...
En lärande revisionsfunktion blir en drivkraft för förtroende, säkerhet och utveckling i Sveriges digitala ekosystem. Genom att dessutom kombinera mänsklig expertis med datadriven analys stärker vi både efterlevnad och förmåga att möta framtidens krav inom informationssäkerhetsområdet. Det skapar långsiktig resiliens, ökar handlingskraften och lägger grunden för hållbar digital samverkan.
...
Tidigare erfarenheter
SITHS-revision har använt en modell kallad ”Lärande revision”. Framgångsfaktorerna har varit mötet mellan revisor och reviderad organisation vid revision och vid uppföljning av åtgärdsplaner. Utmaning är, och har varit, att behovet av revision är stort men resurserna är få och räcker inte till för att revidera alla organisationer inom önskad tid.
...
Revisionsprogrammet beskriver i vilken omfattning och i vilken frekvens revisioner skall genomföras. Kravnivåer mappade mot revisionskriterier och hur detta täcks under en 3-årsperiod behöver framgå i programmet. Kravnivån ligger till grund för revisionsprogrammets omfattning och aktuella revisionskriterier. Även bedömningen av avvikelser och mognadsgrad är beroende av definierade kravnivåer.
Revisionskriterier
Ena Tillitsramverk, se Kravkatalog, består av krav grupperade under kriterierna organisatoriska krav, personorienterade krav, fysiska krav samt och tekniska krav. Regelverket omfattar Varje Ena-tillitsmärke inkluderar en uppsättning krav från katalogen och de täcker in bland annat följande områden av revisionskriterier:
- Ledningssystem för informationssäkerhet (LIS)
- Riskhantering, internrevision och kontinuitetsplanering
- Behörighetsstyrning och spårbarhet
- Incident- och sårbarhetshantering
- Kryptering, loggning och tekniska skyddsåtgärder
...