Måling, audit og evaluering

Organisationen skal løbende forbedre styringen af informationssikkerhed, det er en af præmisserne i ISO 27001-standarden. Der skal afsættes ressourcer til evaluering og opfølgning på processer og metoder, så arbejdet er så effektivt som muligt.

Overvågning, måling, analyse og evaluering af informationssikkerheden er et krav i ISO 27001, når organisationens ISMS evalueres. Formålet er at vurdere, om de implementerede politikker, processer og kontrolforanstaltninger til sikring af organisationens informationer og systemer er effektive i forhold til at opnå de planlagte resultater.

Intern audit gennemføres for at identificere, om der er en rød tråd igennem de forskellige elementer i organisationens ledelsessystem for informationssikkerhed. Den skal også afdække, om organisationens ledelsessystem for informationssikkerhed lever op til organisationens egne krav samt kravene i standarden.

Evalueringen kan foregå som intern audit, fx gennem interview med de ansvarlige for de respektive punkter i SoA’en. De indsamlede resultater evalueres, og der udarbejdes forslag til korrigerende handlinger, ændringer til eksisterende eller nye foranstaltninger. Findes der store afvigelser, kan en ny risikovurdering være nødvendig.

Vejledning i evaluering og opfølgning

Vejledningen hjælper til at foretage en evaluering af organisationens styring af informationssikkerhed, vurdere værdien af arbejdet med ISO 27001 og giver input til, hvordan organisationen kan arbejde med forbedringer og opfølgninger på de besluttede aktiviteter.