job Blogg

IT-rammeverkene – en unik kilde for risikovurderinger og revisjonsplanlegging

IT-rammeverkene gir oss god praksis og er ofte tilgjengelig gratis.

Revisjonsstandardene sier at «Internrevisorer må ha tilstrekkelig kunnskap om de viktigste risikoer og kontrolltiltak innenfor informasjonsteknologi og tilgjengelig teknologibaserte revisjonsteknikker for å kunne utføre sine tildelte arbeidsoppgaver».

IT-rammeverkene gir oss god praksis og er ofte tilgjengelig gratis eller kan aksesseres gjennom medlemskap i bransjeorganisasjoner som for eksempel IIA og ISACA.

IT-nettverket arrangerte i februar webinaret «Hvordan ta grep på IT-revisjoner», og manager compliance & audit i PGS, Sonia Almeida, presenterte et utvalg av de mest benyttede IT-rammeverkene.

RammeverkEierInnholdKostnad
Global Technology Guides (GTAG)IIABredt, dekker de fleste kontrollområderGratis*
IT Infrastructure Library (ITIL)OGCIT-prosesser, hovedfokus på service/støtteBetaling
Control Objectives for Information and Related Technologies (COBIT)ISACARammeverk for styring og kontroll.            IT-mål linkes mot forretningsmålGratis*
ISO/IEC 27000-serieISOIT-sikkerhet. Rammeverk for design/praksisBetaling
National Institute of Standards and Technology (NIST)NISTIT-sikkerhet. Rammeverk for design/etterlevelseGratis
Nasjonal SikkerhetsmyndighetNSMIT-sikkerhet. Prinsipper for beskyttelseGratis
Center for Internet SecurityCISIT-sikkerhet. Teknisk rammeverk. «Topp 18 kontroller» og «Benchmark konfigurasjon og testprosedyrer»Gratis
The Open Web Application Security Project (OWASP)OWASPIT. Sikkerhet. Fokus på applikasjonsnivå. Publiserer «Topp 10» sikkerhetskontrollerGratis
* Betinger medlemskap

«Big Four» har også egne rammeverk som dekker aktuelle IT-områder. Artikkelforfatteren sin erfaring er at disse rammeverkene har flere likhetstrekk enn ulikheter i forhold til de som er listet ovenfor.

I hvilken grad et eller flere rammeverk benyttes i virksomhetene, vil trolig variere avhengig av virksomhetens art, modenhet og hvilke «governanceaktører» som har hatt den sterkeste stemmen internt i virksomheten.

Uavhengig om din funksjon har sitt utspring i internrevisjon, risikostyring, compliance eller virksomhetsstyring-/ledelse, er IT-rammeverkene en kilde for god praksis. I et kontrollaspekt kan rammeverkene hjelpe deg til å forstå virksomhetens risikoer og om adekvate kontroller er etablert og fungerer som de skal. I et mer anlagt styringsperspektiv vil også rammeverkene hjelpe deg til god praksis i forhold til design av IT-prosesser og linking av IT opp mot virksomhetens forretningsmål.

– og det er vel heller ingen ulempe at det meste er gratis?

PS: Hvis du gikk glipp av kurset og du ønsker å lære mer om rammeverkene, kan du se opptaket av kurset HER.