Hva og hvorfor er det viktig?

Risikostyring av informasjonssikkerhet

For å løse sine oppgaver og nå sine mål må en virksomhet styre risiko knyttet til gjennomføring av oppgaver og leveranse av tjenester, dette inkluderer å vurdere og håndtere risiko, og følge opp arbeidet. Risikostyring skal derfor være innlemmet i styringen av alle statlige virksomheter. Les mer om risikostyring

Ettersom informasjonsbehandling både er en kjerneoppgave og en sentral støttefunksjon, er arbeidet med informasjonssikkerheten en viktig del av denne risikostyringen. Arbeidet med informasjonssikkerhet skal understøtte kjerneprosessene og bidra til at virksomheten når sine mål.

Sikre informasjonsbehandling

Informasjon behandles i et samspill mellom mennesker, prosesser og teknologi. Informasjonssikkerhet handler om å sikre denne informasjonsbehandlingen. Det inkluderer å sikre informasjon i alle former og informasjonssystemene som benyttes, inkludert digitale tjenester, IKT-systemer og komponentene som inngår i IKT-systemer. Det handler også om å tilrettelegge arbeidsoppgavene (prosessene) slik at det er enkelt å utføre oppgavene med god sikkerhet. Informasjonssikkerhet handler dessuten om kompetanse og kultur i virksomheten.

Informasjonssikkerhet kan forstås som beskyttelse av

  • IKT-systemer
  • samvirke mellom systemer
  • tjenestene som leveres av systemene
  • rutinene og kulturen til dem som bruker systemene
  • informasjonen som behandles i systemene

Konfidensialitet, integritet og tilgjengelighet

En virksomhet har i oppgave å sikre å sikre konfidensialitet, integritet og tilgjengelighet. Målet å sørge for

  • konfidensialitet , det vil si sikre at informasjonen ikke blir kjent for uvedkommende
  • integritet , det vil si sikre at informasjonen ikke blir endret utilsiktet av uvedkommende
  • tilgjengelighet , det vil si sikre at informasjonen er tilgjengelig ved behov

Hvorfor jobbe med informasjonssikkerhet?

Brudd på informasjonssikkerheten kan gi alvorlige følger for innbyggere, andre virksomheter og samfunnet, og det kan få konsekvenser for virksomhetens økonomi og om den er i stand til å yte tjenester. En virksomhet har derfor behov for å jobbe helhetlig og systematisk med temaet over tid, og departementet har behov for å vite at virksomheten jobber helhetlig og systematisk med dette. 

Figuren under illustrerer hvorfor offentlige virksomheter jobber med informasjonssikkerhet:

  • for å ivareta samfunnets behov
  • for å ivareta virksomheters behov
  • for å ivareta innbyggernes behov
  • for å overholde lover og regler
  • for å nå sine egne mål og resultater
  • for at rapportering skal være pålitelig
Figuren viser hvorfor virksomheter jobber med informasjonssikkerhet i offentlig forvaltning.

Følger av utilstrekkelig informasjonssikkerhet

Informasjonsbehandling og digitale verktøy blir stadig mer uunnværlige i all oppgaveløsning og for alle samfunnsfunksjoner. Dermed øker betydningen av god informasjonssikkerhet. Utilstrekkelig informasjonssikkerhet kan gi en rekke negative følger for virksomhetens måloppnåelse og resultater, noe som igjen gir konsekvenser for innbyggere og andre virksomheter. Det kan for eksempel medføre

  • feil beslutninger
  • brudd på rettigheter og rettssikkerhet
  • omdømmetap og økonomiske tap for innbyggere, næringsliv, virksomheten og departementet
  • ødeleggende livssituasjon for brukere og innbyggere
  • effektivitetstap for virksomheten selv og andre
  • tap av liv og helse

Forståelsen av risiko ligger i hvilke konsekvenser informasjonssikkerhetsbrudd kan få for virksomhetens oppgaver og tjenester – og hvilke konsekvenser dette kan føre til for

  • virksomhetens måloppnåelse, resultater og økonomi
  • innbyggere, andre virksomheter og samfunnet

Bruk av IKT og digitale tjenester inngår i dag i stort sett all oppgaveløsning, derfor er digital sikkerhet en viktig del av arbeidet med informasjonssikkerhet. For ledelsen i virksomhetene handler det om å styre risikoen for de aktivitetene som er avhengige av de digitale miljøene.

Hvordan bør virksomheten arbeide med styring og kontroll av informasjonssikkerhet?

Systematiske aktiviteter

For å være i stand til å ha styring og kontroll etablerer virksomhetsledelsen et «system» – det vil si et sett av systematiske aktiviteter som gjennomføres rundt omkring i virksomheten, med tilhørende roller, ansvar og myndighet. En rekke regelverk stiller krav til slik systematikk i det ledelsesstyrte arbeidet.

Figur som viser de syv områdene med systematiske aktiviteter i Digitaliseringsdirektoratets modell for internkontroll med informasjonssikkerhet.

