Versions Compared

Old Version 46

changes.mady.by.user Anders Malmros

Saved on

compared with

New Version 47

changes.mady.by.user Anders Malmros

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Genom att bygga in lärande, riskbaserad styrning och datadriven analys i revisionen kan Sverige säkerställa att den digitala infrastrukturen och den digitala samverkan som förlitar sig på infrastrukturens hantering av identiteter och behörigheter förblir säker, resilient och förtroendeskapande även i en snabbt föränderlig omvärld.

En lärande revisionsfunktion blir en drivkraft för förtroende, säkerhet och utveckling i Sveriges digitala ekosystem. Genom att kombinera mänsklig expertis med datadriven analys stärker vi både efterlevnad och förmåga att möta framtidens krav inom informationssäkerhetsområdet. Det skapar långsiktig resiliens, ökar handlingskraften och lägger grunden för hållbar digital samverkan.

Erfarenheter

Förbättring i efterlevnad har kunnat påvisas från SITHS-revision där har använt en modell kallad ”Lärande revision” har använts. Framgångsfaktorerna har varit mötet mellan revisor och reviderad organisation vid revision och vid uppföljning av åtgärdsplaner. Utmaning är, och har varit, att behovet av revision är stort men resurserna är få och räcker inte till för att revidera alla organisationer inom önskad tid.

...

  1. Ledningsaktören
    1. är juridiskt ansvarig för federationsinfrastrukturen
    2. reviderar federationsoperatörer
    3. godkänner tillitsmärkesägare
  2. Federationsoperatören
    1. tillhandahåller ett tillitsankare för sitt federationskontext
    2. registrerar godkända tillitsmärken inom federationskontexten
    3. reviderar anslutningsoperatörer och tillitsmärkesutfärdare inom federationskontexten
  3. Tillitsmärkesägare
    1. äger och ansvarar för ett eller flera tillitsmärken som kopplar en eller flera egenskaper till en teknisk komponent
    2. genomför efterlevnadskontroll av federationsmedlemmar tekniska komponenter och relaterad verksamhet gentemot deras uppfyllnad av kraven för tillitsmärken.
      Efterlevnaden kan granskas genominvolvera:
      1. uppföljning av internrevision
      2. uppföljning av externt genomförd revision, via en av tillitsmärkesägaren godkänd revisor
      3. uppföljning av annan genomförd relevant revision
    3. tar beslut om att tilldela den tekniska komponenten ett tillitsmärke
    4.  uppdrar till en av federationsoperatören godkänd tillitsmärkesutfärdare att utfärda ett tillitsmärke till den tekniska komponenten
  4. Anslutningsoperatör
    1. ansvarar för federationsmedlemmars organisatoriska anslutning (avtalsskrivning) till federationsinfrastrukturen och ett eller flera federationskontext
    2. ansvarar för anslutning av federationsmedlemmar tekniska komponenters och registrering av metadata
  5. Tillitsmärkesutfärdare
    1. stämplar tillitsmärken och tillför dem till metadata för tekniska komponenter
  6. Federationsmedlem
    1. är en aktör som i federationsinfrastrukturen ansvarar för en eller flera tekniska komponenter involverade i hantering av identiteter och behörigheter. Identifierade komponenttyper är klient, identitetsintygstjänst, attributkälla, åtkomstintygstjänst, e-tjänst och resursserver.
    2. tecknar avtal med en anslutningsoperatör
    3. anskaffar tillitsmärken från en tillitsmärkesägare
    4. anlitar extern revisor för de efterlevnadskontroller som kräver det

draw.io Board Diagram
borderfalse
diagramNameNamnlöst diagram-1761666096657
simpleViewerfalse
width
linksauto
tbstyleinline
lboxtrue
diagramWidth656589
height683568
revision1517

Tillitskedjan ur ett revisionsperspektiv

Revision utifrån organisationstyp

Beroende på om vilken organisationstyp som anslutit sig till federationen kan lagkrav och möjlighet till revision variera.

Revision

Att genomföra revision inom Federationen, i nationell skala, har utmaningar. Många kommer att behöva revision men resurserna är få. Erfarenheten har visat att revision på plats hos reviderad part ger den bästa effekten och därmed högre efterlevnad mot regelverket. Antalet anslutna organisationer kommer att öka, och bör öka, över tid. Detta påverkar kapaciteten ytterligare och måste beaktas redan från början. Efterlevandekontroll måste ha fokus på kvalitet, likabehandling och genomförbarhet. Tillitsmodellen driver behov av kunskap på samhällsnivå. Behovet av stöd ute i anslutna organisation behöver mötas för att efterlevnaden skall få så stort genomslag som möjligt. Revision i sig driver lärande men behöver kompletteras med kompetensforum, utbildningar och stöd. Den här knuten behöver analyseras och en revisionsfunktion som kan möta behovet behöver utvecklas. Här kan ett AI-stöd vara det som blir avgörande för vilken nytta revision kan skapa inom Ena. För att lyckas med utmaningen rekommenderas här följande:

