Standarder for risikostyring av informasjonssikkerhet

Difi utreder standarder for risikostyring av informasjonssikkerhet.

Publisert: 01. nov 2011, Sist endret: 30. jan 2018

Hva går arbeidet ut på?

Difi har påbegynt en utredning om standarder for risikostyring av informasjonssikkerhet. Rapporten beskriver de områder som skaper behov for risikostyring av informasjonssikkerhet i offentlig sektor. Aktuelle standarder evalueres etter Standardiseringsrådets kriterier, og anbefaler hvilken sammensetning av standarder som bør gjøres anbefalte eller obligatoriske for anvendelsesområdene.

Arbeidet vil i hovedsak gi anbefalinger i forhold til standarder som dekker alle deler av prosessen med risikostyring. I de tilfeller hvor standarder kun omhandler deler av dette arbeidet, vil det vurderes om det er hensiktsmessig at disse brukes sammen med andre metoder eller rammeverk.

Hvorfor er dette viktig?

Virksomheter som håndterer informasjon vil være sårbar overfor ukontrollert spredning av sine data. Dette vil gjelde spesielt for informasjon som har særlige beskyttelsesbehov. Identifisering og vurdering av risiko vil avdekke hvilke trusler som er størst og påvise behov for tiltak. Ved en mer enhetlig forståelse av hva som forventes av den enkelte virksomhet på risikostyring vil man også lette kommunikasjonen og bidra til økt samhandling innen offentlig sektor. Flere regelverk stiller krav om risikovurderinger, og forutsetter risikostyring. Risikostyring etter standarder som kartlegges her antas å kunne ivareta kravene i regelverket.

Flere organisasjoner arbeider med standardisering innen risikostyring. Disse standardene bidrar til å øke forståelsen av hva som kreves ved gjennomføringen av slikt arbeid. Det har likevel vist seg at antallet ulike metodeverk gjør det vanskelig å vite hvilken som er best egnet for den enkelte virksomhet. Denne utredningen forøker å rydde opp i dette ved å vurdere ulike standarder, da for å synliggjøre deres styrker og svakheter i forhold til kartlagt behov.

Hvilke offentlige virksomheter gjelder området/problemstillingen for?

Dette gjelder for alle offentlige virksomheter som har behov for risikostyring av informasjonssikkerhet. Noen vil ha behov for risikostyring av store komplekse informasjonssystemer mens andre kan klare seg med mindre omfattende analyser. Denne utredningen behandler derfor standarder som baserer seg på metoder for både store og små virksomheter.

Følg saksgangen her:

Standardiseringsrådets behandling av standarder for risikostyring av informasjonssikkerhet

Standarder for risikostyring V1.0

Standarder for risikostyring V0.6

Standarder for risikostyring V0.5

Deldette