Hopp til hovedinnhold

Ledelsens styring og oppfølging

Ledelsens styring og oppfølging er «hjernen» i internkontrollen. Her legger virksomhetsledelsen føringene for arbeidet med styring av informasjonssikkerhet, og følger opp gjennom den ordinære virksomhetsstyringen.

    Målgruppe

    • Fagansvarlig informasjonssikkerhet
      • hele beskrivelsen
    • Personer som skal forberede eller lede enkeltaktiviteter
      • enkeltaktiviteter avhengig av ansvarsområde
    Forklaringsmodell som viser de syv hovedaktivitetene i internkontrollen: Ledelsens styring og oppfølging, Vurdering av risiko, Håndtering av risiko, Overvåking og hendelseshåndtering, Måling, evaluering og revisjon, Kompetanse- og kulturutvikling og Kommunikasjon. Piler mellom de ulike aktivitetene viser at kommunikasjonen går på tvers og fra og til ledelsens styring og oppfølging. Ledelsens styring og oppfølging er uthevet.

    1. Innledning

    Det er virksomhetsledelsens ansvar å få etablert tilstrekkelig styring og kontroll i virksomheten. Virksomhetsledelsen er avhengig av tilstrekkelig styring på informasjonssikkerhetsområdet, for å lede virksomheten på en god måte. Det oppnår de gjennom etablering og oppfølging av et systematisk arbeid med styring av informasjonssikkerhet i hele virksomheten.

    Virksomhetsledelsens viktigste rolle er å

    • få gjennomført nødvendige etableringsaktiviteter i virksomheten
    • gi de overordnede føringene for det kontinuerlige arbeidet
    • sørge for at virksomheten har nødvendige ressurser
    • følge opp at føringer blir etterlevd og fungerer som forutsatt
    • gjøre nødvendige endringer ved behov

    Som en del av Ledelsens styring og oppfølging vil ledere på flere nivå ha sentrale oppgaver. Arbeidet må delegeres på en hensiktsmessig måte, og følges opp. Det må kommuniseres tydelig og ofte nok hvorfor det er viktig med styring av informasjonssikkerhet. Informasjonssikkerhetsarbeidet må gjennomføres med tilstrekkelige ressurser, kompetanse og handlingsrom. De økonomiske rammene må sikres gjennom det årlige budsjettarbeidet. Eskalerte problemstillinger og krisesituasjoner må håndteres ved behov. Hvilke ledere som gjør hva, er avhengig av virksomhetens størrelse, organisering, egenart og delegeringspraksis.

    Arbeidet med styring av informasjonssikkerhet bør der det er hensiktsmessig sees i sammenheng med tilsvarende arbeid på andre områder.

    Under følger en beskrivelse av hver av de systematiske aktivitetene som inngår i Ledelsens styring og oppfølging. Aktivitetene involverer både virksomhetsleder og ledere på øvrige nivå.

    Visuelt skille mellom delaktiviteter

    2. Virksomhetsledelsens gjennomgang

    Ansvarlig for gjennomføring

    • Virksomhetsledelsen med støtte fra fagansvarlig informasjonssikkerhet

    2.1 Om aktiviteten

    Styringsaktivitetene er virksomhetsledelsens viktigste redskap i arbeidet med informasjonssikkerhet. Det er ledelsen som er ansvarlig for å nå virksomhetens mål, og som er avhengig av god styring og kontroll. Virksomhetsledelsens gjennomgang benyttes til å følge med på, følge opp og vedlikeholde styringsaktivitetene. Aktiviteten bør gjennomføres minst årlig av toppledelsen i virksomheten.

    Gjennomgangen bør utføres i toppledergruppen. Fagansvarlig informasjonssikkerhet bør forberede gjennomgangen.

    Formålet med gjennomgangen er å

    • avklare status på virksomhetens arbeid med styring av informasjonssikkerhet
    • avklare status på områder og tjenester der virksomhetsledelsen er spesielt opptatt av informasjonssikkerheten
    • reagere og følge opp der det er nødvendig

    Den informasjonen som utarbeides for, og gjennomgås i, denne aktiviteten gir et godt grunnlag for å utarbeide og kommunisere styringsinformasjon til overordnet, styrende organ ­– for eksempel en statlig virksomhets styringsdialog med sitt departement.

