Måling, evaluering og revisjon
Måling, evaluering og revisjon er «kontrolløren» i internkontrollen. Hensikta med målingar er å teste om tiltak fungerer og om pålegg blir etterlevd, og må gjennomførast både ved etablering og bruk av tiltak.
Målgruppe
- Fagansvarleg informasjonssikkerheit
- heile skildringa
- Leiarar med ansvar i internkontrollarbeidet
- enkeltaktivitetar avhengig av leiaren sitt ansvar
1. Innleiing
Føremålet med denne hovudaktiviteten er at leiarar på alle nivå skal få betre kunnskap om tilstanden på sitt ansvarsområde. Ein må systematisk vurdere om sikkerheitstiltak fungerer, om regelverk blir etterlevd og om internkontrollarbeidet rundt om i verksemda blir gjennomført som føresett. Slik kunnskap får ein gjennom ulike kombinasjonar av målingar, undersøkingar, evalueringar og revisjonar. Målingar og undersøkingar kan vere bakgrunnsdata eller inngå i evalueringar og revisjonar.
1.1 Aktivitetar
Under følgjer ei skildring av kvar av styringsaktivitetane som inngår i måling, evaluering og revisjon. Leiarar på alle nivå må systematisk:
- Vurdere status på eige ansvarsområde
Ved regelverkskrav eller krav frå leiinga må ulike aktørar:
- Måle tilstanden på definerte indikatorar
- Gjennomføre evalueringar
- Gjennomføre internrevisjon
2. Vurdere status på eige ansvarsområde
Ansvarleg for gjennomføring:
- Alle leiarar og andre aktørar som har fått eit eige ansvarsområde knytt til internkontrollarbeidet.
2.1 Om aktiviteten
Ulike aktørar i verksemda vil normalt ha krav på seg om å vurdere status på eige ansvarsområde og syte for forbetringar ved behov. Dette kan vere
- leiarar som delegerer og skal følgje opp gjennom linja
- oppgåve- og systemeigarar
- tiltaksleverandørar
- ansvarlege for tenestenivåavtalar eller andre avtalar
- ansvarlege for eigne deler av internkontrollaktivitetane, som til dømes hendingshandteringssystemet og internrevisjon
Kven som skal gjennomføre slike vurderingar, bør gå fram av føringane i verksemda.
2.2 Vurdere tilliten til at status er tilfredsstillande
Ei føremålstenleg tilnærming kan vere å starte med å vurdere kor stor tillit ein har til at status på eige ansvarsområde er slik han bør vere. Dette kan ein uttrykke i nivå: låg, moderat eller høg. Tilliten kan vere ulik for ulike delar av ansvarsområdet.
Det bør gjerast ei reell vurdering av
- om sikkerheitstiltak ein har ansvaret for fungerer som føresett
- om vedkomande sjølv og dei personar ein har ansvaret for:
- følgjer gjeldande lov- og regelverk
- gjennomfører pålagde oppgåver i internkontroll- og sikkerheitsarbeidet på ein tilfredsstillande måte
- etablerer og følgjer opp vedtatte eller avtalte sikkerheitstiltak
- etterlever innførte sikkerheitstiltak
Viktige grunnlag er
- eigne observasjonar
- formelle og uformelle medarbeidarsamtalar
- tilbakemelding frå andre
- rapportering eller indikasjonar frå avviks- og hendingshandteringa
2.3 Gjennomføre undersøkingar ved behov
Dersom ein etter ei slik vurdering ikkje har tilstrekkeleg tillit til at det ein har ansvaret for fungerer tilfredsstillande, bør det gjennomførast ei eller fleire grundigare undersøkingar.
Omfang og kompleksitet på undersøkingane vil variere, avhengig av saka sin eigenart og informasjonsbehovet til leiaren. Enkle undersøkingar kan den ansvarlege gjere sjølv. Undersøkingar som er meir tidkrevjande eller metodisk og teknisk kompliserte, kan ein ha behov for å engasjere nokon, interne eller eksterne, for å gjere.
2.4 Rapportere og forbetre
Dersom undersøkinga viser at det er avvik, må desse rapporterast om det er krav om dette. Den ansvarlege må også ta seg av konkrete forbetringstiltak. Desse må gjennomførast og følgjast opp, slik at ting fungerer, og tilliten aukast til eit tilfredsstillande nivå.
2.5 Dokumentere vurdering og undersøkingar
Resultatet av statusvurderinga saman med kva undersøkingar og oppfølgingstiltak som eventuelt er gjennomførte, bør dokumenterast i eit kort notat.
Hjelp til gjennomføring
Praktisk hjelp til dei som skal vurdere status på eige ansvarsområde er beskrevet på ei eiga side:
3. Måle tilstanden på definerte indikatorar
Ansvarleg for gjennomføring:
- Dei personane verksemdsleiinga eller linjeleiar har peikte ut til å etablere eit system for målingar eller til å gjennomføre og rapportere konkrete målingar.
