Dere har analysert status for styring av informasjonssikkerhet hos dere og etablert en plan for arbeid med å styrke styringen. På denne etappen skal dere finne ut hvordan ting skal fungere hos dere.
Det handler blant annet om
innhold i styringsaktivitetene
hvem som skal ha ansvar for hva
delegering av myndighet til roller som skal ta ulike beslutninger
hvordan disse beslutningene skal tas
finansiering av det som skal gjøres
Dere dokumenterer føringene i policy og retningslinjer, og legger til rette for at dere kan dokumentere beslutninger og andre deler av styringen i tiden fremover.
Føringer
I denne aktiviteten skal struktur og innhold i styringsaktivitetene beskrives. Dere finner ut hvem som skal gjøre hva, og skriver ned føringer for hvordan det skal gjøres.
Føringene dokumenteres på en hensiktsmessig måte, slik at de
fungerer som oppslagsverk, hvor man kan sette seg inn i dem
fungerer som samfunnsdokumentasjon (arkivplikt)
ved behov kan gi eksterne interessenter informasjon om hvordan ting fungerer hos dere
Tips på veien
Dette er virksomhetsledelsens føringer for hvordan styringen av virksomheten skal fungere. De må være aktivt involvert i utformingen.
Struktur og innhold i styringsaktivitetene som beskrives i Digitaliseringsdirektoratets veiledning er offisiell anbefaling til forvaltningen.
En vesentlig del av føringene for hvordan ting skal fungere handler om delegering av myndighet til ulike roller. Legg spesielt merke til delegering av ansvar for å styre risiko for virksomhetens oppgaver og tjenester, og hvordan noen beslutninger likevel skal tas av andre roller, med utvidet myndighet. Det kan for eksempel være slik at beslutning om aksept av svært høy risiko skal tas av toppleder. Aktiviteten Delegere og følge opp gjennom linjen er derfor inkludert her.
Virksomhetsledelsen må ta en beslutning om at føringene er gode nok til at de kan testes ut, og at slik utprøving skal gjennomføres.
Det kan også være behov for å presentere en oppsummering av arbeidet så langt, og skissere veien videre, slik at hele virksomhetsledelsen har god forståelse for hva som skjer, og hva som skal skje i tiden fremover.
Tips på veien
Dette kan være en enkel sak på et ledermøte, men Stifinneren viser til aktiviteten Virksomhetsledelsens gjennomgang for at det skal være tydelig hvor beslutninger om hvordan virksomheten skal styres hører hjemme.
Dette må ikke være en sak som er «til informasjon» til virksomhetsledelsen, eller noe toppleder og ledergruppen bare har en vag idé om hva er. De skal ha vært aktive i utformingen av føringene, slik at det i praksis er enkelt å bestemme seg for å prøve det ut i praksis.
Det er svært viktig å ha, eller tidlig få på plass, en «fagansvarlig informasjonssikkerhet» eller lignende rolle.
Fagansvarlig informasjonssikkerhet skal gi faglig støtte til virksomhetsledelsen i arbeidet med å etablere styringsaktivitetene, og i det videre arbeidet med styring av informasjonssikkerhet.
Tips på veien
Øvrige støttefunksjoner kan etableres på en senere etappe. Etableringsaktiviteten kommer derfor igjen på etappe 4.
Et dokumentasjonsrammeverk gjør at nødvendig dokumentasjon har en fornuftig struktur og er lett tilgjengelig for de som har behov for den.
Det som bør dokumenteres inkluderer føringer i form av policy eller retningslinjer, ulike typer vurderinger som gjøres og beslutninger som blir tatt.
Tips på veien
På dette stadiet bør dere få på plass et minimum, slik at dere kan holde oversikt over og finne igjen dokumentasjonen dere trenger på de neste etappene.
Dersom dere har behov for et stort dokumenthåndteringsprosjekt, så bør dere skille det ut og la det gå parallelt med det videre arbeidet. Unngå at etablering av god styring blir et dokument-prosjekt.
Informasjon kan gjøres tilgjengelig ulike steder, for å dekke ulike behov.
Husk at en offentlig virksomhet må sørge for tilstrekkelig samfunnsdokumentasjon.
