Dette dialogverktøyet er et hjelpemiddel til styringsdialogen om informasjonssikkerhet mellom departement og virksomhet. Målgruppen er primært etatsstyrere i departementene, men verktøyet kan også være et nyttig for virksomheter. Dialogverktøyet kan benyttes både som forberedelse til, og i selve styringsdialogen.
Dialogverktøyet er delt i to: en hoveddel og en fordypningsdel
Dialogverktøyet beskriver hvilke temaer som kan være relevant å ta opp i styringsdialogen. Om temaene skal tas opp, hvordan de skal tas opp og behandles, eller hvilke spørsmål som skal stilles, må – i likhet med all annen etatsstyring – tilpasses egenart, samt risiko og vesentlighet. Verktøyet er ikke uttømmende for alle tenkelige behov, for oppfølgingen av alle statlige virksomheter.
Innholdet er basert på krav og anbefalinger i lov, forskrift og veiledninger. Det er likevel ikke ment å fungere som en fasit, men som et hjelpemiddel til dialog mellom departement og underliggende virksomhet.
Alt i dialogverktøyet handler om arbeidet med informasjonssikkerhet i en virksomhet. For eksempel, der «styring og kontroll» er brukt, så menes det «styring og kontroll på informasjonssikkerhetsområdet».
Forarbeid
Godt utbytte av bruken av dialogverktøyet er avhengig av at det foreligger en overordnet forståelse av risiko, vesentlighet og vurdering av egenart. Disse spørsmålene kan benyttes i forbindelse med slike vurderinger:
- Hvilken betydning har oppgavene og tjenestene virksomheten har ansvaret for?
- Hvilken betydning har informasjonsbehandling for disse oppgavene og tjenestene?
- Hva kan konsekvensene bli ved informasjonssikkerhetsbrudd i oppgaver og tjenester?
- I hvilken grad kan informasjonssikkerhetsbrudd få konsekvenser for virksomheten selv, eksempelvis for virksomhetens økonomi og tjenestenivå og for ansatte, og for andre utenfor, slik som innbyggere, andre virksomheter, samfunnsfunksjoner eller nasjonale sikkerhetsinteresser?
- Hvilken betydning har digitale tjenester og bruk av informasjonsteknologi for oppgaveløsningen?
- Er rammevilkårene i endring? (strategiske valg, oppgaveportefølje, regelverk og teknologisk utvikling)
- Hva er virksomhetens behov for utvikling og innovasjon, og hvilken betydning har informasjonssikkerhet i tilknytning til dette?
Hvordan verktøyet kan benyttes
Dialogverktøyet kan benyttes i forskjellige etatsstyringsaktiviteter. Det kan for eksempel benyttes i forbindelse med:
- planlegging og oppfølging av etatsstyringsmøter
- overordnet dialog om, eller vurdering av, virksomhetens arbeid med styring og kontroll generelt og informasjonssikkerhet spesielt
- arbeid med styringsdokumenter som instruks, tildelingsbrev og årsrapport
Du finner mer informasjon om når det er aktuelt å tenke informasjonssikkerhet i etatsstyringsdialogen finner du i veileder til oppfølging av informasjonssikkerhet (lenke).
Det kan for eksempel være at etatsstyrer allerede har god oversikt over virksomhetens risiko, vesentlighet og egenart, inkludert hvilken betydning virksomhetens oppgaver og tjenester har – men ønsker bedre innsikt i hvilken betydning informasjonsbehandling generelt, og bruk av digital teknologi spesielt, har for virksomhetens oppgaver og tjenester, eller ønsker mer informasjon om hvordan ledelsen i virksomheten arbeider med informasjonssikkerhet.
Dette er bare et eksempel – innholdet i dialogverktøyet, og støttematerialet det er lenket til, kan gi støtte i mange forskjellige situasjoner.