.
Det bør foretas en reell vurdering av
Viktige grunnlag er
Dersom man etter en slik vurdering ikke har tilstrekkelig tillit til at det man har ansvaret for fungerer tilfredsstillende, bør det gjennomføres en eller flere undersøkelser av reell status.
Omfang og kompleksitet på undersøkelsene vil variere, avhengig av sakens egenart og lederens informasjonsbehov. Enkle undersøkelser kan den ansvarlige gjøre selv. Undersøkelser som er mer tidkrevende eller metodisk og teknisk kompliserte, kan man ha behov for å engasjere noen, interne eller eksterne, for å gjøre.
Dersom undersøkelsen viser at det er avvik, må disse rapporteres, dersom det er krav om dette. Den ansvarlige må også sørge for konkrete forbedringstiltak. Disse må gjennomføres og følges opp systematisk, slik at ting fungerer, og tilliten økes til et tilfredsstillende nivå.
Resultatet av statusvurderingen sammen med hvilke undersøkelser og oppfølgingstiltak som eventuelt er gjennomført, bør dokumenteres i et kort notat.
*****
Ansvarlig for gjennomføring:
Dersom ledelsen ønsker å følge tilstanden i virksomheten over tid, kan det være hensiktsmessig å etablere et system med relevante måleindikatorer, samt krav til systematisk måling og rapportering. En slik beslutning tas normalt i tilknytning til virksomhetsledelsens gjennomgang.
Indikatorene kan gi nyttig statusinformasjon. Dersom de er egnet, kan de også benyttes som styringsindikatorer som virksomhetsledelsen setter konkrete resultatmål for. Målene kan gjelde hele eller deler av virksomheten.
Vurderer man å benytte dem som styringsindikatorer, bør man være oppmerksom på mulige sideeffekter av å styre for strengt etter enkelte indikatormål. Indikatorer viser alltid kun én side. Det er også vanskelig å utforme et indikatorsett som i tilstrekkelig grad sikrer at konfidensialitet, integritet og tilgjengelighet balanseres.
Ønsker virksomhetsledelsen å følge utviklingen på indikatorer over tid, anbefaler vi at de først nedsetter en arbeidsgruppe som i samarbeid med relevante aktører utarbeider et forslag til målinger. Forslaget bør inneholde
Vi anbefaler at man i første omgang velger ut noen få indikatorer, eventuelt også noen få spesielt etterspurte indikatorer eller nøkkeltall. Det er bedre å få prøvd ut noen få først, og eventuelt utvide senere ved behov, enn å gå for bredt ut i starten. Da kan man også bedre se og vurdere ressursbruken i forhold til nytten.
Når forslaget er behandlet og vedtatt av virksomhetsledelsen, må de som blir ansvarlig for målingene, etablere nødvendige målepunkt og målemetoder. Det vil ofte være behov for at dette arbeidet koordineres av fagansvarlig informasjonssikkerhet eller en annen utpekt person. Det bør være klare frister for å få målingene i gang.
Når målingene og rutinene rundt er etablert, må målingene gjennomføres i henhold til angitt tidspunkt, frekvens og ansvar.
Det vil oftest være naturlig at fagansvarlig informasjonssikkerhet får ansvaret med å sammenstille de utførte målingene, og presentere disse for ledelsen i rapporter. Dette kan blant annet være til virksomhetsledelsens gjennomgang.
Linjeledere på ulikt nivå kan ved interesse eller behov innføre måleindikatorer for oppfølging av eget ansvarsområde.
Dersom virksomheten allerede har et indikatorsett, vil disse ofte kunne danne en god basis. For lokale ledere vil det oftest være interessant å se resultatet både for egen organisatorisk enhet, sammenlignet med andre enheter og for virksomheten samlet.
Ut fra de ulike enheters egenart kan det også være aktuelt å etablere helt egne indikatorer.
Noen i virksomheten bør pekes ut som ansvarlig for å vedlikeholde det indikatorsett som er valgt på virksomhetsnivå, og eventuelt på underliggende nivå.
De ansvarlige bør sørge for at bruken og nytten blir evaluert systematisk. Indikatorer som fungerer dårlig, bør justeres. Man må samtidig være oppmerksom på at indikatorer må kunne sammenlignes over tid dersom man skal se en utvikling, så det er viktig å ikke gjøre for hyppige endringer.
