Endringslogg - Internkontroll i praksis - Informasjonssikkerhet

På denne siden finner du oversikt over endringene som er gjort når nye versjoner av Internkontroll i praksis - Informasjonssikkerhet publiseres.

Vi har oppdatert siden "Kva seier ISO27001?" etter ny ISO-standard fra 2022. Den nye utgaven har ingen vesentlig innvirkning for hovedkravene i ISO/IEC 27001:2022. Endringene innebærer mindre tekstlige endringer i tråd med fellesteksten i ISOs ledelsessystemstandarder.

Endringene vi har gjort:

2.2 Hovudkrav i standarden - presisering og tydeliggjøring av ISO-krav 8.1, 6.2. og 6.3.

2.3 Analyse av konteksten verksemda står i - tydeligjøring av nytt krav 4.2 c.

2.4 Omfang, strategi, ansvar og mål - Presisering av krav og anbefaling mellom ISO-standarden og Digdirs veiledningsmateriale.

2.7 Leiinga sin gjennomgang - to nye punkter lagt til:

  • relevante endringar i interessentane sine krav og forventningar (relevant for styringssystemet)
  • tilbakemeldingar frå interessentane

2.8 Krav til dokumentasjon i standarden - presisering av 4.2 c, 6.2 d og 6.2 g.

4.3 Implementering av tiltak - endret henvisning fra 8.1. til 8.3.

4.4 Handtering av endringar - endret henvisning fra 10.1 d til 10.2 d.

4.5 Kontinuerleg forbetring - endret henvisning fra 10.2 til 10.1.

4.6 Krav til dokumentasjon i standarden - endret henvisning fra 10.1 g til 10.2 g.

5.2 Avvik og korrigerande tiltak - endret henvisning fra 10.1 til 10.2.

5.3 Krav til dokumentasjon i standarden - endret henvisning fra 10.1 til 10.2 f og g.

6.2 Intern revisjon - endret henvisning fra 9.2 a og b til 9.1 a og b, samt endret henvisning fra 9.2 c, d, e og f til 9.2.2.

De største endringene av 2022-utgaven av standarden er påvirket av sikkerhetstiltakene i ISO/IEC 27002:2022 som er lagt inn i Annex A. Disse endringene har ingen påvirkning på dette veiledningsmaterialet.

Internkontroll i praksis – informasjonssikkerhet er utviklet av Difi/Digitaliseringsdirektoratet, og ble utarbeidet iterativt med publisering av en serie betaversjoner før versjon 1.0 ble publisert i februar 2016.

Syv betaversjoner

Første betaversjon ble publisert i juni 2014. I løpet av perioden september 2014 – desember 2015 ble det publisert ytterligere seks betaversjoner, der materialet ble gradvis bearbeidet, utvidet og forbedret. Det var viktig for Digitaliseringsdirektoratet (da Difi) at brukerne var involvert i arbeidet, og det ble lagt vekt på å se denne veiledningen i sammenheng med veiledning fra andre relevante veiledningsaktører.

Tilbakemeldinger og innspill underveis i prosessen bidro til forbedringer, og det ble benyttet to referansegrupper:

  • representanter for brukerne
  • aktører som veileder offentlige virksomheter innen internkontroll og risikostyring

Faglige kilder fra inn- og utland ble benyttet i arbeidet, og henvisninger til dette kan finnes på denne siden «Bakgrunnsmateriale til Internkontroll i praksis – informasjonssikkerhet».

Versjon 1.0

Versjon 1.0 ble publisert i februar 2016.

Versjon 1.1

Versjon 1.1 ble publisert i oktober 2016. I denne versjonen ble flere eksempler og støtteverktøy oppdatert, basert på erfaringer og tilbakemeldinger.

Versjon 1.2

Versjon 1.2 ble publisert i juni 2017. I denne versjonen ble det gjort en rekke oppdateringer for å gjenspeile endringene som ble gjort i eksemplene og støtteverktøyene i versjon 1.1. Det ble også publisert tre ulike sammendrag av materialet. I tillegg ble materialet noe omstrukturert, for å gjøre det lettere tilgjengelig.

Før denne versjonen ble det også gjennomført en profesjonell språkvask av beskrivelsene av styringsaktiviteter og etableringsaktiviteter.

Versjon 1.3

Versjon 1.3 ble publisert i juni 2018. I denne versjonen ble det gjort relevante oppdateringer for å gjenspeile endringer i personvernregelverket, som følge av at EUs personvernforordning ble en del av norsk rett. Det ble også gjort flere forbedringer, blant annet nye visuelle virkemidler, nye støttedokumenter, og forenkling av beskrivelsen av fremgangsmåten for «Gjennomføre risikovurdering».

