Felles sikkerhet i forvaltningen

Dette er FSIF

Hvem samarbeider?

FSIF er et samarbeid på tvers av stat og kommune. Disse virksomhetene deltar i samarbeidet:

• Datatilsynet
• KS
• Helsedirektoratet
• Direktoratet for forvaltning og økonomistyring (DFØ)
• Nasjonal sikkerhetsmyndighet (NSM)
• Digitaliseringsdirektoratet (Digdir)

Hvorfor samarbeider vi?

Informasjonssikkerhetsbrudd kan få konsekvenser for innbyggere og ansatte, andre virksomheter, samfunnsfunksjoner eller nasjonale sikkerhetsinteresser. Offentlige virksomheters evne til å utføre oppgaver og yte tjenester, og deres økonomi, kan bli påvirket. Svikt på området vil påvirke tilliten til offentlig sektor.

Digital sikkerhet er en vesentlig del av informasjonssikkerhet, og er viktig for personopplysningsvern. Digital sikkerhet er nødvendig for å lykkes med digitalisering og kunne levere tjenester i framtiden.

Offentlige virksomheter og deres ledere har et selvstendig ansvar for å styre risiko for oppgaver og tjenester de har ansvaret for. De har behov for kostnadseffektivt arbeid med dette for alle sine oppgaver og tjenester, inkludert digitale tjenester. Ledelsens redskap er styringsaktiviteter, sikkerhetstiltak og personverntiltak.

FSIF tar utgangspunkt i virksomhetenes selvstendige ansvar, og hvordan tydeligere anbefalinger og samordnet veiledning kan hjelpe dem med å lykkes med å ivareta det ansvaret, og hvordan arbeidet kan bli mer effektivt og mer likt på tvers av virksomhetene.

Det siste er viktig fordi virksomheter skal samarbeide og dele data i sammenhengende tjenester. De er avhengige av at andre virksomheter har tilstrekkelig og forsvarlig informasjonssikkerhet og personopplysningsvern. En hendelse i én virksomhet får konsekvenser for tjenester hos andre virksomheter, og det sviktende leddet kan bryte hele tjenestekjeden. Virksomheter skal samarbeide og samstyre risiko i tjenestekjedene, inkludert informasjonssikkerhet og personopplysningsvern.

Hva skal samarbeidet føre til?

Samarbeidet skal bidra til å utbedre problemene på området. Problemene er beskrevet i Felles sikkerhet i forvaltningen – Del 2 Utfordringsbildet.

Vi skal utvikle ett sett med tydelige anbefalinger om arbeidet med informasjonssikkerhet og personopplysningsvern i offentlige virksomheter. Vi skal sørge for et helhetlig og brukerorientert veiledningstilbud bygget rundt disse anbefalingene. Dette skal bidra til at virksomhetene lykkes med å ha velfungerende styring av informasjonssikkerhet og personopplysningsvern.

FSIF-samarbeidet vil arbeide med ulike tiltak som skal bidra til målsetningene for samarbeidet.

Kommunikasjon

Historien

Felles sikkerhet i forvaltningen (Digdir-notat 2022) er en grunnutredning som beskriver problemområdet og problemene, og peker på mulige løsninger som kan utforskes, og mulige gevinster som kan hentes ut.

Felles plattform for samordnet innsats (2024) er samarbeidets strategidokument. Det gir strategisk oversikt, og beskriver ønsket framtidig situasjon og tiltak som kan gjennomføres for å komme dit.

Obs: grunnutredningen fra 2022 bruker "felles referanseramme" om det som nå kalles "felles anbefalinger".

Prosjektene

Prosjekt 1: Felles Anbefalinger - Styringsaktiviteter

Ved å bygge på det som allerede finnes av anbefalinger og veiledning om styringsaktiviteter skal det lages felles anbefalinger om hvilke styringsaktiviteter offentlige virksomheter bør ha, hva de bør inneholde og hva de skal gi dem evne til å gjøre for å ivareta sine forpliktelser og ha god styring med informasjonssikkerhet og personopplysningsvern.

Prosjektet skal levere felles anbefalinger om styringsaktiviteter for informasjonssikkerhet og personopplysningsvern. Disse skal bli en del av et større sett med felles anbefalinger, slik det er beskrevet i Felles plattform for samordnet innsats.

Ord og uttrykk

Informasjonssikkerhet

Informasjonssikkerhet i offentlige virksomheter handler om å styre risiko når man bruker informasjonssystemer til å utføre oppgaver og levere tjenester. Det inkluderer arbeidet med digital sikkerhet. Det betyr å sikre konfidensialitet, integritet og tilgjengelighet på informasjon i alle former. Det handler om å sikre informasjonssystemene som brukes – inkludert alle digitale systemer og digitale tjenester.

De digitale delene er svært viktige, men informasjonssikkerhetsbrudd skjer også uten at digitale elementer er involvert. For eksempel konfidensialitetsbrudd som følge av at en ansatt bryter taushetsplikt muntlig. Offentlige virksomheter må arbeide helhetlig med informasjonssikkerhet i sine oppgaver og tjenester, for å ivareta mange ulike hensyn.

Personopplysningsvern

Begrepet personopplysningssikkerhet benyttes om å sikre konfidensialitet, integritet og tilgjengelighet på personopplysninger, og er derfor en del av informasjonssikkerhet — men avgrenset til en viss type informasjon. Vi har derfor valgt å bruke begrepet personopplysningsvern inntil videre.
 
Når vi bruker personopplysningsvern i FSIF-samarbeidet, mener vi det en virksomhet må gjøre for å ivareta sine plikter iht. personopplysningsloven (med personvernforordningen) når de behandler personopplysninger i sine oppgaver og tjenester. Virksomhetenes plikter er i all hovedsak å finne i kapittel IV Behandlingsansvarlig og databehandler i personvernforordningen.
Se også artikkelen Hva er personvern? på regjeringen.no.

Krav, anbefalinger og veiledning

FSIF-samarbeidet benytter disse tre begrepene på denne måten:

• Krav er pålegg offentlige virksomheter skal følge. Et krav er alltid hjemlet i et juridisk virkemiddel. Man finner krav i lov, forskrift og rundskrift — eller de er avtalefestede forpliktelser.
• En anbefaling er noe en offentlig virksomhet bør gjøre. Vi kan se på dem som «anbefalte krav». En offentlig virksomhet er ikke pålagt å følge en anbefaling, men bør ha gode grunner til ikke å gjøre det.
• Veiledning er hjelp til å forstå og følge krav og anbefalinger, inkludert praktiske fremgangsmåter som kan benyttes.
  

Jf. hvordan Digitaliseringsrundskrivet skiller mellom krav, anbefalinger og veiledning. Se også artikkel med introduksjon til krav og anbefalinger på digdir.no.