Sammendrag
En IT-sikkerhetsrevisjon er en intern revisjon med spesiell fokus på sikkerhet i tilknytning til IT-ressursene. Det kan være mange årsaker til at en virksomhet gjennomfører IT-revisjoner. En IT-revisjon kan være et verktøy for å hjelpe ledelsen med å ha styring og kontroll over IT-aktivitetene i virksomheten, for eksempel ved å få en uavhengig gjennom-gang og kvalitetssikring av et IT-system for å forsøke å avdekke svakheter, sårbarheter eller feil. Vi foreslår derfor at IT-revisjon bør få en sentral plass i funksjoner for intern revisjon i helseforetakene. I denne rapporten presenterer vi et enkelt rammeverk for gjennomføring av en IT-revisjon. Rammeverket består av de tre hoveddelene planlegging, gjennomføring og rapportering. Det vil også være oppfølgingsaktiviteter i etterkant av en revisjon (intern oppfølging), men dette har vi definert som utenfor selve revisjonen. Rammeverket er uavhengig av om revi-sjonen utføres av interne eller eksterne ressurser. I forbindelse med IT-revisjoner vil det i en del tilfeller være aktuelt å gjøre ulike former for sikkerhetstester, f.eks. for å avsløre svakheter i nettverket eller i barrierer. Vi vil i denne rapporten også se på noen metoder og verktøy for å gjøre slike tester, og gi anbefalinger for hvordan slike tester kan brukes i forbindelse med IT-revisjoner.
|