Kilder benyttet i arbeidet med veiledningsmateriellet
Bøker:
- Aven, Terje
- 2008 - Risikoanalyse
- 2009 – Risikostyring
- 2010 - Misconceptions of Risk
- 2015 – Risikostyring, 2. utgave
- Daler, Torgeir m.fl. – 2013 – Håndbok i datasikkerhet – informasjonsteknologi og risikostyring
- Normann, Rolf Sture og Tranvik, Tommy – 2012 - Personvern og informasjonssikkerhet i kommunen
- Pedersen, Peder Å. – 2013 – Kvalitetssikring – et ledd i verdiskapningen!
- Rausand, Marvin og Utne, Ingrid Bouwer – 2008 - Risikoanalyse. Teori og metoder
- Smolan, Geir– 2009 – Kvalitetsstyring og internkontroll
Norske veiledningsaktører:
Arbeidstilsynet
- Veiledning til internkontrollforskriften
Datatilsynet
- 2002 – Risikovurdering av informasjonssystem
- 2007 – Internkontroll i mindre virksomheter – introduksjon
- 2009 – En veiledning om interkontroll og informasjonssikkerhet
Direktoratet for forvaltning og IKT (Difi)
- 2010 – Risikovurdering – en veiledning til rammeverket for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor
- 2011 – Veiledning for internkontroll i offentlige anskaffelser
- Difi-rapport 2012:15 – Styringssystem for informasjonssikkerhet. Erfaringer med og anbefalinger om standardene ISO 27001 og ISO 27002.
Direktoratet for samfunnssikkerhet og beredskap (DSB)
- 2011 – Samfunnssikkerhet i arealplanlegging – kartlegging av risiko og sårbarhet
- 2012 – Veiledning til forskrift om kommunal beredskapsplikt
- 2014 - Veileder til helhetlig risiko- og sårbarhetsanalyse i kommunen
Direktoratet for økonomistyring (DFØ)
- 2005 - Risikostyring i staten, Håndtering av risiko i mål- og resultatstyringen
- 2007 - Veileder: Hvordan få en god start på risikostyring i statlige virksomheter
- 2013 – Kort om internkontroll – for deg som er leder
- 2013 - Veileder i internkontroll
- 2013-2015 - Verktøy vedrørende internkontroll
Helsedirektoratet
- Norm for informasjonssikkerhet i helse- og omsorgstjenesten
Kommunesektorens organisasjon (KS)
- 2013 - Rådmannens internkontroll – Orden i eget hus!
Nasjonal sikkerhetsmyndighet (NSM)
- 2009 – Veiledning i verdivurdering
- 2015 - Veileder – Sikkerhetsstyring
- 2017 – Grunnprinsipper for IKT-sikkerhet
- 2018 – Grunnprinsipper for IKT-sikkerhet v1.1
Norske lover, forskrifter og instrukser:
- Lov om arkiv (arkivlova)
- Lov om behandling av personopplysninger (personopplysningsloven)
- Inkludert EUs personvernforordning (GDPR)
- Lov om behandlingsmåten i forvaltningssaker (forvaltningsloven)
- Forskrift om elektronisk kommunikasjon med og i forvaltningen (eForvaltningsforskriften)
- Lov om nasjonal sikkerhet (sikkerhetsloven)
- Forskrift om virksomheters arbeid med forebyggende sikkerhet (virksomhetsikkerhetsforskriften)
- Forskrift om sikkerhetsklarering og annen klarering (klareringsforskriften)
- Forskrift om kryptosikkerhet
- Instruks for behandling av dokumenter som trenger beskyttelse av andre grunner enn nevnt i sikkerhetsloven med forskrifter (beskyttelsesinstruksen)
- Lov om rett til innsyn i dokument i offentleg verksemd (offentleglova)
- Lov om kommuner og fylkeskommuner (kommuneloven)
- Forskrift om systematisk helse-, miljø- og sikkerhetsarbeid i virksomheter (Internkontrollforskriften)
- Regelverket for økonomistyring i staten
Standarder og rammeverk:
COSO
- 1996 - Intern kontroll : et integrert rammeverk : oversettelse av COSO-rapporten, Marte Solberg
- 2004/2005 - Helhetlig risikostyring –et integrert rammeverk sammendrag
- 2004/2005 – Helhetlig risikostyring – et integrert rammeverk
- 2009 – Veiledning i oppfølging av internkontroll
- 2013 – Internal Control – Integrated Framework
- Executive Summary
- Framework and appendices
- Illustrative tools for assessing effectiveness of a system of internal control
Information Security Forum (ISF)
- 2007 - Information Security Strategy
- 2014 - IRAM2
- 2014 - Information Security Strategy
- 2014 - The Standard of Good Practice for Information Security
International Organization for Standardization (ISO)
- ISO 19011:2011 Guidelines for auditing management systems
- ISO 31000:2009 Risk management -- Principles and guidelines
- ISO 31010:2009 Risk management -- Risk assessment techniques
- ISO/IEC 27000:2018 Information technology — Security techniques — Information security management systems - Overview and vocabulary
- ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems - Requirements
- ISO/IEC 27002:2013 Information technology — Security techniques — Code of practice for information security controls
- ISO/IEC 27003:2017 Information technology — Security techniques — Information security management systems - guidance
- ISO/IEC 27004:2009 Information technology — Security techniques ― Information security management ― Measurement
