3. Afvigelsesstyring

Udførelsen af måling og auditering sker med henblik på at identificere områder, hvor virkeligheden afviger fra det, man har aftalt, eller fra intentionen med det, man har aftalt.

Billedet illustrerer Fase 3: Afvigelsesstyring

Billedet illustrerer Fase 3: Afvigelsesstyring

Der er grundlæggende to typer af observationer

Når sikringsforanstaltninger og kontroller afviger fra det aftalte, kan de grundlæggende gøre det på to måder:

  • Den alvorligste afvigelsestype (en "major finding") er, når en sikringsforanstaltning helt mangler, eller at måden, hvorpå den er 
  • bygget, ikke opfylder formålet. Det vil sige, at på trods af at kontrollen af sikringsforanstaltningen fungerer effektivt, er myndighedens efterlevelseskrav alligevel ikke opfyldt.
  • Den anden afvigelsestype (en "minor finding") er, når en sikringsforanstaltning eller kontrol i sin udformning er tilfredsstillende, men ikke fungerer effektivt. Det kan fx være en proces, der er udførligt beskrevet, men ikke følges.

Hvad er forskellen på afvigelser og risici?

Afvigelser indebærer også risici, men det er kendte og allerede behandlede risici, som dukker op til overfladen igen. Når man har valgt at implementere sikringsforanstaltninger og kontroller, så er det jo netop for at imødegå risici.

Når sikringsforanstaltninger og kontroller ikke virker efter hensigten, udsætter man sig for risici, som allerede er identificeret og behandlet.
Risikostyring handler i modsætning til afvigelsesstyring om at styre alle risici, både de erkendte og de endnu ikke identificerede.

Hvad skal registreres i forhold til afvigelser?

Ligesom man har brug for et risikoregister til at holde styr på sine risici, så vil man også have brug for et afvigelsesregister til sine afvigelser.

I afvigelsesregisteret bør man blandt andet registrere følgende oplysninger:

  • Dato for observation
  • Beskrivelse af afvigelsen
  • Reference til audit rapport eller anden rapportering
  • Reference til det grundlag, der afviges fra (eksternt krav, intern politik, procedure, kravsspecifikation etc.)
  • Risiko forbundet med afvigelsen
  • Bagvedliggende årsag til afvigelsen (kerneårsag)
  • Ansvarlig for handlingsplan
  • Reference til handlingsplan
  • Deadline for korrigerende handling

Hvornår registrerer man afvigelser?

Ud over afvigelser, som bliver observeret i forbindelse med ekstern eller intern audit, så vil der også være afvigelser, der observeres i andre sammenhænge. Det kan for eksempel være i forbindelse med sikkerhedshændelser eller blot som led i den daglige informationsbehandling og it-drift.

Medarbejdere bør have pligt til at melde afvigelser ind til myndighedens afvigelsesstyringsproces, uanset i hvilken sammenhæng en afvigelse observeres.

Dispensationer – planlagte afvigelser

Nogle afvigelser er udtryk for et bevidst valg eller en nødvendighed. Det kan fx være, at man ikke har ressourcer til at efterleve retningslinjer på et område, eller at man har systemer, der af forskellige årsager (typisk alder) ikke kan bringes til at efterleve kravene. Det er også vigtigt, at denne type afvigelser bliver registreret, godkendt af ledelsen og fulgt op på.

Casebeskrivelse:

I casen om Region Hovedstaden beskrives, hvordan dispensationer indgår som del af den tilbagevendende ledelsesrapportering.

Case: Ledelsesrapportering i Region Hovedstaden

Modning af ledelsesrapportering

I Region Hovedstaden har ledelsesrapporteringen hidtil primært været fokuseret på risikostyringen via regionens handlingsplan. Nu arbejder man med at udvide ledelsesrapporteringen til i højere grad også at omfatte målinger. I arbejdet med målingerne er der fokus på to principper: transparens og trending. Rapporteringen skal være gennemskuelig og man skal kunne følge udviklingen over tid.

Hvordan bliver målinger relevante?

I Region H er det en væsentlig del af dialogen med ledelsen, at rapporteringen på informationssikkerhedsområdet er relevant og vedkommende. Det er også et væsentligt parameter, at ledelsesrapporteringen er forretningsorienteret og sat i den konkrete sammenhæng, som de enkelte sektioner og enheder løser sin øvrige opgaver i. Udvælgelsen af kontrollerne tager udgangspunkt i regionens løbende risikovurdering og eventuelt aktuelle problem- eller fokusområder.

Et eksempel på, hvordan man gør rapporteringen konkret, er at regionen har identificeret en række relevante ISMS-kontroller, der er knyttet til specifikke systemområder, som man rapporterer status på. Derved kan ledelsen sammenligne status på forskellige fagområder og følge udviklingen over tid.

En anden måde hvorpå, man forsøger at gøre rapporteringen mere vedkommende, er ved at eksemplificere det, der rapporteres på, så medlemmerne i ledelsen kan relatere det til deres eget område.

Rapportering på dispensationer

Regionen har en vidtstrakt og heterogen anvendelse af IT-løsninger og det er derfor relevant for regionen at have en ledelsesmæssig opfølgning på de dispensationer, der bliver givet. Derfor indgår dispensationer som et emne i ledelsesrapporteringen, der skal synliggøre regionens løbende risikovurdering, men i høj grad også anvendes som løftestang for løbende revision af regionens retningslinjer på informationssikkerhedsområdet.