1. Planlægning

I planlægningen skal der tages stilling til, hvad der kan måles på, og hvad der skal auditeres.

Derefter skal der udarbejdes et flerårigt audit-program, der sikrer, at man kommer omkring alle væsentlige emner inden for en given periode. Hvor ofte, der auditeres på et område, bør bero på en risikovurdering.

Billedet illusterer Fase 1: Planlægning af måling og audit

Billedet illusterer Fase 1: Planlægning af måling og audit

I udarbejdelsen af auditprogrammet bør eksterne audits, it-revisioner og tilsyn, medtages, så unødige auditeringer af det samme område flere gange undgås, hvis det allerede er dækket. Det samlede auditprogram bør godkendes af ledelsen.

Læs mere om udarbejdelse af auditprogram i Digitaliseringsstyrelsens Vejledning i evaluering og opfølgning.

Hent Digitaliseringsstyrelsens vejledning om Evaluering og Opfølgning

Audit-omfang og -grundlag

Det kan være vanskeligt for mange myndigheder at afgøre, hvad der er myndighedens interne audit-omfang, når store dele af it-driften (og dermed sikringsforanstaltningerne) er outsourcet.

Det anbefales, at man i sit Statement of Applicability (SoA) specificerer de tilvalgte ISO-kontrollers anvendelsesområde, hvem der har ansvaret for dem og en reference til det primære auditgrundlag.

I forhold til outsourcede sikringsforanstaltninger og kontroller, vil der være fokus på styring af leverandører, som typisk omfatter leverandørmøder med løbende opfølgning på afrapportering af de aftalte leverancer i it-kontrakten, samt sikring af at myndighedens egen proces for leverandørstyring er effektiv. Rapportering på driftsmål, SLA-rapport, driftshændelser, statistik, driftstest, sikkerhedsbrud, revision og tilsyn udgør alle forskellige former for rapportering og danner grundlaget for opfølgning, evaluering og tilpasning af de driftsmæssige processer.

Målinger og KPI'er på et overordnet niveau

I forhold til at rapportere overordnet på ledelsessystemet, bør krav og kontroller være tilstrækkelig konkrete, så man kan foretage nogle meningsfulde målinger og KPI'er, som giver ledelsen mulighed for at vurdere udviklingen fra gang til gang. Det er derfor afgørende, at beskrivelse af krav og tilhørende kontroller er målbare for praktisk at kunne gennemføre kontroller i tilknytning til udførsel af audit, tilsyn og revision.

Der er i ISO 27000-serien udgivet en vejledning til dette, som hedder ISO 27004 – Information technology – Information security management – Monitoring, measurement, analysis and evaluation.

 

Hvad er en Key Performance Indicator (KPI)?

En KPI, er en målbar værdi, der beskriver hvor effektiv en organisation er til at indfri forretningskritiske målsætninger. KPI’er anvendes på forskellige niveauer i organisationer til at evaluere evnen til at indfri mål.

Eksempel på KPI:
Antal rapporterede sikkerhedshændelser

Casebeskrivelse:

I Statens Administration arbejder man struktureret med denne type målinger og KPI'er i sit ledelsessystem for informationssikkerhed (ISMS) statusrapportering til topledelsen.

Case: ISMS-målinger og KPI'er i Statens Administration

Høje modenhedsambitioner

I Statens Administration, hvor man har ansvar for behandling af informationer fra mange andre myndigheder, har informationssikkerhed stor bevågenhed fra direktionens side, og man vil gerne sætte modenheds-barren højt. Derfor har man valgt at måle på og definere KPI'er for en betydelig række af sikkerhed-relaterede kontroller, som man afrapporterer på månedligt til ledelsen. Det sker ud fra devisen, at man ikke kan dokumentere kontinuerlig forbedring, medmindre man måler på det, man vil forbedre.

Stolte af mange sikkerhedshændelser

I Statens Administration er der stolthed over, at man får mange rapporterede sikkerhedshændelser. Det ses som et tegn på, at medarbejderne har en høj grad at sikkerhedsbevidsthed og samvittighedsfuldhed. Systemet virker. Statens Administration har en KPI på antallet af sikkerhedshændelser, men det er for at kunne følge udviklingen i tallet, ikke for at det skal bringes hurtigt ned. En vigtig KPI inden for det samme område er på rettidig behandling af hændelserne: ”90% af hændelserne skal være håndteret indenfor 2 dage fra registrering”.

Ledelsesgennemgang seks gange om året

Der er et højt engagement på sikkerhedsområdet fra ledelsens side i Statens Administration. Direktøren sidder i informationssikkerhedsudvalget og man har ledelsesgennemgang med udgangspunkt i de månedlige rapporter seks gange om året, hvor man udover KPI'er gennemgår status på afvigelser, risikohåndtering og revisionsanmærkninger.