Har informasjonssikkerheten bestått «EU-kontrollen»?

En årlig «EU-kontroll» av virksomhetens informasjonssikkerhetsarbeid gjør det enklere å identifisere svakheter og eventuelle mangler i tekniske og organisatoriske informasjonssikkerhetstiltak – samt mulighet for forbedring og effektivisering av arbeidet.

Skrevet av: Øystein Løvdal Andersen

Som bileier må man med jevne mellomrom sende bilen til EU-kontroll for å sjekke tilstanden dens. Er bremser, lykter, dempere mm. i orden og iht. til kravene? På tilsvarende måte har virksomheter godt av å gjennomføre en jevnlig "EU-kontroll" av sitt informasjonssikkerhetsarbeid. 

En av metodene for dette er å etablere et regime for internrevisjon av informasjonssikkerheten i virksomheten. På tilsvarende måte som mekanikeren sjekker bilen opp mot en gitt kravliste, kan en internrevisor sjekke tilstand på informasjonssikkerheten opp mot blant annet regulative krav og virksomhetskrav. 

Hvordan gjennomføre internrevisjon

Det første steget man må ta i en internrevisjon er å definere omfang og kriterier for revisjonen. Skal du kontrollere opp mot kravene i GDPR, kontraktsfestede krav fra kunder, egne virksomhetskrav – og i så fall hvilke? Virksomheter som er sertifisert etter ISO/IEC 27001 er pålagt å ha revidert alle standardens krav og kontroller i løpet av en 3-års periode. Det er vanlig å løse dette ved å lage en 3-årig revisjonsplan, med fokus på spesifikke kontrollområder de ulike årene (f.eks. fokusere på tilgangskontroll ett år og hendelseshåndtering det neste).

Dersom din virksomhet ikke er ISO-sertifisert kan det likevel være en god idé å følge samme prinsipp for internrevisjon. Ved å definere spesifikke kontrollområder, med bakgrunn i risiko tilknyttet aktuelle områder, vil du kunne gå mer i dybden og begrense omfanget av revisjonen. Dette vil gi større verdi for ledelsen, samtidig som det vil være mindre belastende på virksomheten og dens ansatte. 

Når revisjonsplanen er klar, vil internrevisor forberede revisjon ved å gjennomgå dokumentene, identifisere relevante personer for intervju, forberede tester m.m. Selve revisjonen kan bestå av ulike elementer, slik som intervju av aktuelle ansatte, fysisk befaring av kontorer, datahaller og andre relevante lokasjoner, testing av prosesser, systemer eller annet. På denne måten får virksomheten verifisert om og i hvilken grad arbeidet er i henhold til de gitte kravene. 

På samme måte som i en EU-kontroll, vil ledelsen i etterkant av revisjonen motta en slags kontrollseddel som viser funn av avvik og områder for forbedring. For at internrevisjonen skal ha verdi for virksomheten er det viktig at kontrollseddelen følges opp av ledelsen, i samråd med internrevisor. På denne måten kan man identifisere og iverksette tiltak der dette trengs. Etter hvert som tiltak er tilstrekkelig implementert, kan avvikene strykes fra kontrollseddelen. Gjennom kontinuerlig oppfølging av funnene i internrevisjonen vil man bidra til at virksomheten er trygg på veien ett år til. 

Ønsker du bistand til å gjennomføre en internrevisjon av sikkerhetsarbeidet i din virksomhet? Ta kontakt med oss i Watchcom for et uforpliktende tilbud.