Internkontroll/styringssystem (Versjon 1.5)
Dette er bakgrunnsstoff («Godt å vite») til hovedaktiviteten Risikovurdering. Målgruppen er de fagansvarlige informasjonssikkerhet som ønsker å sette seg litt grundigere inn i enkelte tema og dermed øke sin bakgrunnskunnskap.
For å ivareta nasjonale sikkerhetsinteresser og grunnleggende nasjonale funksjoner stiller lov om nasjonal sikkerhet (sikkerhetsloven) krav til forsvarlig sikkerhetsnivå for
Regelverkets krav til virksomheter omfatter styring og kontroll, prinsipper for sikring, føringer for forsvarlig sikkerhetsnivå og minimumskrav til sikkerhetstiltak, for å beskytte de skjermingsverdige verdiene mot tilsiktede handlinger. I tillegg til selve loven er disse kravene hovedsakelig nedfelt i forskrift om virksomheters arbeid med forebyggende sikkerhet (virksomhetsikkerhetsforskriften).
Sikkerhetslovens stiller krav til vurdering av risiko. I § 4-2 står det:
Virksomhetsikkerhetsforskriften § 12 inneholder krav til risikovurderingen. Når virksomheten skal vurdere risiko skal den ta hensyn til:
I tillegg stiller den krav til at man årlig skal vurdere behovet for å gjennomføre ny vurdering av risiko, og at risiko skal vurderes ifbm. endringer.
Virksomhetene må ut fra ovennevnte vurdere hvilke metoder de skal benytte. I utgangspunktet kan de velge mellom Digitaliseringsdirektoratets anbefalinger i dette veiledningsmateriellet, metoder utarbeidet hos dem selv eller eksterne spesialister, metoder som Nasjonal sikkerhetsmyndighet (NSM) anbefaler, eller en kombinasjon av metoder og støttemetoder. Ved valg av metode er det viktig å påse at den er egnet til vurdering av risiko knyttet til tilsiktede handlinger, f.eks. elementer som trusselaktørers intensjon og kapasitet.
NSM er fagmyndighet for sikkerhetsloven. For informasjon om NSMs veiledning til regelverket er tilgjengelig på deres nettsider https://nsm.no/
────────────────────────────────────────────────────────────────────
────────────────────────────────────────────────────────────────────