Fellestrekk for styring og kontroll
Det er noen grunnleggende aspekter ved styring og kontroll som er felles for flere fagområder. Ved å se sammenhengen mellom ulike fagområder, kan virksomheten jobbe målrettet, effektivt og koordinert med styring og kontroll.
Uavhengig av om man jobber med økonomistyring, informasjonssikkerhet, personvern, nasjonal sikkerhet eller HMS, vil aktivitetene som gjennomføres for å ha styring og kontroll være ganske like. De som jobber helhetlig, tar utgangspunkt i den samme strukturen når de bygger styring og kontroll på ulike områder. Om denne styringen omtales som styringssystem, internkontroll, sikkerhetsstyring eller noe annet er av mindre betydning. Målet er å oppnå god styring og kontroll, og tilstrekkelig eller forsvarlig sikkerhet.
Her går vi gjennom disse grunnleggende aspektene, med fokus på informasjonssikkerhet.
Fellestrekkene gjør at det er mulig å bygge på eller dra nytte av godt arbeid på et område, og slik forbedre arbeidet på andre områder. Dersom du følger DFØ sin veileder på internkontroll, er du på god vei til å oppfylle NSM sine krav til sikkerhetsstyring. Dersom du jobber godt med personvern, er det større sjanse til å lykkes med risikostyring også på andre områder. Følger du Digitaliseringsdirektoratets veiledning om internkontroll for informasjonssikkerhet, vil du ha et godt utgangspunkt for det systematiske arbeidet på andre områder.
Ledelsen må lede an
Virksomhetsledelsen har det overordnede ansvaret for at arbeidet med informasjonssikkerhet gjennomføres på en hensiktsmessig måte. Dette innebærer både å sørge for at styringsaktivitetene blir etablert, og å følge opp slik at de gjennomføres på en god måte. Slik blir styringsaktivitetene ledelsens redskap for å sikre tilstrekkelig og forsvarlig sikkerhet.
I tillegg må ledelsen sørge for at det er tilstrekkelig med ressurser og støtte til virksomheten, slik at arbeidet kan gjennomføres på en god måte.
Ha tydelige roller og ansvar
Det må være en hensiktsmessig organisering av arbeidet med informasjonssikkerhet, og det er viktig at roller og ansvar er klart beskrevet og formidlet til dem det gjelder.
Linjeledere og andre med operativt ansvar må kjenne sin rolle, og vite hva som ligger i den. Det er gjerne disse som kjenner risikoene knyttet til sitt område best, og vurderer og håndterer risiko på sitt område, og innenfor de prosessene vedkommende har ansvaret for. Dette risikoeierskapet er som regel ikke knyttet til ulike typer risikoer eller internkontrollområder. Samme person skal forstå, vurdere og ta beslutninger om risiko innen ulike områder – for eksempel informasjonssikkerhet, personvern, HMS, økonomi, etc.
Jobb systematisk
Styring og kontroll gjør det mulig for virksomheten å oppnå tilstrekkelig eller hensiktsmessig sikkerhet, slik at virksomheten når sine mål. Felles for alle regelverk og veiledning som omhandler styring og kontroll er at dette handler om en prosess, eller et sett med systematiske aktiviteter, som er nødvendige for å oppnå og opprettholde tilstrekkelig sikkerhet.
Det systematiske arbeidet gjennomføres på ulike områder og nivåer i virksomheten, og det er ulike roller som er ansvarlige for de ulike aktivitetene.
Jobb risikobasert
For å oppnå god virksomhetsstyring er det avgjørende å vurdere og håndtere risiko på en god måte. Styring og kontroll av informasjonssikkerhet er en del av risikostyringen i en virksomhet. Dette arbeidet må tilpasses virksomhetens egenart, risiko og vesentlighet. Dette innebærer blant annet at omfanget av og innretningen på styringsaktivitetene må stå i forhold til virksomhetens oppgaver og behov, og at sikkerhetstiltak som etableres må stå i forhold til den risikoen som skal håndteres.
