De spesielle temaene som er tatt med, vil normalt kunne ha en naturlig plass i de generelle områdene over, men hensikten med dette området i verktøyet er å gi støtte til å gå dypere inn i særlig aktuelle temaer ved behov.
Det kan for eksempel være behov for særskilt dialog om anskaffelsesstrategi og tjenesteutsetting eller om hvilken betydning informasjonssikkerhet har i forbindelse med at virksomheten skal utnytte mulighetene som ny teknologi gir. Det kan også være behov for dialog om hvilken innvirkning eksisterende og kommende trender kan få for virksomheten og innretningen av arbeidet med informasjonssikkerhet.
Hensikt
En gjennomgang av spesielle temaer, etter behov, kan gi deg som er etatsstyrer, dypere innsikt i relevante aspekter ved virksomhetens arbeid med informasjonssikkerhet når det er behov for det.
Overordnede spørsmål
- Er virksomheten i stand til å holde seg oppdatert om trusselbildet og benytte det i sine vurderinger?
- Er virksomheten i stand til å holde seg oppdatert om teknologiutviklingen?
- I hvilken grad er virksomheten i stand til å utnytte ny, relevant teknologi og tilgjengelige digitale tjenester?
God eller manglende styring og kontroll?
Indikatorene under inneholder en liste med utsagn eller beskrivelser av tilstand. Den første listen kan benyttes som indikatorer på god styring og kontroll, mens den andre listen beskriver forhold som kan indikere manglende styring og kontroll. Det er ikke direkte sammenheng mellom innholdet i de to listene, og alt har ikke en positiv og en negativ omtale. En del typiske og kjente problemsymptomer er vektlagt med forhold som kan indikere mangler i styring og kontroll.
Indikerer god styring og kontroll
Virksomheten er kjent med oppdaterte vurderinger av trender og trusselbildet fra relevante myndigheter. Det kan for eksempel være snakk om informasjon fra
- Nasjonal sikkerhetsmyndighet (NSM) / Nasjonalt cybersikkerhetssenter
- Datatilsynet
- Politiets sikkerhetstjeneste (PST)
- Etterretningstjenesten
- Direktoratet for samfunnssikkerhet og beredskap (DSB)
- Digitaliseringsdirektoratet
Virksomheten er kjent med oppdaterte vurderinger av trender og trusselbildet fra relevante kilder nasjonalt og internasjonalt.
Virksomheten har innsikt i relevant ny teknologi og innovative måter å utvikle og levere digitale tjenester på.
Virksomheten er i stand til å realisere gevinstene av å ha god informasjonssikkerhet i sine innbyggerrettede tjenester.
Kan indikere manglende styring og kontroll
Virksomheten har få eller ingen rutiner for å holde seg oppdatert på det aktuelle trusselbildet og kommende, teknologiske trender. Virksomheten har få eller ingen rutiner for å vurdere hvilken innvirkning aktuelle trusler og kommende teknologiske trender kan ha for virksomheten.
Virksomheten utvikler nye tjenester med ny teknologi uten at informasjonssikkerhet er inkludert i arbeidet.
Virksomheten er ikke kjent med sikkerhetsutfordringene de kan møte i forbindelse med ny teknologi som de ønsker å ta i bruk, eller teknologi som de blir nødt til å forholde seg til.
Virksomheten har ikke oversikt over hvilke skytjenester de benytter, og leverandører av disse.
Virksomheten vurderer og håndterer ikke risiko knyttet til digital sikkerhet i forbindelse med tjenesteutsetting og bruk av skytjenester, eller arbeidet med dette er utilstrekkelig.