Etappe 5 - Hovedsaken
Dere har etablert føringer for hvordan ting skal fungere hos dere og fått ressurser til å få dette på plass i hele virksomheten. Forrige etappe handlet om å etablere en del ting som dere har bruk for. På denne etappen skal dere gjennomføre noen av de viktigste styringsaktivitetene rundt omkring i hele virksomheten.
Dere kan se på det som første tur gjennom aktiviteter som etter hvert vil bli en del av det regelmessige arbeidet.
Risikoeiere rundt omkring i virksomheten har ansvaret for gjennomføringen av flere av aktivitetene. Det er viktig at de har god støtte i gjennomføringen, slik at arbeidet etter hvert vil bli en naturlig del av deres ansvarsområde. Dette kan være en krevende og tung etappe, spesielt første gang disse aktivitetene skal gjennomføres, og det er viktig å ikke undervurdere behovet for støtte og hjelp til de som har ansvaret.
Sammen skal dere skaffe dere mer detaljert oversikt over virksomhetens oppgaver og tjenester, informasjonstyper som behandles, regelverk som gir føringer for det dere gjør, og trusler og farer som kan påvirke oppgaver og tjenester. Dere skal vurdere behov for grundigere vurdering av risiko, og dere skal prioritere ressursbruken i arbeidet med dette. Dere skal ta viktige beslutninger og håndtere risiko.
I arbeidet med å håndtere risiko skal dere også vedlikeholde fellessikringen. Det kan likevel hende dere fortsatt jobber med å etablere den, parallelt med denne etappen.
Dere skal også avdekke og beskrive behov for kompetanse hos de som gjennomfører virksomhetens ulike oppgaver og leverer tjenestene, og begynne å sørge for at denne er tilstrekkelig.
Dere må forvente at ressursbruken ved gjennomføring av disse aktivitetene er mye høyere enn den vil være senere. På denne etappen vil dere begynne å legge grunnlaget for mer effektiv gjennomføring i fremtiden.
Kommunisere viktighet
På dette tidspunktet bør toppleder og resten av virksomhetsledelsen ha en god forståelse av hvilken betydning informasjonssikkerhet har for evnen til å utføre oppgaver og levere tjenester – betydningen for virksomhetens måloppnåelse.
De har fattet beslutninger om hvordan ting skal fungere hos dere. Dette er én del av hvordan de ønsker at virksomheten skal styres.
Det er viktig at toppleder kommuniserer sine forventninger til organisasjonen, og er tydelig på hva som er viktig og hva som er prioritert. Det er akkurat som alle andre ting som skal gjennomføres i en organisasjon: Det som er viktig og prioritert blir gjort.
Tips på veien
-
Slik kommunikasjon bør skje gjentatte ganger, på ulike måter og på ulike nivåer i organisasjonen.
-
Det vil som minimum være fornuftig å benytte de kanalene ledelsen ellers benytter til å kommunisere prioriteringer og få ting til å skje i organisasjonen.
-
Kommunikasjonen må komme fra toppen og fra de som ellers har ansvaret for å styre hele eller deler av virksomheten. Den kan ikke komme fra fagansvarlig informasjonssikkerhet eller andre støttefunksjoner.
-
Å kun publisere et policy-dokument på intranettet er svært lite egnet til å kommunisere hva som er viktig og hvordan arbeidet er prioritert.
-
Det er spesielt viktig at toppleder tydelig kommuniserer sine forventninger til de som rapporterer direkte til vedkommende – at det som er viktig kommer til å bli fulgt opp, og at det er forventet at de skal ha oversikt og kunne redegjøre for hvordan det går innen deres respektive ansvarsområder.
Beskrivelse av aktiviteten
Vurdering av risiko del 1 – Oversikt og prioritering
Dere testet kanskje ut noe av dette i noen enheter i virksomheten i etappe 3. Nå skal det gjøres i alle enheter i hele organisasjonen.
Denne aktiviteten starter med å skaffe tilstrekkelig oversikt over virksomhetens oppgaver og tjenester, informasjonsbehandlingen i disse, og hvor store konsekvensene kan bli ved informasjonssikkerhetsbrudd.
Risikoeierne skal skaffe seg, og vedlikeholde, oversikt over sitt ansvarsområde. De må gjøre en overordnet vurdering av hvor store konsekvensene kan bli ved informasjonssikkerhetsbrudd. De må ha kunnskap om hvilke trusler, farer og sårbarheter de må være spesielt oppmerksomme på.
