Miniveileder om oppfølging av informasjonssikkerhet i styringsdialogen

Om veilederen

Denne veilederen gir en innføring i informasjonssikkerhet i underliggende virksomheter og viser hvordan departementet kan følge opp informasjonssikkerheten i styringsdialogen. Den kan derfor være nyttig både for deg som er etatsstyrer, og for deg som er ansvarlig for informasjonssikkerheten i en virksomhet.

Hvem bør lese denne veilederen?

Du bør lese denne miniveilederen hvis du

  • er etatsstyrer som skal ivareta departementets overordnede ansvar for oppfølgingen av informasjonssikkerhet i en underliggende etat, for eksempel forberede et etatsstyringsmøte
  • lurer på hvordan informasjonssikkerhet bør følges opp, og hvordan temaet bør behandles som en integrert del av virksomhetsstyringen i en underliggende virksomhet
  • er leder eller ansvarlig for arbeidet med informasjonssikkerhet i en virksomhet og skal ha dialog med departementet om dette

Hva kan du bruke veilederen til?

Miniveilederen er en hjelp for å få en god innretning på styringsdialogen om informasjonssikkerhet. Vi har laget et dialogverktøy som kan være til støtte og hjelp, og som tar hensyn til at behovene varierer:

  • Behovet for å følge opp informasjonssikkerhet i styringsdialogen kan variere fra departement til departement og fra virksomhet til virksomhet. Behovet kan også variere over tid.
  • Dialogen om informasjonssikkerhet må tilpasses det enkelte departementet og til virksomheten. Størrelsen på virksomheten og typen samfunnsoppdrag er med på å avgjøre hvordan oppfølgingen av informasjonssikkerhet bør organiseres. Risiko- og vesentlighetsvurderinger er med på å bestemme hvor mye vekt informasjonssikkerhet skal ha i styringsdialogen.
Hva og hvorfor er det viktig?

Risikostyring av informasjonssikkerhet

For å løse sine oppgaver og nå sine mål må en virksomhet styre risiko knyttet til gjennomføring av oppgaver og leveranse av tjenester, dette inkluderer å vurdere og håndtere risiko, og følge opp arbeidet. Risikostyring skal derfor være innlemmet i styringen av alle statlige virksomheter. Les mer om risikostyring

Ettersom informasjonsbehandling både er en kjerneoppgave og en sentral støttefunksjon, er arbeidet med informasjonssikkerheten en viktig del av denne risikostyringen. Arbeidet med informasjonssikkerhet skal understøtte kjerneprosessene og bidra til at virksomheten når sine mål.

Sikre informasjonsbehandling

Informasjon behandles i et samspill mellom mennesker, prosesser og teknologi. Informasjonssikkerhet handler om å sikre denne informasjonsbehandlingen. Det inkluderer å sikre informasjon i alle former og informasjonssystemene som benyttes, inkludert digitale tjenester, IKT-systemer og komponentene som inngår i IKT-systemer. Det handler også om å tilrettelegge arbeidsoppgavene (prosessene) slik at det er enkelt å utføre oppgavene med god sikkerhet. Informasjonssikkerhet handler dessuten om kompetanse og kultur i virksomheten.

Informasjonssikkerhet kan forstås som beskyttelse av

  • IKT-systemer
  • samvirke mellom systemer
  • tjenestene som leveres av systemene
  • rutinene og kulturen til dem som bruker systemene
  • informasjonen som behandles i systemene

Konfidensialitet, integritet og tilgjengelighet

En virksomhet har i oppgave å sikre å sikre konfidensialitet, integritet og tilgjengelighet. Målet å sørge for

  • konfidensialitet , det vil si sikre at informasjonen ikke blir kjent for uvedkommende
  • integritet , det vil si sikre at informasjonen ikke blir endret utilsiktet av uvedkommende
  • tilgjengelighet , det vil si sikre at informasjonen er tilgjengelig ved behov

Hvorfor jobbe med informasjonssikkerhet?

Brudd på informasjonssikkerheten kan gi alvorlige følger for innbyggere, andre virksomheter og samfunnet, og det kan få konsekvenser for virksomhetens økonomi og om den er i stand til å yte tjenester. En virksomhet har derfor behov for å jobbe helhetlig og systematisk med temaet over tid, og departementet har behov for å vite at virksomheten jobber helhetlig og systematisk med dette. 

