Oppsummering - NIFS 16. desember 2015 - Hvordan velge de rette sikkerhetstiltakene

Oversiktsbilde av møtelokalet som viser deltakerne i møtet

Seksjon for informasjonssikkerhet arrangerte NIFS-møte den 16. desember. Tema for møtet var «Internkontroll i praksis – fra risikovurdering til risikohåndtering. Hvordan velge de rette sikkerhetstiltakene?»

Publisert: 21. jan 2016, Sist endret: 28. mar 2017

Fungerende seksjonsleder Caroline Ringstad Schultz innledet møtet med en kort presentasjon av arbeidet i Seksjon for informasjonssikkerhet. Hun sa litt om arbeidet som er gjort siden forrige NIFS-møte, og hva seksjonen arbeider med fremover.

Hun gikk også gjennom møtedatoene for NIFS i 2016. Deltakerne ble oppfordret til å komme med innspill til temaer.

Håkon Styri informerte så om invitasjon til å delta i en arbeidsgruppe for å planlegge øvelsen som skal gjennomføres på NIFS-møtet i slutten av april.

Deretter presenterte Katrine Aam Svendsen Difis veileder «Internkontroll i praksis – informasjonssikkerhet». Betaversjon 7.0 ble publisert samme dag, med enkelte oppdateringer og noen nye verktøy. Resten av møtet handlet om denne veiledningen.

Pragmatisk risikohåndtering

Remi Longva snakket om hvordan man kan organisere og koordinere sikkerhetstiltak i en virksomhet. Her presenterte han begrepene sikkerhetsnivå, grunnsikring, tilleggssikring og tiltaksleverandør, og prosessen Difi anbefaler for å etablere grunnsikringen i en virksomhet. Han snakket også om tiltaksstyrke, og hvordan man kan tilrettelegge en oversikt over ulike sikkerhetstiltak i en virksomhet. I den forbindelse presenterte han eksempelet «Oversikt over sikkerhetstiltak» fra veiledningsmateriellet.

Deltakerne diskuterte så i grupper rundt bordene hvordan de jobbet med å ha oversikt over sikkerhetstiltak i sine virksomheter, og hvordan Difis tilnærming kunne hjelpe dem videre.

Foranalyse

Etter lunsj presenterte Jan Sørgård delaktiviteten Foranalyse, som er en delaktivitet under Risikovurdering. Han sa først litt om hvordan arbeidet som gjøres under etableringsaktivitetene støtter det arbeidet som gjøres senere. Han gikk så inn på hva foranalysen dreier seg om, og hvordan Difis støtteverktøy kan brukes i prosessen.

Deltakerne fikk prøve ut støtteverktøyet. De hadde i forkant av møtet fått tilsendt en versjon der noe informasjon allerede var fylt ut, og de skulle arbeide videre som «ledergruppen i sosialseksjonen hos Fylkesmannen i midtlandet».

Det var ulike tilbakemeldinger i etterkant av gruppearbeidet. Flere syntes at det kunne være et nyttig verktøy, for å strukturere arbeidet eller bruke som fasilitering, det ga tips om hva man skal tenke på. Andre følte at verktøyet var litt komplisert, og at det kan bli for detaljert. Det er viktig å presisere at verktøyet skal kunne tilpasses den enkelte virksomhets behov.

Hvordan beskrive risiko?

Katrine presenterte så hvordan Difi anbefaler at man uttrykker risiko. Vi anbefaler at man bruker en tredelt risikobeskrivelse, og så knytter en risikostørrelse til den eller de mest vesentlige konsekvenskategoriene.

Gruppene fikk så noen minutter til å diskutere om dette kan gjøre det lettere å få til gode beskrivelser av informasjonssikkerhetsrisikoer. Noen kommentarer var at dette kan hjelpe i å avgrense risikovurderinger, og at det er viktig å avveie hvordan risikoen beskrives – blir beskrivelsene for vide er det vanskelig å få aksept for tiltak, mens om de blir for spisset kan arbeidsomfanget bli for stort.

Foreslå håndtering av risikoer

Siste punkt på agendaen var Difis metode for å foreslå håndtering av risikoer. Her gikk Katrine gjennom de åtte stegene i metoden, og viste hvordan Difis mal for et risikohåndteringsskjema kan brukes som støtte i prosessen, for å dokumentere vurderingene som gjøres.

Gruppene fikk så benytte skjemaet i arbeidet med å identifisere aktuelle tiltak, vurdere risikoreduserende effekt, kostnad og uheldige sideeffekter og velge håndtering for en gitt risiko. Tilbakemeldingen var hovedsakelig at dette var en grei måte å systematisere på, for å dokumentere at man har vurdert og valgt eller valgt bort tiltak.

Avslutning

Dagen ble avsluttet med at det ble informert om videre arbeid med «Internkontroll i praksis – informasjonssikkerhet», pilotvirksomhet og kursing.

Vi ønsker velkommen til neste møte, som arrangeres 8. februar. Tema på dette møtet vil være hendelsesbeskrivelser av uønskede hendelser. 

Deldette

Kontakt