Overordnet om risiko, status og utfordringer

Denne delen av dialogverktøyet tar for seg hvordan risiko knyttet til informasjonsbehandling påvirker virksomhetens mål og resultater.

Det handler om å ha overordnet oversikt over risiko, vite hvilken betydning informasjonsbehandling har for virksomhetens oppgaver og tjenester, og få greie på om virksomheten lykkes i arbeidet med informasjonssikkerhet. I hovedsak handler det om styringsinformasjonen ledelsen presenterer som et resultat av at de har god styring og kontroll, og i mindre grad om hvordan de går fram for å få det til.

Hensikt

En gjennomgang av denne delen vil gi deg som er etatsstyrer, innsikt i om ledelsen har tilstrekkelig oversikt over risiko, er i stand til å styre risiko, og gi overordnet oversikt over status på arbeidet med informasjonssikkerhet. Det vil bidra til å gi kunnskap om resultatene fra internkontrollarbeidet: ledelsens oversikt over risiko, ressursbruk og informasjonssikkerhetsarbeidets betydning for virksomhetens mål og resultater. En gjennomgang av dette gir deg evnen til å gjøre en overordnet vurdering av om ledelsen lykkes med styring og kontroll på informasjonssikkerhetsområdet.

Overordnede spørsmål

  • Har ledelsen oversikt over hvilken betydning informasjonssikkerhet har for virksomhetens oppgaver og tjenester og for å ivareta andre lovpålagte forpliktelser?
  • Er arbeidet med informasjonssikkerhet en integrert del av virksomhetens risikostyring og internkontroll?
  • Kan ledelsen redegjøre overordnet om hvordan de lykkes i arbeidet med informasjonssikkerhet?

God eller manglende styring og kontroll?

Indikatorene under inneholder en liste med utsagn eller beskrivelser av tilstand. Den første listen kan benyttes som indikatorer på god styring og kontroll, mens den andre listen beskriver forhold som kan indikere manglende styring og kontroll. Det er ikke direkte sammenheng mellom innholdet i de to listene, og alt har ikke en positiv og en negativ omtale. En del typiske og kjente problemsymptomer er vektlagt med forhold som kan indikere mangler i styring og kontroll.

Indikerer god styring og kontroll

Ledelsen beskriver informasjonssikkerhetsområdet på en tilfredsstillende måte og knytter det til styring av risiko for virksomhetens oppgaver og tjenester.

Ledelsen beskriver områder med høy(ere) risiko. Eksempler kan være enkelte oppgaver eller tjenester, prosjekter eller etterlevelse av regelverk. (Det er snakk om risiko knyttet til primær måloppnåelse, ikke risiko «for informasjonssikkerheten».)

Ledelsen gir en overordnet oversikt over svært høye risikoer de har akseptert, eller redegjør for svært høye risikoer som har vært akseptert siden sist. Redegjørelsen beskriver grunnlaget for beslutningene i den grad det er nødvendig.

Ledelsen redegjør overordnet for endringer i rammebetingelser som påvirker arbeidet med informasjonssikkerhet eller risiko på området. Eksempler er

  • endringer i oppgaver og tjenester
  • endringer i regelverk som de må ta hensyn til
  • trusselutvikling nasjonalt, internasjonalt eller knyttet til det virksomheten driver med
  • bruk av ny teknologi i oppgaveløsningen

Ledelsen redegjør for tilstand og modenhet i arbeidet med informasjonssikkerhet.

Ledelsen beskriver prioriteringer og ressursbruk for arbeidet med informasjonssikkerhet på et overordnet nivå.

Ledelsen tar opp spesielle problemer og utfordringer i arbeidet med informasjonssikkerhet og beskriver hvordan de løser disse.

Ledelsen redegjør for vesentlige behov for investeringer til, eller omstilling av, arbeidet med informasjonssikkerhet – og hvordan de går fram for å håndtere dette. Eksempler er

  • styrking av de ledelsesstyrte systematiske aktivitetene for styring og kontroll
  • investering for å etablere sikkerhetstiltak det er behov for
  • behov for ressurser til å vurdere og håndtere risiko i forbindelse med omstilling av oppgaveløsningen, for eksempel bruk av ny teknologi eller tjenesteutsetting
Kan indikere manglende styring og kontroll

Ledelsen beskriver detaljer i internkontrollen i stedet for

  • å redegjøre overordnet om måloppnåelse og risiko
  • å formidle den oversikten og styringsinformasjonen som god styring og kontroll gir dem

Ledelsen gir inntrykk av at dette er noe som styres av andre roller i virksomheten, uten at ledelsen har oversikt selv.

Ledelsen gir inntrykk av at det er teknisk IT-fag som omtales, i stedet for virksomhetens måloppnåelse og risiko.

Ledelsen beskriver hva som kan skje i teknologi og IT-komponenter, uten å relatere dette til konsekvenser for virksomhetens oppgaver og tjenester.

Ledelsen beskriver detaljer i teknologi som benyttes, i stedet for å redegjøre for styring av risiko for oppgaver og tjenester som teknologien understøtter.

Ledelsen trekker bare fram deler av det de skal ivareta, uten å redegjøre for helheten. For eksempel kan beskrivelsen deres være begrenset til

  • bare behov for konfidensialitet (f.eks. knyttet til taushetsplikt)
  • bare konsekvenser for personer når de behandler opplysninger om dem (personvern)
  • bare konsekvenser for nasjonale sikkerhetsinteresser

Informasjonssikkerhet er ikke en sentral del av virksomhetens arbeid med tjenesteutvikling, innovasjon og bruk av digital teknologi.

Støttemateriale
Oppdatert: 22. januar 2023

Fant du det du lette etter?

Nei

Det beklager vi!

Tilbakemeldingen din er anonym og vil ikke bli besvart. Vi bruker den til å forbedre nettsidene. Hvis du vil ha svar fra oss, ta kontakt på telefon, e-post eller kundesenter på nett.