Figuren under illustrerer hvorfor offentlige virksomheter jobber med informasjonssikkerhet:

  • for å ivareta samfunnets behov
  • for å ivareta virksomheters behov
  • for å ivareta innbyggernes behov
  • for å overholde lover og regler
  • for å nå sine egne mål og resultater
  • for at rapportering skal være pålitelig
Figuren viser hvorfor virksomheter jobber med informasjonssikkerhet i offentlig forvaltning.

Følger av utilstrekkelig informasjonssikkerhet

Informasjonsbehandling og digitale verktøy blir stadig mer uunnværlige i all oppgaveløsning og for alle samfunnsfunksjoner. Dermed øker betydningen av god informasjonssikkerhet. Utilstrekkelig informasjonssikkerhet kan gi en rekke negative følger for virksomhetens måloppnåelse og resultater, noe som igjen gir konsekvenser for innbyggere og andre virksomheter. Det kan for eksempel medføre

  • feil beslutninger
  • brudd på rettigheter og rettssikkerhet
  • omdømmetap og økonomiske tap for innbyggere, næringsliv, virksomheten og departementet
  • ødeleggende livssituasjon for brukere og innbyggere
  • effektivitetstap for virksomheten selv og andre
  • tap av liv og helse

Forståelsen av risiko ligger i hvilke konsekvenser informasjonssikkerhetsbrudd kan få for virksomhetens oppgaver og tjenester – og hvilke konsekvenser dette kan føre til for

  • virksomhetens måloppnåelse, resultater og økonomi
  • innbyggere, andre virksomheter og samfunnet

Bruk av IKT og digitale tjenester inngår i dag i stort sett all oppgaveløsning, derfor er digital sikkerhet en viktig del av arbeidet med informasjonssikkerhet. For ledelsen i virksomhetene handler det om å styre risikoen for de aktivitetene som er avhengige av de digitale miljøene.

Hvordan bør virksomheten arbeide med styring og kontroll av informasjonssikkerhet?

Systematiske aktiviteter

For å være i stand til å ha styring og kontroll etablerer virksomhetsledelsen et «system» – det vil si et sett av systematiske aktiviteter som gjennomføres rundt omkring i virksomheten, med tilhørende roller, ansvar og myndighet. En rekke regelverk stiller krav til slik systematikk i det ledelsesstyrte arbeidet.

Figur som viser de syv områdene med systematiske aktiviteter i Digitaliseringsdirektoratets modell for internkontroll med informasjonssikkerhet.

Ledelsens styring og oppfølging

«Ledelsens styring og oppfølging», til venstre i figuren over, er et viktig område med flere systematiske aktiviteter, blant annet noe som kalles «virksomhetsledelsens gjennomgang». I en virksomhet med god styring og kontroll har ledelsen mye kunnskap om risiko og kjenner til status og modenhet på eget arbeid. Dette kan danne grunnlaget for rapportering av den styringsinformasjonen som departementet har behov for, som illustrert i figuren under.

Illustrasjon av «virksomhetsledelsens gjennomgang», en av de systematiske aktivitetene i «Ledelsens styring og oppfølging».

Helhetlig styring og kontroll

Bare med en helhetlig tilnærming er det mulig å svare på om vi jobber med de riktige tingene og på den rette måten. Ulike regelverk retter seg ofte mot forskjellige deler av informasjonssikkerhetsarbeidet i en virksomhet, for eksempel ulike kilder til risiko eller uønskede konsekvenser.

En virksomhet har behov for styring og kontroll på en rekke forskjellige områder, for eksempel

  • virksomhetsstyring (økonomiregelverket)
  • økonomistyring (økonomiregelverket)
  • HMS (arbeidsmiljøloven)
  • personvern (personvernforordningen)
  • nasjonale sikkerhetsinteresser (sikkerhetsloven)

Styring og kontroll omfatter også informasjonsbehandling og IKT. Aktivitetene for styring og kontroll vil være ganske like for alle områder, og dere bør tilstrebe mest mulig helhetlig styring. Legg vekt på virksomhetens virksomhetsstyring, og se de andre områdene som en integrert del av denne styringen.

