1. Planlægning

I planlægningen skal der tages stilling til, hvad der kan måles på, og hvad der skal auditeres.

Derefter skal der udarbejdes et flerårigt audit-program, der sikrer, at man kommer omkring alle væsentlige emner inden for en given periode. Hvor ofte, der auditeres på et område, bør bero på en risikovurdering.

Billedet illusterer Fase 1: Planlægning af måling og audit

Billedet illusterer Fase 1: Planlægning af måling og audit

I udarbejdelsen af auditprogrammet bør eksterne audits, it-revisioner og tilsyn, medtages, så unødige auditeringer af det samme område flere gange undgås, hvis det allerede er dækket. Det samlede auditprogram bør godkendes af ledelsen.

Læs mere om udarbejdelse af auditprogram i Digitaliseringsstyrelsens Vejledning i evaluering og opfølgning.

Hent Digitaliseringsstyrelsens vejledning om Evaluering og Opfølgning

Audit-omfang og -grundlag

Det kan være vanskeligt for mange myndigheder at afgøre, hvad der er myndighedens interne audit-omfang, når store dele af it-driften (og dermed sikringsforanstaltningerne) er outsourcet.

Det anbefales, at man i sit Statement of Applicability (SoA) specificerer de tilvalgte ISO-kontrollers anvendelsesområde, hvem der har ansvaret for dem og en reference til det primære auditgrundlag.

I forhold til outsourcede sikringsforanstaltninger og kontroller, vil der være fokus på styring af leverandører, som typisk omfatter leverandørmøder med løbende opfølgning på afrapportering af de aftalte leverancer i it-kontrakten, samt sikring af at myndighedens egen proces for leverandørstyring er effektiv. Rapportering på driftsmål, SLA-rapport, driftshændelser, statistik, driftstest, sikkerhedsbrud, revision og tilsyn udgør alle forskellige former for rapportering og danner grundlaget for opfølgning, evaluering og tilpasning af de driftsmæssige processer.

Målinger og KPI'er på et overordnet niveau

I forhold til at rapportere overordnet på ledelsessystemet, bør krav og kontroller være tilstrækkelig konkrete, så man kan foretage nogle meningsfulde målinger og KPI'er, som giver ledelsen mulighed for at vurdere udviklingen fra gang til gang. Det er derfor afgørende, at beskrivelse af krav og tilhørende kontroller er målbare for praktisk at kunne gennemføre kontroller i tilknytning til udførsel af audit, tilsyn og revision.

Der er i ISO 27000-serien udgivet en vejledning til dette, som hedder ISO 27004 – Information technology – Information security management – Monitoring, measurement, analysis and evaluation.