Evaluering og forbedring

Man kan ikke vide, om et initiativ virker og bliver ved med at virke, hvis man ikke evaluerer det – Og ved man ikke, hvor godt et initiativ virker, ved man heller ikke, hvordan det kan gøres bedre.

Derfor er måling og gennemførelse af audit samt efterfølgende evaluering og forbedring en essentiel forudsætning for at forbedre ethvert ledelsessystem – også når det drejer sig om informationssikkerhed.

Hvad er det, der skal evalueres og forbedres?

Et ledelsessystem for informationssikkerhed består af processer, der skal hjælpe med at udvælge, implementere og styre en række sikringsforanstaltninger, der beskytter informationer og forretningsprocesser.
Hvis det skal sikres, at denne beskyttelse er effektiv, må der følges op på effektiviteten af sikringsforanstaltningerne og på kvaliteten af de processer, der styrer dem.

Det er det, ISO 27001 standarden refererer til, når der i afsnit 9.1 står, at "Organisationen skal evaluere informationssikkerheden og den resultatrelaterede effektivitet af ledelsessystemet for informationssikkerhed."

Hvorfor er det nødvendigt at udføre?

Myndigheden skal evaluere informationssikkerheden for at skabe kvalitetsbedringer og for løbende at verificere og dokumentere, at myndigheden lever op til kravene (mål) i organisationens eget ledelsessystem.

Hvad betyder det i praksis?

I praksis betyder det, at man skal:

  • Planlægge og udføre målinger og intern audit af såvel sikringsforanstaltninger som styringsprocesser af informationssikkerhed
  • Løbende styre afvigelser og gennemføre korrigerende handlinger
  • Regelmæssigt gennemføre en ledelsesevaluering af det samlede ledelsessystem med henblik på ønskede forbedringer.

Digitaliseringsstyrelsen har udarbejdet en vejledning til, hvordan evalueringsaktiviteter kan udføres, samt opmærksomhedspunkter i den forbindelse. 

Hent Digitaliseringsstyrelsens vejledning om evaluering og opfølgning

Faserne i Evaluering og forbedring

Processen for evaluering og forbedring er skitseret nedenfor.

 

Billedet illustrerer de 5 faser i evaluering og forbedring, samt fase 0, som er procesopbygningen.  I det følgende beskrives de enkelte faser nærmere.