Oversikten gjør risikoeiere i stand til å gruppere ting, eller dele opp ansvarsområdet sitt i hensiktsmessige deler, og bestemme seg for hvordan arbeidet med informasjonssikkerhet skal prioriteres. Det handler spesielt om å vurdere hvor det er behov for grundigere vurdering og håndtering av risiko.
For mange virksomheter vil det være hensiktsmessig å ha en samlet oversikt over oppgaver og tjenester, informasjonsbehandlingen i disse, og hvilken betydning de har.
Dere kan bygge opp en slik samlet oversikt på to ulike måter:
-
Den samlede oversikten kan bygges opp gradvis etter hvert som aktiviteten gjennomføres i stadig flere organisatoriske enheter.
-
En arbeidsgruppe kan jobbe seg gjennom alle enheter i organisasjonen, og bygge opp et felles grunnlag.
Regelverk bør også analyseres nærmere for å identifisere krav til spesifikke sikkerhetstiltak som må etableres for å etterleve dem. Dette arbeidet kan også gjøres for hele virksomheten, slik at den enkelte risikoeier kan basere seg på det i sitt arbeid.
Dersom dere allerede har oversikt bør dere basere det på det dere allerede har, i stedet for å starte en ny runde med kartlegging fra bunnen av.
Tips på veien
-
De erfaringene og resultatene dere tok med dere fra etappe 3 kan dere gjenbruke og bygge videre på nå.
-
En samlet oversikt over virksomhetens oppgaver og tjenester som risikoeiere kan basere seg på vil gjøre arbeidet med kartleggingen i den enkelte enhet mindre tidkrevende.
-
Ved å lære opp prosessledere som så bistår de enkelte risikoeiere i gjennomføringen vil dere sørge for kompetanseoverføring, slik at risikoeierne på sikt kan gjennomføre aktivitetene på egenhånd.
-
Oversikten over oppgaver, tjenester og informasjonsbehandling som opprettes i denne aktiviteten kan gjerne brukes som utgangspunkt for videre arbeid med personvern, beskyttelse av skjermingsverdige verdier iht. sikkerhetsloven, og deling av data.
-
Ved å etablere en felles oversikt i virksomheten over eksterne krav til etablering av spesifikke sikkerhetstiltak kan man bygge disse sikkerhetstiltakene inn i fellessikringen, og slik gjøre det lettere for hele virksomheten å oppfylle kravene.
-
Dette vil være aktiviteter som gjentas jevnlig. Etter hvert som styringsaktivitetene får satt seg, vil det imidlertid kreve vesentlig mindre tid å gjennomføre enn det vil gjøre denne første gangen. Når denne aktiviteten gjentas senere, vil det i hovedsak innebære å gå gjennom det arbeidet som dere gjør nå, og vurdere om det har skjedd endringer som gjør at dere må oppdatere oversikter eller vurderinger.
Beskrivelse av aktivitetene
Vurdering av risiko - Ha oversikt og prioritere
Identifisere typiske oppgave- og informasjonstyper
Felles analyse av eksterne krav
Dette kan også være nyttig
Vurdering av risiko del 2 – Planlegge og gjennomføre risikovurdering
I forrige steg gjorde dere en vurdering av hvor det var størst behov for å bruke ressurser på grundigere vurdering av risiko. I dette steget skal dette arbeidet planlegges og gjennomføres. Alle risikoeiere må gjennomføre dette for sitt ansvarsområde.
Gjennomføringen av dette vil i de fleste tilfeller være mest arbeidskrevende denne første gangen. Etter hvert vil det ofte være tilstrekkelig å vurdere om det har skjedd endringer som påvirker vurderingene. For eksempel ny kunnskap om sårbarheter, hvilke hendelser som kan inntreffe, eller hvilke konsekvenser som kan oppstå.
Tips på veien
- Det er viktig at personer som kjenner fagområdet og de aktuelle oppgavene og tjenestene godt deltar i vurderingen av risiko.
- Noen risikoeiere vil trenge støtte fra prosessledere eller fagansvarlig informasjonssikkerhet. Noen risikoeiere vil kunne ha behov for å etablere en arbeidsgruppe for gjennomføringen.
- Det vil også være hensiktsmessig å hente inn støtte fra ulike fagmiljøer i virksomheten deres, for eksempel IT. De kan bidra med fagkunnskap som vil øke kvaliteten på en del vurderinger.