- ISO/IEC 27005:2018 Information technology — Security techniques — Information security risk management
- ISO/IEC 27007:2011 Information technology — Security techniques — Guidelines for information security management systems auditing
- ISO/IEC 27014:2013 Information technology — Security techniques — Governance of information security
- ISO/IEC 27035-1:2016 Information technology -- Security techniques -- Information security incident management – Part 1: Principles of incident management
- ISO/IEC 27035-2:2016 Information technology -- Security techniques -- Information security incident management – Part 2: Guidelines to plan and prepare for incident response
ISACA
- 2009 - Risk IT Framework - Practitioners guide
- 2013 - COBIT 5 for Information Security
- 2013 - COBIT 5 for Risk
National Institute of Standards and Technology (NIST)
- NIST SP 800-18 Guide for Developing Security Plans for Federal Information Systems
- NIST SP 800-30 Revision 1 – Guide for Conducting Risk Assessments
- NIST SP 800-37 Revision 1 - Guide for Applying the Risk Management Framework to Federal Information Systems
- NIST SP 800-39 – Managing Information Security Risk
- NIST SP 800-53 Revision 4 – Security and Privacy Controls for Federal Information Systems and Organizations
- NIST SP 800-53A Revision 1 – Guide for Assessing the Security Controls in Federal Information Systems and Organizations
- NIST SP 800-55 Revision 1 – Performance Measurement Guide for Information Security
- NIST SP 800-60 Volume I Revision 1 – Guide for Mapping Types of Information and Information Systems to Security Categories
- NIST SP 800-115 – Technical Guide to Information Security Testing and Assessment
- NIST SP 800-171 – Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizations
- NIST Framework for Improving Critical Infrastructure Cybersecurity (Cybersecurity Framework) Version 1.0
- NIST NISTIR 7298 Revision 2 – Glossary of Key Information Security Terms
- FIPS PUB 199 – Standards for Security Categorization of Federal Information and Information Systems
- FIPS PUB 200 – Minimum Security Requirements for Federal Information and Information Systems
Norsk standard
- NS 5814:2008 Krav til risikovurderinger
- NS 5830:2012 Samfunnssikkerhet - Beskyttelse mot tilsiktede uønskede handlinger - Terminologi
- NS 5831:2014 Samfunnssikkerhet - Beskyttelse mot tilsiktede uønskede handlinger - Krav til sikringsrisikostyring
- NS 5832:2014 Samfunnssikkerhet - Beskyttelse mot tilsiktede uønskede handlinger - Krav til sikringsrisikoanalyse
- NS-EN ISO/IEC 27001:2017 - Informasjonsteknologi - Sikringsteknikker - Ledelsessystemer for informasjonssikkerhet – Krav
- NS-EN ISO/IEC 27002:2017 - Informasjonsteknologi - Sikringsteknikker - Tiltak for informasjonssikring
Diverse
- Det kongelige fornyings- og administrajonsdepartementet – 2008 – Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor
- Det Kongelige Justis- og Beredskapsdepartement – 2011-2012 Meld.st.29 Samfunnssikkerhet
- Digitaliseringsstyrelsen - Videnscenter for implementering af ISO27001
- FFI-rapport 2014/00948 - Norges sikkerhetstilstand - en årsaksanalyse av mangelfull forebyggende sikkerhet
- FFI-rapport 2015/00923 - Tilnærminger til risikovurderinger for tilsiktede uønskede handlinger
- Koordineringsutvalget for informasjonssikkerhet (KIS) -2008 – Hovedrapport KOBI "Klassifisering og beskyttelse av informasjon"
- Kystverket – 2012 – Vurdering av sårbarhet for havner og havneterminaler
- Myndigheten för samhällsskydd och beredskap – Metodstöd för LIS
- Norges vassdrags- og energidirektorat (NVE) – 2010 – Veiledning i risiko- og sårbarhetsanalyser for kraftforsyningen
- NorSIS, norsk senter for informasjonssikring – Håndbok for informasjonssikkerhet
- Sveriges kommuner og landsting – 2010 – Säkert informationsutbyte via Internet mellan huvudmän, utförare och den enskilde medborgaren
- Uninett – 2014 - En veileder i styringssystem for informasjonssikkerhet i UH-sektoren
- Nasjonal sikkerhetsmyndighet (NSM), Politidirektoratet og PST - 2010 – En veiledning, sikkerhets- og beredskapstiltak mot terrorhandlinger
- BSI - IT-Grundschutz
- Risk Management Insight (RMI) – 2005 – An Introduction to Factor Analysis of Information Risk (FAIR)
- Australian Government Department of Defence - Strategies to Mitigate Targeted Cyber Intrusions
- Verizon – 2015 Data Breach Investigations Report
- Verizon – 2014 Data Breach Investigations Report
- Gov.UK - Cabinet Office – Security Policy Framework
- National Cyber Security Centre – HMG IA Standard No.1 – Technical Risk Assessment
- Carnegie Mellon University - SEI - 2007 - OCTAVE Allegro
- Carnegie Mellon University - SEI - 2007 - Governing for Enterprise Security - Implementation Guide
- ENISA - Threat Landscape 2014