    2.2 Behov for etableringsaktiviteter?

    Dersom virksomheten ikke jobber systematisk med informasjonssikkerhet, bør virksomhetsledelsen sørge for å få gjennomført nødvendige etableringsaktiviteter. Vi har beskrevet anbefalte etableringsaktiviteter i dette veiledningsmateriellet. De kan også være aktuelle ved behov for vesentlige forbedringer. Dersom ledelsen er usikker på om omfang og kvalitet i virksomhetens arbeid er godt nok, bør de som minimum få gjennomført en analyse av status.

    2.3 Innholdet i gjennomgangen

    Det primære innholdet i gjennomgangen er oppfølging av styringsaktivitetene – å sørge for at de fungerer godt, at de gjennomføres effektivt og at ledelsen når sine målsetninger for informasjonssikkerhet. Ledelsen kan ved behov ta med andre deler av informasjonssikkerhetsarbeidet, eller andre forhold som påvirker informasjonssikkerheten i gjennomgangen.

    Innholdet i Virksomhetsledelsens gjennomgang vil variere over tid. Vektleggingen vil være svært forskjellig fra den første gjennomgangen, der kunnskapsnivå og systematikk kanskje er lavt, via en periode med etablering av styring på informasjonssikkerhetsområdet, til de gjennomgangene som man har etter flere år med systematisk arbeid. Etter hvert vil en del sentrale tema alltid være med.

    Fagansvarlig informasjons­sikkerhet må lage et godt saksnotat til gjennomgangen. Det er en forutsetning for en vellykket gjennomføring. Det er viktig at ledelsen får oppdatert og tilstrekkelig kunnskap om status og utvikling, slik at de om nødvendig kan justere kursen og forbedre arbeidet med informasjonssikkerhet i virksomheten.

    Gjennomgangen bør ende i klare konklusjoner og beslutninger, med tydelig ansvar for oppfølging.

    Ved behov bør virksomhetsleder

    • sørge for forbedring av føringene for aktivitetene (dokumentert i de styrende dokumentene)
    • gi tilleggsføringer for internkontroll- og sikkerhetsarbeidet
    • stille og følge opp spesifikke krav til enkelte ledere og enheter
    • vurdere om man skal måle tilstanden på indikatorer over tid
    • vurdere om man skal få gjennomført evalueringer på større eller mindre deler av internkontrollen
    • vurdere om man skal få gjennomført internrevisjon

    Dersom noen av de tre siste velges, blir de en del av aktiviteten Måling, evaluering og revisjon.

    Sentrale tema i gjennomgangen bør være

    • status på endringer og andre beslutninger fra tidligere gjennomganger
    • bakgrunnskunnskap, slik som
      • betydningen av informasjonssikkerhet og internkontroll i virksomheten
      • lokale, nasjonale og internasjonale trender rundt trusler, uønskede hendelser og risikoer
      • sammenheng, konflikt og balanse mellom konfidensialitet, integritet og tilgjengelighet
    • endringer i rammebetingelser
      • interne og eksterne forhold som er relevant for informasjonssikkerhetsarbeidet
      • regelverk
    • status på det helhetlige arbeidet med styring av informasjonssikkerhet, slik som
      • Er etableringsaktivitetene gjennomført, og er resultatet godt nok per i dag?
      • Er virksomhetsledelsens føringer for risikoaksept og andre forhold gode nok?
      • Følger ledere og de ansatte for øvrig virksomhetsledelsens føringer?
      • Understøtter kulturen i virksomheten informasjonssikkerhetsmålene og et systematisk arbeid med styring og kontroll?
    • tilbakemeldinger på informasjonssikkerhetsarbeidet, slik som:
      • avvik og korrigerende tiltak
      • resultater fra måling og overvåking
      • resultater fra revisjoner
      • måloppnåelse
      • regelverksetterlevelse
    • status på risikoer eller risikoområder virksomhetsledelsen er spesielt opptatt av
    • muligheter for forbedring
    • vurderinger og beslutninger om forbedring og andre endringer

    Utfyllende informasjon og støtte

    Innholdet i virksomhetsledelsens gjennomgang, og utarbeidelse av saksnotat, er videre omtalt under Kommunikasjon – Utarbeide saksnotat til virksomhetsledelsens gjennomgang.

