Betaversjon 3.0 publisert

Hovedaktiviteten «Risikovurdering» er nå vesentlig oppdatert og gjort mer konkret. Flere nye metoder og fremgangsmåter er beskrevet. Det er i tillegg utarbeidet et eget «Godt å vite»-punkt til risikovurdering. Det gir bakgrunnskunnskap på flere sentrale begrep og tema. Det er også gjort vesentlige konkretiseringer på undermenyer til «Overordnede styrende dokument» under hovedaktiviteten «Ledelsens styring og oppfølging». Dette er endringer som i stor grad henger direkte sammen med aktiviteten «Risikovurdering».

Følgende endringer er gjort fra betaversjon 2.1 til betaversjon 3.0

Nivå 1 - Ledelsens styring og oppfølging (Hovedside til den første hovedaktiviteten)

  • Rekkefølgen på aktivitetene er justert. «Kompetanse- og kulturutvikling» er flyttet ned til siste aktivitet før «Kommunikasjon»

Nivå 1.4 Overordnede styrende dokument

  • Innledende del er justert med nye navn på underliggende dokument og lenke til nye underliggende beskrivelser.
  • Lagt til et eget avsnitt «Bred involvering i utformingen» om anbefalt organisering ved utforming av overordnede styrende dokument.

Nivå 1.4.1 Grunnlagsarbeid – klargjøring av sentrale rammer

  • Høyremenyeksempelet «Virksomhetens rammer» er blitt utvidet med omtale av databehandleravtale og personopplysningslovens krav om dette.

Nivå 1.4.2 Policy for informasjonssikkerhet

  • Det er lagt til et nytt høyremenyeksempel «En hel policy». Det slår sammen ulike deler fra de andre eksemplene til et eksempel på en hel policy for informasjonssikkerhet.

Nivå 1.4.3 Retningslinje internkontroll informasjonssikkerhet

  • I hovedsak nytt menypunkt. Erstatter deler av de gamle menypunktene «Retningslinje risikostyring» og «Roller, ansvar og myndighet» som er tatt ut. Konkretiserer virksomhetsledelsens krav til hvilke aktiviteter som skal gjennomføres i internkontrollarbeidet innen informasjonssikkerhet, samt sentrale føringer for arbeidet.

Nivå 1.4.4 Overordnet ansvarsfordeling

  • Nytt menypunkt. Utdypning av deler av Retningslinje internkontroll infosikkerhet (jf. over). Foreslår at virksomhetene deler informasjonssikkerhetsrisikoene og ansvaret for dem inn i tre hovedområder. Gir utdypende beskrivelser som eksempel.

Nivå 1.4.5 Behov for risikovurderinger (Felles føringer for nye eller oppdaterte risikovurderinger)

  • Nytt menypunkt. Utdypning av deler av Retningslinje internkontroll infosikkerhet (jf. over). Beskriver hvordan virksomhetsledelsen kan styre en systematisk metode for å vurdere behov for nye eller oppdaterte risikovurderinger.

Nivå 1.4.6 Risikomatriser og akseptkriterier

  • Nytt menypunkt. Utdypning av deler av «Retningslinje internkontroll infosikkerhet» (jf. over). Utdyper hvordan en styrende felles risikomatrise og akseptkriterier i virksomheten bør utformes.  Bruken av disse er svært sentral i risikovurdering og risikohåndtering.

Nivå 1.4.7 Retningslinje for sikkerhetsorganisasjonen

  • I hovedsak nytt menypunkt. Erstatter deler av det gamle punktet «Roller, ansvar og myndighet» som er tatt ut. Foreslår at roller, ansvar og myndighet innen informasjonssikkerhet blir integrert med tilsvarende innen andre sikkerhetsområder i en felles retningslinje.

Nivå 2.0 Risikovurdering (Hovedside til den første hovedaktiviteten)

  • Alt tidligere innhold under denne hovedsiden samt alle underpunkter er vesentlig skrevet om og integrert i ny struktur og nye beskrivelser.
  • Hovedsiden gir en overordnet oversikt over området risikovurdering og de foreslåtte delaktivitetene.

Nivå 2.1 Godt å vite

  • Nytt menypunkt. Gir en kort oversikt over den bakgrunnskunnskap som er nærmere beskrevet i underpunkt til «Risikovurdering/Godt å vite».

Nivå 2.1.1 Hva er risiko?

  • Nytt menypunkt under «Godt å vite». Vesentlig oppdatering av tidligere punkt 2.1 «Hva er risiko?» som er tatt ut.

Nivå 2.1.2 Hva er risikovurdering?

  • Nytt menypunkt under «Godt å vite». Vesentlig oppdatering av tidligere punkt 2.3 «Risikovurdering» som er tatt ut.

Nivå 2.1.3 Helhetlige metoder

  • Nytt menypunkt under «Godt å vite». Beskriver kort kjente helhetlige metoder for å gjennomføre risikovurderinger.

Nivå 2.1.4 Støttemetoder

  • Nytt menypunkt under «Godt å vite».. Beskriver kort aktuelle støttemetoder ved gjennomføring av risikovurderinger

Nivå 2.1.5 Kartlegge informasjonsverdier

  • Nytt menypunkt under «Godt å vite». Gir bakgrunnskunnskap som kan være nyttig ved kartlegging av informasjonsverdier (også kalt verdivurdering)

Nivå 2.1.6 Anskaffelser og utvikling

  • Nytt menypunkt under «Godt å vite». Plasserer risikovurdering inn i konteksten til anskaffelser og utvikling.