3.1 Om aktiviteten
Dersom leiinga ønskjer å følgje tilstanden i verksemda over tid, kan det vere føremålstenleg å etablere eit system med relevante måleindikatorar, og dessutan krav til systematisk måling og rapportering. Ei slik avgjerd tar ein normalt i samband med verksemdsleiinga sin gjennomgang.
3.2 Indikatorar kan brukast til statusoversikt og styring
Indikatorane kan gi nyttig statusinformasjon. Dersom dei er eigna, kan dei òg brukast som styringsindikatorar som verksemdsleiinga set konkrete resultatmål for. Måla kan gjelde heile eller delar av verksemda.
Vurderer ein å nytte dei som styringsindikatorar, bør ein vere merksam på moglege sideeffektar av å styre for strengt etter enkelte indikatormål. Indikatorar viser alltid berre éi side. Det er også vanskeleg å utforme eit indikatorsett som i tilstrekkeleg grad sikrar at konfidensialitet, integritet og tilgjengelegheit blir balansert.
3.3 Utarbeide innhald i målingane
Ønskjer verksemdsleiinga å følgje utviklinga på indikatorar over tid, tilrår vi at dei først etablerer ei arbeidsgruppe som i samarbeid med relevante aktørar utarbeider eit forslag til målingar. Forslaget bør innehalde
- innan kva område det bør målast
- aktuelle indikatorar for kvart område
- metodar for datainnsamling for kvar indikator
- frekvens og tidspunkt for kvar måling
- ansvarleg for kvar måling
- rapporteringstider og -måtar
Vi rår til at ein i første omgang vel ut nokre få indikatorar, eventuelt også nokre få spesielt etterspurde indikatorar eller nøkkeltal. Det er betre å få prøvd ut nokre få først, og eventuelt utvide seinare ved behov, enn å gå for breitt ut i starten. Då kan ein også betre sjå og vurdere ressursbruken jamført med nytta.
3.4 Etablere, gjennomføre og rapportere målingane
Når forslaget er behandla og vedtatt av verksemdsleiinga, må dei som blir ansvarleg for målingane, etablere nødvendige målepunkt og målemetodar. Det vil ofte vere behov for at dette arbeidet koordinerast av fagansvarleg informasjonssikkerheit eller ein annan utpeikt person. Det bør vere klare fristar for å få målingane i gang.
Når målingane og rutinane rundt er etablerte, må målingane gjennomførast i medhald av oppgitt tidspunkt, frekvens og ansvar.
Det vil oftast vere naturlig at fagansvarleg informasjonssikkerheit får ansvaret med å samanstille dei utførte målingane, og presentere desse for leiinga i rapporter. Dette kan blant anna vere til verksemdsleiinga sin gjennomgang.
3.5 Bruk i linjestyringa elles
Linjeleiarar på ulikt nivå kan ved interesse eller behov innføre måleindikatorar for oppfølging av eige ansvarsområde.
Dersom verksemda allereie har eit indikatorsett, vil dette ofte kunne danne ein god basis. For lokale leiarar vil det oftast vere interessant å sjå resultatet både for eiga organisatorisk eining, samanlikna med andre einingar og for verksemda samla.
Ut frå eigenarten til dei ulike einingane kan det også vere aktuelt å etablere heilt eigne indikatorar.
3.6 Systematisk evaluering av indikatorsett
Nokon i verksemda bør peikast ut som ansvarleg for å vedlikehalde det indikatorsettet som er valt på verksemdsnivå, og eventuelt på underliggande nivå.
Dei ansvarlege bør syte for at bruken og nytta blir evaluert systematisk. Indikatorar som fungerer dårleg, bør justerast. Ein må samtidig vere merksam på at indikatorar må kunne bli samanlikna over tid dersom ein skal sjå ei utvikling, så det er viktig å ikkje gjere for hyppige endringar.
4. Gjennomføre evalueringar
Ansvarleg for gjennomføring:
- Dei personane verksemdsleiinga eller linjeleiarar har peikte ut til å gjennomføre konkrete evalueringar.
4.1 Om aktiviteten
Ei evaluering er som oftast bestilt frå verksemdsleiinga. Bestillinga vil ofte ha bakgrunn i anten
- ei overordna risikovurdering
- usikkerheit om viktige prosessar i internkontrollen fungerer godt nok
- behov for å vite meir om korleis spesifikke delar av internkontrollarbeidet verkar inn på verksemda sine informasjonssikkerheitsmål, primære mål, effektivitet og regelverksetterleving.
Evalueringar kan til dømes vere:
- Analyse av status på internkontrollområdet informasjonssikkerheit generelt, eller på eit spesifikt delområde, utført på oppdrag frå verksemdsleiinga
- Gjennomføring av lovpålagde eller avtalte systemgjennomgangar, systemrevisjonar og liknande, utført på oppdrag frå risikoeigarar eller systemeigarar fellessystem
- Ei grundig undersøking som oppfølging av ein leiar si usikkerheit i aktiviteten
- Vurdere status på eige ansvarsområde
4.2 Kan utførast av både interne og eksterne fagmiljø
Evalueringar kan leiast og utførast av både interne og eksterne fagmiljø. Tilgjengelege ressursar og behov for sjølvstende til det som skal evaluerast, er viktige kriterium når ein vel kven som skal utføre arbeidet.
