Hopp til innhold

Difi - Direktoratet for forvaltning og IKT

Digitaliseringsdirektoratet

Internkontroll/styringssystem (Versjon 1.5)

Søkeskjema

Tekststørrelse A+ A a For å endre tekststørrelsen, hold Ctrl-tasten nede og trykk på + for å forstørre eller - for å forminske.
  • Hjelp
  • Kontakt oss
  • Om veilederen
Meny
Hjem » Betaversjon 7.0 publisert
  • Hjem
  • Sammendrag
  • Systematiske aktiviteter
  • Etableringsaktiviteter
  • Utdypninger
  • Godt å vite

Betaversjon 7.0 publisert

Betaversjon 7.0 er den siste betaversjonen før godkjent versjon 1.0 publiseres. I denne versjonen er de største endringene på «Overordnede styrende dokumenter» og «Gjennomføre risikovurderinger». I tillegg er de fleste andre sidene revidert for å få en gjennomgående lik struktur på hele veilederen.

Følgende endringer er gjort fra betaversjon 6.0 til betaversjon 7.0

Alle sider

  • Målgruppe er gjennomgående strammet inn.
  • Endret begrepet «systematisk gjentakende aktiviteter» til «systematiske aktiviteter»
  • Alle sider (bortsett fra noen Godt å vite-sider) har fått en innholdsfortegnelse øverst.
  • Innholdet er gjennomgått for å få gjennomgående lik begrepsbruk.
  • Gjennomgående brukt begrepene «risikoeier» og «systemeier fellessystem» istedenfor «oppgave- og systemeier».
  • Lagt på underoverskrifter på en rekke sider for å bryte teksten og gjøre det mer lesbart.

Nyttig

Lagt til nytt menypunkt «Kilder», som viser til en side med liste over kilder som er benyttet i arbeidet med veilederen.

Etableringsaktiviteter

Hovedsiden

  • Analysere status på internkontrollområdet informasjonssikkerhet: Oversikten er oppdatert slik at den gjenspeiler siste versjon av veilederen.
  • Utforme overordnede styrende dokumenter: Endringer i teksten for å gjenspeile de endringene som er gjort på de underliggende sidene (se nedenfor).
  • Felles identifisering av typiske oppgave- og informasjonstyper: Mindre endringer i teksten. Oppdatert versjon av oversikt over typiske arbeidsoppgaver og tilhørende informasjonssystem

Utdypning Utforme overordnede styrende dokumenter

Delaktiviteten «Utforme overordnede styrende dokumenter» er vesentlig bearbeidet og tilpasset veiledningsmateriellet slik det har utviklet seg i løpet av 2015. Det er nå anbefalt fem konkrete retningslinjer:

  1. En kort overordnet policy for informasjonssikkerhet
  2. En retningslinje for internkontroll (informasjonssikkerhet), som stiller krav til hvilke systematiske internkontrollaktiviteter som skal gjennomføres rundt om i virksomheten
  3. En retningslinje om roller og ansvar i sikkerhetsorganisasjonen
  4. En retningslinje om forståelse, aksept og håndtering av risikoer
  5. En retningslinje om å systematisk vurdere behov for risikovurderinger

Undersiden «Overordnede styrende dok» er oppdatert tilsvarende, og følgende undersider er oppdatert/nye:

  • Grunnarbeid – Klargjøre sentrale rammer. Endret tittel fra Grunnlagsarbeid - klargjøring av sentrale rammer.
  • Policy for informasjonssikkerhet, med eksempel.
  • Retningslinje internkontroll informasjonssikkerhet, med eksempel
  • Roller og ansvar i sikkerhetsorganisasjonen, med eksempel. Endret tittel fra Retningslinje for sikkerhetsorganisasjonen, og endret plass i menyen.
  • Forståelse, aksept og håndtering av risiko, med eksempel. Endret tittel fra Risikomatriser og akseptkriterier, og endret plass i menyen.
  • Vurdere behov risikovurderinger, med eksempel. Endret tittel fra Felles føringer for nye eller oppdaterte risikovurderinger, og endret plass i menyen.

Utdypning Etablere grunnsikring

Lagt til eksempel på overordnet oversikt over sikkerhetstiltak og tiltaksstyrke.

Risikovurdering

Hovedsiden

  • Noen mindre endringer i innledningen
  • Foranalyse av ansvarsområde: Teksten er oppdatert, og nytt støtteverktøy til bruk i prosessen er lagt ut.
  • Vurdere behov for risikovurderinger: Endret referanse i grønn boks til å vise til eksempel på retningslinje for behovsvurdering. De tidligere eksemplene på beslutningskriterier og støttespørsmål er innarbeidet i den.
  • Gjennomføre risikovurdering: Endringer i teksten for å gjenspeile de endringene som er gjort på de underliggende sidene (se nedenfor).

Utdypning Planlegge risikovurdering:

Enkelte avsnitt under «Individuell forberedelse» som omtaler materiale som skulle komme i senere versjoner av veilederen er fjernet. Dette er stoff som nå er dekket under hovedaktiviteten «Kommunikasjon».

Utdypning Gjennomføre risikovurdering:

Utdypningen er vesentlig oppdatert blant annet med innhold om hvordan risiko bør uttrykkes (ref. også overordnede styrende dokumenter). Strukturen er også tilpasset slik Foreslå håndtering under Risikohåndtering ble skrevet i betaversjon 4.0.

Følgende trinn beskrives nå under «Gjennomføre risikovurdering»:

  1. Etablere felles referanseramme
  2. Etablere felles begrepsforståelse (Ny side)
  3. Vurdere obs-områder (Endret tittel fra «Oppdatere foranalyse»)
  4. Identifisere risikoer
  5. Analysere risikoer
  6. Evaluere risikoer
  7. Beskrive kvalitet og kunnskapstyrke

Undersiden «Forutsetninger og bruksveiledning» er fjernet, og innholdet er tatt inn i den overordnede siden Gjennomføre risikovurdering.

Overvåking og hendelseshåndtering

Lagt til avsnitt om hensyn som må tas ved overvåking av ansatte.

Nyttig

  • Maler og eksempler
  • Begrepsliste
  • Regelverkskrav
  • Hva sier ISO/IEC 27001?
  • Virksomhetskontekst
  • Hva sier andre?
  • Endringslogg
  • Kilder
  • Kontakt: redaksjonen@digdir.no
  • Telefon: +47 22 45 10 00
  • E-post: postmottak@digdir.no
  • Org.nr: 991 825 827