Denne delen handler om systematisk arbeid på informasjonssikkerhetsområdet og tar for seg hvordan ledelsen oppnår god informasjonssikkerhet ved å bruke styringssystemet som sitt redskap for å ha styring og kontroll.
Denne delen av verktøyet ser på styringssystematikken som helhet. Dersom styringssystemet fungerer godt, vil ledelsen kunne redegjøre for alt i hoveddelen av dialogverktøyet på en god måte.
Systematisk gjennomføring av aktiviteter for styring og kontroll på informasjonssikkerhetsområdet
Hensikt
En gjennomgang av denne delen vil gi deg som er etatsstyrer, innsikt i hvordan ledelsen styrer arbeidet med informasjonssikkerhet. Å undersøke om virksomheten har tilstrekkelig styring og kontroll på dette området, er en del av oppfølgingen av styring og kontroll og risikostyringen i virksomheten som helhet. Ettersom flere forskjellige regelverk stiller krav til at virksomheten skal ha dette, så vil det også gi innsikt i etterlevelse av regelverk.
Overordnede spørsmål
- Hvordan har ledelsen innrettet styringssystemet som sitt redskap for å ha styring og kontroll på informasjonssikkerhetsområdet?
God eller manglende styring og kontroll?
Indikatorene under inneholder en liste med utsagn eller beskrivelser av tilstand. Den første listen kan benyttes som indikatorer på god styring og kontroll, mens den andre listen beskriver forhold som kan indikere manglende styring og kontroll. Det er ikke direkte sammenheng mellom innholdet i de to listene, og alt har ikke en positiv og en negativ omtale. En del typiske og kjente problemsymptomer er vektlagt med forhold som kan indikere mangler i styring og kontroll.
Indikerer god styring og kontroll
Ledelsen har oversikt over de systematiske aktivitetene for styring og kontroll med informasjonssikkerhet og kan redegjøre for disse.
Styring og kontroll av informasjonssikkerhet er en integrert del av styring og kontroll i virksomheten.
Internkontrollens struktur og innhold er lagt opp i tråd med gjeldende krav og anbefalinger. Eksempler er
- eForvaltningsforskriften § 15 andre ledd, med krav om helhetlig styring som ivaretar krav i ulike regelverk
- Digitaliseringsdirektoratets veiledning
- sikkerhetsloven, med krav om sikkerhetsstyring som en del av virksomhetsstyringen
Virksomheten har systematiske aktiviteter som dekker det som er anbefalt:
- ledelsens styring og oppfølging
- risikovurdering
- risikohåndtering
- overvåking og hendelseshåndtering
- måling, evaluering og revisjon
- kompetanse- og kulturutvikling
- kommunikasjon
Kan indikere manglende styring og kontroll
Ledelsen ser ikke på styringssystemet som sitt redskap for å ha styring og kontroll på området.
Informasjonssikkerhet styres for seg selv – uten knytning til virksomhets- og risikostyringen ellers.
Virksomheten har en rekke dokumenter, policy og retningslinjer, men kan ikke redegjøre for hvordan arbeidet blir gjennomført i praksis.
Ledelsen beskriver ikke styringsaktiviteter, inkludert aktiviteter for å foreta gode beslutninger om ressursbruk, prioritering og risiko tilknyttet de oppgavene og tjenestene de har ansvaret for.
Ledelsen beskriver hovedsakelig forskjellige sikkerhetstiltak uten å vektlegge de ledelsesstyrte systematiske aktivitetene for å styre informasjonssikkerhetsområdet. (Styringsaktivitetene inkluderer aktiviteter for å vurdere risiko og håndtere risiko – bl.a. for å velge sikkerhetstiltak.)
Organisering av informasjonssikkerhetsarbeidet
Hensikt
En gjennomgang av denne delen vil gi deg som er etatsstyrer, innsikt i hvordan ledelsen har organisert arbeidet i virksomheten. Dette inkluderer roller, ansvar og myndighet for å gjennomføre og følge opp de systematiske aktivitetene (styringsaktivitetene).
Overordnede spørsmål
- Er organiseringen oversiktlig, og er det tydelig hvem som har ansvaret for hva i arbeidet med informasjonssikkerhet i virksomheten?
- Er ansvaret for å styre risiko på dette området en del av ledelsesansvaret for virksomhetens oppgaver og tjenester?
God eller manglende styring og kontroll?
Indikerer god styring og kontroll
Virksomhetens leder har en «fagansvarlig informasjonssikkerhet» (eller liknende rolle eller stabsfunksjon) som støtter ledelsen i arbeidet, og samarbeidet fungerer godt.