- Selv om det er etablert en arbeidsgruppe for gjennomføringen, er det viktig at risikoeier er involvert. Det er risikoeier som skal ta beslutninger basert på de vurderingene som gjøres.
- Aktivitetsbeskrivelsen viser til en fremgangsmåte som kan benyttes. Dersom virksomheten har erfaring med metoder som fungerer godt, så kan de benyttes. Dere bør ha satt dere godt inn i risikomodeller og risikoforståelse i forbindelse med utarbeidelse av føringene for aktiviteten.
Beskrivelse av aktivitetene
Vurdering av risiko - Planlegge risikovurdering
Vurdering av risiko - Gjennomføre risikovurdering
Dette kan også være nyttig
Håndtering av risiko
Dette handler om å håndtere risiko som ble beskrevet i forrige steg.
Informasjonen de får fra vurderingen av risiko skal gjøre risikoeiere i stand til å ta gode beslutninger om håndtering av risiko. Å ta beslutninger om hvordan risiko skal håndteres, og prioritere ressursbruken på dette, er en av risikoeiernes viktigste oppgaver.
Det videre arbeidet med å iverksette disse beslutningene vil kunne pågå over lengere tid, parallelt med at dere gjennomfører de andre etappene. Det vil for eksempel kunne ta tid å legge om arbeidsprosesser for å unngå risiko. Det kan være tid- og ressurskrevende å etablere alle nødvendige sikkerhetstiltak for å redusere risiko.
Tips på veien
-
Husk å vurdere alle mulige måter å håndtere risiko på. Kanskje er ikke alltid sikkerhetstiltak for å redusere risiko det beste.
-
Husk å tenke på at nødvendige ressurser må stilles til disposisjon når det tas beslutninger om å etablere sikkerhetstiltak.
-
Risikoeier vil som regel ha myndighet til å beslutte hvordan risiko opp til et visst nivå skal håndteres, og en ramme for hva som kan finansieres på eget budsjett. Det vil kunne være behov for å løfte disse tingen gjennom linjen, for å få godkjent håndtering og finansiering på et høyere nivå.
Beskrivelse av aktiviteten
Dette kan også være nyttig
Ledelsens styring og oppfølging - Løfte og håndtere problemstillinger gjennom linjen
Kompetanse- og kulturutvikling
På tidligere etapper har dere gjennomført grunnopplæring for de som har sentrale roller i styringsaktivitetene. Dette må selvfølgelig vedlikeholdes og følges opp.
Kompetanseheving eller kulturutvikling i resten av organisasjonen er også viktig. Dere må sørge for kompetanse hos de som gjennomfører virksomhetens ulike oppgaver og jobber med å levere tjenester. Hvilken kompetanse det er snakk om vil variere mye, avhengig av hva det er virksomheten driver med.
Kompetansebehovene må følges opp, slik at alle som jobber med virksomhetens oppgaver og tjenester har tilstrekkelig kompetanse.
Tips på veien
- Legg svært stor vekt på at kompetanseutvikling er tilpasset det de ansatte driver med. Hva har de behov for, slik at de kan utføre arbeidsoppgavene sine på en god måte, med tilstrekkelig informasjonssikkerhet?
- Tenk gjennom om det i ulike sammenhenger er snakk om de ansattes kompetanse, eller om det kanskje handler like mye om tilpasning av hvordan oppgavene utføres, eller hvilken støtte de ansatte får fra de digitale systemene de jobber med.
Beskrivelse av aktiviteten
Kompetanse- og kulturutvikling
Dette kan også være nyttig
Kompetansebeskrivelser - Roller innen styring og kontroll av informasjonssikkerhet
Sjekkliste – etappe 5
-
Toppleder har tydelige forventninger til de som rapporterer direkte til seg.
-
Virksomhetsledelsen har tydelige forventninger til organisasjonen, og arbeidet med informasjonssikkerhet har tilstrekkelig prioritet.
-
Alle risikoeiere i alle enheter i virksomheten har oversikt over sine ansvarsområder og er i stand til å prioritere ressursinnsatsen.
-
Det er planlagt og gjennomført vurdering og håndtering av risiko i alle enheter.
-
Vi har god oversikt over behovet for sikkerhetstiltak og ser det i sammenheng med innholdet i fellessikringen.
-
Vi har startet arbeid med kompetanse- og kulturutvikling for ulike roller i virksomheten, og opplæring er tilpasset de oppgavene de har eller tjenestene de leverer.
Neste etappe
Når dere kan svare tilfredsstillende på punktene i sjekklisten er dere klare for sjette etappe.