Netpower Kvalitet som styringssystem for informasjonssikkerhet

Netpower Kvalitet er et fullverdig kvalitetsstyringssystem med funksjonalitet for styringsprosesser, dokumentasjon, risikovurdering, revisjon med mer. Systemet dekker også kravene til et virksomhetsomfattende styringssystem for informasjonssikkerhet (ISMS).

Det betyr at virksomheter kan bruke Netpower Kvalitet til å etablere, følge opp og dokumentere informasjonssikkerhet på en strukturert og oversiktlig måte, uten ekstra programvare eller separate ISMS-verktøy.

Ferdig ISMS-pakke for Netpower Kvalitet

Denne artikkelen forklarer hvordan du kan bruke Netpower Kvalitet til å etablere og forvalte et komplett ISMS. Vi går gjennom relevante funksjoner i systemet, og beskriver hva som følger med av ferdige maler, hjelpedokumentasjon og verktøy i ISMS‑pakken vår.

Les mer om innholdet i ISMS-pakken

Netpower Kvalitet: Et helhetlig ISMS-verktøy

styringssystem informasjonssikkerhet

Netpower Kvalitet støtter hele livssyklusen for informasjonssikkerhetsarbeid, fra etablering til kontinuerlig forbedring, og passer både for virksomheter som ønsker å sertifiseres etter ISO 27001 og for de som ønsker et strukturert ISMS uten formell sertifisering.

Systemet gir deg verktøyene du trenger for å:

Etablere ISMS: Få tilgang til ferdige prosedyrer, policyer og prosessmodeller som kan tilpasses din virksomhet.

Planlegge og følge opp: Bruk årshjul-funksjonalitet til å planlegge aktiviteter og oppgaver, tildele ansvar og sikre at oppgaver gjennomføres og dokumenteres.

Vurdere risiko: Risikomodulen gir oversikt og kontroll, og gjør det enkelt å følge opp tiltak.

Håndtere personvern: DPIA-prosessen støtter vurdering av behandlinger med høy risiko, og kobles til risikovurdering og tiltak.

Sikre samsvar: Samsvarsmodulen hjelper deg å dokumentere at krav fra lov, standarder og kunder overholdes.

Dokumentere behandling: Behandlingsprotokollen gir oversikt over virksomhetens behandlinger av personopplysninger, og fungerer som en integrert del av ISMS.

Hva er et ISMS?

Og hvorfor er det et viktig system for virksomheten? Les mer her.

Et styringssystem for informasjonssikkerhet (ISMS) er et rammeverk som hjelper virksomheter å beskytte informasjon systematisk. Det gir struktur for hvordan man identifiserer risikoer, setter inn tiltak, dokumenterer sikkerhetstiltak og følger opp over tid.

Hovedmål med ISMS:

  • Informasjon skal alltid være konfidensiell, korrekt og tilgjengelig for de som trenger den
  • Overholdelse av lovkrav, standarder og interne retningslinjer

På samme måte som et kvalitetsstyringssystem (QMS), kombinerer et ISMS prosesser, rutiner, retningslinjer og dokumentasjon for å gi virksomheten et tydelig rammeverk.

Et ISMS gjør det mulig å:

  • Vurdere og håndtere risikoer knyttet til informasjon
  • Sikre at tiltak følges opp og dokumenteres
  • Tydeliggjøre roller og ansvar for sikkerhet
  • Dokumentere samsvar med standarder og lovkrav
  • Kontinuerlig forbedre informasjonssikkerheten

Ved å bruke Netpower Kvalitet som ISMS får virksomheten alle nødvendige verktøy samlet på ett sted – fra dokumentkontroll og risikovurdering til sjekklister, prosesser og revisjon – slik at implementering og oppfølging blir oversiktlig og helhetlig.

Et ISMS gir ledelsen et systematisk rammeverk for å dokumentere og følge opp at virksomheten overholder lovkrav, forskrifter og både interne og eksterne krav knyttet til informasjonssikkerhet og personvern.

Hovedårsaker til å ha et ISMS:

  • Lov- og regelverk: Et ISMS gjør det mulig å dokumentere at virksomheten følger gjeldende lover og forskrifter, som personopplysningsloven / GDPR og NIS2-direktivet for kritisk infrastruktur, eller sektor-spesifikke krav.
  • Standarder og sertifiseringer: ISO 27001 og andre internasjonale standarder setter krav til styring av informasjonssikkerhet, og et ISMS gir et dokumentert grunnlag for etterlevelse og eventuelle sertifiseringer.
  • Forventninger fra kunder: Flere kunder krever at leverandører har systematisk styring av informasjonssikkerhet, og et ISMS gir dokumentasjon på dette.
  • Risiko- og sårbarhetshåndtering: Systemet gjør det mulig å identifisere og håndtere risikoer knyttet til informasjon, samtidig som oppfølging og kontroll dokumenteres.
  • Kontinuerlig forbedring: Ved å etablere et systematisk rammeverk kan virksomheten følge opp tiltak, dokumentere resultat og stadig forbedre sikkerhetsnivået.

