Hopp til innhold

Difi - Direktoratet for forvaltning og IKT

Digitaliseringsdirektoratet

Internkontroll/styringssystem (Versjon 1.5)

Søkeskjema

Tekststørrelse A+ A a For å endre tekststørrelsen, hold Ctrl-tasten nede og trykk på + for å forstørre eller - for å forminske.
  • Hjelp
  • Kontakt oss
  • Om veilederen
Meny
Hjem » Versjon 1.1 publisert
  • Hjem
  • Sammendrag
  • Systematiske aktiviteter
  • Etableringsaktiviteter
  • Utdypninger
  • Godt å vite

Versjon 1.1 publisert

I versjon 1.1 er flere eksempler og støtteverktøy oppdatert ut fra erfaringer og tilbakemeldinger. Der det nå ikke er helt samsvar mellom de oppdaterte eksemplene/støtteverktøyene og teksten i selve veiledningsmateriellet, vil sistnevnte bli oppdatert i kommende versjoner.

Følgende endringer er gjort fra versjon 1.0 til versjon 1.1

Eksempel på grunnlagsdokument til overordnede styrende dokumenter

  • Notat: Virksomhetens rammer for de overordnede styrende dokumentene
    • Overskriftsstiler justert
    • Ny kort veiledningstekst øverst
    • Noe mer eksempel på tekst

Eksempler på overordnede styrende dokumenter

  • Policy for informasjonssikkerhet
    • Overskriftsstiler justert
    • Lagt til ny hovedoverskrift «Strategi for informasjonssikkerhet»
    • Lag til ny deloverskrift «Organisering» samt forslag til strategier mht. dette
       
  • Retningslinje: Roller og ansvar i internkontroll- og sikkerhetsarbeidet
    • Navn på retningslinjen er endret fra «Retningslinje: Roller og ansvar i sikkerhetsorganisasjonen»
    • Overskriftsstiler justert
    • Flere relevante roller er tatt med i eksempelet
    • Ansvaret er blitt vesentlig mer konkret og dekker nå det samlede internkontroll- og sikkerhetsarbeidet
       
  • Retningslinje: Forstå, vurdere og håndtere operativ risiko
    • Navn på retningslinjen er endret fra «Retningslinje: Forståelse, aksept og håndtering av risikoer
    • Overskriftsstiler justert
    • Innholdet er omstrukturert
    • En rekke forhold er vesentlig skrevet om og tydeliggjort
       
  • Retningslinje: Vurdere behov for risikovurderinger
    • Overskriftsstiler justert
    • Noen beskrivelser er gjort mer presise og tydeligere
    • Beslutningskriteriene er forenklet
       
  • Retningslinje: Aktiviteter og ansvar - internkontroll informasjonssikkerhet
    • Overskriftsstiler justert
    • Navn på retningslinjen er endret fra «Retningslinje internkontroll informasjonssikkerhet»
    • Overskriftsstiler justert
    • Noen delaktiviteter er slått sammen slik at man får bedre oversikt
    • Noen beskrivelser er gjort mer presise og tydeligere
    • Retningslinjen er i kommentartekst innledningsvis nå beskrevet som en utdypning på informasjonssikkerhetsområdet av den justerte retningslinjen «Roller og ansvar i internkontroll- og sikkerhetsarbeidet» (jf. over). Det presiseres også at dokumentet ut fra behov kan benyttes som en utdypende retningslinje eller utdypende veiledning til sistnevnte

Til etableringsaktiviteten Analysere status

  • Støttedokumentet Anbefalte delaktiviteter og aktuelle dokumenter
    • Alle etableringsaktiviteter er flyttet fra starten til slutten av dokumentet for å få større fokus på hvilke systematiske aktiviteter virksomhetene allerede har
    • Justeringer som er gjort i eksemplene for overordnede styrende dokumenter (jf. over) er gjenspeilet i støttedokumentet
    • Oppgaver under virksomhetsledelsens gjennomgang er tydeliggjort, bl.a. å sikre etablering av gode overordnede styrende dokumenter
    • Delaktivitetene Analysere status og Planlegge internkontroll er tatt ut, da de egentlig ligger utenfor det som skal analyseres
       
  • Malen Analyse av status - Analyseskjema
    • Samme endringer som for tilhørende støttedokument (jf. foran)
    • Navn er justert
    • Noen justeringer av hvilke kolonner som er med
    • Mindre feilretting

Til etableringsaktiviteten Felles identifisering av typiske oppgave- og informasjonstyper

  • Eksempelet Typiske arbeidsoppgaver og tilhørende informasjonstyper
    • Flere nye eksempler er lagt til
    • Eksisterende eksempler er oppdatertbåde på justeringer av innhold omlegging til ny versjon av støttearket (jf. over) og

Ny sammenslått delaktivitet «Få oversikt og prioritere» under Risikovurdering

  • Det er lagt til rette for at flere mindre delaktiviteter slås sammen til ny delaktivitet «Få oversikt og prioritere». Målet er å lette oversikten under hovedaktiviteten Risikovurdering.
  • Gammel mal og tilhørende støttedokument er tatt ut og erstattet av følgende delvis nye og delvis omarbeidede maler:
  • [MAL] Foranalyse del 1-Risikoeiere-Arbeidsoppgaver informasjon mv-Få oversikt og prioritere
  • [MAL] Foranalyse del 2a-Risikoeiere-Høyeste konsekvensnivå-Få oversikt og prioritere
  • [MAL] Foranalyse del 2b-Systemeiere fellessystem-Få oversikt og prioritere
  • [MAL] Foranalyse del 3 -Trusler-farer-sårbarheter-Få oversikt og prioritere
  • [MAL] Behov og plan for risikovurderinger-Få oversikt og prioritere

 

Nyttig

  • Maler og eksempler
  • Begrepsliste
  • Regelverkskrav
  • Hva sier ISO/IEC 27001?
  • Virksomhetskontekst
  • Hva sier andre?
  • Endringslogg
  • Kilder
  • Kontakt: redaksjonen@digdir.no
  • Telefon: +47 22 45 10 00
  • E-post: postmottak@digdir.no
  • Org.nr: 991 825 827