Veileder til internkontroll for Informasjonssikkerhet

Del denne sidenDel på e-post

Oppdater og forbedre systemet

Internkontrollsystemet må holdes oppdatert. Trusler endrer seg, virksomheten endrer seg, og dere lærer av erfaringer. Dette kapitlet viser hvordan virksomheten sikrer at internkontrollsystemet er oppdatert og fungerer som planlagt.

Nivå 1 – Gjennomgå internkontrollen årlig

En gang per år – typisk i november eller desember – er det tid for å gjennomgå systemet og planlegge neste periode.

1. Samle erfaringer fra året

Gå gjennom:

  • Sikkerhetshendelser som har inntruffet
  • Avvik fra revisjoner
  • Endringer i virksomheten (nye systemer, ny organisering)
  • Nye krav fra myndighetene

2. Vurder om noe må endres

Still spørsmålene:

  • Er risikovurderingene fortsatt gyldige?
  • Fungerer tiltakene som planlagt?
  • Trenger virksomheten nye tiltak?
  • Er dokumentasjonen oppdatert?

3. Oppdater det som trengs

  • Oppdater risikovurderinger hvis risikobildet har endret seg
  • Lukk avvik fra revisjoner
  • Juster prosedyrer som ikke fungerer
  • Oppdater systemoversikter

4. Planlegg neste år

  • Oppdater årshjulet for neste periode (se eksempel i Hjelpeverktøy)
  • Hvem er ansvarlig for hva?
  • Rapporter status til ledelsen

5. Dokumenter gjennomgangen

Skriv kort referat som viser hva som ble gjennomgått, beslutninger og plan for neste periode. Lagre i internkontrollsystemet.

Sjekkliste for årlig gjennomgang

☐ Hendelser og avvik fra året gjennomgått

☐ Risikovurderinger vurdert og oppdatert ved behov

☐ Tiltak og prosedyrer vurdert

☐ Dokumentasjon oppdatert

☐ Årshjul for neste periode planlagt

☐ Gjennomgang dokumentert

Nivå 2 – Systematisk kontinuerlig forbedring

Når den årlige gjennomgangen er etablert, kan virksomheten bygge ut med systematisk innsamling av erfaringer og formell ledelsesgjennomgang.

Systematisk innsamling av erfaringer

Forbedring bygger på flere kilder gjennom året:

Kilde Gir innsikt om Følges opp
Revisjoner Fungerer tiltakene? Avvik registreres og lukkes
Hendelser Nye sårbarheter Risikovurdering oppdateres
Øvelser Fungerer beredskapen? Beredskapsplan oppdateres
Leverandøroppfølging Leverer leverandør som avtalt? Avtaler reforhandles
Tilsyn Myndighetenes vurdering Pålegg lukkes

 

Ledelsens gjennomgåelse

Minst en gang årlig bør ledelsen formelt gjennomgå internkontrollsystemet. Dette er mer omfattende enn løpende kvartalsrapportering og fokuserer på strategisk evaluering.

Agenda:

Punkt Innhold
Status internkontroll Fungerer systemet? Er det oppdatert og følges det?
Hendelser og avvik Hva har skjedd? Hva har vi lært?
Risikovurdering Er risikobildet endret?
Ressurser Har vi det vi trenger?
Beslutninger om tiltak Hva skal prioriteres?

 

Resultat:

  • Beslutninger om tiltak
  • Eventuell justering av policy eller mål

Dokumenter gjennomgangen i referat.

Sammenheng med årshjulet

Årshjulet strukturerer når forbedring skjer, slik som i dette eksempelet:

Måned Aktivitet
Januar Oppdater tilgangsoversikter
Mars Revisjon tema 1
Juni Kvartalsrapport til ledelsen
September Revisjon tema 2, øvelse
November Årlig gjennomgang
Desember Ledelsens gjennomgang, planlegg neste år

 

Se fullstendig årshjul i "Hjelpeverktøy".

Lenker til utfyllende veiledning