Kilder

Kilder benyttet i arbeidet med veiledningsmateriellet

Bøker:

  • Aven, Terje
    • 2008 - Risikoanalyse
    • 2009 – Risikostyring
    • 2010 - Misconceptions of Risk
    • 2015 – Risikostyring, 2. utgave
  • Daler, Torgeir m.fl. – 2013 – Håndbok i datasikkerhet – informasjonsteknologi og risikostyring
  • Normann, Rolf Sture og Tranvik, Tommy – 2012 - Personvern og informasjonssikkerhet i kommunen
  • Pedersen, Peder Å.  – 2013 – Kvalitetssikring – et ledd i verdiskapningen!
  • Rausand, Marvin og Utne, Ingrid Bouwer – 2008 - Risikoanalyse. Teori og metoder
  • Smolan, Geir– 2009 – Kvalitetsstyring og internkontroll

 

Norske veiledningsaktører:

Arbeidstilsynet

  • Veiledning til internkontrollforskriften

Datatilsynet

  • 2002 – Risikovurdering av informasjonssystem
  • 2007 – Internkontroll i mindre virksomheter – introduksjon
  • 2009 – En veiledning om interkontroll og informasjonssikkerhet

Direktoratet for forvaltning og IKT (Difi)

  • 2010 – Risikovurdering – en veiledning til rammeverket for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor
  • 2011 – Veiledning for internkontroll i offentlige anskaffelser
  • Difi-rapport 2012:15 – Styringssystem for informasjonssikkerhet. Erfaringer med og anbefalinger om standardene ISO 27001 og ISO 27002.

Direktoratet for samfunnssikkerhet og beredskap (DSB) 

  • 2011 – Samfunnssikkerhet i arealplanlegging – kartlegging av risiko og sårbarhet
  • 2012 – Veiledning til forskrift om kommunal beredskapsplikt
  • 2014 - Veileder til helhetlig risiko- og sårbarhetsanalyse i kommunen

Direktoratet for økonomistyring (DFØ)

  • 2005 - Risikostyring i staten, Håndtering av risiko i mål- og resultatstyringen
  • 2007 - Veileder: Hvordan få en god start på risikostyring i statlige virksomheter
  • 2013 – Kort om internkontroll – for deg som er leder
  • 2013 - Veileder i internkontroll
  • 2013-2015 - Verktøy vedrørende internkontroll

Helsedirektoratet

  • Norm for informasjonssikkerhet i helse- og omsorgstjenesten

Kommunesektorens organisasjon (KS)

  • 2013 - Rådmannens internkontroll – Orden i eget hus!

Nasjonal sikkerhetsmyndighet (NSM)

  • 2009 – Veiledning i verdivurdering
  • 2015 -  Veileder – Sikkerhetsstyring
  • 2017 – Grunnprinsipper for IKT-sikkerhet
  • 2018 – Grunnprinsipper for IKT-sikkerhet v1.1

 

Norske lover, forskrifter og instrukser:

  • Lov om arkiv (arkivlova)
  • Lov om behandling av personopplysninger (personopplysningsloven)
    • Inkludert EUs personvernforordning (GDPR)
  • Lov om behandlingsmåten i forvaltningssaker (forvaltningsloven)
    • Forskrift om elektronisk kommunikasjon med og i forvaltningen (eForvaltningsforskriften)
  • Lov om nasjonal sikkerhet (sikkerhetsloven)
    • Forskrift om virksomheters arbeid med forebyggende sikkerhet (virksomhetsikkerhetsforskriften)
    • Forskrift om sikkerhetsklarering og annen klarering (klareringsforskriften)
    • Forskrift om kryptosikkerhet
  • Instruks for behandling av dokumenter som trenger beskyttelse av andre grunner enn nevnt i sikkerhetsloven med forskrifter (beskyttelsesinstruksen)
  • Lov om rett til innsyn i dokument i offentleg verksemd (offentleglova)
  • Lov om kommuner og fylkeskommuner (kommuneloven)
  • Forskrift om systematisk helse-, miljø- og sikkerhetsarbeid i virksomheter (Internkontrollforskriften)
  • Regelverket for økonomistyring i staten

 

Standarder og rammeverk:

COSO

  • 1996 - Intern kontroll : et integrert rammeverk : oversettelse av COSO-rapporten, Marte Solberg
  • 2004/2005  - Helhetlig risikostyring –et integrert rammeverk sammendrag
  • 2004/2005 – Helhetlig risikostyring – et integrert rammeverk
  • 2009 – Veiledning i oppfølging av internkontroll
  • 2013 – Internal Control – Integrated Framework
  • Executive Summary
  • Framework and appendices
  • Illustrative tools for assessing effectiveness of a system of internal control

Information Security Forum (ISF)

  • 2007 - Information Security Strategy
  • 2014 - IRAM2
  • 2014 - Information Security Strategy
  • 2014 - The Standard of Good Practice for Information Security

International Organization for Standardization (ISO)