Det ble i denne versjonen også langt inn en beskrivelse av vilkår for gjen-/viderebruk av veiledningsmateriellet. Disse kan du lese på siden «Om internkontroll i praksis – informasjonssikkerhet»

Versjon 1.4

Versjon 1.4 ble publisert i februar 2019. I denne versjonen ble det gjort relevante oppdateringer for å tilpasse veiledningen til ny sikkerhetslov, som trådte i kraft 1.1.2019.

Versjon 1.5

Versjon 1.5 ble publisert i juli 2020. I denne versjonen ble det lagt inn tydeligere knytninger til annen veiledning på flere områder.

Digitaliseringsdirektoratet ble opprettet 1.1.2020. I denne versjonen ble alle henvisninger til «Difi» endret til «Digitaliseringsdirektoratet».

I løpet av vinteren 2019/2020 ble det publisert ny veiledning som var relevant for arbeidet med styring og kontroll av informasjonssikkerhet i en virksomhet. Veiledning om informasjonssikkerhet i etatsstyringen ble utarbeidet i et samarbeid mellom Direktoratet for forvaltning og økonomistyring (DFØ), Nasjonal sikkerhetsmyndighet (NSM) og Digitaliseringsdirektoratet. Digitaliseringsdirektoratet publiserte også kompetansebeskrivelser for roller i arbeidet med styring og kontroll av informasjonssikkerhet. Det ble lagt inn henvisninger til disse på relevante steder.

Det ble også opprettet en ny delaktivtet «Dialog med styrende organ» under Kommunikasjon.

Oppdaterte lenker til digdir.no

I forbindelse med at nettstedet www.difi.no ble avviklet, ble alle lenker til innhold endret til relevant sted på www.digdir.no i januar 2021. Det ble i tillegg gjort generelt vedlikehold av andre lenker i materialet.

Ny inngang på Digdir.no

I forbindelse med flyttingen av Internkontroll i praksis – informasjonssikkerhet, ble det opprettet en ny inngang på digdir.no.

Det er også publisert nytt innhold i forbindelse med den nye inngangen:

  • Stifinneren: en veiviser gjennom arbeidet med å etablere eller forbedre internkontroll
  • Grunnleggende kunnskap: en oversikt over bakgrunnskunnskap som er nyttig før man går igang med arbeidet med å etablere eller forbedre internkontrollen
  • Fire historier om styring av informasjonssikkerhet: Les om Turid Toppleder, Fridtjof Fagansvarlig, Linus Linjeleder og Trine Tiltaksleverandør
  • Ha oversikt over et ansvarsområde: en utdypning av gjennomføringen av foranalysen før vurdering av risiko

Forsiden på internkontroll-infosikkerhet.difi.no ble oppdatert med informasjon om flyttingen, og pekere til nytt materiale.

I versjon 2.0 har vi flyttet alt veiledningsmateriellet fra https://internkontroll-infosikkerhet.difi.no til www.digdir.no. Vi har i den forbindelse hatt en grundig gjennomgang av alt innholdet, og gjort strukturelle endringer for å gjøre materialet mer tilgjengelig.

Ny forside

Den viktigste endringen er den nye forsiden til veiledningsmateriellet. Her finner du nå Stifinneren og beskrivelsene av styringsaktivitetene og etableringsaktivitetene, i tillegg til en samleside over bakgrunnskunnskap det er nyttig å lese før man starter. Nytt i denne versjonen er også at du får tilgang til alt øvrig materiell fra forsiden:

  • Hjelp til gjennomføring av følgende aktiviteter:
    • Utforme føringer
    • Foranalyse av eget ansvarsområde
    • Planlegging av risikovurdering
    • Gjennomføring av risikovurdering
    • Foreslå håndtering av risikoer
    • Godkjenne forslag til risikohåndtering
    • Iverksette godkjente tiltak
    • Vurdere status på eget ansvarsområde
    • Etablere fellessikring
    • Etablere dokumentasjonsrammeverk
  • Begrepslisten
  • Samlesiden for maler og eksempler
  • Siden som beskriver knytningen til kravene i NS-IEC/ISO 27001
  • «Godt å vite»-artikler med essensiell bakgrunnskunnskap som er viktig for å skjønne begrepsbruk og tilnærminger som er valgt i veiledningsmateriellet
  • Informasjon om veiledningsmateriellet

Det er ikke gjort noen vesentlige innholdsmessige endringer, men det er gjort flere generelle forbedringer av teksten i materialet.

