Om "Internkontroll i praksis - informasjonssikkerhet"

Dette veiledningsmateriellet beskriver hvordan virksomheter kan etablere og vedlikeholde systematisk styring av informasjonssikkerhetsområdet.

Anbefaling til virksomheter i forvaltningen

Struktur og innhold i styringsaktivitetene som beskrives i materiellet er Digitaliseringsdirektoratets offisielle anbefalinger iht. eForvaltningsforskriftens §15 andre ledd, med krav om helhetlig styring som ivaretar krav i ulike regelverk, og IT-standarder i offentlig sektor (Referansekatalogen).

Virksomhetskontekst

Internkontroll i praksis – informasjonssikkerhet er et veiledningsprodukt til hjelp og støtte i arbeidet med informasjonssikkerhet i en virksomhet, som en del av virksomhetsstyringen. Det handler om å sikre virksomhetens oppgaver og tjenester, og informasjonsbehandlingen i disse, for å understøtte virksomhetens måloppnåelse.

For mer informasjon om hvordan arbeidet med informasjonssikkerhet er en forutsetning for å nå virksomhetens mål, se denne siden:

Helhetlig arbeid med styring av informasjonssikkerhet

Dette veiledningsmateriellet beskriver styringsaktiviteter for arbeidet med informasjonssikkerhet.

For mer informasjon om hvordan man kan jobbe helhetlig med styring og kontroll på informasjonssikkerhetsområdet, kan du se på veiledningen Digitaliseringsdirektoratet har laget sammen med Nasjonal sikkerhetsmyndighet (NSM) og Direktoratet for forvaltning og økonomistyring (DFØ) om temaet:

Målgrupper

Veiledningsmateriellet er laget for offentlige virksomheter i Norge, men kan brukes av alle.

Bruken må tilpasses den enkelte virksomhets størrelse, organisering, egenart og modenhet i internkontrollarbeidet.

Den primære målgruppen for veiledningsmateriellet som helhet er fagansvarlig informasjonssikkerhet i virksomheten, i rollen som lederstøtte og pådriver i arbeidet med styring av informasjonssikkerhet.

Beskrivelsene av styringsaktiviteter og etableringsaktiviteter er primært rettet mot fagansvarlig informasjonssikkerhet. Innholdet er likevel nyttig for ledere og andre som ønsker en oversikt over arbeidet med informasjonssikkerhet.

Den primære målgruppen for beskrivelsene av fremgangsmåter og metoder for praktisk gjennomføring av aktivitetene er de som skal lede eller gjennomføre de enkelte delaktivitetene. Dette kan være ulike aktører rundt om i virksomheten.

Bakgrunnsstoffet – Godt å vite – er primært rettet mot fagansvarlig informasjonssikkerhet, men kan passe for alle andre som ønsker å øke sin bakgrunnskunnskap og sette seg litt grundigere inn i enkelte tema.

Struktur og innhold

Aktiviteter

Veiledningsmateriellet er bygget opp rundt aktiviteter.

Denne figuren er Digitaliseringsdirektoratets forklaringsmodell for styring av informasjonssikkerhet

Figuren viser styringsaktivitetene:

• Ledelsens styring og oppfølging
• Vurdering av risiko
• Håndtering av risiko
• Overvåking og hendelseshåndtering
• Måling, evaluering og revisjon
• Kompetanse- og kulturutvikling
• Kommunikasjon

Dette er aktiviteter som gjennomføres systematisk av ulike aktører rundt omkring i virksomheten. Hver av disse syv hovedaktivitetene består av flere delaktiviteter.

I tillegg kommer etableringsaktiviteter. Det er støtteaktiviteter under etablering og forbedring av internkontrollen.

Bakgrunnskunnskap

Essensiell bakgrunnskunnskap er samlet under Godt å vite. Her kan du lese om forskjellige temaer og begreper. Bakgrunnsstoffet er viktig for å skjønne begrepsbruk og tilnærminger Digitaliseringsdirektoratet har valgt i veiledningen, og vi anbefaler at de som har ansvaret for helheten i internkontrollen leser dette.

Hjelp til gjennomføring

For enkelte aktiviteter er det laget mer praktisk hjelp til gjennomføring, i form av metoder/fremgangsmåter eller andre praktisk rettede beskrivelser.

Det er maler, eksempler og støtteverktøy til mange av aktivitetene. Du finner en egen side med oversikt over alle disse.

Tilleggsmateriale

Veiledningsmateriellet inneholder også en del tilleggsmateriale i form av begrepsliste, endringslogg, liste over faglige kilder bruket i utarbeidingen av veiledningsmateriellet og en samleside for maler og eksempler.

Om begrepene: internkontroll – styring og kontroll – styringssystem

Begrepene «internkontroll» eller «styring av informasjonssikkerhet» benyttes gjennomgående for de sentrale aktivitetene for styring og kontroll i en virksomhet. Dette er synonymt med «styringssystem» eller «ledelsessystem». Veiledningsmateriellet omhandler «internkontroll på informasjonssikkerhetsområdet».

Digitaliseringsdirektoratets anbefaler at offentlige virksomheter baserer seg på NS-ISO/IEC 27001 når man arbeider med styring av informasjonssikkerhet. Veiledningsmateriellet dekker sentrale krav i denne standarden. Du kan lese om hvordan krav i standarden er koblet til aktivitetene i veiledningsmateriellet på denne siden:

Hvordan materiellet ble utviklet

Veiledningen ble utviklet iterativt med publisering av en rekke beta-versjoner før versjon 1.0 ble publisert i januar 2016.

Veiledningsmateriellet ble utarbeidet ved bruk av en referansegruppe med deltakere fra virksomheter i staten, kommuner og fylkeskommuner. Disse ga innspill og tilbakemeldinger til hver beta-versjon. Det var også en egen referansegruppe med andre myndigheter som veileder om styring og kontroll og tilstøtende fagområder.

Eierskap, gjenbruk og viderebruk

Digitaliseringsdirektoratet produserer, eier og er ansvarlig for veiledningsmateriellet.

Du kan bruke teksten og alle illustrasjoner/bilder i materiellet slik det passer deg innenfor lisensen «Creative Commons Navngivelse 4.0 Internasjonal Offentlige Lisens» (CC-BY 4.0).

En oppsummering av lisensen finnes på nettsiden til Creative Commons. Lisensteksten i sin helhet kan også hentes fra samme nettsted.

Spesielt om bruk i forvaltningsorganer

Forvaltningsorganer for stat eller kommune trenger ikke å navngi Digitaliseringsdirektoratet i sin bruk av veiledningsmateriellet. Dette inkluderer bruk av maler, eksempler og støtteverktøy.

Innspill eller tilbakemeldinger?