Skjematisk framstilling av sammenhengen mellom virksomhetsstyring, risikostyring og informasjonssikkerhet. I den innerste sirkelen kunne vært andre områder som en virksomhetsstyring også må integrere i virksomhetsstyringen sin, for eksempel HMS, personvern o.l.

Hvilke krav gjelder på området?

Lover og forskrifter

Flere lover og forskrifter regulerer informasjonssikkerhet, direkte eller indirekte. Det er en fordel å se disse i sammenheng for å få en oversikt over hvilke krav som stilles til offentlige virksomheter. Virksomheten skal ivareta en helhetlig styring i tråd med økonomiregelverket. Det er flere andre regelverk som regulerer deler av helheten. 

Dette er de viktigste regelverkene som gjelder på tvers av sektorer:

  • Økonomiregelverket
  • eForvaltningsforskriften
  • Arkivloven
  • Sikkerhetsloven
  • Personopplysningsloven

Krav til informasjonssikkerhet

Det er flere tverrsektorielle lover som stiller krav til virksomhetenes arbeid med informasjonssikkerhet: Økonomiregelverket stiller krav til hele virksomhetens virke og i tillegg spesifikt til økonomisystemer, eForvaltningsforskriften til arbeidet med informasjonssikkerhet, arkivloven til de delene av virksomhetens arbeid som omhandler arkiv, sikkerhetsloven til de delene hvor sikkerhetsbrudd kan få konsekvenser for nasjonale sikkerhetsinteresser, og personopplysningsloven til beskyttelse av personopplysninger.

Det er en fordel å se disse regelverkene i sammenheng, selv om de regulerer ulike deler av virksomhetenes arbeid med informasjonssikkerhet. Vi gjør nærmere rede for det mest sentrale tverrsektorielle lovverket på området under kapittelet om verktøy og utdyping av krav i regelverk

For en gjennomgang av alle tverrsektorielle lover, se NOU 2018: 14 IKT-sikkerhet i alle ledd, vedlegg 1.

Oppfølging av informasjonssikkerhet

Hvordan bør informasjonssikkerhet følges opp i styringsdialogen?

Informasjonssikkerhet er et av mange områder etatsstyrer må følge opp i dialog med underliggende virksomhet. Dialogens form og innhold skal, på samme måte som annen etatsstyring, tilpasses egenart, risiko og vesentlighet.

Dialogen om informasjonssikkerhet bør inngå i den ordinære styringsdialogen. Det vil si at den bør inkluderes i instruksen, tildelingsbrevet, årsrapporten og etatsstyringsmøtene.

Eksempler på hvordan vi kan bruke de ulike arenaene:

  • årsrapport: omtale informasjonssikkerhet som en del av statusrapporten for styring og kontroll i del IV, se veiledning om årsrapport
  • tildelingsbrev: fastsette føringer for informasjonssikkerhet eller spesifikke rapporteringskrav
  • etatsstyringsmøter: utdype krav og rapporteringspunkter
  • instruks: sette generelle krav til styring og kontroll og sette eventuelle utdypende krav til informasjonssikkerhet

På regjeringen.no finner du eksempler på hvordan andre har gjort dette i tildelingsbrev, instrukser og årsrapporter.

Hvordan bør etatsstyrer gå fram?

Oppfølging på riktig nivå 

Generelt bør departementet basere sin oppfølging av informasjonssikkerhet på virksomhetens egne styrings- og kontrollsystemer. Ved å vurdere virksomhetens risikovurderinger og internkontrollsystem kan etatsstyreren danne seg et bilde og få tillit til den underliggende virksomhetens arbeid med informasjonssikkerhet. 

Det kan også være aktuelt at departementet som forberedelser til styringsdialogen gjør egne risikovurderinger basert på sin kjennskap til virksomhetens egenart. Disse vurderingene kan være grunnlag for dialogen.

Formålet er å sikre departementet tilstrekkelig innsikt i virksomhetens systematiske arbeid på området. På den måten etableres en tillit til at virksomhetslederen følger opp og har aktiviteter for styring og kontroll der informasjonssikkerhet er en del av den helhetlige virksomhetsstyringen.

