Økonomiregelverket

Reglement for økonomistyring i staten har overordnede krav til etatsstyringen særlig i § 4, 7, 9 og 15. § 4 omhandler de grunnleggende styringsprinsippene som også gjelder for etatsstyringen.

Alle virksomheter skal:

• fastsette mål og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet
• sikre tilstrekkelig styringsinformasjon og forsvarlig beslutningsgrunnlag
• sikre at fastsatte mål og resultatkrav oppnås, ressursbruken er effektiv og at virksomheten drives i samsvar med gjeldende lover og regler

Departementene skal i tillegg fastsette overordnede mål og styringsparametere for underliggende virksomheter Styring, oppfølging, kontroll og forvaltning må tilpasses virksomhetens egenart samt risiko og vesentlighet.

Bestemmelser om økonomistyring i staten 

Kapittel 1 inneholder mer konkrete krav til etatsstyringen, blant annet disse:

1.3 Departementet har overordnet ansvar for at:

[…] e) det gjennomføres kontroll med virksomheten og at virksomheten har forsvarlig internkontroll

1.6.2 Departementets overordnede kontroll

Departementets kontroll av underliggende virksomheter skal inngå i den ordinære styring og oppfølging av virksomheten. Behovet for eventuelle tilleggskontroller skal vurderes ut fra virksomhetens egenart, risiko og vesentlighet samt virksomhetens internkontroll. Departementet skal sikre seg at alle virksomheter har tilfredsstillende internkontroll [...]

Kapittel 2 i bestemmelsene regulerer på tilsvarende måte kravene til statlige virksomhetens interne styring. Kapittel 2 sier blant annet at virksomhetens ledelse har ansvaret for å etablere internkontroll. Dette er spesifisert i punkt 2.4, der bokstav e viser konkret til informasjonssikkerhet:

• ledelsens og ansattes kompetanse og holdning til resultatoppfølging og kontroll
• identifisering av risikofaktorer som kan medvirke til at virksomhetens mål ikke nås, og korrigerende tiltak som med rimelighet kan redusere sannsynligheten for manglende måloppnåelse
• sikring av kvaliteten i den interne styringen, herunder forsvarlig arbeidsdeling, og produktivitet i arbeidsprosessene
• informasjonsrutiner som sikrer at viktig og pålitelig informasjon av betydning for måloppnåelsen kommuniseres på en effektiv måte
• rutiner for behandling og lagring av vesentlig informasjon som sikrer konfidensialitet, integritet og tilgjengelighet
• skjermingsverdig informasjon (§ 5-1)
• skjermingsverdige informasjonssystemer (§ 6-1)
• skjermingsverdige objekter og infrastruktur (§ 7-1)

Kravene i reglementet og bestemmelsene om etatsstyring og statlige virksomheters interne styring gjelder også for oppfølging og styring av informasjonssikkerhet.

I tillegg stiller bestemmelser om økonomistyring i staten krav til sikkerhet i økonomisystemene, se bestemmelsenes kapittel 4 Felles standarder for bokføring og økonomisystem, punkt 4.3 Funksjonalitet i økonomisystemet, herunder 4.3.6 Sikkerhet i økonomisystemet, som sier:

Økonomisystemet skal ha et sikkerhetsnivå som er tilpasset virksomhetens aktiviteter og der det tas hensyn til risiko og vesentlighet knyttet til aktiviteten. Økonomisystemet skal ha tilgangskontroller som sikrer systemets funksjoner og data mot uautorisert endring (dataintegritet).

Det skal etableres rutiner for applikasjonsforvaltning og drift av økonomisystemet som sikrer tilfredsstillende tilgjengelighet til systemets funksjoner og data.

Les mer DFØs veiledning i økonomiregelverket og metode for risikostyring og internkontroll.

