...
Revisionens syfte är att verifiera att anslutna organisationer uppfyller kraven och samtidigt stödja dem i att utveckla sitt informationssäkerhetsarbete. Revisionen ska inte bara vara en kontroll utan en lärande process som bidrar till ökad tillit, högre säkerhet, effektivare riskhantering och kontinuerlig förbättring. Revision kan genomföras på olika sätt, på olika djup och på olika nivåer. Det är av vikt att revisionen ses som ett verktyg till förbättring, att den bidrar till ett lärande och att den ger engagemang. Angreppssättet vid själva revisionsgenomförandet är avgörande för den mognadsförskjutning som är önskvärd och själva syftet med revisionsverksamheten.
Erfarenheter
Förbättring i efterlevnad har kunnat påvisas från SITHS-revision där en modell kallad ”Lärande revision” har använts. Framgångsfaktorerna har varit mötet mellan revisor och reviderad organisation vid revision och vid uppföljning av åtgärdsplaner. Utmaning är, och har varit, att behovet av revision är stort men resurserna är få och räcker inte till för att revidera alla organisationer inom önskad tid.
...