  • ISO 19011:2011 Guidelines for auditing management systems
  • ISO 31000:2009 Risk management -- Principles and guidelines
  • ISO 31010:2009 Risk management -- Risk assessment techniques
  • ISO/IEC 27000:2018 Information technology — Security techniques — Information security management systems - Overview and vocabulary
  • ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems - Requirements
  • ISO/IEC 27002:2013 Information technology — Security techniques — Code of practice for information security controls
  • ISO/IEC 27003:2017 Information technology — Security techniques — Information security management systems - guidance
  • ISO/IEC 27004:2009 Information technology — Security techniques ― Information security management ― Measurement
  • ISO/IEC 27005:2018 Information technology — Security techniques — Information security risk management
  • ISO/IEC 27007:2011 Information technology — Security techniques — Guidelines for information security management systems auditing
  • ISO/IEC 27014:2013 Information technology — Security techniques — Governance of information security
  • ISO/IEC 27035-1:2016 Information technology -- Security techniques -- Information security incident management – Part 1: Principles of incident management
  • ISO/IEC 27035-2:2016 Information technology -- Security techniques -- Information security incident management – Part 2: Guidelines to plan and prepare for incident response

ISACA

  • 2009 - Risk IT Framework - Practitioners guide
  • 2013 - COBIT 5 for Information Security
  • 2013 - COBIT 5 for Risk

National Institute of Standards and Technology (NIST)

  • NIST SP 800-18 Guide for Developing Security Plans for Federal Information Systems
  • NIST SP 800-30 Revision 1 – Guide for Conducting Risk Assessments
  • NIST SP 800-37 Revision 1 - Guide for Applying the Risk Management Framework to Federal Information Systems
  • NIST SP 800-39 – Managing Information Security Risk
  • NIST SP 800-53 Revision 4 – Security and Privacy Controls for Federal Information Systems and Organizations
  • NIST SP 800-53A Revision 1 – Guide for Assessing the Security Controls in Federal Information Systems and Organizations
  • NIST SP 800-55 Revision 1 – Performance Measurement Guide for Information Security
  • NIST SP 800-60 Volume I Revision 1 – Guide for Mapping Types of Information and Information Systems to Security Categories
  • NIST SP 800-115 – Technical Guide to Information Security Testing and Assessment
  • NIST SP 800-171 – Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizations
  • NIST Framework for Improving Critical Infrastructure Cybersecurity (Cybersecurity Framework) Version 1.0
  • NIST NISTIR 7298 Revision 2 – Glossary of Key Information Security Terms
  • FIPS PUB 199 – Standards for Security Categorization of Federal Information and Information Systems
  • FIPS PUB 200 – Minimum Security Requirements for Federal Information and Information Systems

Norsk standard

  • NS 5814:2008 Krav til risikovurderinger
  • NS 5830:2012 Samfunnssikkerhet - Beskyttelse mot tilsiktede uønskede handlinger - Terminologi
  • NS 5831:2014 Samfunnssikkerhet - Beskyttelse mot tilsiktede uønskede handlinger - Krav til sikringsrisikostyring
  • NS 5832:2014 Samfunnssikkerhet - Beskyttelse mot tilsiktede uønskede handlinger - Krav til sikringsrisikoanalyse
  • NS-EN ISO/IEC 27001:2017 - Informasjonsteknologi - Sikringsteknikker - Ledelsessystemer for informasjonssikkerhet – Krav
  • NS-EN ISO/IEC 27002:2017 - Informasjonsteknologi - Sikringsteknikker - Tiltak for informasjonssikring

 

Diverse

  • Det kongelige fornyings- og administrajonsdepartementet – 2008 – Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor
  • Det Kongelige Justis- og Beredskapsdepartement – 2011-2012 Meld.st.29 Samfunnssikkerhet
  • Digitaliseringsstyrelsen - Videnscenter for implementering af ISO27001
  • FFI-rapport 2014/00948 - Norges sikkerhetstilstand - en årsaksanalyse av mangelfull forebyggende sikkerhet
  • FFI-rapport 2015/00923 - Tilnærminger til risikovurderinger for tilsiktede uønskede handlinger
  • Koordineringsutvalget for informasjonssikkerhet (KIS) -2008 – Hovedrapport KOBI "Klassifisering og beskyttelse av informasjon"
  • Kystverket – 2012 – Vurdering av sårbarhet for havner og havneterminaler
  • Myndigheten för samhällsskydd och beredskap – Metodstöd för LIS
  • Norges vassdrags- og energidirektorat (NVE) – 2010 – Veiledning i risiko- og sårbarhetsanalyser for kraftforsyningen
  • NorSIS, norsk senter for informasjonssikring – Håndbok for informasjonssikkerhet
  • Sveriges kommuner og landsting – 2010 – Säkert informationsutbyte via Internet mellan huvudmän, utförare och den enskilde medborgaren
  • Uninett – 2014 - En veileder i styringssystem for informasjonssikkerhet i UH-sektoren
  • Nasjonal sikkerhetsmyndighet (NSM), Politidirektoratet og PST - 2010 – En veiledning, sikkerhets- og beredskapstiltak mot terrorhandlinger
  • BSI - IT-Grundschutz
  • Risk Management Insight (RMI) – 2005 – An Introduction to Factor Analysis of Information Risk (FAIR)
  • Australian Government Department of Defence - Strategies to Mitigate Targeted Cyber Intrusions
  • Verizon – 2015 Data Breach Investigations Report
  • Verizon – 2014 Data Breach Investigations Report
  • Gov.UK - Cabinet Office – Security Policy Framework
  • National Cyber Security Centre – HMG IA Standard No.1 – Technical Risk Assessment
  • Carnegie Mellon University - SEI - 2007 - OCTAVE Allegro
  • Carnegie Mellon University - SEI - 2007 - Governing for Enterprise Security - Implementation Guide
  • ENISA - Threat Landscape 2014