Kven som utfører arbeidet, påverkar graden av sjølvstende. Dette må verksemdsleiinga vere klar over både ved organisering, bestilling og forståing av sluttrapporten frå ei evaluering.
4.3 Planlegging, informasjonskjelder og metodar
Ei evaluering er ein systematisk planlagd prosess. Evalueringsoppdraget bør vere spesifisert og avgrensa. Som ein del av planlegginga må den som skal utføre evalueringa, finne ut kva informasjon som må hentast inn og analyserast for å svare på oppdraget. Dette skjer ofte i dialog med oppdragsgivar før datainnhentinga gjennomførast.
Ein må også ta stilling til om ein skal bruke kvantitative metodar, kvalitative metodar eller kombinasjonar, og ein vil i vår samanheng ofte bruke referansepunkt som standardar eller dette rettleiingsmateriellet.
4.4 Resultat
Resultata frå evalueringar presenterast for oppdragsgivar. Dei vil ofte innehalde tilrådingar om konkrete tiltak for å rette opp i dei avvik eller svakheiter ein har funne. I kva grad slike tilrådingar skal gis, vil normalt vere styrt av oppdraget.
Resultata bør også gjerast kjende for dei som er omfatta av evalueringa. Det sikrar forståing og læring av målingar, undersøkingar og evalueringar.
5. Gjennomføre internrevisjon
Ansvarleg for gjennomføring:
- Dei personane verksemdsleiinga eller linjeleiarar har peikte ut til å gjennomføre konkrete internrevisjonar.
5.1 Om aktiviteten
Føremålet med ein internrevisjon er å få ei formell vurdering av om verksemda følgjer bestemte krav, og om krava er implementerte og haldne ved like på ein føremåls- og kostnadseffektiv måte. Revisjonen utførast på oppdrag frå verksemdsleiinga.
Krava kan vere verksemda sine eigne føringar for arbeidet med styring av informasjonssikkerheit, krava i standarden ISO/IEC 27001, bestemte lovkrav eller kombinasjonar av dette.
Verksemdsleiinga bør systematisk vurdere behovet for slike revisjonar og ved behov syte for gjennomføring.
5.2 Avgrensa krav til internrevisor
Ein internrevisjon for internkontroll informasjonssikkerheit, slik det er beskrive i ISO/IEC 27001, treng ikkje å bli utført av formelle revisorar eller av ein eigen internrevisjonsfunksjon i verksemda. Det er tilstrekkeleg at dei som får oppdraget veit korleis det skal gjerast, er vurderte som fagleg kvalifiserte for oppdraget og har tilstrekkeleg objektivitet og avstand til det som reviderast.
Som for evalueringar kan oppdraget utførast av både eksterne og interne fagmiljø.
5.3 Evalueringar - eit alternativ når ein ikkje treng sertifisering
Ein revisjon etter ISO/IEC 27001 må følgje krava i kapittel 9.2 i standarden.
For verksemder som ikkje skal sertifiserast etter ISO/IEC 27001, men berre skal basere seg på standarden, vil evalueringar med spissa mandat vere gode alternativ til slike internrevisjonar.
Det er føremålet og resultatet som er det viktigaste. Det er likevel her viktig at dei som gjer ei slik evaluering, har tilstrekkeleg objektivitet.
Evalueringar av ulike delar av internkontrollarbeidet vil uansett vere nyttige som supplement i verksemda sin status- og styringsinformasjon.
Det er også viktig å vere klar over at det kan vere at verksemda må gjennomføre sikkerheitsrevisjonar for å oppfylle lovkrav.
5.4 Tre fasar i ein revisjon
Ein revisjon består i grove trekk av tre fasar:
- Planleggingsfasen, der revisjonsprogrammet blir sett opp. Her skal ein fastsetje metodar, ansvar og krav til rapportering og dessutan utforme revisjonshandlingane. Ein må også spisse revisjonen og avsetje riktige ressursar.
- Gjennomføringsfasen, der revisjonshandlingane gjennomførast for å skaffe fram revisjonsbevis som understør om ein aktivitet, prosess eller organisatorisk eining fungerer som føresett eller ikkje.
- Rapporteringsfasen, der revisjonen oppsummerast gjennom dei funna og observasjonar som er gjort, med tilhøyrande tilrådingar.
5.5 Revisjonsrapporten
Revisjonsrapporten vil vere eit viktig styringsdokument for leiinga. I informasjonssikkerheitssamanheng bør revisjonsrapporten brukast i samband med verksemdsleiinga sin gjennomgang.
5.6 Sentrale standarder i revisjonsarbeidet
Følgjande internasjonale standardar kan vere nyttige i samband med gjennomføring av internrevisjon av internkontrollarbeidet på informasjonssikkerheitsområdet:
- NS-EN ISO 19011:2018 Retningslinjer for revisjon av styringssystem
- NS-ISO/IEC 27007:2020 Retningslinjer for revisjon av ledelsessystemer for informasjonssikkerhet