Bakgrunnsmateriale til Internkontroll i praksis - informasjonssikkerhet

På denne siden finner du en oversikt over ulike ressurser som er benyttet i utarbeidelsen av veiledningsmaterialet.

    Bøker

    • Aven, Terje
      • 2008 - Risikoanalyse
      • 2009 – Risikostyring
      • 2010 - Misconceptions of Risk
      • 2015 – Risikostyring, 2. utgave
    • Daler, Torgeir m.fl. – 2013 – Håndbok i datasikkerhet – informasjonsteknologi og risikostyring
    • Normann, Rolf Sture og Tranvik, Tommy – 2012 - Personvern og informasjonssikkerhet i kommunen
    • Pedersen, Peder Å. – 2013 – Kvalitetssikring – et ledd i verdiskapningen!
    • Rausand, Marvin og Utne, Ingrid Bouwer – 2008 - Risikoanalyse. Teori og metoder
    • Smolan, Geir– 2009 – Kvalitetsstyring og internkontroll

    Materiale fra veiledningsaktører

    Arbeidstilsynet

    • Veiledning til internkontrollforskriften

    Datatilsynet

    • Veiledning om risikovurdering, internkontroll, personvern m.m.

    Digitaliseringsdirektoratet

    • Tidligere veiledninger i risikovurdering
    • Veiledning i offentlige anskaffelser på https://anskaffelser.no
    • Difi-rapport 2012:15 – Styringssystem for informasjonssikkerhet. Erfaringer med og anbefalinger om standardene ISO 27001 og ISO 27002

    Direktoratet for samfunnssikkerhet og beredskap (DSB)

    • Rapporter og kartlegginger, og veiledninger i beredskap, øvelser og risiko- og sårbarhetsanalyser

    Direktoratet for forvaltning og økonomistyring (DFØ)

    • Veiledning og materiale innen risikostyring i staten, internkontroll, etatsstyring og virksomhetsstyring og offentlige anskaffelser. Tilgjengelig på https://www.dfo.no

    Direktoratet for e-helse

    • Norm for informasjonssikkerhet i helse- og omsorgstjenesten

    Kommunesektorens organisasjon (KS)

    • Rådmannens internkontroll – Orden i eget hus!

    Nasjonal sikkerhetsmyndighet (NSM)

    • Veiledninger i verdivurdering og sikkerhetsstyring
    • NSMs grunnprinsipper for IKT-sikkerhet
    • Nasjonal sikkerhetsmyndighet (NSM), Politidirektoratet og PST - 2010 – En veiledning, sikkerhets- og beredskapstiltak mot terrorhandlinger

    Standarder og rammeverk

    COSO

    • Internal Control – Integrated Framework
    • Enterprise Risk Management – Integrated Framework

    Information Security Forum (ISF)

    • IRAM2
    • Information Security Strategy
    • The Standard of Good Practice for Information Security

    International Organization for Standardization (ISO)

    • ISO 19011:2011 Guidelines for auditing management systems
    • ISO 31000:2018 Risk management -- Principles and guidelines
    • ISO 31010:2019 Risk management -- Risk assessment techniques
    • NS-EN ISO/IEC 27000:2020 Information technology — Security techniques — Information security management systems – Overview and vocabulary
    • NS-EN ISO/IEC 27001:2017 - Informasjonsteknologi - Sikringsteknikker - Ledelsessystemer for informasjonssikkerhet – Krav
    • NS-ISO/IEC 27001:2022 - Informasjonssikkerhet, cybersikkerhet og personvern - Ledelsessystemer for informasjonssikkerhet - Krav
    • NS-EN ISO/IEC 27002:2017 - Informasjonsteknologi - Sikringsteknikker - Tiltak for informasjonssikring
    • NS-ISO/IEC 27003:2017 Informasjonsteknologi - Sikringsteknikker - Ledelsessystemer for informasjonssikkerhet – Veiledning
    • NS-ISO/IEC 27004:2016 Informasjonsteknologi - Sikringsteknikker - Ledelsessystemer for informasjonssikkerhet - Overvåking, måling, analyse og evaluering
    • NS-ISO/IEC 27005:2018 Informasjonsteknologi - Sikringsteknikker - Risikostyring for informasjonssikkerhet
    • NS-ISO/IEC 27007:2020 Informasjonssikkerhet, cybersikkerhet og personvern - Retningslinjer for revisjon av ledelsessystemer for informasjonssikkerhet
    • NS-ISO/IEC 27014:2020 Informasjonssikkerhet, cybersikkerhet og personvern — Styring av informasjonssikkerhet
    • NS-ISO/IEC 27035-1:2016 Informasjonsteknologi - Sikringsteknikker - Styring av informasjonssikkerhetshendelser - Del 1: Prinsipper for hendelseshåndtering
    • NS-ISO/IEC 27035-2:2016 Informasjonsteknologi - Sikringsteknikker - Styring av informasjonssikkerhetshendelser - Del 2: Retningslinjer for planlegging og forberedelse av hendelsesrespons

