I betaversjon 4.0 har vi gjort enkelte strukturelle endringer for å skille mer på de ulike delene av stoffet. Vi skiller ut det vi kaller «etableringsaktiviteter», og tar også ut «Godt å vite»-sidene i et eget menypunkt. Under menypunktene for de ulike hovedaktivitetene er det nå derfor bare de systematisk gjentakende aktivitetene som står igjen. I tillegg er hovedaktiviteten «Risikohåndtering» vesentlig oppdatert og gjort mer konkret, og det er utarbeidet et eget «Godt å vite»-punkt for denne hovedaktiviteten også. Basert på arbeidet vi har gjort med risikovurderinger er det gjort flere endringer i både «Ledelsens styring og oppfølging» og «Risikovurdering»
Følgende endringer er gjort fra betaversjon 3.0 til betaversjon 4.0
Generelle endringer i materialet
- Forsiden «Hjem» er oppdatert, og sier nå blant annet mer om hvem som er målgruppe for veiledningsmateriellet.
- De delaktivitetene som er aktiviteter som bør gjennomføres når en virksomhet første gang skal etablere systematisk internkontroll på informasjonssikkerhetsområdet, er skilt ut til et eget menypunkt «Etableringsaktiviteter»
- «Godt å vite»-delene av hver enkelt hovedaktivitet er skilt ut i et eget menypunkt utenfor hovedaktivitetsbeskrivelsene, og strukturert .
- Tekstene på en del av delaktivitetsbeskrivelsene er strammet inn.
- På alle delaktivitetsbeskrivelser som er nye i denne versjonen, er det spesifisert hvem som er målgruppe i ingressen. Det er også gjort en tilsvarende spesifisering på en del eksisterende sider.
- Hovedsidene til hver av hovedaktivitetene «Ledelsens styring og oppfølging», «Risikovurdering» og «Risikohåndtering», samt «Etableringsaktiviteter», er nå bygget opp som en sammenhengende beskrivelse av alle delaktivitetene. Det er bare enkelte av de mer komplekse aktivitetene som er utdypet i egne undersider. Å lese hovedsiden vil derfor gi en komplett oversikt over hele hovedaktiviteten, mens undersidene er ment som fordypning for dem som skal gjennomføre spesifikke oppgaver.
- På de nye sidene og de sidene som er oppdatert er det i mye mindre grad linker og krysshenvisninger i den løpende teksten. De linker som er nå går i stor grad til begrepsforklaringer. Det henvises til relevant «Godt å vite»-sider i en egen boks nederst på siden.
- Vi har gått bort fra tredelingen i risikoområder og risikoeiere (arbeidsoppgaver, IKT-system og IKT-utstyr/drift), og fokuserer på arbeidsoppgaver og felles informasjonssystemer isteden, med tilhørende oppgave- og systemeiere.
- På grunn av svært lite bruk er muligheten for å kommentere direkte på nettsiden fjernet. Kommentarer kan isteden sendes Difi direkte på e-post.
Følgende er definert og skilt ut som «Etableringsaktiviteter»:
- Fra «Ledelsens styring og oppfølging»:
- Analysere status
- Planlegge internkontroll (med utdypende underside)
- Utforme overordnede styrende dokumenter (med utdypende underside)
- Fra «Risikovurdering»:
- Felles kartlegging av arbeidsoppgaver og tilhørende informasjon
I tillegg er følgende nye aktiviteter beskrevet under «Etableringsaktiviteter»:
- Felles analyse av eksterne krav
- Etablere grunnsikring og synliggjøre tilleggssikring
Øvrige endringer i materialet:
Etableringsaktiviteter:
- Teksten for alle aktivitetene er strammet inn og oppdatert.
- Sjekklisten for «Analysere status» er oppdatert med nytt innhold
- «Analysere status» har ikke lenger noen utdypende underside
- I «Overordnede styrende dokumenter» er den korte beskrivelsen gjort mer generell. I den utdypende teksten er det spesifisert ett eksempel på hvordan de nødvendige dokumentene kan utformes. Teksten her er i liten grad endret.
