...
Digitaliseringen av offentlig sektor bygger på samverkan och delat ansvar. Ena Tillitsramverk är grunden för detta – ett regelverk som skapar förtroende och säkerhet mellan aktörer. För att detta skall fungera krävs en tillsyn (revision) av att aktörerna lever upp till de krav som stipuleras av regelverket.
Förbättring i efterlevnad har kunnat påvisas från SITHS-revision där en modell kallad ”Lärande revision” har använts. Framgångsfaktorerna har varit mötet mellan revisor och reviderad organisation vid revision och vid uppföljning av åtgärdsplaner. Utmaning är, och har varit, att behovet av revision är stort men resurserna är få och räcker inte till för att revidera alla organisationer inom önskad tid.
Sambi har använt en annan metod där revisionen till största del har genomförts via skrivbordsrevision och dokumentgranskning. Granskningen har anpassats till en nivå där tillit och kostnader accepteras inom federationen. Djupare granskningar skulle behövas för bättre kontroll på efterlevnad.
Revisionens syfte är att verifiera att anslutna organisationer uppfyller kraven och samtidigt stödja dem i att utveckla sitt informationssäkerhetsarbete. Revisionen ska inte bara vara en kontroll utan en lärande process som bidrar till ökad tillit, högre säkerhet, effektivare riskhantering och kontinuerlig förbättring.
Revisionens syfte är att verifiera att anslutna organisationer uppfyller kraven och samtidigt stödja dem i att utveckla sitt informationssäkerhetsarbete. Revisionen ska inte bara vara en kontroll utan en lärande process som bidrar till ökad tillit, högre säkerhet, effektivare riskhantering och kontinuerlig förbättring. Revision kan genomföras på olika sätt, på olika djup och på olika nivåer. Det är av vikt att revisionen ses som ett verktyg till förbättring, att den bidrar till ett lärande och att den ger engagemang. Angreppssättet vid själva revisionsgenomförandet är avgörande för den mognadsförskjutning som är önskvärd och själva syftet med revisionsverksamheten.
Erfarenheter
Förbättring i efterlevnad har kunnat påvisas från SITHS-revision där en modell kallad ”Lärande revision” har använts. Framgångsfaktorerna har varit mötet mellan revisor och reviderad organisation vid revision och vid uppföljning av åtgärdsplaner. Utmaning är, och har varit, att behovet av revision är stort men resurserna är få och räcker inte till för att revidera alla organisationer inom önskad tid.
Sambi har använt en annan metod där revisionen till största del har genomförts via skrivbordsrevision och dokumentgranskning. Granskningen har anpassats till en nivå där tillit och kostnader accepteras inom federationen. Djupare granskningar skulle behövas för bättre kontroll på efterlevnadRevision kan genomföras på olika sätt, på olika djup och på olika nivåer. Det är av vikt att revisionen ses som ett verktyg till förbättring, att den bidrar till ett lärande och att den ger engagemang. Angreppssättet vid själva revisionsgenomförandet är avgörande för den mognadsförskjutning som är önskvärd och själva syftet med revisionsverksamheten.
Processer och angreppssätt
...
Tillitskedjan visar hur revision behöver genomföras på olika nivå. Federationsankaret behöver revidera dom federationsoperatörer som är anslutna till Ena. Federationsoperatörerna (Anslutningsoperatör eller Tillitsmärkesägaren?) i sin tur reviderar dom organisationer som är anslutna till operatören. Dom rundade pilarna i bilden visar på den egenkontroll/internrevision som varje organisation i tillitskedjan behöver genomföra systematiskt.
| draw.io Board Diagram | ||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
...