Ledelsens styring og oppfølging

«Ledelsens styring og oppfølging», til venstre i figuren over, er et viktig område med flere systematiske aktiviteter, blant annet noe som kalles «virksomhetsledelsens gjennomgang». I en virksomhet med god styring og kontroll har ledelsen mye kunnskap om risiko og kjenner til status og modenhet på eget arbeid. Dette kan danne grunnlaget for rapportering av den styringsinformasjonen som departementet har behov for, som illustrert i figuren under.

Illustrasjon av «virksomhetsledelsens gjennomgang», en av de systematiske aktivitetene i «Ledelsens styring og oppfølging».

Helhetlig styring og kontroll

Bare med en helhetlig tilnærming er det mulig å svare på om vi jobber med de riktige tingene og på den rette måten. Ulike regelverk retter seg ofte mot forskjellige deler av informasjonssikkerhetsarbeidet i en virksomhet, for eksempel ulike kilder til risiko eller uønskede konsekvenser.

En virksomhet har behov for styring og kontroll på en rekke forskjellige områder, for eksempel

  • virksomhetsstyring (økonomiregelverket)
  • økonomistyring (økonomiregelverket)
  • HMS (arbeidsmiljøloven)
  • personvern (personvernforordningen)
  • nasjonale sikkerhetsinteresser (sikkerhetsloven)

Styring og kontroll omfatter også informasjonsbehandling og IKT. Aktivitetene for styring og kontroll vil være ganske like for alle områder, og dere bør tilstrebe mest mulig helhetlig styring. Legg vekt på virksomhetens virksomhetsstyring, og se de andre områdene som en integrert del av denne styringen.

Skjematisk framstilling av sammenhengen mellom virksomhetsstyring, risikostyring og informasjonssikkerhet. I den innerste sirkelen kunne vært andre områder som en virksomhetsstyring også må integrere i virksomhetsstyringen sin, for eksempel HMS, personvern o.l.

Hvilke krav gjelder på området?

Lover og forskrifter

Flere lover og forskrifter regulerer informasjonssikkerhet, direkte eller indirekte. Det er en fordel å se disse i sammenheng for å få en oversikt over hvilke krav som stilles til offentlige virksomheter. Virksomheten skal ivareta en helhetlig styring i tråd med økonomiregelverket. Det er flere andre regelverk som regulerer deler av helheten. 

Dette er de viktigste regelverkene som gjelder på tvers av sektorer:

  • Økonomiregelverket
  • eForvaltningsforskriften
  • Arkivloven
  • Sikkerhetsloven
  • Personopplysningsloven

Krav til informasjonssikkerhet

Det er flere tverrsektorielle lover som stiller krav til virksomhetenes arbeid med informasjonssikkerhet: Økonomiregelverket stiller krav til hele virksomhetens virke og i tillegg spesifikt til økonomisystemer, eForvaltningsforskriften til arbeidet med informasjonssikkerhet, arkivloven til de delene av virksomhetens arbeid som omhandler arkiv, sikkerhetsloven til de delene hvor sikkerhetsbrudd kan få konsekvenser for nasjonale sikkerhetsinteresser, og personopplysningsloven til beskyttelse av personopplysninger.

Det er en fordel å se disse regelverkene i sammenheng, selv om de regulerer ulike deler av virksomhetenes arbeid med informasjonssikkerhet. Vi gjør nærmere rede for det mest sentrale tverrsektorielle lovverket på området under kapittelet om verktøy og utdyping av krav i regelverk

For en gjennomgang av alle tverrsektorielle lover, se NOU 2018: 14 IKT-sikkerhet i alle ledd, vedlegg 1.

Oppdatert: 7. februar 2020

Miniveileder om oppfølging av informasjonssikkerhet i styringsdialogen

Om veilederen

Hvem bør lese denne veilederen?

Hva kan du bruke veilederen til?

Hva og hvorfor er det viktig?

Risikostyring av informasjonssikkerhet

Sikre informasjonsbehandling

Konfidensialitet, integritet og tilgjengelighet

Hvorfor jobbe med informasjonssikkerhet?

Følger av utilstrekkelig informasjonssikkerhet

Hvordan bør virksomheten arbeide med styring og kontroll av informasjonssikkerhet?

Systematiske aktiviteter

Ledelsens styring og oppfølging

Helhetlig styring og kontroll

Hvilke krav gjelder på området?

Lover og forskrifter

Krav til informasjonssikkerhet

Oppfølging av informasjonssikkerhet

Hvordan bør informasjonssikkerhet følges opp i styringsdialogen?

Hvordan bør etatsstyrer gå fram?

Oppfølging på riktig nivå 

Særskilt oppfølging og dialog

Kompetanse om informasjonssikkerhet

Aktiviteter og tiltak

Mer informasjon og veiledning

Dialogverktøy

Begrepsforståelse

Informasjonssikkerhet

Digital sikkerhet, cybersikkerhet og IKT-sikkerhet

Styringsaktiviteter og sikkerhetstiltak

Risikostyring og internkontroll

Krav i regelverk

Økonomiregelverket

Bestemmelser om økonomistyring i staten 

Forvaltningsloven og eForvaltningsforskriften

Arkivloven

Sikkerhetsloven

Personopplysningsloven

Skriv ut / lag pdf av veileder

Fant du det du lette etter?

Det beklager vi!

Hva lette du etter? Bruk gjerne stikkord