Erfaringer med intern audit
Tønder Kommune har ansvaret for at gennemføre intern audit af informationssikkerhed hidtil udelukkende været kommunens sikkerhedskoordinators. Det har vist sig at være udfordrende. Auditplanlægning og gennemførsel er tidskrævende, når det er baseret på interviews og inspektioner. Det er tidskrævende at komme i dybden. På den baggrund har man dels valgt at tilføre området en projektmedarbejder og dels i videst muligt omfang at udnytte eksisterende tilsyn og målinger samt egenkontrol i arbejdet.
Egenkontrol af arbejdsgange
I Tønder Kommune arbejdes der både med at identificere allerede eksisterende opfølgning og med "at lægge kontroller ovenpå" arbejdsgangene i Kommunens institutioner. Dvs. at den enkelte institution får ansvaret for en del af målings- og auditarbejdet, og man kan så fra centralt hold fokusere på effektiviteten og resultaterne af denne egenkontrol i stedet for selv at skulle ned i detaljen. Det gør auditopgaven mindre og giver en mere effektiv udnyttelse af audit-ressourcerne.
Der er udpeget nøglepersoner i institutionerne, som har ansvaret for at vedligeholde og følge op på institutionens årshjul for egenkontrol.
Audit som hjælp til at blive bedre
Et betydningsfuldt element i audit-arbejdet i Tønder Kommune er formidling og kommunikation. Der bruges meget tid i forbindelse med audit på at få deltagerne til at forstå, hvorfor det er vigtigt at følge politikker og procedurer, og at audit er en "hjælpende hånd" til at blive bedre og ikke en eksamen. "Hvis de ikke forstår hvorfor, så virker det ikke" er erfaringen. Intern Audit ses derfor som en vigtig brik til at "få informationssikkerhed til at leve i organisationen".
SoA som levende dokument i arbejdet
I Tønder Kommune er ISO 27001 Statement of Applicability (SoA) ikke et statisk dokument, men et dynamisk værktøj, som bruges til at registrere status for kommunens sikringsforanstaltninger. Det er et arbejdsdokument, som benyttes i audit og som "mangelliste" i forhold til sikkerhedsimplementeringen.