Oppfølging av informasjonssikkerhet

Hvordan bør informasjonssikkerhet følges opp i styringsdialogen?

Informasjonssikkerhet er et av mange områder etatsstyrer må følge opp i dialog med underliggende virksomhet. Dialogens form og innhold skal, på samme måte som annen etatsstyring, tilpasses egenart, risiko og vesentlighet.

Dialogen om informasjonssikkerhet bør inngå i den ordinære styringsdialogen. Det vil si at den bør inkluderes i instruksen, tildelingsbrevet, årsrapporten og etatsstyringsmøtene.

Eksempler på hvordan vi kan bruke de ulike arenaene:

  • årsrapport: omtale informasjonssikkerhet som en del av statusrapporten for styring og kontroll i del IV, se veiledning om årsrapport
  • tildelingsbrev: fastsette føringer for informasjonssikkerhet eller spesifikke rapporteringskrav
  • etatsstyringsmøter: utdype krav og rapporteringspunkter
  • instruks: sette generelle krav til styring og kontroll og sette eventuelle utdypende krav til informasjonssikkerhet

På regjeringen.no finner du eksempler på hvordan andre har gjort dette i tildelingsbrev, instrukser og årsrapporter.

Hvordan bør etatsstyrer gå fram?

Oppfølging på riktig nivå 

Generelt bør departementet basere sin oppfølging av informasjonssikkerhet på virksomhetens egne styrings- og kontrollsystemer. Ved å vurdere virksomhetens risikovurderinger og internkontrollsystem kan etatsstyreren danne seg et bilde og få tillit til den underliggende virksomhetens arbeid med informasjonssikkerhet. 

Det kan også være aktuelt at departementet som forberedelser til styringsdialogen gjør egne risikovurderinger basert på sin kjennskap til virksomhetens egenart. Disse vurderingene kan være grunnlag for dialogen.

Formålet er å sikre departementet tilstrekkelig innsikt i virksomhetens systematiske arbeid på området. På den måten etableres en tillit til at virksomhetslederen følger opp og har aktiviteter for styring og kontroll der informasjonssikkerhet er en del av den helhetlige virksomhetsstyringen.

En etatsstyrer skal ikke ha kontroll på alt arbeidet med informasjonssikkerhet i underliggende virksomhet, men forsikre seg om at virksomheten har kontroll. Dialogverktøyet kan hjelpe med dette. Utgangspunktet er virksomhetens systemer for internkontroll og risikovurderinger. Etatsstyrer må vurdere i hvilken grad arbeidet med informasjonssikkerhet er godt integrert i disse.

Særskilt oppfølging og dialog

I gjennomgangen av virksomhetens styring og kontroll kan etatsstyrer enkelte ganger avdekke at det er behov for å gå dypere inn i virksomhetens arbeid og følge opp enkelte forhold spesielt.

I noen tilfeller kan det oppstå behov for en særskilt oppfølging eller en tettere og mer detaljert dialog om informasjonssikkerhet, for eksempel i fagmøter eller i kvartals- og tertialrapportering. Det kan benyttes for å få fram status for pågående tiltak eller prosjekter. Eksempler på slike tilfeller kan være

  • store eller spesielt viktige digitaliseringsprosjekter
  • virksomheter med lav modenhet på styring og kontroll eller kjennskap til vesentlige mangler eller svakheter
  • avvik og merknader fra Riksrevisjonen, Nasjonal sikkerhetsmyndighet eller sektortilsyn
  • sektorregelverk, for eksempel kraftberedskapsforskriften og ekomloven
  • alvorlige hendelser

Kompetanse om informasjonssikkerhet

Egenart og risiko- og vesentlighetsvurderingene kan også ha betydning for hvilken kompetanse departementene og virksomheten selv bør sitte inne med på området.

Dialogverktøyet gir mer informasjon om hvilke forhold det er aktuelt å vurdere i en grundigere gjennomgang av informasjonssikkerheten i virksomheten. Jo dypere du graver i virksomhetens arbeid med informasjonssikkerhet, desto større blir behovet for spesialkompetanse. Det vil da være naturlig at etatsstyrer støtter seg på og samarbeider med dem som har spesialkompetanse på området.

Aktiviteter og tiltak

For å få informasjonssikkerheten opp på et tilstrekkelig nivå må en virksomhet arbeide på ulike områder og iverksette ulike aktiviteter og tiltak.

Noen eksempler på aktiviteter og tiltak:

  • gjøre overordnende vurderinger av risiko, status og utfordringer
  • arbeide med styring og kontroll basert på gjeldende anbefalinger (for eksempel benytte Digitaliseringsdirektoratets veiledning og basere seg på internasjonal standard ISO/IEC 27001)
  • gjennomføre systematiske aktiviteter for styring og kontroll
  • etablere og forvalte sikkerhetstiltak (for eksempel basert på Nasjonal sikkerhetsmyndighets grunnprinsipper for IKT-sikkerhet og andre tiltaksbanker)
  • å sjekke at relevante regelverk blir fulgt

Som etatsstyrer kan du undersøke hvordan virksomhetene arbeider med aktivitetene og områdene i punktlisten over. Når det gjelder de to første punktene, kan du sette deg inn i virksomhetenes arbeid ved hjelp av dialogverktøyet og andre veiledere og innføringer i internkontroll. Du trenger ikke spesialkompetanse. For de resterende punktene vil det være nødvendig med noe fagkompetanse innen informasjonssikkerhet.

Mer informasjon og veiledning

For mer utfyllende informasjon om etatsstyring viser vi til veileder i etatsstyring fra Finansdepartementet og til generell veiledning om etatsstyring og økonomiregelverket på dfo.no.

Skal du sette i gang et større digitaliseringsprosjekt eller et annet prosjekt der informasjonssikkerheten er et vesentlig element? Les utredningsinstruksen og veiledning til denne på dfo.no.

Oppdatert: 18. mars 2022

Miniveileder om oppfølging av informasjonssikkerhet i styringsdialogen

Om veilederen

Hvem bør lese denne veilederen?

Hva kan du bruke veilederen til?

Hva og hvorfor er det viktig?

Risikostyring av informasjonssikkerhet

Sikre informasjonsbehandling

Konfidensialitet, integritet og tilgjengelighet

Hvorfor jobbe med informasjonssikkerhet?

Følger av utilstrekkelig informasjonssikkerhet

Hvordan bør virksomheten arbeide med styring og kontroll av informasjonssikkerhet?

Systematiske aktiviteter

Ledelsens styring og oppfølging

Helhetlig styring og kontroll

Hvilke krav gjelder på området?

Lover og forskrifter

Krav til informasjonssikkerhet

Oppfølging av informasjonssikkerhet

Hvordan bør informasjonssikkerhet følges opp i styringsdialogen?

Hvordan bør etatsstyrer gå fram?

Oppfølging på riktig nivå 

Særskilt oppfølging og dialog

Kompetanse om informasjonssikkerhet

Aktiviteter og tiltak

Mer informasjon og veiledning

Dialogverktøy

Begrepsforståelse

Informasjonssikkerhet

Digital sikkerhet, cybersikkerhet og IKT-sikkerhet

Styringsaktiviteter og sikkerhetstiltak

Risikostyring og internkontroll

Krav i regelverk

Økonomiregelverket

Bestemmelser om økonomistyring i staten 

Forvaltningsloven og eForvaltningsforskriften

Arkivloven

Sikkerhetsloven

Personopplysningsloven

Skriv ut / lag pdf av veileder

Fant du det du lette etter?

Det beklager vi!

Hva lette du etter? Bruk gjerne stikkord