Systematiske aktiviteter

Kjernen i internkontrollen er gjennomføring av systematiske aktiviteter. Alle hovedaktivitetene er beskrevet på sin egen nettside - tilgjengelig fra menyen på venstresiden.

Difis forklaringsmodell for internkontroll informasjonssikkerhet

Ledelsens styring og oppfølging

Ledelsens styring og oppfølging er «hjernen» i internkontrollen. Her legger virksomhetsledelsen grunnlaget gjennom de overordnede styrende dokumentene, og følger opp arbeidet gjennom den ordinære virksomhetsstyringen.

Les om Ledelsens styring og oppfølging

Risikovurdering

Risikovurdering er «hjertet» i internkontrollen. Risiko som angår informasjonssikkerhet må identifiseres, analyseres og evalueres. Risikovurderinger må gjennomføres i tilstrekkelig omfang og på hensiktsmessig detaljeringsnivå og kan gjelde

  • hele virksomheten på strategisk nivå
  • enkelte arbeidsoppgaver eller prosesser, eller
  • spesifikke informasjonssystemer

Det er lederens ansvar å sørge for at det gjennomføres nødvendige risikovurderinger innenfor eget ansvarsområde.

Les om Risikovurdering

Risikohåndtering

Risikohåndtering er «hendene» i internkontrollen. Den ansvarlige må ta stilling til hvordan risiko skal håndteres og iverksette nødvendige tiltak. Tiltakene skal utarbeides og iverksettes i samsvar med fastlagte kriterier for akseptert risiko.

Les om Risikohåndtering

Overvåking og hendelseshåndtering

Overvåking og hendelseshåndtering er «vakta» i internkontrollen. Gjennom tekniske og manuelle rutiner må vesentlige feil, avvik og uønskede hendelser avdekkes og følges opp.

Hendelseshåndteringen er et viktig utgangspunkt for læring. Erfaringene man gjør seg må tas med videre i sikkerhetsarbeidet.

Les om Overvåking og hendelseshåndtering

Måling, evaluering og revisjon

Måling, evaluering og revisjon er «kontrolløren» i internkontrollen. Hensikten med målinger er å teste om tiltak fungerer og om pålegg blir etterlevd og må gjennomføres både ved etablering og bruk av tiltak.

Målinger er, sammen med evalueringer og internrevisjon, viktig beslutningsgrunnlag for ledere på ulike nivå.

Les om Måling, evaluering og revisjon

Kompetanse- og kulturutvikling

Kompetanse- og kulturutvikling er «læreren» i internkontrollen. En god sikkerhetskultur i virksomheten er vesentlig for at internkontrollen for informasjonssikkerhet skal fungere etter hensikten.

Les om Kompetanse- og kulturutvikling

Kommunikasjon

Kommunikasjon er «limet» i internkontrollen. God kommunikasjon legger til rette for læring, er essensielt for hendelseshåndtering og er det som gjør en virksomhet i stand til å jobbe samlet med informasjonssikkerheten.

Les om Kommunikasjon