Ansvaret for å vurdere og håndtere risiko innen informasjonssikkerhet er delegert ordinær linjevei, slik at det ivaretas av dem som har ansvaret for virksomhetens primære mål og resultater. (Risiko styres, og beslutninger tas, av dem som har ansvaret for virksomhetens oppgaver og tjenester, men de får støtte fra «fagansvarlig informasjonssikkerhet» eller liknende rolle.)
«IT-avdelingen» og liknende funksjoner fungerer som tiltaksleverandører og har ansvar for å forvalte sikkerhetstiltak. De bistår også risikoeiere i å vurdere og håndtere risiko.
Arbeidet med informasjonssikkerhet og finansieringen av dette er inkludert i virksomhetsplanleggingen og virksomhetens budsjett.
Kan indikere manglende styring og kontroll
Virksomheten har en «fagansvarlig informasjonssikkerhet» (eller liknende) som utfører det meste av oppgavene uten at ledelsen er involvert.
Styring av risiko på området er delegert til IT-avdelingen, eller det forventes håndtert av andre roller, for eksempel personvernombud eller sikkerhetsleder.
Arbeidet med informasjonssikkerhet er formåls- og kostnadseffektivt
Hensikt
En gjennomgang av denne delen vil gi deg som er etatsstyrer, innsikt i om styringssystemet fungerer formåls- og kostnadseffektivt.
Overordnede spørsmål
- Hvordan vurderer og påser ledelsen at arbeidet med informasjonssikkerhet er formålseffektivt?
- Er ledelsen i stand til å prioritere ressursinnsatsen på arbeidet med informasjonssikkerhet – for eksempel til oppgaver og tjenester hvor behovet er størst?
- Er arbeidet med informasjonssikkerhet kostnadseffektivt?
God eller manglende styring og kontroll?
Indikerer god styring og kontroll
Ledelsens vurdering er at styringssystemet fungerer, og at det er et godt redskap som gir evne til å styre.
Arbeidet understøtter måloppnåelsen og bidrar til at virksomheten får utført sine oppgaver og levert tjenester.
Det er tilstrekkelig med ressurser til arbeidet med informasjonssikkerhet.
Virksomhetens leder har overordnet oversikt over informasjonsbehandlingen og kan redegjøre for hvilken betydning informasjonsbehandlingen har for oppgaver og tjenester.
Virksomhetens leder vet hvilke konsekvenser informasjonssikkerhetsbrudd kan få – både for virksomhetens oppgaver og tjenester og for individer, andre virksomheter og samfunnet.
Ledere i virksomheten er i stand til å prioritere arbeidet med risiko til de områdene hvor de potensielle konsekvensene ved informasjonssikkerhetshendelser er størst.
Ledere i virksomheten evaluerer eget arbeid med informasjonssikkerhet og benytter det til å kontinuerlig forbedre formåls- og kostnadseffektivitet.
Kan indikere manglende styring og kontroll
Virksomhetens leder kjenner ikke til i hvilke av virksomhetens oppgaver og tjenester informasjonssikkerhetsbrudd kan få størst konsekvenser.
Virksomhetens leder kan ikke redegjøre for ressursbruk og prioriteringer.
Å gjennomføre styringsaktivitetene er svært ressurskrevende, og de er ikke i stand til å få gjort alt som skal gjøres.
Ledere i virksomheten vurderer ikke jevnlig behovet for å gjennomføre nærmere vurdering av risiko innen sitt ansvarsområde, slik at ressursbruken på risikovurderinger framstår som tilfeldig, lite prioritert, mangelfull eller for omfattende.
Vurder behov for å gå dypere inn i enkelte tema
Du som er etatsstyrer bør alltid vurdere om det er spesielle temaer det er behov for å gå nærmere inn på.
- Ulike strategiske valg: Virksomheten gjør strategiske valg, for eksempel større endringer i oppgaveløsningen. Det kan være behov for å ta opp informasjonssikkerhet i forbindelse med anskaffelsesstrategi og tjenesteutsetting eller i forbindelse med å utnytte mulighetene som ny teknologi gir for å løse oppgaver og levere tjenester på nye måter.
- Regelverksendringer: Endringer i regelverk som stiller krav til arbeidet med informasjonssikkerhet, eller hvor informasjonssikkerhet har vesentlig betydning, gjør at virksomheten må tilpasse arbeidet sitt med informasjonssikkerhet, og departementet ønsker å vite hvordan dette er ivaretatt.
Dette er spesielt relevante eksempler, men andre behov er også aktuelle.
Dersom det er slike behov – bruk fordypningsdelen.