De fleste regelverk som inneholder føringer for arbeidet med informasjonssikkerhet legger opp til slik risikobasert innretning. Det betyr at ansvaret for å finne ut hva virksomheten har behov for legges til den enkelte virksomhet. Noen ganger inneholder regelverk minimumskrav til sikkerhetstiltak som skal være på plass uavhengig av virksomhetens egne vurderinger. Slike minimumskrav er som regel et supplement til den risikobaserte tilnærmingen, for å ivareta minimumsbehov på tvers av virksomheter.
Dersom en virksomhet skal lykkes med å jobbe risikobasert er det behov for ulike typer kompetanse. Det er nødvendig med gode føringer for å forstå, vurdere og håndtere risiko – og det må finnes gode, anvendbare kriterier for å akseptere risiko.
Bygg riktig kompetanse og en god kultur
En forutsetning for arbeid med styring og kontroll er å bygge riktig kompetanse, og en sterk sikkerhetskultur. Alle – fra toppleder til den enkelte ansatte – har ansvar for informasjonssikkerhet i en virksomhet, og det er viktig at de ansatte forstår dette ansvaret. Dette gjøres ved tydelig opplæring og bevisstgjøring. Ansatte må vite hva de skal gjøre, hvordan de skal gjøre det og hvor de finner informasjon de måtte trenge. Men viktigst av alt må de forstå hvorfor dette er viktig for dem i deres arbeidshverdag.
Det vil være noe ulik kompetanse som er nødvendig for ulike områder innen styring og kontroll. Likheten ligger imidlertid i at man må se arbeidet i sammenheng med de arbeidsoppgaver som utføres, den informasjonen man forvalter, og de målsetningene virksomheten har.
Det er viktig at de ansatte har tilstrekkelig støtte til å utføre sine oppgaver, og at det jobbes med en sikkerhetskultur som understøtter den målsetningen man har med arbeidet med informasjonssikkerhet.
Gjennomfør ledelsens gjennomgang
Øverste ledelse spiller en sentral rolle i arbeidet med informasjonssikkerhet, og må ha et aktivt forhold til hvordan det systematiske arbeidet utføres. I alle ISOs styringssystemstandarder er det en egen aktivitet for å følge opp, forbedre og effektivisere styringssystematikken, gjerne kalt ledelsens gjennomgang.
Formålet med gjennomgangen er å vurdere status på virksomhetens arbeid med informasjonssikkerhet, og resultatet av gjennomgangen er beslutninger knyttet til kontinuerlig forbedring, og andre behov for endringer av det systematiske arbeidet.
Gjennomfør evalueringer
Arbeidet med styring og kontroll i virksomheten bør jevnlig evalueres – enten helheten, eller ulike deler. Slike evalueringer bør inkludere både styringsaktivitetene og sikkerhetstiltak som er iverksatt.
Evalueringen kan for eksempel kartlegge om det systematiske arbeidet med informasjonssikkerhet:
- gjennomføres i henhold til de føringer som er satt
- er hensiktsmessig organisert
- er kostnadseffektivt
En internrevisjon er en form for evaluering.
Sørg for kontinuerlig forbedring
God styring og kontroll bygges over tid. Kontinuerlig forbedring handler om regelmessig og systematisk oppfølging, slik at svakheter og feil i styringsaktiviteter og sikkerhetstiltak korrigeres. Det handler også om å benytte ulike kilder til informasjon om eget arbeid til å forbedre det. I tillegg handler det i stor grad om å gjøre arbeidet mer effektivt, slik at man får mest mulig ut av de ressursene som brukes.
Informasjonskilder som ofte benyttes til forbedring av arbeidet med informasjonssikkerhet:
- Evalueringer av ulike deler av arbeidet
- Analyser etter sikkerhetshendelser
- Øvelser
- Ulike typer testing av sikkerheten eller sikkerhetstiltakene
- Avvikssystem
- Internrevisjon
Veiledning om styring og kontroll
En rekke offentlige aktører veileder på områder som er relevant for styring og kontroll av informasjonssikkerhet. Her finner du pekere til veiledning i virksomhetsstyring/internkontroll i stat og kommune, internkontroll for informasjonssikkerhet, personvern og sikkerhetsstyring etter sikkerhetsloven.