Dialogen om denne delen går mer i detalj på innholdet i og strukturen på noen av de sentrale aktivitetene innen styring og kontroll på informasjonssikkerhetsområdet – styringsaktiviteter som gjennomføres rundt omkring i virksomheten.
Det er snakk om ledelsesstyrte aktiviteter for å gi føringer for hvordan arbeidet skal foregå i virksomheten, hvordan de skal prioritere arbeidet, utrede behov, beslutte bruk av ressurser, undersøke om arbeidet er effektivt, holde oversikt og ha tilstrekkelig styringsinformasjon mv.
Det er anbefalt at virksomhetene har (varianter av) disse hovedaktivitetene:
- Ledelsens styring og oppfølging
- Risikovurdering
- Risikohåndtering
- Overvåkning og hendelseshåndtering
- Måling, evaluering og revisjon
- Kompetanse- og kulturutvikling
- Kommunikasjon
Hensikt
En gjennomgang av dette området vil gi deg som er etatsstyrer, innsikt i innholdet i forskjellige styringsaktiviteter i virksomheten.
Overordnede spørsmål
- Er strukturen og innholdet i styringsaktivitetene hensiktsmessig og i henhold til gjeldende krav og anbefalinger?
God eller manglende styring og kontroll?
Indikatorene under inneholder en liste med utsagn eller beskrivelser av tilstand. Den første listen kan benyttes som indikatorer på god styring og kontroll, mens den andre listen beskriver forhold som kan indikere manglende styring og kontroll. Det er ikke direkte sammenheng mellom innholdet i de to listene, og alt har ikke en positiv og en negativ omtale. En del typiske og kjente problemsymptomer er vektlagt med forhold som kan indikere mangler i styring og kontroll.
Indikerer god styring og kontroll
Virksomhetens leder har gitt tydelige føringer for aktivitetene: hva som skal gjøres, hvordan det skal gjøres, og hvem som har ansvaret for at det blir gjort.
Ledere rundt omkring i virksomheten holder oversikt over
informasjonsbehandlingen i sine oppgaver og tjenester.
De har oversikt over informasjonstyper som behandles, aktuelle
regelverk, IKT-systemer og digitale tjenester som benyttes, og hvor
store konsekvensene kan bli ved sikkerhetsbrudd
(«verdivurdering»).
Virksomheten benytter sin oversikt over informasjonsbehandlingen til å prioritere arbeidet med informasjonssikkerhet. For eksempel kan det gjelde hvor og når det er behov for å gjøre nærmere vurdering av risiko, eller hvor det skal prioriteres å bruke ressurser til sikkerhetstiltak.
Risikoeiere vurderer regelmessig risiko i tilknytning til oppgavene og tjenestene virksomheten har ansvar for.
Virksomheten har ledelsesstyrt aktivitet for håndtering av risiko, som blant annet kan inkludere
- valg av alternativer for å håndtere risiko
- kriterier for å akseptere risiko
- godkjenning av forslag til hvordan risiko skal håndteres
Kriteriene for å akseptere risiko fungerer godt og gir ledere i virksomheten god støtte til å ta slike beslutninger.
Ved beslutning om å etablere sikkerhetstiltak vurderes kostnader, antatt effekt og mulige negative sideeffekter.
Virksomheten gjennomfører systematisk godkjenning og etablering av sikkerhetstiltak. Dette kan inkludere
- beslutning om, og finansiering av, etablering av sikkerhetstiltak
- avtaler med tiltaksleverandører om ansvar for utforming, etablering og forvaltning av sikkerhetstiltak
Risikoeiere vurderer status på sine ansvarsområder minst en gang i året.
Tiltaksleverandører vurderer status på sine ansvarsområder minst en gang i året.
Virksomheten vurderer behov for å evaluere av hele eller deler av internkontrollen på området eller å bruke indikatorer som gjør dem i stand til å følge utviklingen over tid.
Virksomheten har oversikt over sitt behov for kompetanse på informasjonssikkerhetsområdet.
Virksomheten klarer å dekke sitt behov for kompetanse på informasjonssikkerhetsområdet.
Ledere får nødvendig grunnopplæring for å kunne utføre sine oppgaver på en god måte. Grunnopplæringen dekker alle vesentlige roller i de systematiske aktivitetene.
Virksomheten har kartlagt eller målt sikkerhetskulturen og benytter kunnskapen til å styrke organisasjonen.
Virksomheten har vurdert om informasjonssikkerhetshendelser vil kunne føre til utfordringer med virksomhetskontinuitet.
Virksomheten har beredskap og er forberedt på å håndtere hendelser som utfordrer virksomhetens evne til å fungere, eller som fører til alvorlig svikt i oppgaver og tjenester.
Virksomheten har tydelige roller, ansvar og prosedyrer for hvordan de håndterer hendelser. Dette inkluderer hvordan ledelsen involveres strategisk og taktisk ved behov.
Virksomheten har god oversikt over hendelser og avvik. De benytter denne kunnskapen til å forbedre arbeidet.
Kan indikere manglende styring og kontroll
Virksomhetens leder har gitt føringer for arbeidet med informasjonssikkerhet, men aktivitetene gjennomføres ikke systematisk av ledere rundt omkring i virksomheten.
Virksomhetens arbeid med informasjonssikkerhet dekker ikke alle
typer informasjon, IKT-systemer, digitale tjenester og uønskede
hendelser.
Omfanget er for eksempel begrenset til
- personopplysninger
- tilsiktede hendelser (menneskestyrte angrep)
Virksomheten har ikke tilstrekkelig oversikt over
verdikjeder.
Ledere i virksomheten har ikke oversikt over hvor avhengige de er
av eksterne løsninger og tjenester, for eksempel hvor avhengige de
er av nasjonale felleskomponenter og -løsninger.
Virksomheten vurderer ikke (informasjonssikkerhets)risiko ved oppstart og gjennomføring av utviklingsprosjekter og anskaffelsesprosesser.
Virksomheten vurderer risiko, men arbeider ikke systematisk for å håndtere risiko.
Virksomheten evaluerer ikke eget arbeid og har derfor liten mulighet til å drive kontinuerlig forbedring.
Ledelsen tar ikke ansvar for å utvikle god sikkerhetskultur.
Virksomheten bruker ikke hendelser til læring og forbedring.
Virksomheten har ikke oversikt over kostnadene som følge av informasjonssikkerhetshendelser.
Virksomheten arbeider ikke systematisk og målrettet med øvelser.
Virksomhetens kompetansetiltak er ikke tilpasset ulike målgrupper og behov.