    ISACA

    • 2009 - Risk IT Framework - Practitioners guide
    • 2013 - COBIT 5 for Information Security
    • 2013 - COBIT 5 for Risk

    National Institute for Standards and Technology (NIST)

    • NIST SP 800-18 Guide for Developing Security Plans for Federal Information Systems
    • NIST SP 800-30 Revision 1 – Guide for Conducting Risk Assessments
    • NIST SP 800-37 Revision 1 - Guide for Applying the Risk Management Framework to Federal Information Systems
    • NIST SP 800-39 – Managing Information Security Risk
    • NIST SP 800-53 Revision 4 – Security and Privacy Controls for Federal Information Systems and Organizations
    • NIST SP 800-53A Revision 1 – Guide for Assessing the Security Controls in Federal Information Systems and Organizations
    • NIST SP 800-55 Revision 1 – Performance Measurement Guide for Information Security
    • NIST SP 800-60 Volume I Revision 1 – Guide for Mapping Types of Information and Information Systems to Security Categories
    • NIST SP 800-115 – Technical Guide to Information Security Testing and Assessment
    • NIST SP 800-171 – Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizations
    • NIST Framework for Improving Critical Infrastructure Cybersecurity (Cybersecurity Framework) Version 1.0
    • NIST NISTIR 7298 Revision 2 – Glossary of Key Information Security Terms
    • FIPS PUB 199 – Standards for Security Categorization of Federal Information and Information Systems
    • FIPS PUB 200 – Minimum Security Requirements for Federal Information and Information Systems

    Norsk Standard

    • NS 5814:2021 Krav til risikovurderinger
    • NS 5830:2012 Samfunnssikkerhet - Beskyttelse mot tilsiktede uønskede handlinger - Terminologi
    • NS 5831:2014 Samfunnssikkerhet - Beskyttelse mot tilsiktede uønskede handlinger - Krav til sikringsrisikostyring
    • NS 5832:2014 Samfunnssikkerhet - Beskyttelse mot tilsiktede uønskede handlinger - Krav til sikringsrisikoanalyse

    Andre publikasjoner

    • Det kongelige fornyings- og administrajonsdepartementet – 2008 – Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor
    • Det Kongelige Justis- og Beredskapsdepartement – 2011-2012 Meld.st.29 Samfunnssikkerhet
    • Digitaliseringsstyrelsen - Videnscenter for implementering af ISO27001
    • FFI-rapport 2014/00948 - Norges sikkerhetstilstand - en årsaksanalyse av mangelfull forebyggende sikkerhet
    • FFI-rapport 2015/00923 - Tilnærminger til risikovurderinger for tilsiktede uønskede handlinger
    • Koordineringsutvalget for informasjonssikkerhet (KIS) -2008 – Hovedrapport KOBI "Klassifisering og beskyttelse av informasjon"
    • Kystverket – 2012 – Vurdering av sårbarhet for havner og havneterminaler
    • Myndigheten för samhällsskydd och beredskap – Metodstöd för systematiskt informationssäkerhetsarbete
    • Norges vassdrags- og energidirektorat (NVE) – 2010 – Veiledning i risiko- og sårbarhetsanalyser for kraftforsyningen
    • NorSIS, norsk senter for informasjonssikring – Håndbok for informasjonssikkerhet
    • Sveriges kommuner og landsting – 2010 – Säkert informationsutbyte via Internet mellan huvudmän, utförare och den enskilde medborgaren
    • Uninett – 2014 - En veileder i styringssystem for informasjonssikkerhet i UH-sektoren
    • BSI - IT-Grundschutz
    • Risk Management Insight (RMI) – 2005 – An Introduction to Factor Analysis of Information Risk (FAIR)
    • Australian Government Department of Defence - Strategies to Mitigate Targeted Cyber Intrusions
    • Gov.UK - Cabinet Office – Security Policy Framework
    • National Cyber Security Centre – HMG IA Standard No.1 – Technical Risk Assessment
    • Carnegie Mellon University - SEI - 2007 - OCTAVE Allegro
    • Carnegie Mellon University - SEI - 2007 - Governing for Enterprise Security - Implementation Guide
    • Årlige trussel- og risikovurderinger