Med et ISMS kan man dokumentere at virksomheten tar informasjonssikkerhet på alvor, både overfor myndigheter og kunder.

En prosessorientert tilnærming til ISMS

Netpower Kvalitet støtter en prosessorientert tilnærming til styring, noe som betyr at informasjonssikkerhetsarbeidet organiseres rundt prosesser fremfor funksjoner eller avdelinger.

Informasjonssikkerhetsarbeidet etableres som et eget prosessområde hvor både hovedprosesser og underprosesser er modellert. Dette gjør det lettere å se helheten i arbeidet og hvor ansvaret ligger.

Dokumentasjon kobles til prosessene

All dokumentasjon (prosedyrer, veiledere, instrukser, maler med mer) kobles til relevante aktiviteter i prosessen, og ligger også logisk organisert i et eget mappeområde for informasjonssikkerhet. Brukerne kan navigere via prosessene eller mappestrukturen. Alle dokumenter har full versjonskontroll, og både dokumenter og prosesser kan styres med rollebasert tilgang, slik at kun autoriserte brukere ser relevant innhold.

information security management system

Årshjul for informasjonssikkerhetsarbeidet

Netpower Kvalitet støtter en prosessorientert tilnærming til styring, noe som betyr at informasjonssikkerhetsarbeidet organiseres rundt prosesser fremfor funksjoner eller avdelinger.

Informasjonssikkerhetsarbeidet etableres som et eget prosessområde hvor både hovedprosesser og underprosesser er modellert. Dette gjør det lettere å se helheten i arbeidet og hvor ansvaret ligger.

Årshjul for etablering av ISMS

Årshjulet for etablering av ISMS hjelper deg med å gjennomføre oppstartsarbeidet på en strukturert måte, slik at ISMS etableres korrekt fra starten.

Innhold:

    • 12-måneders strukturert plan
    • Aktiviteter med tydelige hjelpetekster og oppgaver
    • Grønn status vises når oppgaver er gjennomført

Eksempler på aktiviteter gjennom året:

    • Januar: Kartlegge eksisterende sikkerhetsarbeid
    • Mai: Gjennomføre risikovurdering
    • Juli: Etablere kontrolltiltak og sikkerhetsrutiner
    • Desember: Fullføre og publisere ISMS
årshjul for etablering av styringssystem for informasjonssikkerhet

Årshjul for kontinuerlig forbedring

Etter at ISMS er etablert skal systemet holdes levende. Dette årshjulet gir en mal for årlig vedlikehold, oppfølging og forbedring.

Aktiviteter inkluderer:

    • Revisjon av tidligere risikovurderinger
    • Internrevisjon og ledelsens gjennomgang
    • Opplæring og bevisstgjøring
    • Kontroll av behandlingsprotokoll og DPIA-behov

Ferdige dokumentmaler for ISMS

Netpower Kvalitet kan leveres med et komplett malsett for ISMS som gir virksomheten et solid utgangspunkt for å dokumentere og følge opp informasjonssikkerhet. Malene er laget for å kunne tilpasses den enkelte virksomhet, samtidig som de sikrer at alle nødvendige elementer er på plass.

Malsettet dekker:

    • ISMS-policy
    • Alle nødvendige prosedyrer, som hendelseshåndtering, tilgangsstyring og drift
    • DPIA-prosedyre og maler
    • Revisjonsplan og revisjonsrapport
    • Ledelsens gjennomgang

Dokumentmalene har:

    • Feltlister med hjelpetekst som veileder brukeren
    • Etablerte innholdsmaler som kan hentes inn i dokumentene der det er relevant

DPIA-støtte i Netpower Kvalitet

En DPIA (Data Protection Impact Assessment) er en konsekvensvurdering av hvordan en behandling av personopplysninger kan påvirke enkeltpersoners rettigheter og friheter. Gjennomføring av DPIA er påkrevd når behandlingen kan medføre høy risiko for de registrerte.

Netpower Kvalitet støtter hele DPIA-prosessen ved å kombinere sjekklister, dokumentmaler og risikovurdering.