En etatsstyrer skal ikke ha kontroll på alt arbeidet med informasjonssikkerhet i underliggende virksomhet, men forsikre seg om at virksomheten har kontroll. Dialogverktøyet kan hjelpe med dette. Utgangspunktet er virksomhetens systemer for internkontroll og risikovurderinger. Etatsstyrer må vurdere i hvilken grad arbeidet med informasjonssikkerhet er godt integrert i disse.

Særskilt oppfølging og dialog

I gjennomgangen av virksomhetens styring og kontroll kan etatsstyrer enkelte ganger avdekke at det er behov for å gå dypere inn i virksomhetens arbeid og følge opp enkelte forhold spesielt.

I noen tilfeller kan det oppstå behov for en særskilt oppfølging eller en tettere og mer detaljert dialog om informasjonssikkerhet, for eksempel i fagmøter eller i kvartals- og tertialrapportering. Det kan benyttes for å få fram status for pågående tiltak eller prosjekter. Eksempler på slike tilfeller kan være

  • store eller spesielt viktige digitaliseringsprosjekter
  • virksomheter med lav modenhet på styring og kontroll eller kjennskap til vesentlige mangler eller svakheter
  • avvik og merknader fra Riksrevisjonen, Nasjonal sikkerhetsmyndighet eller sektortilsyn
  • sektorregelverk, for eksempel kraftberedskapsforskriften og ekomloven
  • alvorlige hendelser

Kompetanse om informasjonssikkerhet

Egenart og risiko- og vesentlighetsvurderingene kan også ha betydning for hvilken kompetanse departementene og virksomheten selv bør sitte inne med på området.

Dialogverktøyet gir mer informasjon om hvilke forhold det er aktuelt å vurdere i en grundigere gjennomgang av informasjonssikkerheten i virksomheten. Jo dypere du graver i virksomhetens arbeid med informasjonssikkerhet, desto større blir behovet for spesialkompetanse. Det vil da være naturlig at etatsstyrer støtter seg på og samarbeider med dem som har spesialkompetanse på området.

Aktiviteter og tiltak

For å få informasjonssikkerheten opp på et tilstrekkelig nivå må en virksomhet arbeide på ulike områder og iverksette ulike aktiviteter og tiltak.

Noen eksempler på aktiviteter og tiltak:

  • gjøre overordnende vurderinger av risiko, status og utfordringer
  • arbeide med styring og kontroll basert på gjeldende anbefalinger (for eksempel benytte Digitaliseringsdirektoratets veiledning og basere seg på internasjonal standard ISO/IEC 27001)
  • gjennomføre systematiske aktiviteter for styring og kontroll
  • etablere og forvalte sikkerhetstiltak (for eksempel basert på Nasjonal sikkerhetsmyndighets grunnprinsipper for IKT-sikkerhet og andre tiltaksbanker)
  • å sjekke at relevante regelverk blir fulgt

Som etatsstyrer kan du undersøke hvordan virksomhetene arbeider med aktivitetene og områdene i punktlisten over. Når det gjelder de to første punktene, kan du sette deg inn i virksomhetenes arbeid ved hjelp av dialogverktøyet og andre veiledere og innføringer i internkontroll. Du trenger ikke spesialkompetanse. For de resterende punktene vil det være nødvendig med noe fagkompetanse innen informasjonssikkerhet.

Mer informasjon og veiledning

For mer utfyllende informasjon om etatsstyring viser vi til veileder i etatsstyring fra Finansdepartementet og til generell veiledning om etatsstyring og økonomiregelverket på dfo.no.

Skal du sette i gang et større digitaliseringsprosjekt eller et annet prosjekt der informasjonssikkerheten er et vesentlig element? Les utredningsinstruksen og veiledning til denne på dfo.no.

Begrepsforståelse

Informasjonssikkerhet er et tema hvor det brukes mange begreper som forstås forskjellig av ulike fagområder. Det er også varierende begrepsbruk i ulike regelverk. Derfor gir vi her en beskrivelse av noen av de viktigste begrepene.

