Måling, evaluering og revisjon (ME)

Ledere skal ha forståelse av tilstanden på sine tjenester og sitt ansvarsområde. Risikoeiere skal systematisk vurdere om styringsaktivitetene blir etterlevd og fungerer effektivt, om sikkerhets- og personverntiltak fungerer, er kostnadseffektive, og om regelverk blir etterlevd.

Ledelsen skal sørge for:

• at risikoeiere vurderer status av deres ansvarsområder minst én gang i året
• at det etableres målinger for å følge tilstanden over tid der det er behov for det
• at styringen av informasjonssikkerhet og personopplysningsvern blir evaluert 
• at effektiviteten av sikkerhets- og personverntiltak vurderes regelmessig

Risikoeiere skal vurdere status på sitt ansvarsområde minst én gang i året, og iverksette forbedringer etter behov. 

Statusvurderingen skal omfatte vurderinger av om man selv, egne ansatte og leverandører:

• gjennomfører styringsaktivitetene
• etablerer og følger opp vedtatte eller avtalte sikkerhets- og personverntiltak
• etterlever gjeldende sikkerhets- og personverntiltak
• følger regelverk

De som har ansvar for tiltak, skal vurdere om tiltakene fungerer som forutsatt (Ref. Vurdere effektivitet av sikkerhets- og personverntiltak (ME-4)).

Dersom vurderingen avdekker avvik, må disse utbedres, og oppfølgingen skal dokumenteres.

På områder der virksomhetsledelsen eller risikoeier har behov for å følge tilstanden over tid, må de sørge for å etablere systematisk måling og rapportering. Målingene kan være på både organisatorisk, menneskelig og teknisk nivå. 

Det vil både variere fra virksomhet til virksomhet, og i en enkelt virksomhet over tid, hva man har behov for å måle. Det må derfor jevnlig vurderes om de målingene som er etablert er hensiktsmessig innrettet, og om det er de riktige områdene det gjennomføres målinger på. 

Resultatene skal sammenstilles og følges opp over tid, og presenteres for virksomhetsledelsen etter behov.

Virksomhetsledelsen skal sørge for at det gjennomføres evalueringer av hele eller deler av arbeidet med styring av informasjonssikkerhet og personopplysningsvern i virksomheten. Dette kan være internrevisjoner som følge av lovkrav eller andre forpliktelser, eller andre evalueringer basert på behov. 

Ved gjennomføring av evalueringer skal det alltid gjøres en vurdering av behovet for uavhengighet. Ved særskilt behov for uavhengighet eller kompetanse, kan man hente inn eksterne til å gjennomføre evalueringen.

En evaluering kan være på oppdrag fra virksomhetsledelsen, eller fra en risikoeier for et avgrenset område. Det skal utarbeides en rapport eller oppsummering, og resultatet skal presenteres for oppdragsgiver. Eventuelle avvik skal følges opp.

Virksomhetsledelsen har ansvar for at det regelmessig vurderes om sikkerhets- og personverntiltakene er effektive. Hensikten er å undersøke om tiltakene er etablert, at de virker som tiltenkt, og at de har ønsket effekt på virksomhetens informasjonssikkerhet og personopplysningsvern.