Slik støtter systemet DPIA-arbeidet:

    • Sjekkliste for vurdering av DPIA-behov
    • Veileder for vurdering i tråd med Datatilsynet
    • Risikoanalysemal for gjennomføring av DPIA
    • Bestillingsfunksjon for
    • Hendelsesregister for personvernrisiko
    • Egne konsekvensområder for personvernrettigheter, konfidensialitet, tilgjengelighet, integritet, omdømme, lovkrav og forskrifter

Bestilling av risikoanalyse

I Netpower Kvalitet kan brukere sende en bestilling om risikoanalyse direkte i systemet. Dette gjør det mulig for personvernansvarlig, informasjonssikkerhetsansvarlig eller andre relevante roller å få varsel om at en analyse av et system eller en prosess må gjennomføres. Funksjonen sikrer tydelig ansvar og effektiv oppfølging, uten at alle som jobber med DPIA eller prosesser trenger å gjennomføre selve analysen.

DPIA-dokumentmal

Når en DPIA er gjennomført, kan resultatene dokumenteres i en egen DPIA-mal i Netpower Kvalitet. Malen hjelper deg å systematisk oppsummere formål, behandlingsaktivitet, vurdert risiko, tiltak og konklusjon. Innebygde hjelpetekster og en tydelig struktur sikrer at alle relevante elementer dekkes, også for brukere uten spesialkompetanse innen personvern.

Dokumentet kan kobles direkte til behandlingsprotokollen, og fungerer som virksomhetens dokumenterte bevis på at vurderingen er gjennomført i tråd med GDPR artikkel 35. DPIA-dokumentasjonen kan benyttes i ledelsens gjennomgang, interne kontroller eller eksterne revisjoner, og sikrer både sporbarhet og etterlevelse.

dokumentmal for oppsummering av gjennomført DPIA

Systematisk risikoarbeid for informasjonssikkerhet

Netpower Kvalitet tilbyr et verktøy som dekker hele risikoarbeidet, fra planlegging til oppfølging:

  • Planlegging
  • Risikoanalyse
  • Risikoevaluering
  • Risikostyring

I løsningen legges informasjonssikkerhet inn som et eget risikoområde. Analysen leveres med en ferdig konfigurert mal som inkluderer relevante konsekvensområder, akseptansenivåer og forhåndsdefinerte hendelser som skal vurderes. Det forhåndsdefinerte hendelsesregisteret effektiviserer arbeidet for analysegruppen, slik at de kan fokusere på vurdering og prioritering av risiko fremfor å starte fra blanke ark når mulige trusler skal identifiseres.

Alle steg og felter i analysen har rikelig med hjelpetekster som guider brukeren gjennom prosessen. Hjelpetekstene kan også tilpasses virksomheten, og konsekvensnivåene er beskrevet med forklarende tekster for å støtte vurderingene.

Malen for risikoanalysen støtter:

  • Forhåndsdefinerte hendelser, årsaker og tiltak
  • Flere konsekvensområder, inkludert KIT + personvernrettigheter
DPIA informasjonssikkerhet

Visuell og dynamisk oversikt over risikobildet

Netpower Kvalitet gir en visuell fremstilling av risikobildet gjennom både risikomatriser og tabellvisninger. Dette gjør det enkelt å forstå og kommunisere hvilke trusler som er vurdert som mest kritiske, og hvilke tiltak som er iverksatt.

I tillegg tilbyr løsningen en dynamisk risikorapport hvor man kan filtrere på risikoområder, ansvarlige, avdelinger og andre parametere. Dette gir virksomheten et nåtidsspeil av det faktiske risikobildet, basert på hvilke analyser som er gjennomført og vurdert.

Rapporten gjør det mulig å:

    • Se samlet risiko innenfor områder som informasjonssikkerhet, personvern eller IKT-drift
    • Identifisere risikoer som mangler tiltak eller har høy restusikkerhet
    • Gi ledelsen en oppdatert og dokumentert oversikt over virksomhetens risikoprofil

Dette støtter systematisk oppfølging, gjør revisjoner enklere og sikrer at risikoarbeidet er forankret og synliggjort på tvers av organisasjonen.

Risikostyring med tiltak og handlingsplan

Når risikoanalysen er gjennomført, utarbeides en tiltaksplan for å redusere risikoen knyttet til informasjonssikkerhet. Tiltaksplanen danner grunnlaget for risikostyringen, hvor risikoeier tar ansvar for oppfølgingen. I Netpower Kvalitet kan alt dette håndteres direkte i løsningen, og oppgaver som skal utføres kan tildeles fra verktøyet.