- Underpunktet «Overordnet ansvarsfordeling» er fjernet.
- «Felles kartlegging – informasjonsverdier og regelverk» er noe endret som følge av at vi går bort fra tredelingen for risikoområder/risikoeiere
- Teksten «Felles analyse av eksterne krav» er lagt til
- Delaktiviteten «Etablere grunnsikring og synliggjøre tilleggssikring», med utdypningssiden «Etablere grunnsikring», er lagt til i forbindelse med arbeidet med «Risikohåndtering».
Ledelsens styring og oppfølging:
- Her er alle delaktiviteter strammet inn, og det er nå ingen aktiviteter som har utdypende undersider.
- «Ledelsens gjennomgang» har endret navn til «Virksomhetsledelsens gjennomgang»
- Ny delaktivitet «Delegere og følge opp gjennom linjen»
- Ny delaktivitet «Sikre finansielle rammer for internkontroll- og sikkerhetsarbeidet»
- Ny delaktivitet «Kommunisere viktighet»
- Ny delaktivitet «Håndtere eskalerte problemstillinger
Risikovurdering:
- Foranalysen er flyttet ut av gjennomføring og inn i forkant av planleggingen. Den utdypende undersiden er under revisjon.
- Ny delaktivitet «Analysere eksterne krav»
- «Taktisk organisering» er omskrevet og fått nytt navn «Taktisk oppdeling og gruppering»
- Under «Planlegge risikovurdering» (utdypende side) er tredelingen under «Valg av deltakere» fjernet. Det er også gjort andre mindre endringer.
- «Gjennomføre»:
- Førstesiden er kortet ned og konkretisert
- «Forutsetninger og bruksveiledning» er oppdatert
- Et ekstra punkt «Oppdatere foranalyse». Foreløpig uten tekstlig innhold.
- Punktet «Overgang til risikohåndtering» har endret navn til «Kunnskapsstyrke». Innhold lagt til, dette handler om hvordan man overfor beslutningstaker sier noe om kvaliteten på arbeidet man har gjennomført, for å danne grunnlaget for risikohåndteringen.
Risikohåndtering:
- Følgende delaktiviteter er beskrevet:
- Foreslå håndtering av risikoer
- Godkjenne forslag til risikohåndtering
- Iverksette godkjente tiltak
- Utforme og implementere tiltakene
- Oppdatere grunnsikringen
- Følgende utdypende undersider er opprettet som menypunkter:
- «Foreslå håndtering»: beskriver prosessen for å foreslå tiltak for å håndtere risikoene identifisert i risikovurderingen. En prosess på 8 trinn, i tillegg til planlegging, der alle trinnene har en egen side:
- Planlegge
- Felles referanseramme
- Oppdatere analysen
- Identifisere tiltak
- Vurdere effekt mm.
- Velge håndtering
- Midlertidige tiltak
- Kunnskapsstyrke
- Kostnadsestimat
- «Godkjenne forslag»: Beskriver beslutningsprosessen for å godkjenne forsalget til risikohåndtering.
- «Iverksette tiltak»: Beskriver de aktivitetene som skal gjennomføres når man har besluttet hvordan risikoene skal håndteres, for å gjennomføre denne håndteringen i praksis.
Godt å vite:
- Laget en felles forside for alle Godt å vite-temaene.
- Hver hovedaktivitet har så et eget menypunkt, med en egen forside.
- Undersidene er så flyttet slik de var i tidligere versjoner.
- «Kartlegge infoverdier» under «Risikovurdering» er under revisjon. Ny versjon kommer i en senere betaversjon.
- Følgende «Godt å vite»-temaer er lagt til under «Risikohåndtering»:
- Hva er risikohåndtering?
- Sikkerhetstiltak
- Grunnsikring og tilleggssikring
- Tiltaksbanker
- Krav i regelverk