Internkontroll/styringssystem (Versjon 1.5)
Kjernen i internkontrollen er gjennomføring av systematiske aktiviteter. Alle hovedaktivitetene er beskrevet på sin egen nettside - tilgjengelig fra menyen på venstresiden.
Ledelsens styring og oppfølging er «hjernen» i internkontrollen. Her legger virksomhetsledelsen grunnlaget gjennom de overordnede styrende dokumentene, og følger opp arbeidet gjennom den ordinære virksomhetsstyringen.
Les om Ledelsens styring og oppfølging
Risikovurdering er «hjertet» i internkontrollen. Risiko som angår informasjonssikkerhet må identifiseres, analyseres og evalueres. Risikovurderinger må gjennomføres i tilstrekkelig omfang og på hensiktsmessig detaljeringsnivå og kan gjelde
Det er lederens ansvar å sørge for at det gjennomføres nødvendige risikovurderinger innenfor eget ansvarsområde.
Risikohåndtering er «hendene» i internkontrollen. Den ansvarlige må ta stilling til hvordan risiko skal håndteres og iverksette nødvendige tiltak. Tiltakene skal utarbeides og iverksettes i samsvar med fastlagte kriterier for akseptert risiko.
Overvåking og hendelseshåndtering er «vakta» i internkontrollen. Gjennom tekniske og manuelle rutiner må vesentlige feil, avvik og uønskede hendelser avdekkes og følges opp.
Hendelseshåndteringen er et viktig utgangspunkt for læring. Erfaringene man gjør seg må tas med videre i sikkerhetsarbeidet.
Les om Overvåking og hendelseshåndtering
Måling, evaluering og revisjon er «kontrolløren» i internkontrollen. Hensikten med målinger er å teste om tiltak fungerer og om pålegg blir etterlevd og må gjennomføres både ved etablering og bruk av tiltak.
Målinger er, sammen med evalueringer og internrevisjon, viktig beslutningsgrunnlag for ledere på ulike nivå.
Les om Måling, evaluering og revisjon
Kompetanse- og kulturutvikling er «læreren» i internkontrollen. En god sikkerhetskultur i virksomheten er vesentlig for at internkontrollen for informasjonssikkerhet skal fungere etter hensikten.
Les om Kompetanse- og kulturutvikling
Kommunikasjon er «limet» i internkontrollen. God kommunikasjon legger til rette for læring, er essensielt for hendelseshåndtering og er det som gjør en virksomhet i stand til å jobbe samlet med informasjonssikkerheten.