Hvordan bør informasjonssikkerhet følges opp i styringsdialogen?
Informasjonssikkerhet er et av mange områder etatsstyrer må følge opp i dialog med underliggende virksomhet. Dialogens form og innhold skal, på samme måte som annen etatsstyring, tilpasses egenart, risiko og vesentlighet.
Dialogen om informasjonssikkerhet bør inngå i den ordinære styringsdialogen. Det vil si at den bør inkluderes i instruksen, tildelingsbrevet, årsrapporten og etatsstyringsmøtene.
Eksempler på hvordan vi kan bruke de ulike arenaene:
- årsrapport: omtale informasjonssikkerhet som en del av statusrapporten for styring og kontroll i del IV, se veiledning om årsrapport
- tildelingsbrev: fastsette føringer for informasjonssikkerhet eller spesifikke rapporteringskrav
- etatsstyringsmøter: utdype krav og rapporteringspunkter
- instruks: sette generelle krav til styring og kontroll og sette eventuelle utdypende krav til informasjonssikkerhet
På regjeringen.no finner du eksempler på hvordan andre har gjort dette i tildelingsbrev, instrukser og årsrapporter.
Hvordan bør etatsstyrer gå fram?
Oppfølging på riktig nivå
Generelt bør departementet basere sin oppfølging av informasjonssikkerhet på virksomhetens egne styrings- og kontrollsystemer. Ved å vurdere virksomhetens risikovurderinger og internkontrollsystem kan etatsstyreren danne seg et bilde og få tillit til den underliggende virksomhetens arbeid med informasjonssikkerhet.
Det kan også være aktuelt at departementet som forberedelser til styringsdialogen gjør egne risikovurderinger basert på sin kjennskap til virksomhetens egenart. Disse vurderingene kan være grunnlag for dialogen.
Formålet er å sikre departementet tilstrekkelig innsikt i virksomhetens systematiske arbeid på området. På den måten etableres en tillit til at virksomhetslederen følger opp og har aktiviteter for styring og kontroll der informasjonssikkerhet er en del av den helhetlige virksomhetsstyringen.
En etatsstyrer skal ikke ha kontroll på alt arbeidet med informasjonssikkerhet i underliggende virksomhet, men forsikre seg om at virksomheten har kontroll. Dialogverktøyet kan hjelpe med dette. Utgangspunktet er virksomhetens systemer for internkontroll og risikovurderinger. Etatsstyrer må vurdere i hvilken grad arbeidet med informasjonssikkerhet er godt integrert i disse.
Særskilt oppfølging og dialog
I gjennomgangen av virksomhetens styring og kontroll kan etatsstyrer enkelte ganger avdekke at det er behov for å gå dypere inn i virksomhetens arbeid og følge opp enkelte forhold spesielt.
I noen tilfeller kan det oppstå behov for en særskilt oppfølging eller en tettere og mer detaljert dialog om informasjonssikkerhet, for eksempel i fagmøter eller i kvartals- og tertialrapportering. Det kan benyttes for å få fram status for pågående tiltak eller prosjekter. Eksempler på slike tilfeller kan være
- store eller spesielt viktige digitaliseringsprosjekter
- virksomheter med lav modenhet på styring og kontroll eller kjennskap til vesentlige mangler eller svakheter
- avvik og merknader fra Riksrevisjonen, Nasjonal sikkerhetsmyndighet eller sektortilsyn
- sektorregelverk, for eksempel kraftberedskapsforskriften og ekomloven
- alvorlige hendelser
Kompetanse om informasjonssikkerhet
Egenart og risiko- og vesentlighetsvurderingene kan også ha betydning for hvilken kompetanse departementene og virksomheten selv bør sitte inne med på området.
Dialogverktøyet gir mer informasjon om hvilke forhold det er aktuelt å vurdere i en grundigere gjennomgang av informasjonssikkerheten i virksomheten. Jo dypere du graver i virksomhetens arbeid med informasjonssikkerhet, desto større blir behovet for spesialkompetanse. Det vil da være naturlig at etatsstyrer støtter seg på og samarbeider med dem som har spesialkompetanse på området.
Aktiviteter og tiltak
For å få informasjonssikkerheten opp på et tilstrekkelig nivå må
en virksomhet arbeide på ulike områder og iverksette ulike
aktiviteter og tiltak.
Noen eksempler på aktiviteter og tiltak:
- gjøre overordnende vurderinger av risiko, status og utfordringer
- arbeide med styring og kontroll basert på gjeldende anbefalinger (for eksempel benytte Digitaliseringsdirektoratets veiledning og basere seg på internasjonal standard ISO/IEC 27001)
- gjennomføre systematiske aktiviteter for styring og kontroll
- etablere og forvalte sikkerhetstiltak (for eksempel basert på Nasjonal sikkerhetsmyndighets grunnprinsipper for IKT-sikkerhet og andre tiltaksbanker)
- å sjekke at relevante regelverk blir fulgt
Som etatsstyrer kan du undersøke hvordan virksomhetene arbeider med aktivitetene og områdene i punktlisten over. Når det gjelder de to første punktene, kan du sette deg inn i virksomhetenes arbeid ved hjelp av dialogverktøyet og andre veiledere og innføringer i internkontroll. Du trenger ikke spesialkompetanse. For de resterende punktene vil det være nødvendig med noe fagkompetanse innen informasjonssikkerhet.
Mer informasjon og veiledning
For mer utfyllende informasjon om etatsstyring viser vi til veileder i etatsstyring fra Finansdepartementet og til generell veiledning om etatsstyring og økonomiregelverket på dfo.no.
Skal du sette i gang et større digitaliseringsprosjekt eller et annet prosjekt der informasjonssikkerheten er et vesentlig element? Les utredningsinstruksen og veiledning til denne på dfo.no.