2. Audit og måling

Måling og intern audit i forhold til et ledelsessystem for informationssikkerhed handler i bund og grund om at besvare fire spørgsmål:

  • Har vi det, vi siger, at vi har?
  • Gør vi det, vi siger, at vi gør?
  • Opfylder det formålet?
  • Og virker det efter hensigten?

Når man skal måle eller auditere på noget, skal man have et solidt grundlag, man kan gøre det imod. Dette grundlag er nødt til at være konkret. Man kan ikke måle eller auditere på baggrund af "best practice", "tilstrækkelig sikkerhed", "fornødne kontroller" etc.

Det er derfor essentielt, at man har konkretiseret kravene fra ISO 27001 i politikker, kontrolbeskrivelser, procedurer, Service Level Agreements mm.

Billedet illustrerer Fase 2: Audit og måling

Billedet illustrerer Fase 2: Audit og måling

Planlægning og gennemførsel af den enkelte audit

Auditering bør planlægges grundigt, så man sikrer, at organisationen får størst mulig værdi af den, og at den understøtter det daglige arbejde. I udarbejdelsen af auditplanen bør man blandt andet forholde sig til:

  • Mål, omfang, auditmetode og auditkriterier
  • Resultater af tidligere audits og status på afvigelser
  • Sammensætning af auditteam
  • Rettidig advisering af relevante personer i det område, der skal auditeres.

Efter audit gennemføres et afsluttende møde med de ansvarlige for det auditerede område, hvor afvigelser gennemgås, og eventuelle misforståelser korrigeres. Resultatet af en audit skal dokumenteres og afrapporteres til ledelsen.

Læs mere om, hvordan den enkelte audit planlægges i Digitaliseringsstyrelsens Vejledning i evaluering og opfølgning.

Hent Digitaliseringsstyrelsens vejledning om Evaluering og Opfølgning

Hvad kan måles på, og hvad auditeres?

Det er ikke alt, der er målbart og let at auditere. Grundlæggende kan man i forhold til informationssikkerhed dele sikringsforanstaltninger og kontroller op i to typer:

  • Systemspecifikke foranstaltninger
  • Tværgående foranstaltninger

Systemspecifikke foranstaltninger

Kan man ofte måle på. Det kan for eksempel være, om der er installeret antivirus, der beskytter mod malwareprogram, taget backup eller systemer opdateres etc. Typisk vil denne type målinger være noget, man stiller krav til en it-driftsleverandør om at rapportere på.

Tværgående sikringsforanstaltninger

Er ikke knyttet til det enkelte system. Det er fx politikker, processer, procedurer, fysisk sikkerhed etc. Denne type foranstaltninger kan auditeres ved fysisk inspektion, interviews, gennemgang af dokumentation og udtagelse af stikprøver.