Informasjonssikkerhet

Arbeidet med informasjonssikkerhet handler om å sikre informasjonsbehandling som inngår i oppgaver og tjenester eller understøtter dem. Det betyr å sikre at informasjon i alle former

  • ikke blir kjent for uvedkommende (konfidensialitet)
  • ikke blir endret utilsiktet eller av uvedkommende (integritet)
  • er tilgjengelig ved behov (tilgjengelighet)

Det inkluderer «digitale data» og data som kun brukes maskinelt, og som ikke nødvendigvis skal leses og forstås av mennesker. Det inkluderer å sikre informasjonssystemene som brukes – inkludert alle IKT-systemer, IKT-tjenester og IKT-komponenter som inngår i informasjonssystemene.

Digital sikkerhet, cybersikkerhet og IKT-sikkerhet

I mange sammenhenger benyttes digital sikkerhet, cybersikkerhet og IKT-sikkerhet synonymt med «informasjonssikkerhet» slik vi beskriver det her. I andre sammenhenger menes deler av det som inngår i beskrivelsen av «informasjonssikkerhet», og i noen sammenhenger inkluderer det ting som ikke inngår i beskrivelsen av «informasjonssikkerhet».

Det handler ofte bare om forskjellige perspektiver på det som stort sett er det samme.

Det kan være spesielt viktig å være bevisst på tilfeller

  • hvor bruken av disse begrepene begrenser seg til sikring av teknologien (inkludert styringsaktivitetene for ledelsesstyringen av dette)
  • hvor bruken av disse begrepene begrenser seg til sikkerhetstiltak for å sikre teknologien (uten ledelsesstyringen av dette)
  • hvor bruken av disse begrepene begrenser seg til beskyttelse mot menneskestyrte angrep

«Cybersikkerhet» er et begrep som har hatt økende bruk de siste årene. Eksempelvis benytter føderal forvaltning i USA ofte «cybersecurity» synonymt med det de tidligere brukte «information security» eller «information assurance» for. Det er tilfeller hvor dette begrepet benyttes til å inkludere forhold som ikke nødvendigvis innebærer informasjonssikkerhetsbrudd som beskrevet her, for eksempel mobbing via digitale kanaler eller å benytte sosiale medier til påvirkningsoperasjoner.

Vi kan forvente at flere forskjellige, og delvis overlappende, begreper vil bli benyttet i lang tid framover. Dersom det oppstår usikkerhet om hva som menes i dialog med andre, er det lurt å avklare hva som legges i begrepene som brukes.

Styringsaktiviteter og sikkerhetstiltak

Med «styringsaktiviteter» menes de lederstyrte aktivitetene som utgjør kjernen i styring og kontroll på informasjonssikkerhetsområdet. Det er blant annet snakk om aktiviteter for å vurdere og håndtere risiko. Det handler om å ta beslutninger, prioritere oppgaver, fordele ressurser og følge opp arbeidet – å styre dette området som en del av den helhetlige styringen av virksomheten.

Med «sikkerhetstiltak» menes de varige tiltakene som virksomheten etablerer og forvalter for å redusere risikoen for informasjonssikkerhetsbrudd. Dette er tiltak som velges og etableres ved gjennomføring av styringsaktivitetene «risikovurdering» og «risikohåndtering».

Man kan skille mellom tiltak som har som formål å forebygge uønskede hendelser, tiltak som skal oppdage og avdekke hendelser, og tiltak som skal benyttes i respons på hendelser som er under utvikling eller har funnet sted.

Det er vanlig å gruppere sikkerhetstiltak på mange forskjellige måter, bl.a. ved inndeling i

Styringsaktivitetene er svært like, og bygget over samme lest, uavhengig av hvilket område som styres (Informasjonssikkerhet, personvern, sikkerhetsstyring iht. sikkerhetsloven, ansattes helse iht. HMS-regelverk osv.). Sikkerhetstiltakene er i større grad rettet kun mot informasjonssikkerhetsområdet.

De som er kjent med ISO-standarder i 27000-serien vil kjenne igjen krav til styringsaktiviteter fra ISO/IEC 27001 (kapittel 4 til 10) og en katalog med sikkerhetstiltak i form av ISO/IEC 27002 (eller Annex A til ISO/IEC 27001).

Digitaliseringsdirektoratets veiledning for styring og kontroll på informasjonssikkerhetsområdet beskriver styringsaktivitetene. NSMs grunnprinsipper for IKT-sikkerhet inneholder en del av sikkerhetstiltakene en virksomhet kan ha behov for.

