...
| Table of Contents | ||||
|---|---|---|---|---|
|
Inledning
Digitaliseringen av offentlig sektor bygger på samverkan och delat ansvar. Samordnad identitet och behörighets tillitshantering ger en grund för detta – Ena-tillitsmärkena skapar förtroende och säkerhet mellan aktörer. För att detta skall fungera krävs en tillsyn (revision) av att aktörerna lever upp till de krav som ställs för respektive Ena-tillitsmärke.
...
En lärande revisionsfunktion blir en drivkraft för förtroende, säkerhet och utveckling i Sveriges digitala ekosystem. Genom att dessutom kombinera mänsklig expertis med datadriven analys stärker vi både efterlevnad och förmåga att möta framtidens krav inom informationssäkerhetsområdet. Det skapar långsiktig resiliens, ökar handlingskraften och lägger grunden för hållbar digital samverkan.
...
Tidigare erfarenheter
SITHS-revision har använt en modell kallad ”Lärande revision”. Framgångsfaktorerna har varit mötet mellan revisor och reviderad organisation vid revision och vid uppföljning av åtgärdsplaner. Utmaning är, och har varit, att behovet av revision är stort men resurserna är få och räcker inte till för att revidera alla organisationer inom önskad tid.
...
Processer och angreppssätt
För att etablera och underhåll underhålla en revisionsfunktion där helhet och delar hänger samman och styrs mot kvalitet och effektivitet krävs tydliga, strukturerade och styrda processer. Revision som genomförs stokastiskt och på förekommen anledning ger inte långsiktig och hållbar nytta. Den tenderar att bli ett försök till att inhämta information för att släcka bränder. Revision bör sättas i ett större sammanhang där proaktivitet och systematik blir grunden för en hållbar och motståndskraftig verksamhet. Även om revision kan behöva genomföras på förekommen anledning bör den ingå i ett systematiskt program och styras ur ett helhetsperspektiv. Nedan beskrivs processer som var och en bidrar till helheten där risk, systematik, pedagogik och ständig förbättring står i centrum.
...
Revisionsprogrammet beskriver i vilken omfattning och i vilken frekvens revisioner skall genomföras. Kravnivåer mappade mot revisionskriterier och hur detta täcks under en 3-årsperiod behöver framgå i programmet. Kravnivån ligger till grund för revisionsprogrammets omfattning och aktuella revisionskriterier. Även bedömningen av avvikelser och mognadsgrad är beroende av definierade kravnivåer.
Revisionskriterier
Ena Tillitsramverk, se Kravkatalog, består av krav grupperade under kriterierna organisatoriska krav, personorienterade krav, fysiska krav samt och tekniska krav. Regelverket omfattar Varje Ena-tillitsmärke inkluderar en uppsättning krav från katalogen och de täcker in bland annat följande områden av revisionskriterier:
- Ledningssystem för informationssäkerhet (LIS)
- Riskhantering, internrevision och kontinuitetsplanering
- Behörighetsstyrning och spårbarhet
- Incident- och sårbarhetshantering
- Kryptering, loggning och tekniska skyddsåtgärder
...