Versions Compared

Old Version 29

changes.mady.by.user Åsa Wikenståhl

Saved on

compared with

New Version 30

changes.mady.by.user Anders Malmros

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Table of Contents
maxLevel2
exclude[567456].*

Inledning

Digitaliseringen av offentlig sektor bygger på samverkan och delat ansvar. Ena Tillitsramverk är grunden för detta – ett regelverk som skapar förtroende och säkerhet mellan aktörer. För att detta skall fungera krävs en tillsyn (revision) av att aktörerna lever upp till de krav som stipuleras av regelverket.

Revisionens syfte är att verifiera att anslutna organisationer uppfyller kraven och samtidigt stödja dem i att utveckla sitt informationssäkerhetsarbete. Revisionen ska inte bara vara en kontroll utan en lärande process som bidrar till ökad tillit, högre säkerhet, effektivare riskhantering och kontinuerlig förbättring. Revision kan genomföras på olika sätt, på olika djup och på olika nivåer. Det är av vikt att revisionen ses som ett verktyg till förbättring, att den bidrar till ett lärande och att den ger engagemang. Angreppssättet vid själva revisionsgenomförandet är avgörande för den mognadsförskjutning som är önskvärd och själva syftet med revisionsverksamheten.

Strategisk betydelse för Sveriges digitala ekosystem

En AI-stödd, lärande revisionsfunktion är mer än en kontrollmekanism – den är en strategisk resurs som stärker förtroendet mellan myndigheter, regioner och privata aktörer. Den bidrar till att skydda samhällskritiska funktioner, möjliggör en trygg digital transformation och skapar en grund för innovation och samverkan.

Genom att bygga in lärande, riskbaserad styrning och datadriven analys i revisionen kan Sverige säkerställa att den digitala infrastrukturen förblir säker, resilient och förtroendeskapande även i en snabbt föränderlig omvärld.

En AI-stödd, lärande revisionsfunktion blir en drivkraft för förtroende, säkerhet och utveckling i Sveriges digitala ekosystem. Genom att kombinera mänsklig expertis med datadriven analys stärker vi både efterlevnad och förmåga att möta framtidens krav. Det skapar långsiktig resiliens, ökar handlingskraften och lägger grunden för hållbar digital samverkan.

Erfarenheter

Förbättring i efterlevnad har kunnat påvisas från SITHS-revision där en modell kallad ”Lärande revision” har använts. Framgångsfaktorerna har varit mötet mellan revisor och reviderad organisation vid revision och vid uppföljning av åtgärdsplaner. Utmaning är, och har varit, att behovet av revision är stort men resurserna är få och räcker inte till för att revidera alla organisationer inom önskad tid.

...

När en revisionsomgång har avslutats analyseras resultatet efter genomförda revisioner. Avvikelser och mognadsmätningar sammanställs och grupperas i en rapport som kommuniceras och återkopplas. Förbättringar av processen genomförs med tyngdpunkt på kvalitet, effektivitet, säkerhet och nytta för reviderade organisationer. 


...

APPENDIX I - Etablering av AI-stödd revisionsfunktion

Initieringsfas År 1

En initieringsfas med 100 anslutna organisationer har estimerats enligt nedan. Estimatet visar endast på själva revisionsgenomförandet med stöd av AI. Utöver detta behövs tid för exempelvis etablering av teknisk miljö, konfiguration, utbildning och erfarenhetsåtervinning. Se vidare handlingsplan.

 

Handlingsplan

  1. Etablera styrning och mandat
    Säkerställ tydligt uppdrag, mandat och organisatorisk placering för revisionsfunktionen.
  2. Utveckla metodik och processer
    Utveckla och dokumentera enhetliga metoder som omfattar revision, AI-användning, kvalitetssäkring och rapportering.
  3. Bygg kompetens och roller
    Definiera roller, kompetenskrav och utbildningsinsatser – inkludera AI-kompetens och informationssäkerhet.
  4. Etablera en säker AI-miljö
    Skapa en teknisk miljö där AI kan användas utan att äventyra informationssäkerheten. Språkmodellen skall vara säker och inlåst.
  5. Testa AI-användningen och sätt upp relevanta promptar
  1. Genomför pilot och skala upp
    Sätt upp relevanta promptar och genomför pilotrevisioner för att testa metod, verktyg och samspel mellan människa och AI. Skala upp gradvis baserat på erfarenheter.
  2. Ständig förbättring
    Utvärdera och förbättra förmågan hos AI att identifiera och gradera olika risker/avvikelser. Utveckla samarbetet mellan AI och revisor.
  3. Samverka och dela lärdomar
    Etablera forum och rutiner för erfarenhetsutbyte mellan aktörer för att stärka hela ekosystemet.




