Her kan du laste ned sluttrapporten fra prosjektNorSox

God IT Styring og Kontroll i norske foretak
Sluttrapport - Del 1: Modell Rapporten - Del 1

Standard Norge, desember 2009
ISBN 978-82-7202-668-3
© Standard Norge 2009

God IT Styring og Kontroll i norske foretak
Sluttrapport - Del 2: Veiledning for Rapporten - Del 2

innføring av god IT-styring og -kontroll
Standard Norge, desember 2009
ISBN 978-82-7202-669-0
© Standard Norge 2009

 

Generelt om rettigheter for anvendelse av innhold i sluttrapport NorSox.
Som prosjekteier er Standard Norge den som forvalter alle rettigheter knyttet til sluttdokumentet fra prosjekt NorSox. Ved alle former for gjengivelse av det omtalte sluttdokument fra prosjekt NorSox del 1 og del 2, skal den som gjengir påse at kravet i åndsverkloven § 3 om å navngi opphavsmannen / kildehenvisning blir ivaretatt.

Sluttrapport fra prosjekt NorSox – Et dokument om God IT Styring og Kontroll
Ledelsen – både i privat og offentlig sektor – blir i dag utfordret til å etablere ”God IT Styring og Kontroll” eller ”IT Governance” i sin virksomhet. Det er særlig myndigheter, eiere og ansatte som stiller strengere krav til tydeliggjøring av ansvar og konsekvenser. Dette gjelder spesielt dersom virksomheten ikke kan dokumentere god styring og kontroll.

Prosjektet NorSox, i regi av Standard Norge, har laget dette dokumentet for å gi styremedlemmer og den ansvarlige ledelsen et grunnlag til å forstå nok til å plassere Internkontroll og styring innen IT på dagsorden.

Dokumentet henvender seg til alle som har eller vil få verv i styrer, eller har et lederansvar i en virksomhet. Det bygger på internasjonalt anerkjente standarder og internasjonale rammeverk. Det betyr at man må forholde seg til noen termer og begrep som er helt sentrale for å forstå hvordan god styring og kontroll kan bygges opp.

”God IT Styring og Kontroll” er en måte å forklare viktigheten av å ha styring og kontroll (ofte omtalt som ”intern kontroll”) over virksomhets bruk av IT. Dette er knyttet tett sammen med generelle krav om god virksomhetsstyring (”Corporate Governance”). For å beskrive hvilke prosesser som må på plass for å styre og kontrollere bruk av IT, anvendes CobiT som en anerkjent ”de facto” standard. Her beskrives 34 prosesser, fordelt innen 4 hovedområder, for å ivareta bruk, organisering, administrering og drift av IT.

De 4 områdene er:

Planlegging og Organisering – som ivaretar de administrative aktivitetene for å få til en styrt og kontrollerbar bruk og drift av IT
Anskaffelse og Implementering – som ivaretar de operative aktivitetene for å anskaffe nye systemer eller oppdatere eksisterende
Driftsleveranser og Support – som ivaretar de operative aktivitetene for å sikre effektiv og stabil IT drift
Monitorering og Evaluering – som ivaretar de operative og administrative aktivitetene med å følge opp og sikre en optimal bruk av IT

Dette gjøres for at virksomhetens krav til IT skal:

• være målrettet
• være effektiv
• sikre konfidensialitet
• sikre integritet
• sikre tilgjengelighet
• oppfylle lovpålagte krav
• være robust (”Resilient”)

Dette dokumentet fra NorSox binder sammen COSO, CobiT, ITIL og ISO-standarder ved å beskrive ”IT Styring og Kontroll” innenfor temaer som strategiske tilpassinger, leveransekvalitet, risikostyring, ressursstyring og ytelsesmåling.

I de nye lovtekstene er begrepet ”Foretak” blitt benyttet konsekvent. Imidlertid er ”Virksomhetsstyring” et innarbeidet begrep hos mange i dag. Når NorSox i dette dokumentet bruker begge begrepene om hverandre, så menes de å omfatte både private virksomheter, aksjeselskaper, offentlige foretak/etater og organisasjoner.

 
Copyright © 2000-2011 by NorSOX. All rights reserved.