Forvaltningsloven og eForvaltningsforskriften

Forvaltningsloven gjelder alle statlige virksomheter. Lovens § 13 er en av de sentrale bestemmelsene for krav til konfidensialitet for informasjon som behandles i forvaltningen. eForvaltningsforskriften §15 2. ledd stiller krav til internkontroll på informasjonssikkerhetsområdet. Kravene til internkontroll i eForvaltningsforskriften er de samme som kravene til styring og kontroll i økonomiregelverket. eForvaltningsforskriften sier blant annet dette:

Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Internkontrollen bør være en integrert del av virksomhetens helhetlige styringssystem. Omfang og innretning på internkontrollen skal være tilpasset risiko.

eForvaltningsforskriften § 15 er et naturlig utgangspunkt for alt informasjonssikkerhetsarbeid i en statlig virksomhet. Arbeidet med kravene til informasjonssikkerhet i annet regelverket vil da i hovedsak handle om å sjekke ut og eventuelt inkludere spesielle tilleggskrav. Dette kan gi en helhetlig og god tilnærming til informasjonssikkerhet i virksomheten.

Digitaliseringsdirektoratet veileder offentlige virksomheter i hvordan de kan etterleve eForvaltningsforskriftens krav.

Arkivloven

Arkivloven med forskrifter stiller overordnede funksjonelle krav som legger til rette for ulike organisatoriske og teknologiske tiltak. Det er blant annet krav til lagringsmedium og format og krav til arkivlokale (arkivforskriften §§ 6 og 7). eForvaltningsforskriften (hjemlet i arkivloven § 12) har bestemmelser som gjelder elektroniske arkiver og arkivering av elektroniske signaturer.

Sikkerhetsloven

Lov om nasjonal sikkerhet (sikkerhetsloven) skal bidra til å sikre Norges suverenitet, territorielle integritet og demokratiske styreform ­­– og andre nasjonale sikkerhetsinteresser – mot sikkerhetstruende virksomhet. (Slik virksomhet defineres som tilsiktede handlinger som direkte eller indirekte kan skade nasjonale sikkerhetsinteresser, f.eks. spionasje, sabotasje og terror.)

Loven og tilhørende forskrifter stiller krav til sikkerhetsstyring og gjennomføring av sikkerhetsarbeidet og forsvarlig sikkerhetsnivå for det som skal sikres. Sikkerhetsloven § 4-1 sier for eksempel at

«[v]irksomhetens leder har ansvaret for det forebyggende sikkerhetsarbeidet. Forebyggende sikkerhetsarbeid skal være en del av virksomhetens styringssystem. Sikkerhetstilstanden i virksomheten skal regelmessig kontrolleres.»

For å ivareta nasjonale sikkerhetsinteresser og grunnleggende nasjonale funksjoner (GNF) stiller loven krav til forsvarlig sikkerhetsnivå for

Forskrift til loven bruker «skjermingsverdige verdier» som samlebetegnelse for disse. I tillegg til de to første kulepunktene kan siste kulepunkt også være relevant for informasjonssikkerhetsarbeidet der det er snakk om objekter og infrastruktur som er knyttet til informasjonsbehandling.

Det er i praksis samsvar mellom systematikken som kreves i sikkerhetsloven med forskrifter, og tilnærmingen til sikkerhetsarbeid i anerkjente standarder for styringssystem for informasjonssikkerhet. Kravene til virksomhetenes sikkerhets- og risikostyring i forskrift til loven er basert på tilnærmingen i ISO 31000 og ISO/IEC 27001. Det er slike anerkjente standarder eForvaltningsforskriften § 15 krever at de offentlige virksomhetene skal basere seg på i sin internkontroll på informasjonssikkerhetsområdet.

Les mer i Nasjonal sikkerhetsmyndighet veileder i sikkerhetslovens krav.

Personopplysningsloven

Personopplysningsloven gjelder for virksomhetenes arbeid med personopplysninger. Lovens formål er å gi vern av fysiske personer i forbindelse med behandling av personopplysninger. Dette er altså en del av statlige virksomheters arbeid.