Stifinneren
Stifinneren hjelper deg å finne veien fram til god og effektiv styring av informasjonssikkerhet i din virksomhet. Sammen med andre skal du gjennom uoversiktlig og vanskelig terreng, og da kan det være fint å ha et kart og en sti dere kan følge.
Om Stifinneren
Alle kan benytte Stifinneren som et ekstra hjelpemiddel for å navigere gjennom veiledningen Internkontroll i praksis - Informasjonssikkerhet. Du vil få hjelp til å se hvordan etableringsaktiviteter benyttes for å etablere eller forbedre styring av informasjonssikkerhet, og se dem i sammenheng med styringsaktivitetene som etter hvert kommer på plass.
Etapper
Stien består av etapper. Det er flere steg i hver etappe. Stifinneren gir deg korte beskrivelser av etappene og stegene, og du får også gode tips på veien. Stifinneren peker til andre steder i veiledningen for beskrivelsen av selve gjennomføringen av aktivitetene.
Du bør gjøre deg kjent med alle etappene før du begynner. Reisen vil virke lang, men du vil etter hvert oppdage at det ikke er så komplisert og uoversiktlig som det kan se ut til ved første øyekast.
Det er du som kjenner din virksomhet best. Når du har god forståelse for hensikten med etappene og aktivitetene som skal gjennomføres, kan du bruke resten av veiledningen Internkontroll i praksis - Informasjonssikkerhet til å tilpasse etappene til dine behov.
Loop
Etter hvert går etappene inn i en loop. Det er begynnelsen på en jevnlig runde som bidrar til kontinuerlig forbedring av styringen av informasjonssikkerhet.
Kan brukes av alle – på ulike måter
Nybegynner – ved å følge Stifinneren vil du
- kunne ta ting etappe for etappe og ende på et bra sted
- forstå hvorfor Internkontroll i praksis - Informasjonssikkerhet er utformet slik som den er
- bli i stand til å se skogen, ikke bare trærne
Erfaren person – ved å sette deg inn i Stifinneren vil du
- få inspirasjon til å finne en god sti i det terrenget du befinner deg i
- oppdage hva som ligger til grunn for utformingen av Internkontroll i praksis – Informasjonssikkerhet, og forstå hensikten med struktur og innhold
Spørsmål og svar
Alle virksomheter kan bruke Stifinneren, men den er laget for offentlige virksomheter.
Virksomheter som er små, ikke har mye ressurser til informasjonssikkerhet, eller ikke har mulighet til å ha mye kompetanse i egen organisasjon, kan følge stien fra start til mål og ende opp på et bra sted.
Virksomheter med ressurser og kompetanse kan bruke den som utgangspunkt, og tilpasse og justere til eget behov.
Stifinneren er laget for de fagpersonene som skal støtte ledelsen i arbeidet med styring av informasjonssikkerhet. Den kan likevel brukes av alle som ønsker innsikt i temaet.
Stifinneren må benyttes sammen med resten av Internkontroll i praksis - Informasjonssikkerhet.
Stifinneren fungerer som en ekstra hjelp til å finne veien gjennom det som kan være en kompleks og tidkrevende ferd for en virksomhet å komme seg gjennom.
Dere bør sette dere inn i hele Stifinneren før dere begynner. Legg spesielt merke til forberedelsene dere bør gjøre før dere begynner på første etappe.
Utgangspunktet er at dere i din virksomhet for eksempel
- ønsker å lykkes med styring av informasjonssikkerhet
- ikke har helt oversikt over hvordan det står til med arbeidet med informasjonssikkerhet
- ønsker å ta opp status og se på mulighetene for å forbedre det dere gjør
- ønsker å sammenlikne styringen av informasjonssikkerhet hos dere med gjeldende anbefalinger
Ved enden av stien skal virksomheten ha
- et sett med styringsaktiviteter som gjennomføres systematisk rundt omkring i virksomheten.
- en ledelse som er i stand til å styre arbeidet med informasjonssikkerhet
- effektivt arbeid med informasjonssikkerhet
- et sett med grunnleggende sikkerhetstiltak (fellessikring) på tvers av oppgaver og tjenester
- evne til å etterleve lover, forskrifter og avtaler
- evne til å evaluere det dere gjør, lære av feil, og stadig gjøre ting bedre og mer effektivt
Dere trenger hele veiledningen Internkontroll i praksis - Informasjonssikkerhet.
Stifinneren staker ut en sti som dere kan følge, men henviser hele veien til aktivitetene som beskrives i resten av veiledningen.
Dere bør legge stor vekt på de forberedelsene som Stifinneren beskriver før dere drar ut på første etappe.
Kjernen i styringen av en virksomhet handler om hva som gjøres, av hvem, på hvilken måte. Det handler om hvordan beslutninger tas og hvordan ressursbruken prioriteres.
Det er dessverre vanlig å se «styringssystem for informasjonssikkerhet» omtalt som en bunke dokumenter med «policy og retningslinjer». Hensikten med å beskrive aktiviteter som skal gjennomføres er å dreie oppmerksomheten mot det som det faktisk handler om.
Styringsaktiviteter er et sett med aktiviteter som skal rusle og gå, og utføres jevnlig og systematisk rundt omkring i virksomheten. Den ordinære ledelsen har hånden på rattet og eier disse aktivitetene. Styringsaktivitetene er kjernen i styringssystemet, og sammen med sikkerhetstiltakene sørger de for god informasjonssikkerhet for virksomhetens oppgaver og tjenester.
Etableringsaktiviteter er aktiviteter som gjennomføres for å bygge opp og etablere settet med styringsaktiviteter. De legger grunnlaget for at disse skal kunne fungere bra. Etableringsaktivitetene benyttes når man skal etablere, eller vesentlig forbedre, arbeidet med styring av informasjonssikkerhet.
Nei. Stifinneren konsentrerer seg om en periode med etablering/forbedring av denne måten å styre informasjonssikkerhet på. De fleste styringsaktivitetene gjennomføres minst én gang i denne perioden, men Stifinneren omtaler ikke alle delaktivitetene i alle styringsaktivitetene.
Start reisen
Dere er nå klare til å starte reisen.