Begrepsbruk

Noen tilpasninger i begrepsbruk er gjort gjennomgående i materialet:

  • «Systematiske aktiviteter» omtales nå som «styringsaktiviteter». Dette er for å tydeligere beskrive hva det handler om, og gjenspeile begrepsbruken benyttet i annen veiledning utarbeidet de siste årene. En virksomhet har behov for «styringsaktiviteter» og «sikkerhetstiltak», og det arbeides systematisk med begge deler. «Internkontrollaktiviteter» er stort sett også endret til «styringsaktiviteter».
  • Hovedaktivitetene «Risikovurdering» og «Risikohåndtering» har endret navn til «Vurdering av risiko» og «Håndtering av risiko». Dette er gjort for å gjøre det tydeligere at det er løpende aktiviteter, og harmonisere begrepsbruken med blant annet sikkerhetsloven.
  • Vi benytter i større grad formuleringer som «styring av informasjonssikkerhet» og «styring og kontroll av informasjonssikkerhet» i tillegg til «internkontroll». I ulike sammenhenger kan det være forskjell i hva som legges i «internkontroll»-begrepet. Det forstås i noen sammenhenger mer begrenset, som det som gjøres for å etterleve et regelverk, eller kontrollere etterlevelse. Det er ofte tydeligere for brukerne av veiledningen hva som menes når det benyttes «styring» eller «styring og kontroll».
  • Etableringsaktiviteten «Utforme/forbedre overordnede styrende dokumenter» har endret navn til «Utarbeide føringer». Dette er gjort slik at det skal være tydeligere at det er innholdet i føringene og prosessen med å utforme føringene som er det viktige. Føringene dokumenteres fortsatt i styrende dokumenter.
  • «Rammeverk for dokumentasjon» er endret til «dokumentasjonsrammeverk» for å unngå forvirring ved bruk av ordet «rammeverk» i andre sammenhenger.

Begrepsliste

Begrepslisten er forenklet, og inneholder nå de begrepene vi anser som mest vesentlige å beskrive, slik at brukere får en god forståelse av innholdet i veiledningen. Savner du en begrepsforklaring? Send oss en e-post på infosikkerhet@digdir.no.

Nynorsk

Offentlige virksomheter er pålagt å publisere innhold på både bokmål og nynorsk. Vi har nå oversatt deler av materialet til nynorsk, slik at vi oppfyller lovkravet om 25% av hver målform. I tillegg er alle maler, eksempler og støttedokumenter nå tilgjengelig både i bokmål og nynorsk.

Grundigere beskrivelse av «Utforme føringer»

Styringsaktiviteten «Utforme overordnede styrende dokumenter» har vært uten en utdypende beskrivelse. Navnet på aktiviteten er endret til «Utforme føringer», og det er laget en grundigere beskrivelse av hvilke områder det er hensiktsmessig å ha føringer for, og hvordan man kan gå frem for å etablere disse føringene.

Den overordnede beskrivelsen under «Etableringsaktiviteter» er også oppdatert for å gjenspeile det nye innholdet, og for å fokusere mer på arbeidet med føringene, og mindre på dokumentasjonen av dem.

Ny delaktivitet «Øvelser» i «Kompetanse- og kulturutvikling»

Øvelser er et viktig virkemiddel både for å øke kompetansen og bedre kulturen, og å avdekke behov for kompetanse- eller kulturutvikling. Vi har derfor lagt til en aktivitet om dette. Denne aktiviteten henviser også til øvingsportalen https://ovelse.no/.

Endringer i «Godt å vite»-artikler

Ut over generelle tekstforbedringer, har vi gjort følgende endringer i «Godt å vite»-artiklene:

  • Fjernet artikkelen om risikovurderinger i forbindelse med anskaffelser og utvikling. Direktoratet for forvaltning og økonomistyring har innhold om informasjonssikkerhet og personvern i IKT-anskaffelser på anskaffelser.no.
  • Slått sammen de tidligere artiklene «Hva er risiko?» og «Hva er risikovurdering?» til artikkelen «Om risiko og risikovurdering».
  • Slått sammen de tidligere artiklene «Helhetlige metoder» og «Støttemetoder» til artikkelen «Metoder for vurdering av risiko».
  • Slått sammen artiklene «Suksessfaktor – tonen på toppen» og «Suksessfaktor – støtte til ledelsen» til artikkelen «Suksesskriterier for styring av informasjonssikkerhet». Denne er tilgjengelig fra siden om styring av informasjonssikkerhet.
  • Endret tittelen på artikkelen «Hvorfor internkontroll informasjonssikkerhet» til «Hvorfor styring av informasjonssikkerhet», og flyttet den til siden om styring av informasjonssikkerhet.
  • Artikkelen om «Krav i regelverk» under Risikohåndtering er slått sammen med ulike andre artikler som omhandlet samme tema. Krav i regelverk er nå beskrevet i følgende artikkel under «Om veiledningsmateriellet»: Regelverkskrav og anbefalinger - Internkontroll informasjonssikkerhet

Endringer i navn på styrings- og etableringsaktiviteter og eksempler

Det er mindre navneendringer på enkelte aktiviteter og eksempler på retningslinjer. Listen under viser gammelt og nytt navn for de aktivitetene og eksemplene det gjelder.

