Hopp til hovedinnhold

Etappe 1 - Hvor er vi? Hvor skal vi?

Ved oppstarten har dere skaffet dere oversikt over virksomheten og rammebetingelser. På denne etappen vil dere finne ut hvordan det står til med styring av informasjonssikkerhet i virksomheten.

Illustrasjon av stien med 7 etapper, der etappe 1 - "Hvor er vi? Hvor skal vi?" - er markert.

Virksomhetsledelsen vil deretter beslutte om de ønsker å gjøre noe for å endre på tingenes tilstand. Dersom det er behov for å gjøre større endringer, sørger de for ressurser til arbeid med dette.

    Visuelt skille mellom steg, med ikon for å vise at neste steg er en etableringsaktivitet

    Analysere status

    Dere vurderer status opp mot gjeldende anbefalinger om struktur og innhold på styringsaktiviteter. Dere ser også styringsaktivitetene i sammenheng med hva dere allerede har på andre områder i virksomheten, slik at dere kan bygge opp mest mulig samordnet og helhetlig styring.

    Analysen vil danne grunnlaget for beslutning om veien videre.

    Det er helt nødvendig å ha denne oversikten over hvordan det står til med styring på informasjonssikkerhetsområdet for å være i stand til å planlegge det videre arbeidet. Den vil gjøre dere i stand til å gi nødvendig informasjon og anbefalinger til virksomhetsledelsen.

    Tips på veien

    • Det er svært viktig at arbeidsgruppen har god forståelse for tilnærmingen som ligger til grunn for Internkontroll i praksis - Informasjonssikkerhet. For at analysen skal være nyttig, må arbeidsgruppen ha satt seg inn i alle hovedaktivitetene – og vite hva som ligger i delaktivitetene de består av.
    • Arbeidsgruppen må ha god innsikt i hvordan styringen av virksomheten foregår i dag.

    Beskrivelse av aktiviteten

    Analysere status

    Visuelt skille mellom steg, med ikon for å vise at neste steg er en etableringsaktivitet

    Plan

    Dere benytter analysen av status til å vurdere og prioritere behov i forbindelse med etablering av det anbefalte settet med styringsaktiviteter. Dere lager en overordnet plan for etablering eller forbedring av styring av informasjonssikkerhet.

    Tips på veien

    • Det er viktig å holde det overordnet. Det vil ikke være hensiktsmessig å planlegge i detalj langt fram i tid.
    • Dere kan benytte prioriteringsinformasjonen fra skjemaet for Analysere status i arbeidet med planen.
    • Dere bør benytte metoder og verktøy for prosjektstyring som dere ellers benytter i virksomheten.
    • Hvilke etableringsaktiviteter dere har behov for, og hva omfanget på dem skal være, kan avhenge av hva dere allerede har på plass og hvordan det står til i dag. Dersom dere ikke har svært god oversikt over dette, så kan dere legge opp til å følge de etableringsaktivitetene som Stifinneren beskriver.

    Beskrivelse av aktiviteten

    Planlegge etablering og forbedring

    Visuelt skille mellom steg, med ikon for å vise at neste steg er en styringsaktivitet

    Virksomhetsledelsens gjennomgang

    På denne etappen handler virksomhetsledelsens gjennomgang om å gå gjennom analysen av status og forslaget til plan sammen med toppleder og virksomhetsledelsen. Virksomhetsledelsen skal ta beslutning om veien videre.

    Dersom planen skal gjennomføres er det behov for ressurser til dette. Alt som skal gjøres i virksomheten behøver ressurser. Ledelsen må sørge for tilstrekkelig finansiering av arbeidet, som står i stil med føringene og ambisjonene for hva som skal oppnås.

    På dette stadiet vil det ofte være snakk om en eller annen form for «etableringsprosjekt», som i en stund fremover kommer til å behøve noe mer ressurser enn arbeidet med informasjonssikkerhet forventes å behøve på sikt.

    Dersom ledelsen er fornøyd med hvordan arbeidet med informasjonssikkerhet foregår i dag, og beslutter å ikke gjøre noe for å forbedre styringen av området, så er dere ferdige her. Det vil ikke ha noen hensikt å gjennomføre de andre etappene.

    Tips på veien

    • Det er viktig at beslutningstakere har god forståelse for hva dette handler om før disse beslutningene tas.
    • Styringsaktivitetene er ledelsens redskap for styring av informasjonssikkerhet. Arbeidsgruppen skal bidra til at toppleder kan ta eierskap til, og ansvar for, arbeidet med informasjonssikkerhet, og bidra til at vedkommende får evne til å styre.
    • Styringsaktivitetene skal gi ledelsen evne til å styre aktivt. Styring av informasjonssikkerhet er ikke noe som i sin helhet kan delegeres til en rolle eller funksjon i virksomheten.
    • Dersom det ikke stilles tilstrekkelig med ressurser til disposisjon for å utføre de delene av planen som ledelsen har fattet vedtak om, så må de blitt gjort oppmerksom på det.
    • Aktivitetsbeskrivelsen det vises til under er generell – laget for all gjennomføring av Virksomhetsledelsens gjennomgang. Denne gangen handler det om analysen av status og beslutning om plan for veien videre.
    • Aktivitetene Virksomhetsledelsens gjennomgang og Sikre finansielle rammer er her beskrevet sammen, ettersom det er snakk om beslutninger det er naturlig å ta samtidig.
    Visuelt skille mellom steg, med ikon for å vise at neste steg er en styringsaktivitet

    Dialog med styrende organ

    Denne aktiviteten gjennomfører dere dersom det er relevant å rapportere styringsinformasjon til overordnet organ.

    Tips på veien

    • En statlig virksomhet vil for eksempel ha behov for å rapportere om status på arbeidet med styring og kontroll, eller gi annen styringsinformasjon til sitt departement.
    • Dere kan planlegge slik at denne aktiviteten er koordinert med etatsstyringsmøte, og at styring av informasjonssikkerhet er på agendaen.
    Visuelt skille før sjekklisten for etappen

    Sjekkliste – etappe 1

    • Vi har sammenliknet våre styringsaktiviteter med gjeldende anbefalinger.
    • Vi har overordnet oversikt over hva vi bør gjøre for å etablere eller forbedre styring av informasjonssikkerhet.
    • Vi har satt styring av informasjonssikkerhet i sammenheng med styring av andre områder i virksomheten.
    • Toppleder og virksomhetsledelsen forstår sitt ansvar og virksomhetens behov. De har tatt beslutning om en overordnet plan for videre arbeid.
    • Vi har ressurser til å gjennomføre første del av planen.
    • Vi har rapportert styringsinformasjon til overordnet organ (f.eks. departement / kommunestyre).

    Neste etappe

    Når dere kan svare tilfredsstillende på punktene i sjekklisten er dere klare for andre etappe.

    Har du kommentarer eller spørsmål? Ta kontakt!

    Kompetansemiljø for informasjonssikkerhet