  • Sätt upp en central revisionsfunktion med helhetsansvar
  • Ta fram ett tydligt revisionsprogram omfattande alla parter, kravnivåer och kriterier
  • Utveckla ett AI-stöd för att effektivisera processerna (inlåst och säker språkmodell)
  • Genomför systematisk skrivbordsrevision med stöd av AI
  • Prioritera de organisationer med störst riskbild för revision på plats
  • Analysera behovet av utbildning och stöd som kan komplettera revisionerna

Central revisionsfunktion

En central revisionsfunktion bör sättas upp inom Federationen och revisionsarbetet bör styras därifrån. Metoderna för att hantera och genomföra revision inom Ena bör vara enhetliga och uppföljningsbara på alla nivåer. Eventuellt behöver specialistkompetens upphandlas för delar av själva revisionsgenomförandet. Detta hanteras och styrs då från revisionsfunktionen.

Revisionsprogram

Revisionsprogrammet beskriver i vilken omfattning och i vilken frekvens revisioner skall genomföras. Kravnivåer mappade mot revisionskriterier och hur detta täcks under en 3-årsperiod behöver framgå i programmet. Kravnivån ligger till grund för revisionsprogrammets omfattning och aktuella revisionskriterier. Även bedömningen av avvikelser och mognadsgrad är beroende av definierade kravnivåer.

Revisionskriterier

Ena Tillitsramverk, se Kravkatalog, består av krav grupperade under kriterierna organisatoriska krav, personorienterade krav, fysiska krav samt tekniska krav. Regelverket omfattar bland annat följande revisionskriterier:

  • Ledningssystem för informationssäkerhet (LIS)
  • Riskhantering, internrevision och kontinuitetsplanering
  • Behörighetsstyrning och spårbarhet
  • Incident- och sårbarhetshantering
  • Kryptering, loggning och tekniska skyddsåtgärder

AI-stöd

Genom att integrera AI i hela processen kan revisionen effektiviseras och revisorerna användas där riskerna är som störst. En AI-stödd revisionsfunktion frigör tid för mer värdeskapande uppgifter som dialog, uppföljning, strategi och förbättringsarbete. Eftersom betydligt fler organisationer kan granskas med samma resurser medför detta att tilliten ökar i hela ekosystemet. Genom att kombinera mänsklig revisorskompetens med AI:s analyskraft kan fler revisioner genomföras snabbare och totalt ge högre kvalitet, vilket leder till stärkt informationssäkerhet, effektivare resursanvändning och ökad tillit i det digitala ekosystemet.

...

Eftersom revisionerna hanterar känslig information krävs att AI används i en säker och inlåst miljö. Det innebär att ingen data lämnar organisationens skyddade IT-miljö, ingen information används för träning av externa AI-modeller, all åtkomst loggas och styrs med behörigheter och all kommunikation är krypterad. En inlåst språkmodell (privat moln eller on-prem) möjliggör full användning av AI utan att kompromissa med konfidentialitet, integritet eller regelefterlevnad.

Processer med stöd av AI

Nedan beskrivs hur revisionsfunktionens processer kan användas med stöd av AI.

Analys- och planeringsprocessen med stöd av AI

Utifrån tillitsdeklarationen sammanställer AI dokument, genomför riskanalys och prioriterar vilka organisationer som behöver revision på plats och vilka som skall revideras maskinellt. Revisionsprogrammet aktualiseras och omfattningen av aktuell revisionsomgång fastställs. Härefter genereras revisionsplaner för respektive revisionstillfälle. Revisor finns med under hela analys- och planeringsfasen för att säkra kvaliteten och för att ta beslut.

Revisionsprocessen med stöd av AI

Som tidigare beskrivits är revision där revisor och reviderad part kan mötas på plats eller digitalt det bästa sättet att nå lärande och efterlevnad. Då detta inte är möjligt när många organisationer behöver revideras föreslås här en kombination av skrivbordsgranskning med AI-stöd i kombination med att revisorer gör revision på plats hos dom organisationer med störst riskbild. Detta kräver att alla organisationer som ingår i programmet genomför en tillitsdeklaration med relevanta bevis på att regelverket efterlevs. Detta kan till exempel vara rapporter från genomförda internrevisioner, genomförd riskanalys, kontinuitetsplan, översikt över LIS eller rutiner för tekniska säkerhetskontroller. AI-stöd föreslås här även användas för att följa upp rotorsaksanalyser och åtgärdsplaner samt för att sammanställa revisionsrapporter och göra mognadsbedömningen.

...

Beroende på antalet organisationer i revisionsprogrammet, antalet revisorer samt komplexiteten i bevisen avgörs hur många organisationer som kan revideras årligen.

Rapporterings- och förbättringsprocessen med stöd av AI

När en revisionsomgång har avslutats analyseras resultatet efter genomförda revisioner. Avvikelser och mognadsmätningar sammanställs och grupperas i en rapport som kommuniceras och återkopplas. Förbättringar av processen genomförs med tyngdpunkt på kvalitet, effektivitet, säkerhet och nytta för reviderade organisationer. 

...