Risikostyring og internkontroll

Informasjonssikkerhetsarbeidet er i hovedsak en del av arbeidet med risiko knyttet til gjennomføringen av prosesser og leveranse av tjenester. Det handler om «operasjonell risiko» og håndtering av det som ligger innenfor virksomhetens kontroll.

Ved bruk av en risikobasert tilnærming til styring og kontroll er «risikostyring» og «internkontroll» i praksis det samme. Les mer om sammenhengen mellom risikostyring og internkontroll. 

Krav i regelverk

Økonomiregelverket

Reglement for økonomistyring i staten har overordnede krav til etatsstyringen særlig i § 4, 7, 9 og 15. § 4 omhandler de grunnleggende styringsprinsippene som også gjelder for etatsstyringen.

Alle virksomheter skal:

  • fastsette mål og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet
  • sikre tilstrekkelig styringsinformasjon og forsvarlig beslutningsgrunnlag
  • sikre at fastsatte mål og resultatkrav oppnås, ressursbruken er effektiv og at virksomheten drives i samsvar med gjeldende lover og regler

Departementene skal i tillegg fastsette overordnede mål og styringsparametere for underliggende virksomheter Styring, oppfølging, kontroll og forvaltning må tilpasses virksomhetens egenart samt risiko og vesentlighet.

Bestemmelser om økonomistyring i staten 

Kapittel 1 inneholder mer konkrete krav til etatsstyringen, blant annet disse:

1.3 Departementet har overordnet ansvar for at:

[…] e) det gjennomføres kontroll med virksomheten og at virksomheten har forsvarlig internkontroll

1.6.2 Departementets overordnede kontroll

Departementets kontroll av underliggende virksomheter skal inngå i den ordinære styring og oppfølging av virksomheten. Behovet for eventuelle tilleggskontroller skal vurderes ut fra virksomhetens egenart, risiko og vesentlighet samt virksomhetens internkontroll. Departementet skal sikre seg at alle virksomheter har tilfredsstillende internkontroll [...]

Kapittel 2 i bestemmelsene regulerer på tilsvarende måte kravene til statlige virksomhetens interne styring. Kapittel 2 sier blant annet at virksomhetens ledelse har ansvaret for å etablere internkontroll. Dette er spesifisert i punkt 2.4, der bokstav e viser konkret til informasjonssikkerhet:

  • ledelsens og ansattes kompetanse og holdning til resultatoppfølging og kontroll
  • identifisering av risikofaktorer som kan medvirke til at virksomhetens mål ikke nås, og korrigerende tiltak som med rimelighet kan redusere sannsynligheten for manglende måloppnåelse
  • sikring av kvaliteten i den interne styringen, herunder forsvarlig arbeidsdeling, og produktivitet i arbeidsprosessene
  • informasjonsrutiner som sikrer at viktig og pålitelig informasjon av betydning for måloppnåelsen kommuniseres på en effektiv måte
  • rutiner for behandling og lagring av vesentlig informasjon som sikrer konfidensialitet, integritet og tilgjengelighet
  • skjermingsverdig informasjon (§ 5-1)
  • skjermingsverdige informasjonssystemer (§ 6-1)
  • skjermingsverdige objekter og infrastruktur (§ 7-1)

Kravene i reglementet og bestemmelsene om etatsstyring og statlige virksomheters interne styring gjelder også for oppfølging og styring av informasjonssikkerhet.

I tillegg stiller bestemmelser om økonomistyring i staten krav til sikkerhet i økonomisystemene, se bestemmelsenes kapittel 4 Felles standarder for bokføring og økonomisystem, punkt 4.3 Funksjonalitet i økonomisystemet, herunder 4.3.6 Sikkerhet i økonomisystemet, som sier:

Økonomisystemet skal ha et sikkerhetsnivå som er tilpasset virksomhetens aktiviteter og der det tas hensyn til risiko og vesentlighet knyttet til aktiviteten. Økonomisystemet skal ha tilgangskontroller som sikrer systemets funksjoner og data mot uautorisert endring (dataintegritet).

Det skal etableres rutiner for applikasjonsforvaltning og drift av økonomisystemet som sikrer tilfredsstillende tilgjengelighet til systemets funksjoner og data.