I styringsfasen kan risikoeier:

  • Prioritere tiltak for iverksetting
  • Akseptere restrisiko
  • Delegere ansvar for gjennomføring av tiltak
  • Sette frister for tiltak og oppfølging
  • Registrere kostnader knyttet til implementering
  • Følge status og fremdrift for hvert tiltak

Risikostyringen avsluttes når risikoeier har vurdert effekten av iverksatte tiltak, kvittert ut restrisiko og formulert en endelig konklusjon for arbeidet.

Samsvarsregister

Et samsvarsregister er en oversikt over krav fra lovverk, standarder og interne retningslinjer, koblet til relevant dokumentasjon i styringssystemet. I Netpower Kvalitet er samsvarsregisteret en av mange tilgjengelige funksjoner som hjelper virksomheten med å holde oversikt og sikre etterlevelse.

For ISO 27001 Annex A er alle 93 kontroller ferdig registrert i systemet. Hver kontroll har en forklaring på hva den innebærer, og statusfelt som viser om kravet er oppfylt eller ikke. Dette gjør det enkelt å bruke registeret i revisjoner, gap-analyser og forbedringsarbeid.

Et ferdig malsett for GDPR-artikkelregister kan også utarbeides som en del av leveransen.

samsvarsregister ISO 27001 Annex A

Behandlingsprotokoll og GDPR

Netpower Kvalitet tilbyr en tabellbasert dokumentmal for behandlingsprotokoll som følger kravene i GDPR artikkel 30 og norsk personopplysningslov. Malen inkluderer felter for behandlingsgrunnlag, typer personopplysninger, lagring, sikkerhetstiltak og andre relevante opplysninger. Dokumentasjonen kan også lenkes til tilknyttede DPIA-er og samsvarsvurderinger, slik at virksomheten enkelt får oversikt over alle koblinger mellom behandlinger, risiko og lovkrav.

Oppfølging og versjonskontroll

Som en del av arbeidet med behandlingsprotokollen støtter Netpower Kvalitet også kontroll av protokollen gjennom årshjulet for kontinuerlig forbedring. Versjonsstyring og tilgjengelighet av behandlingsprotokoll håndteres direkte i dokumentmodulen, slik at alle endringer og oppdateringer enkelt kan følges opp.

Tilgjengeliggjøring og deling av dokumentasjon

informasjonssikkerhet på arbeidsplassen

Netpower Kvalitet støtter publisering av utvalgte dokumenter på interne eller åpne portaler. Dette gjør at ansatte, kunder og samarbeidspartnere kan få tilgang til relevant informasjon uten å måtte navigere i hele systemet.

Dette bidrar til samsvar ved at alle relevante parter alltid har tilgang til korrekt og oppdatert dokumentasjon. På denne måten støttes krav til etterlevelse, opplæring og internkontroll, samtidig som viktige prosesser og rutiner blir transparente for alle som trenger dem.

ISMS-pakke for Netpower Kvalitet

Ferdig installert og klart til bruk

Vår ISMS-pakke leveres ferdig konfigurert og installert på kundens egen Netpower Kvalitet-installasjon. Hver pakke gir virksomheten alt som trengs for å etablere, dokumentere og følge opp et informasjonssikkerhetsstyringssystem i tråd med ISO 27001 og GDPR:

  • ISMS-dokumentasjon: prosedyrer, policyer og prosessmodeller
  • Årshjul for etablering
  • Årshjul for kontinuerlig forbedring
  • Risikoanalysemaler for informasjonssikkerhet
  • DPIA-støtte med sjekklister, veiledere og risikomaler
  • Samsvarsregister for ISO 27001 og mulighet for GDPR-artikkelregister
  • Dokumentmal for behandlingsprotokoll
  • Full versjonskontroll og rollebasert tilgang for all dokumentasjon

Pakkene er klare til bruk fra dag én, men kan tilpasses virksomhetens behov og eksisterende prosesser.

Kontakt oss for demonstrasjon og pris.

Kontaktperson for ISMS-spørsmål

Morten Hjelle, CEO i Netpower, er vårt kontaktpunkt for virksomheter som ønsker å diskutere hvordan Netpower Kvalitet kan brukes for å etterleve lovkrav, standarder og styringsprinsipper – både innen informasjonssikkerhet og andre områder.

Morten Hjelle
CEO Netpower

992 97 090, morten.hjelle@netpower.no

Vil du vite mer?

Vil du vite mer om Netpower Kvalitet? Fyll ut kontaktskjemaet eller send en e-post til vårt salgsteam på salg@netpower.no.

Du kan også ringe oss på 51 95 80 00.

Les mer om Netpower Kvalitet