    Styringsinformasjon fra gjennomgangen har betydning for, og kan benyttes i, kommunikasjon med overordnet, styrende organ, for eksempel en statlig virksomhets styringsdialog med sitt departement. Du kan lese mer om dette i beskrivelsen av aktiviteten Kommunikasjon – Dialog med styrende organ.

    Visuelt skille mellom delaktiviteter

    3. Delegere og følge opp gjennom linjen

    Ansvarlig for gjennomføring

    • Ledere på ulikt nivå som delegerer ansvaret for ulike arbeids- og resultatområder samt tilhørende ansvar for risikovurdering, risikohåndtering og lignende.

    3.1 Om aktiviteten

    For å få en effektiv og god gjennomføring av styringsaktivitetene må ansvaret for delaktivitetene delegeres og følges opp på en hensiktsmessig og tydelig måte i hele virksomheten.

    I de fleste organisasjoner skjer delegeringen og oppfølgingen gjennom flere organisatoriske ledd eller nivå, eksempelvis avdelinger og seksjoner. Vi kaller det «gjennom linjen». Prosjekter på tvers av linjen bør ha tydelig avklarte ansvarsforhold.

    3.2 Delegering av roller

    Delegering av ansvar innen informasjonssikkerhet kan i stor grad gjennomføres som tildeling av roller. Ved å koble spesifikke roller til underordnede ledere sikrer man en tydelig delegering av de styringsaktivitetene som hører inn under rollene.

    Tre roller er spesielt sentrale ved delegering og oppfølging gjennom linjen innen informasjonssikkerhet. Vi kaller dem:

    • risikoeiere
    • systemeiere fellessystem
    • felles tiltaksleverandører

    Andre rollebegrep kan brukes dersom virksomheten finner det hensiktsmessig.

    3.3 Risikoeiere og delegering

    Ledere som er mål- og resultatansvarlige for et område, får oftest også delegert rollen som risikoeiere for området. Ofte ligger det implisitt i det å være mål- og resultatansvarlig.

    Det er disse lederne som er ansvarlig for resultater, måloppnåelse og hvordan arbeidet gjennomføres. De blir da også ansvarlige for å identifisere og håndtere alle typer risikoer som kan hindre eller redusere måloppnåelse, effektivitet og regelverksetterlevelse. Risikoer innen informasjonssikkerhet er en del av dette.

    Selv om risikoeierrollen ofte følger rollen som mål- og resultatansvarlig, bør ledere jevnlig foreta en selvstendig vurdering av hva som skal delegeres videre, og om noen styringsaktiviteter bør gjennomføres som fellesaktiviteter på et høyere organisatorisk nivå. Det kan i enkelte sammenhenger gi en gruppering og gjennomføring av arbeidet som er mer kostnadseffektiv og bedre tilpasset ulike organisatoriske enheters egenart.

    3.4 Beholde rollen som risikoeier for lederoppgaver

    Når ledere delegerer, må de passe på å selv beholde og aktivt ta rollen som risikoeier rundt egne og enhetens lederoppgaver, samt de informasjonssystemene som benyttes i disse. Dette inkluderer blant annet vurdering og håndtering av risiko knyttet til lederoppgavene.

    3.5 Systemeiere fellessystem og felles tiltaksleverandør

    Systemeiere fellessystem og felles tiltaksleverandører kan helt eller delvis få tildelt eller delegert sitt ansvar gjennom retningslinjer eller forhold som ligger utenfor informasjonssikkerhet. Oppfølging av at ansvaret etterleves, bør uansett skje gjennom linjen.

    3.6 Gjennomføre som del av årsplanlegging og årsevaluering

    Når noe delegeres gjennom linjen, må det følges opp. Vi foreslår at aktiviteten Delegere og følge opp gjennom linjen kobles til og gjennomføres som en del av den ordinære årsplanleggingen og årsevalueringen på andre områder. På den måten blir delegeringen og oppfølgingen av styringen av informasjonssikkerhetsområdet integrert i den ordinære virksomhetsstyringen.

