Hopp til innhold

Difi - Direktoratet for forvaltning og IKT

Digitaliseringsdirektoratet

Internkontroll/styringssystem (Versjon 1.5)

Søkeskjema

Tekststørrelse A+ A a For å endre tekststørrelsen, hold Ctrl-tasten nede og trykk på + for å forstørre eller - for å forminske.
  • Hjelp
  • Kontakt oss
  • Om veilederen
Meny
Hjem » Utdypninger » Risikovurdering » Gjennomføre » Etablere felles referanseramme
  • Hjem
  • Sammendrag
  • Systematiske aktiviteter
  • Etableringsaktiviteter
  • Utdypninger
    • Risikovurdering
      • Planlegge
      • Gjennomføre
        • Etablere felles referanseramme
        • Felles begrep
        • Obs-områder
        • Identifisere
        • Analysere
        • Evaluere
        • Kunnskapsstyrke
    • Risikohåndtering
    • Måling, evaluering og revisjon
    • Etableringsaktiviteter
  • Godt å vite

Etablere felles referanseramme

Dette er trinn 1 i metoden for å gjennomføre risikovurderinger.

Målgruppe

  • Prosessledere

Innhold

  • Mål for trinnet
  • Forberedelser
  • Fremgangsmåte
    • Presentasjon av deltakerne
    • Mandat, formål og avgrensninger
    • Virksomhetens mål for informasjonssikkerhet
    • Føringer knyttet til risiko
    • Metodevalg og tidsbruk
  • Anbefalt dokumentasjon

1 Mål for trinnet

Arbeidsgruppen har en rimelig omforent forståelse for hva som skal gjøres, og rammene for arbeidet.

2 Forberedelser

Deltakerne:

  • oppdatere seg på virksomhetens policy for informasjonssikkerhet med hovedvekt på målene
  • oppdatere seg på virksomhetens retningslinjer om risikoforståelse og risikoaksept

3 Fremgangsmåte

Korte innlegg fra prosessleder og deltakerne kombineres med diskusjoner der det er nødvendig.

Følgende tema bør være med:

  • presentasjon av deltakerne
  • mandat, formål og avgrensninger
  • virksomhetens mål for informasjonssikkerhet
  • retningslinjer og føringer rundt risiko
  • metodevalg og tidsbruk

Omfang og tidsbruk må tilpasses erfaringsgrunnlaget til deltakerne. Målet er en rimelig omforent forståelse. Søkelyset må være på konstruktive oppklaringer. Diskusjoner om detaljer som har liten praktisk betydning, bør unngås.

De ulike temaene beskrives under.

4 Presentasjon av deltakerne

Første møte i arbeidsgruppen bør starte med en kort presentasjon av deltakerne, deres tilknytning til objektet i risikovurderingen og deres rolle i arbeidet som skal gjøres.

5 Mandat, formål og avgrensninger

Man bør deretter foreta en kort gjennomgang av mandatet for arbeidet. Det er viktig å få frem formålet med risikovurderingen. Er det en generell risikovurdering, eller er det spesielle spørsmål som skal avklares og vurderes opp mot hverandre? Det siste kan kreve en egen innretning på arbeidet og en egen form på risikonotatet.

Det er viktig å få avklart om formålet kan gi spesielle utfordringer for gjennomføringen, og hvordan disse eventuelt skal løses.

Det bør videre avklares om arbeidsgruppen har en felles forståelse av omfang og avgrensinger, med utgangspunkt i mandatet. Mener noen at noe vesentlig er utelatt? Det er viktig å foreta eventuelle presiseringer her.

6 Virksomhetens mål for informasjonssikkerhet

Virksomhetens mål for informasjonssikkerhet bør gjennomgås for å sikre tydelig forankring. Målene skal være beskrevet i virksomhetens policy for informasjonssikkerhet.

Deltakerne må ha en klar forståelse av hva målene for informasjonssikkerhet betyr for arbeidet med denne risikovurderingen.

7 Føringer knyttet til risiko

Videre bør virksomhetens retningslinjer og føringer knyttet til risikoforståelse, risikohåndtering og risikoaksept gjennomgås. Nøkkelspørsmål er:

  • Har gruppen en felles forståelse av de førende beskrivelsene for konsekvensnivå, sannsynlighetsnivå og risikonivå?
  • Hva betyr de for arbeidet med denne vurderingen?
  • Vet deltakerne hvordan estimeringen skal gjøres?
  • Forstår gruppen kriteriene for å akseptere risiko?

8 Metodevalg og tidsbruk

Gruppen bør til slutt bli avstemt på metodevalg og tidsbruk. Ut fra planleggingen bør prosessleder skissere hva man skal gjøre, og hvordan man har tenkt å gå frem. Prosessleder bør være åpen for justeringer.

9 Anbefalt dokumentasjon

Risikonotat:

  • formål med risikovurderingen
  • omfang og avgrensninger
  • deltakere og roller
  • overordnede styrende dokument (navn og versjonsnummer til de som benyttes direkte)
  • valgt metode (henvisning eller kort omtale, inkl. vesentlige tilpasninger)

────────────────────────────────────────────────────────────────────

  • Neste trinn i metoden
  • Hovedsiden til metoden
  • Til toppen av siden

────────────────────────────────────────────────────────────────────

Aktiviteter

Nyttig

  • Maler og eksempler
  • Begrepsliste
  • Regelverkskrav
  • Hva sier ISO/IEC 27001?
  • Virksomhetskontekst
  • Hva sier andre?
  • Endringslogg
  • Kilder
  • Kontakt: redaksjonen@digdir.no
  • Telefon: +47 22 45 10 00
  • E-post: postmottak@digdir.no
  • Org.nr: 991 825 827