Hvordan bør virksomheten arbeide med styring og kontroll av informasjonssikkerhet?

Oppdatert

Systematiske aktiviteter

For å være i stand til å ha styring og kontroll etablerer virksomhetsledelsen et «system» – det vil si et sett av systematiske aktiviteter som gjennomføres rundt omkring i virksomheten, med tilhørende roller, ansvar og myndighet. En rekke regelverk stiller krav til slik systematikk i det ledelsesstyrte arbeidet.

Figur som viser de syv områdene med systematiske aktiviteter i Digitaliseringsdirektoratets modell for internkontroll med informasjonssikkerhet.
Figur som viser de syv områdene med systematiske aktiviteter i Digitaliseringsdirektoratets modell for internkontroll med informasjonssikkerhet.

Ledelsens styring og oppfølging

«Ledelsens styring og oppfølging», til venstre i figuren over, er et viktig område med flere systematiske aktiviteter, blant annet noe som kalles «virksomhetsledelsens gjennomgang». I en virksomhet med god styring og kontroll har ledelsen mye kunnskap om risiko og kjenner til status og modenhet på eget arbeid. Dette kan danne grunnlaget for rapportering av den styringsinformasjonen som departementet har behov for, som illustrert i figuren under.

Illustrasjon av «virksomhetsledelsens gjennomgang», en av de systematiske aktivitetene i «Ledelsens styring og oppfølging».
Illustrasjon av «virksomhetsledelsens gjennomgang», en av de systematiske aktivitetene i «Ledelsens styring og oppfølging».

Helhetlig styring og kontroll

Bare med en helhetlig tilnærming er det mulig å svare på om vi jobber med de riktige tingene og på den rette måten. Ulike regelverk retter seg ofte mot forskjellige deler av informasjonssikkerhetsarbeidet i en virksomhet, for eksempel ulike kilder til risiko eller uønskede konsekvenser.

En virksomhet har behov for styring og kontroll på en rekke forskjellige områder, for eksempel

  • virksomhetsstyring (økonomiregelverket)
  • økonomistyring (økonomiregelverket)
  • HMS (arbeidsmiljøloven)
  • personvern (personvernforordningen)
  • nasjonale sikkerhetsinteresser (sikkerhetsloven)

Styring og kontroll omfatter også informasjonsbehandling og IKT. Aktivitetene for styring og kontroll vil være ganske like for alle områder, og dere bør tilstrebe mest mulig helhetlig styring. Legg vekt på virksomhetens virksomhetsstyring, og se de andre områdene som en integrert del av denne styringen.

Skjematisk framstilling av sammenhengen mellom virksomhetsstyring, risikostyring og informasjonssikkerhet. I den innerste sirkelen kunne vært andre områder som en virksomhetsstyring også må integrere i virksomhetsstyringen sin, for eksempel HMS, personvern o.l.
Skjematisk framstilling av sammenhengen mellom virksomhetsstyring, risikostyring og informasjonssikkerhet. I den innerste sirkelen kunne vært andre områder som en virksomhetsstyring også må integrere i virksomhetsstyringen sin, for eksempel HMS, personvern o.l.
Fant du det du lette etter?