Evaluering og forbedring

Man kan ikke vide, om et initiativ virker og bliver ved med at virke, hvis man ikke evaluerer det – Og ved man ikke, hvor godt et initiativ virker, ved man heller ikke, hvordan det kan gøres bedre.

Derfor er måling og gennemførelse af audit samt efterfølgende evaluering og forbedring en essentiel forudsætning for at forbedre ethvert ledelsessystem – også når det drejer sig om informationssikkerhed.

Hvad er det, der skal evalueres og forbedres?

Et ledelsessystem for informationssikkerhed består af processer, der skal hjælpe med at udvælge, implementere og styre en række sikringsforanstaltninger, der beskytter informationer og forretningsprocesser.
Hvis det skal sikres, at denne beskyttelse er effektiv, må der følges op på effektiviteten af sikringsforanstaltningerne og på kvaliteten af de processer, der styrer dem.

Det er det, ISO 27001 standarden refererer til, når der i afsnit 9.1 står, at "Organisationen skal evaluere informationssikkerheden og effektiviteten af ledelsessystemet for informationssikkerhed."

Hvorfor er det nødvendigt at udføre?

Myndigheden skal evaluere informationssikkerheden for at skabe kvalitetsbedringer og for løbende at verificere og dokumentere, at myndigheden lever op til kravene (mål) i organisationens eget ledelsessystem.

Hvad betyder det i praksis?

I praksis betyder det, at man skal:

  • Planlægge og udføre målinger og intern audit af såvel sikringsforanstaltninger som styringsprocesser af informationssikkerhed
  • Løbende styre afvigelser og gennemføre korrigerende handlinger
  • Regelmæssigt gennemføre en ledelsesevaluering af det samlede ledelsessystem med henblik på ønskede forbedringer.

Digitaliseringsstyrelsen har udarbejdet en vejledning til, hvordan evalueringsaktiviteter kan udføres, samt opmærksomhedspunkter i den forbindelse. 

Hent Digitaliseringsstyrelsens vejledning om evaluering og opfølgning

Faserne i Evaluering og forbedring

Processen for evaluering og forbedring er skitseret nedenfor.

 

Billedet illustrerer de 5 faser i evaluering og forbedring, samt fase 0, som er procesopbygningen.   I det følgende beskrives de enkelte faser nærmere.

Hvad er audit?

Audit har typisk et bredere spænd og kan være mere indgribende ift. interne kontroller af arbejdsgange og ved opfølgning på leverandørens efterlevelse af aftalte procedurer.
Auditering kan udføres formelt eller mindre formelt og giver mulighed for fx egne observationer på stedet, målrettede kontroller, uanmeldt besøg, udførsel af uafhængig part eller blot en spørgeskemaundersøgelse.

Opmærksomhedspunkter

Før man går igang: Måling og intern audit af informationssikkerhed kan være svær at gå til og være uhyre tidskrævende, især hvis man skal i dybden med det.

Derfor bør det sikres, at der er afsat de nødvendige ressourcer i forhold til den grad af sikkerhed, der ønskes, for at ens ledelsessystem fungerer efter hensigt og ambitionsniveau.

Billedet illustrerer Fase 0: Byg processen, som uddybes i afsnittet ’Opmærksomhedspunkter før man går i gang’.

Billedet illustrerer Fase 0: Byg processen, som uddybes i afsnittet ’Opmærksomhedspunkter før man går i gang’.

En af udfordringerne er at sikre, at udførsel af auditeringen er uafhængig, dvs. at man ikke auditerer sit eget arbejde eller ansvarsområde. Det betyder ofte, at det er vanskeligt at finde ressourcer med tilstrækkelige kompetencer til at auditere sikkerhedskoordinatorens arbejde. Det kan derfor være nødvendigt at uddanne en eller flere interne auditorer specifikt til dette.

Casebeskrivelse:

I Tønder Kommune har de indset, at opgaven er større, end hvad der kan klares af en enkelt sikkerhedskoordinator. Ud over at allokere dedikerede ressourcer til opgaven arbejdes der med egenkontrol og decentraliserede målinger, for at kunne løse opgaven på et tilfredsstillende niveau.

Case

Intern audit i Tønder Kommune

Erfaringer med intern audit

Tønder Kommune har ansvaret for at gennemføre intern audit af informationssikkerhed hidtil udelukkende været kommunens sikkerhedskoordinators. Det har vist sig at være udfordrende. Auditplanlægning og gennemførsel er tidskrævende, når det er baseret på interviews og inspektioner. Det er tidskrævende at komme i dybden. På den baggrund har man dels valgt at tilføre området en projektmedarbejder og dels i videst muligt omfang at udnytte eksisterende tilsyn og målinger samt egenkontrol i arbejdet.

Egenkontrol af arbejdsgange

I Tønder Kommune arbejdes der både med at identificere allerede eksisterende opfølgning og med "at lægge kontroller ovenpå" arbejdsgangene i Kommunens institutioner. Dvs. at den enkelte institution får ansvaret for en del af målings- og auditarbejdet, og man kan så fra centralt hold fokusere på effektiviteten og resultaterne af denne egenkontrol i stedet for selv at skulle ned i detaljen. Det gør auditopgaven mindre og giver en mere effektiv udnyttelse af audit-ressourcerne.

Der er udpeget nøglepersoner i institutionerne, som har ansvaret for at vedligeholde og følge op på institutionens årshjul for egenkontrol.

Audit som hjælp til at blive bedre

Et betydningsfuldt element i audit-arbejdet i Tønder Kommune er formidling og kommunikation. Der bruges meget tid i forbindelse med audit på at få deltagerne til at forstå, hvorfor det er vigtigt at følge politikker og procedurer, og at audit er en "hjælpende hånd" til at blive bedre og ikke en eksamen. "Hvis de ikke forstår hvorfor, så virker det ikke" er erfaringen. Intern Audit ses derfor som en vigtig brik til at "få informationssikkerhed til at leve i organisationen".

SoA som levende dokument i arbejdet

I Tønder Kommune er ISO 27001 Statement of Applicability (SoA) ikke et statisk dokument, men et dynamisk værktøj, som bruges til at registrere status for kommunens sikringsforanstaltninger. Det er et arbejdsdokument, som benyttes i audit og som "mangelliste" i forhold til sikkerhedsimplementeringen.

Tilknytning til ISO 27001

I standarden er emnet behandlet i afsnit 9.1 (Overvågning, måling, analyse og evaluering), 9.2 (Intern audit) og 10.2 (Afvigelser og korrigerende handlinger).

Det er et krav i standarden, at der foretages en ledelsesgennemgang af ledelsessystemet for informationssikkerhed.

Dette er beskrevet i afsnit 9.3 (Ledelsens evaluering og afsnit 10.1 (Løbende forbedring).