...

APPENDIX II - Sammanfattning SITHS-revision

SITHS-revision har genomförts under 7+ år med dokumenterat goda resultat gällande mognadsförskjutning inom framför allt säkerhetsarbetet.

...

Dokumentation och möten följer de krav som ställs på känslig information.

Mognadsförskjutning inom säkerhetsområdet

Säkerhetsområdet i SITHS Tillitsramverk omfattar följande delar: LIS (Ledningssystem för informationssäkerhet), riskhantering, incidenthantering, kontinuitetsplanering, internrevision, fysisk-, personrelaterad- och administrativ säkerhet. Mognadsförskjutningen inom säkerhetsområdet visar i stort sett samma mönster; revision bidrar till ökad efterlevnad hos reviderad part.

Statistiskt utfall

Efterlevnaden mot regelverket har bedömts löpande, dokumenterats och presenteras genom cirkeldiagram, se nedan.

Vid revision visar mognadsmätningen att stora delar av säkerhetsområdet endast är initierat eller saknas helt. När organisationen genomfört sina åtgärder visar mätning mot samma kriterier en betydande förbättring inom området.

Processer

Tillitsdeklaration

Årligen bedömer och deklarerar anslutna organisationer sin efterlevnad mot regelverket i en tillitsdeklaration. Deklarationen innehåller endast en skattning på en skala mellan 1-5 för respektive revisionskriterium. Resultatet sammanställs i ett spindeldiagram. (Manuell hantering)

Revisionsprogram

Revisionsprogram sätts upp, och underhålls löpande, för alla revisionsobjekt (100 organisationer, 10-årigt program, total revision mot regelverket). Programmet har både ett systematiskt och ett riskbaserat perspektiv. (Manuell hantering)

Prioritering och urval

Utifrån i förväg definierade riskparametrar genomförs ett urval av organisationer där nyttan med revision bedöms som störst. Varje år revideras högst 14 organisationer. (Manuell hantering)

Revisionsomgång

Revisionsomgången planeras och fastställs. För att bidra till kvalitet i resultatet, friktionsfri framfart samt ständig förbättring av arbetssättet styr revisionsteamet sitt arbete genom att löpande ta PULS på progressen. (Manuell hantering)

Genomförande av en revision

Revisionsprocessen genomförs genom 7 strukturerade steg med stöd av tydliga mallar. (Manuell hantering)

...

  1. Revisionstillfället planeras i god tid innan revisionens genomförande. En revisionsplan med agenda tas fram och kommuniceras med reviderad part där frågor kan redas ut och kontakt etableras.
  2. Vid genomförandet av revisionen identifieras och förankras avvikelser och förbättringsförslag. Mognadsbedömning genomförs och dokumenteras i revisionsrapporten.
  3. Efter revisionsgenomförandet gör reviderad part orsaksanalyser och tar fram åtgärdsplaner för att åtgärda avvikelserna som identifierats under revisionen.
  4. Åtgärdsplanerna följs upp vid ett kort möte (efter 3 veckor) där sambandet mellan rotorsak och åtgärdsplan belyses och diskuteras med revisorn.
  5. När åtgärdsplanen accepterats genomför reviderad part planerade åtgärder för att släcka avvikelserna.
  6. Genomförda åtgärder följs upp vid ett kort möte (efter 3 månader) varvid effekten dokumenteras tillsammans med en ny mognadsmätning som visar effekten av genomförda åtgärder.
  7. Härefter stängs revisionen, dokumentation gallras och arkiveras. Om större avvikelser eller larm identifierats under revisionen hanteras detta vidare genom riskindikation, som senare ligger till grund för bedömning av återbesök.

...

APPENDIX III - Sammanfattning granskning Sambi

<Roberts dokument om processen Sambi>