  • Ledelsens styring og oppfølging
    • Sikre finansielle rammer for internkontroll- og sikkerhetsarbeidet -> Sikre finansielle rammer
  • Risikovurdering -> Vurdering av risiko
    • Få oversikt og prioritere -> Ha oversikt og prioritere
    • Gruppere og dele opp -> Gruppere eller dele opp
    • Vurdere risiko i hendelseshåndteringen -> Vurdere risiko etter hendelser
  • Risikohåndtering -> Håndtering av risiko
    • Utforme og implementere tiltakene -> Utforme og etablere sikkerhetstiltak
  • Kommunikasjon
    • Dokumentere gjennomførte internkontrollaktiviteter -> Dokumentere gjennomførte styringsaktiviteter
  • Etableringsaktiviteter
    • Utforme/forbedre overordnede styrende dokumenter -> Utforme føringer
    • Få på plass nøkkelpersoner og aktivere sikkerhetsorganisasjonen -> Få på plass nøkkelpersoner
    • Utforme og gjennomføre grunnopplæring -> Grunnopplæring
    • Etablere rammeverk for dokumentasjon -> Etablere dokumentasjonsrammeverk
  • Eksempler på retningslinjer
    • ​​​​​​​Retningslinje: Roller og ansvar i internkontroll- og sikkerhetsarbeidet -> Retningslinje: Roller og ansvar
    • Retningslinje: Forstå, vurdere og håndtere operativ risiko -> Retningslinje: Forstå, vurdere og håndtere risiko
    • Retningslinje: Rammeverk for dokumentasjon av internkontroll -> Retningslinje: Dokumentasjonsrammeverk

Øvrige endringer

Det er gjort generelle tekstlige forbedringer i hele materialet. Det er ikke hensiktsmessig å beskrive alt i denne endringsloggen, men følgende er de mest vesentlige endringene:

Vurdering av risiko

Innledningen er kortet ned, og innholdet er tydeligere delt i to deler:

  • Ha oversikt og prioritere
  • Planlegging og gjennomføring av risikovurderinger

«Analysere eksterne krav» er flyttet, og er nå del av «Ha oversikt og prioritere», ikke en separat delaktivitet. Innholdet er det samme.

«Vurdere risiko ved anskaffelser og utvikling» er skrevet om, med henvisning til DFØ for ytterligere veiledning på området.

Kompetanse- og kulturutvikling

Innledningen er skrevet om for å koble behovet for kompetanse- og kulturutvikling tettere til måloppnåelse, ikke bare etterlevelse av krav som stilles til de ansatte. Det er også lagt inn henvisning til veiledning og metode for kartlegging av digital sikkerhetskultur. I tillegg er det lagt til en ny delaktivitet «Øvelser» (se over).

Analyse av status og planlegge etablering/forbedring

Det er gjort mindre justeringer for at innholdet i disse etableringsaktivitetene skal sammenfalle med rekkefølgen i Stifinneren. Det er henvist til Stifinneren ved planlegging, og støttedokumentet «Skisse til mulig organisering av plan» er fjernet.

Gjennomføre risikovurdering og Foreslå håndtering av risikoer

Disse fremgangsmåtene var tidligere fordelt på en rekke undersider, en side for hvert steg. Fremgangsmåtene er nå samlet på én enkelt side hver, for å gjøre det lettere tilgjengelig. De er i tillegg justert slik at strukturen er mer lik på tvers av beskrivelsene.

Stifinneren

Det er gjort enkelte oppdateringer i Stifinneren for å reflektere endringer som er gjort på aktivitetsnavn og lignende i det øvrige materiellet. I tillegg er det lagt inn en henvisning til beskrivelsen av virksomhetens rammebetingelser i «Start».

Lenker er oppdatert slik at de peker til det nye innholdet.

Maler og eksempler

Alle maler, eksempler og støttedokumenter er også oppdatert for å gjenspeile endringer i aktivitetsnavn og lignende.

Innhold som ikke er videreført

Vi har på dette tidspunktet valgt å ikke videreføre følgende presentasjoner som har ligget tilgjengelig på siden med maler og eksempler:

  • Foredrag for toppledergruppen - Internkontroll informasjonssikkerhet
  • Innledning og oversikt - Få oversikt og prioritere før risikovurderinger
  • Fellessikring

I tillegg er det ikke laget nye versjoner av sammendragene som har vært tilgjengelige:

  • For toppledere
  • Grunnleggende innføring
  • Grunnleggende begreper

De gamle versjonene av disse vil være tilgjengelig på forespørsel. Vi vil løpende vurdere behovet for denne typen sammendrag. Ta kontakt dersom du har spørsmål, kommentarer eller innspill.

Kontakt

Kompetansemiljø for informasjonssikkerhet