Sikkerhetsrevisjon er avgjørende for å kontrollere om etablerte sikringstiltak, herunder teknologiske, organisatoriske og menneskelige, fungerer og ivaretar tilstrekkelig sikkerhet. Normens krav til sikkerhetsrevisjon er også relevante for revisjon av fjernaksessløsningen, samt gjeldende rutiner, prosesser og organisering av sikkerhetsarbeidet, for å ivareta fastsatt nivå for akseptabel risiko.
Når sikkerhetsrevisjon skal gjennomføres bør det planlegges med både kontroll med sikkerhetsarbeid på fjernaksessløsningen, klienter i bruk (til formålet) og servere det gis tilgang til. Dette for en helhetlig revisjon og vurdering av aktuell risiko.
Avtaler bør tilrettelegge for sikkerhetsrevisjon av fjernaksessløsningen iht. Normens krav (bl.a. minimum årlig), samt gi mulighet for at sikkerhetsrevisjoner kan gjennomføres i regi av virksomheten.
Det er avgjørende at virksomheten avtalefester krav til innsyn, som f.eks.
bør dekke behov for innsyn og tilgang til logger i fjernaksessløsningen der hele eller deler av løsningen driftes hos leverandøren.
Logger er et viktig eksempel på noe som ikke uten videre utleveres uten avtale, og er spesielt viktig å stille krav om for driftsmiljøer (skytjenester) der andre kunders data behandles i samme applikasjon, plattform og/eller infrastruktur.
Ved sikkerhetsrevisjon av fjernaksessløsninger er det ofte behov for spesialkompetanse på området. Dersom virksomheten ikke besitter slik kompetanse selv, bør en kompetent leverandør av sikkerhetsrevisjoner gis i oppdrag å gjennomføre revisjonen.
For fjernaksessløsningen skal eksisterende tilganger til fjernaksess jevnlig kontrolleres i tråd med Normen kapittel 5.2.3 og veilederens kapittel 4.4.
Samtidig bør andre sikringstiltak, som for eksempel tiltak under veilederens kapittel 5 Kommunikasjonssikkerhet, kapittel 6 Sikker IT-drift og kapittel 7 Fysisk sikkerhet og håndtering av utstyr, utgjøre del av regelmessige sikkerhetsrevisjoner. Se også Sikkerhetsrevisjon (faktaark 06) om utdyper hvordan kravene kan oppfylles.