Nivå 2.1.7 Sikkerhetsloven (Risikovurderinger etter sikkerhetsloven)

  • Nytt menypunkt under «Godt å vite».. Presiserer sikkerhetslovens bestemmelser om risikovurdering og hva det betyr for virksomhetene.

Nivå 2.2 Felles veiledning

  • Nytt menypunkt under «Risikovurdering». Anbefaler virksomhetene å etablere en felles veiledning for risikovurdering, gjerne basert på eller ved å henvise til eksisterende veiledningsmateriell fra Difi eller andre.

Nivå 2.3 Felles kartlegging - informasjonsverdier og regelverk

  • Nytt menypunkt. Beskriver en fremgangsmåte (metode) for å kartlegge informasjonsverdier og regelverk i en virksomhet som et fellesprosjekt. Resultatet er en viktig støtte i gjennomføring av konkrete risikovurderinger.

Nivå 2.4 Vurdere behov for risikovurderinger

  • Nytt menypunkt. Beskriver en fremgangsmåte (metode) for en overordnet behovsvurdering der målet er å avdekke om man har tilstrekkelig oversikt og kontroll over risikoene eller om det er behov for ytterligere analyse og risikovurderinger.

Nivå 2.5 Taktisk organisering av risikoområder

  • Nytt menypunkt. Gir råd rundt oppdeling og gruppering av eget ansvarsområde i tilknytning til gjennomføring av risikovurderinger eller i tilknytning til vurdering av om en har behov for å gjennomføre slike

Nivå 2.6 Planlegge risikovurderinger

  • Nytt menypunkt. Gir utfyllende råd rundt planlegging av risikovurderinger. Erstatter også tidligere punkt 2.2 «Organisere arbeidet».

Nivå 2.7 Gjennomføre risikovurdering

  • Nytt menypunkt. Kort oversikt over de ulike trinnene i den praktisk rettede metoden som ligger i underpunkt.

Nivå 2.7.1 Forutsetninger og bruksveiledning

  • Nytt menypunkt under «Gjennomføre risikovurdering». Gir bakgrunn, klargjør forutsetninger og gir råd om tilpasninger ved bruk av metodebeskrivelsen i de påfølgende udnerpunktene.

Nivå 2.7.2 Etablere felles referanseramme

  • Nytt menypunkt under «Gjennomføre risikovurdering». Trinn 1 i gjennomføringen av risikovurderinger. Beskriver aktiviteter for at arbeidsgruppen skal få en rimelig omforent forståelse for hva som skal gjøres og for rammene i arbeidet.

Nivå 2.7.3 Foranalyse

  • Nytt menypunkt under «Gjennomføre risikovurdering». Trinn 2 i gjennomføringen. Gir kort oversikt over foranalysen og henviser til utdypninger i underpunkt (jf. under).

Nivå 2.7.3.1 Infoverdier (Foranalyse informasjonsverdier og regelverk)

  • Nytt menypunkt under «foranalyse». Beskriver aktivitetene for å identifisere informasjonsverdier og regelverk og estimere betydningen av informasjonsverdiene.

Nivå 2.7.3.1 Trusler (Foranalyse trusler)

  • Nytt menypunkt under «foranalyse». Beskriver aktivitetene for å identifisere farekilder og relevante trusselaktører for uønskede villede handlinger, samt estimere et grunnivå på disse truslene.

Nivå 2.7.3.1 Sårbarheter (Foranalyse sårbarheter)

  • Nytt menypunkt under «foranalyse». Innholdsbeskrivelsen mangler. Den vil komme i senere versjoner.

Nivå 2.7.3.1 Risikoområder (Foranalyse spesielle risikoområder)

  •  Nytt menypunkt under «foranalyse». Innholdsbeskrivelsen mangler. Den vil komme i senere versjoner.

Nivå 2.7.4 Identifisere

  • Nytt menypunkt under «Gjennomføre risikovurdering». Trinn 3 i gjennomføringen av risikovurderinger. Beskriver aktiviteter for å identifisere potensielle hendelser som kan skape brudd på konfidensialitet, integritet eller tilgjengelighet i tilknytning til vesentlige informasjonsverdier

Nivå 2.7.4 Analysere

  • Nytt menypunkt under «Gjennomføre risikovurdering». Trinn 4 i gjennomføringen av risikovurderinger. Beskriver aktiviteter for å estimere konsekvens og tilhørende sannsynlighet på hendelser identifisert i forrige trinn i risikovurderingen.

Nivå 2.7.5 Evaluere

  • Nytt menypunkt under «Gjennomføre risikovurdering». Trinn 5 i gjennomføringen av risikovurderinger. Innhold er ennå ikke utarbeidet. Det kommer i senere versjoner.

Nivå 2.7.6 Overgang til risikohåndtering

  • Nytt menypunkt under «Gjennomføre risikovurdering». Trinn 6 i gjennomføringen av risikovurderinger. Innhold er ennå ikke utarbeidet. Det kommer i senere versjoner. Skal gi kobling til identifisering av tiltak i neste hovedaktivitet «Risikohåndtering».

Høyremeny Nyttig «Regelverkskrav»

  • Under omtale av personopplysningslov og –forskrift er det lagt til egen omtale av forskriftens §3-1 «Systematiske tiltak for behandling av personopplysninger».
  • Omtalen av sikkerhetsloven er noe justert.