*****
Ansvarlig for gjennomføring:
En evaluering er som regel bestilt fra virksomhetsledelsen. Bestillingen vil ofte ha sin bakgrunn i enten
Evalueringer kan for eksempel være:
Evalueringer kan ledes og utføres av både interne og eksterne fagmiljø. Tilgjengelige ressurser og behov for uavhengighet til det som skal evalueres, er viktige kriterier når man velger hvem som skal utføre arbeidet.
Hvem som utfører arbeidet, påvirker graden av uavhengighet. Dette må virksomhetsledelsen være klar over både ved organisering, bestilling og forståelse av sluttrapporten fra en evaluering.
En evaluering er en systematisk planlagt prosess. Evalueringsoppdraget bør være spesifisert og avgrenset. Som en del av planleggingen må den som skal utføre evalueringen, finne ut hvilken informasjon som må hentes inn og analyseres for å svare på oppdraget. Dette skjer ofte i dialog med oppdragsgiver før datainnhentingen gjennomføres.
Man må også ta stilling til om man skal bruke kvantitative metoder, kvalitative metoder eller kombinasjoner, og man vil i vår sammenheng ofte benytte referansepunkt som standarder eller dette veiledningsmateriellet.
Resultatene fra evalueringer presenteres for oppdragsgiver. De vil ofte inneholde anbefalinger om konkrete tiltak for å rette opp i de avvik eller svakheter man har funnet. I hvilken grad slike anbefalinger skal gis, vil normalt være styrt av oppdraget.
Resultatet bør også gjøres kjent for dem som er omfattet av evalueringen. Det sikrer forståelse og læring av målinger, undersøkelser og evalueringer.
*****
Ansvarlig for gjennomføring:
Formålet med en internrevisjon er å få en formell vurdering av om virksomheten følger bestemte krav, og om kravene er implementert og vedlikeholdt på en formåls- og kostnadseffektiv måte. Revisjonen utføres på oppdrag fra virksomhetsledelsen.
Kravene kan være virksomhetens egne retningslinjer for internkontrollarbeidet innen informasjonssikkerhet, kravene i standarden ISO/IEC 27001, bestemte lovkrav eller kombinasjoner av dette.
Virksomhetsledelsen bør systematisk vurdere behovet for slike revisjoner og ved behov sørge for gjennomføring.
En internrevisjon for internkontroll informasjonssikkerhet, slik det er beskrevet i ISO/IEC 27001, trenger ikke å bli utført av formelle revisorer eller av en egen internrevisjonsfunksjon i virksomheten. Det er tilstrekkelig at de som får oppdraget vet hvordan det skal gjøres, vurderes som faglig kvalifisert for oppdraget og har tilstrekkelig objektivitet og avstand til det som revideres.
Som for evalueringer kan oppdraget utføres av både eksterne og interne fagmiljø.
En revisjon etter ISO/IEC 27001 må følge kravene i standardens kapittel 9.2.
For virksomheter som ikke skal sertifiseres etter ISO/IEC 27001, men kun skal basere seg på standarden, vil evalueringer med spisset mandat være gode alternativ til slike internrevisjoner.
Det er formålet og resultatet som er det viktigste. Det er imidlertid her viktig at de som gjør en slik evaluering, har tilstrekkelig objektivitet.
Evalueringer av ulike deler av internkontrollarbeidet vil uansett være nyttige som supplement i virksomhetens status- og styringsinformasjon.
Det er også viktig å være klar over at det kan være at virksomheten må gjennomføre sikkerhetsrevisjoner for å oppfylle lovkrav.
En revisjon består i grove trekk av tre faser:
Revisjonsrapporten vil være et viktig styringsdokument for ledelsen. I informasjonssikkerhetssammenheng bør revisjonsrapporten benyttes i forbindelse med virksomhetsledelsens gjennomgang.
Følgende internasjonale standarder kan være nyttige i forbindelse med gjennomføring av internrevisjon av internkontrollarbeidet på informasjonssikkerhetsområdet:
────────────────────────────────────────────────────────────────────
────────────────────────────────────────────────────────────────────