Opmærksomhedspunkter

Før man går igang: Måling og intern audit af informationssikkerhed kan være svær at gå til og være uhyre tidskrævende, især hvis man skal i dybden med det.

Derfor bør det sikres, at der er afsat de nødvendige ressourcer i forhold til den grad af sikkerhed, der ønskes, for at ens ledelsessystem fungerer efter hensigt og ambitionsniveau.

Billedet illustrerer Fase 0: Byg processen, som uddybes i afsnittet ’Opmærksomhedspunkter før man går i gang’.

Billedet illustrerer Fase 0: Byg processen, som uddybes i afsnittet ’Opmærksomhedspunkter før man går i gang’.

En af udfordringerne er at sikre, at udførsel af auditeringen er uafhængig, dvs. at man ikke auditerer sit eget arbejde eller ansvarsområde. Det betyder ofte, at det er vanskeligt at finde ressourcer med tilstrækkelige kompetencer til at auditere sikkerhedskoordinatorens arbejde. Det kan derfor være nødvendigt at uddanne en eller flere interne auditorer specifikt til dette.

 

Casebeskrivelse:

I Tønder Kommune har de indset, at opgaven er større, end hvad der kan klares af en enkelt sikkerhedskoordinator. Ud over at allokere dedikerede ressourcer til opgaven arbejdes der med egenkontrol og decentraliserede målinger, for at kunne løse opgaven på et tilfredsstillende niveau.

Case: Intern audit i Tønder Kommune

Erfaringer med intern audit

Tønder Kommune har ansvaret for at gennemføre intern audit af informationssikkerhed hidtil udelukkende været kommunens sikkerhedskoordinators. Det har vist sig at være udfordrende. Auditplanlægning og gennemførsel er tidskrævende, når det er baseret på interviews og inspektioner. Det er tidskrævende at komme i dybden. På den baggrund har man dels valgt at tilføre området en projektmedarbejder og dels i videst muligt omfang at udnytte eksisterende tilsyn og målinger samt egenkontrol i arbejdet.

Egenkontrol af arbejdsgange

I Tønder Kommune arbejdes der både med at identificere allerede eksisterende opfølgning og med "at lægge kontroller ovenpå" arbejdsgangene i Kommunens institutioner. Dvs. at den enkelte institution får ansvaret for en del af målings- og auditarbejdet, og man kan så fra centralt hold fokusere på effektiviteten og resultaterne af denne egenkontrol i stedet for selv at skulle ned i detaljen. Det gør auditopgaven mindre og giver en mere effektiv udnyttelse af audit-ressourcerne.

Der er udpeget nøglepersoner i institutionerne, som har ansvaret for at vedligeholde og følge op på institutionens årshjul for egenkontrol.

Audit som hjælp til at blive bedre

Et betydningsfuldt element i audit-arbejdet i Tønder Kommune er formidling og kommunikation. Der bruges meget tid i forbindelse med audit på at få deltagerne til at forstå, hvorfor det er vigtigt at følge politikker og procedurer, og at audit er en "hjælpende hånd" til at blive bedre og ikke en eksamen. "Hvis de ikke forstår hvorfor, så virker det ikke" er erfaringen. Intern Audit ses derfor som en vigtig brik til at "få informationssikkerhed til at leve i organisationen".

SoA som levende dokument i arbejdet

I Tønder Kommune er ISO 27001 Statement of Applicability (SoA) ikke et statisk dokument, men et dynamisk værktøj, som bruges til at registrere status for kommunens sikringsforanstaltninger. Det er et arbejdsdokument, som benyttes i audit og som "mangelliste" i forhold til sikkerhedsimplementeringen.