Les mer DFØs veiledning i økonomiregelverket og metode for risikostyring og internkontroll.

Forvaltningsloven og eForvaltningsforskriften

Forvaltningsloven gjelder alle statlige virksomheter. Lovens § 13 er en av de sentrale bestemmelsene for krav til konfidensialitet for informasjon som behandles i forvaltningen. eForvaltningsforskriften §15 2. ledd stiller krav til internkontroll på informasjonssikkerhetsområdet. Kravene til internkontroll i eForvaltningsforskriften er de samme som kravene til styring og kontroll i økonomiregelverket. eForvaltningsforskriften sier blant annet dette:

Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Internkontrollen bør være en integrert del av virksomhetens helhetlige styringssystem. Omfang og innretning på internkontrollen skal være tilpasset risiko.

eForvaltningsforskriften § 15 er et naturlig utgangspunkt for alt informasjonssikkerhetsarbeid i en statlig virksomhet. Arbeidet med kravene til informasjonssikkerhet i annet regelverket vil da i hovedsak handle om å sjekke ut og eventuelt inkludere spesielle tilleggskrav. Dette kan gi en helhetlig og god tilnærming til informasjonssikkerhet i virksomheten.

Digitaliseringsdirektoratet veileder offentlige virksomheter i hvordan de kan etterleve eForvaltningsforskriftens krav.

Arkivloven

Arkivloven med forskrifter stiller overordnede funksjonelle krav som legger til rette for ulike organisatoriske og teknologiske tiltak. Det er blant annet krav til lagringsmedium og format og krav til arkivlokale (arkivforskriften §§ 6 og 7). eForvaltningsforskriften (hjemlet i arkivloven § 12) har bestemmelser som gjelder elektroniske arkiver og arkivering av elektroniske signaturer.

Sikkerhetsloven

Lov om nasjonal sikkerhet (sikkerhetsloven) skal bidra til å sikre Norges suverenitet, territorielle integritet og demokratiske styreform ­­– og andre nasjonale sikkerhetsinteresser – mot sikkerhetstruende virksomhet. (Slik virksomhet defineres som tilsiktede handlinger som direkte eller indirekte kan skade nasjonale sikkerhetsinteresser, f.eks. spionasje, sabotasje og terror.)

Loven og tilhørende forskrifter stiller krav til sikkerhetsstyring og gjennomføring av sikkerhetsarbeidet og forsvarlig sikkerhetsnivå for det som skal sikres. Sikkerhetsloven § 4-1 sier for eksempel at

«[v]irksomhetens leder har ansvaret for det forebyggende sikkerhetsarbeidet. Forebyggende sikkerhetsarbeid skal være en del av virksomhetens styringssystem. Sikkerhetstilstanden i virksomheten skal regelmessig kontrolleres.»

For å ivareta nasjonale sikkerhetsinteresser og grunnleggende nasjonale funksjoner (GNF) stiller loven krav til forsvarlig sikkerhetsnivå for

Forskrift til loven bruker «skjermingsverdige verdier» som samlebetegnelse for disse. I tillegg til de to første kulepunktene kan siste kulepunkt også være relevant for informasjonssikkerhetsarbeidet der det er snakk om objekter og infrastruktur som er knyttet til informasjonsbehandling.

Det er i praksis samsvar mellom systematikken som kreves i sikkerhetsloven med forskrifter, og tilnærmingen til sikkerhetsarbeid i anerkjente standarder for styringssystem for informasjonssikkerhet. Kravene til virksomhetenes sikkerhets- og risikostyring i forskrift til loven er basert på tilnærmingen i ISO 31000 og ISO/IEC 27001. Det er slike anerkjente standarder eForvaltningsforskriften § 15 krever at de offentlige virksomhetene skal basere seg på i sin internkontroll på informasjonssikkerhetsområdet.

Les mer i Nasjonal sikkerhetsmyndighet veileder i sikkerhetslovens krav.

Personopplysningsloven

Personopplysningsloven gjelder for virksomhetenes arbeid med personopplysninger. Lovens formål er å gi vern av fysiske personer i forbindelse med behandling av personopplysninger. Dette er altså en del av statlige virksomheters arbeid.