    I tillegg til kontroll av om styringsaktivitetene gjennomføres som forutsatt, kan oppfølgingen gjennom linjen med fordel omfatte noen av de samme temaene som er nevnt under Virksomhetsledelsens gjennomgang. Det gjør linjestyringen og kontrollen bedre. Hvilke temaer som bør velges, er avhengig av status og utfordringer i de enkelte organisatoriske enhetene. Det kan endre seg over tid.

    Visuelt skille mellom delaktiviteter

    4. Sikre finansielle rammer

    Ansvarlig for gjennomføring

    • Ledere på alle nivå

    4.1 Om aktiviteten

    Ledere på alle nivå har ansvaret for å sørge for at det samlede internkontroll- og sikkerhetsarbeidet blir tilstrekkelig finansiert. Det gjelder både etableringsaktiviteter, styringsaktiviteter og sikkerhetstiltak det er behov for i oppfølgingen av risikoer.

    Lederne må sørge for at økonomiske erfaringer og behov rundt styringsaktiviteter og sikkerhetstiltak er tema når budsjettrammer vurderes og diskuteres i virksomheten.

    Finansieringen av nødvendige rammer bør primært sikres i de ordinære budsjettprosessene. Samtidig må budsjettene settes opp slik at virksomheten har handlingsrom til å iverksette nødvendige tiltak som blir identifisert gjennom året. Begge deler er helt avgjørende for å lykkes i informasjonssikkerhetsarbeidet.

    Visuelt skille mellom delaktiviteter

    5. Kommunisere viktighet

    Ansvarlig for gjennomføring:

    • Ledere på alle nivå

    5.1 Om aktiviteten

    Ledere har stor påvirkningskraft, og god styring og kontroll er avhengig av positiv påvirkning. Ledere på alle nivå må derfor systematisk kommunisere viktigheten av både informasjonssikkerhet, styringsaktivitetene og iverksatte tiltak.

    Ledelsens holdning kommer til uttrykk gjennom det ledelsen sier og gjør. Kommunikasjonen bør derfor skje både muntlig, skriftlig og gjennom synlig handling.

    Visuelt skille mellom delaktiviteter

    6. Løfte og håndtere problemstillinger gjennom linjen

    Ansvarlig for gjennomføring:

    • Ledere på alle nivå

    6.1 Om aktiviteten

    Når problemstillinger i styringsaktivitetene ikke kan løses på det organisatoriske nivå de oppstår, må de løftes gjennom linjen og håndteres på et høyere ledernivå. De må ved behov løftes i flere ledd til man når et ledernivå som har økonomisk handlingsrom eller myndighet til å finne budsjettdekning, akseptere aktuelle risikoer eller finne en annen løsning.

    Det kan være flere årsaker til at noe bør løftes gjennom linjen.

    6.2 Budsjettrammer

    Dersom en beslutningstaker ikke har budsjettrammer til å finansiere nødvendige tiltak, må problemstillingen løftes. Dette gjelder tiltak som anses nødvendige for å redusere risikoer slik overordnet ledelse har gitt føringer om. Før noe løftes, forutsettes det normalt at lederne på lavere nivå har prioritert riktig, innenfor det budsjettmessige handlingsrommet de faktisk har.

    6.3 Kriterier for å akseptere risiko

    Videre kan kriteriene for å akseptere risiko si at kun ledere på et visst nivå kan akseptere store restrisikoer. Dersom den ansvarlige ikke får fjernet eller redusert en risiko til det nivå vedkommende kan akseptere, må problemstillingen løftes, slik kriteriene eventuelt krever.

    6.4 Uenigheter om prioriteringer?

    I tillegg kan det være nødvendig å løfte en problemstilling gjennom linjen dersom det oppstår uenighet mellom ulike risikoeiere som benytter samme IKT-system, arbeidslokaler eller lignende. Uenigheten kan for eksempel gjelde om sikkerhetstiltak noen har behov for, men som har negative sideeffekter for andre, skal innføres. Det kan tilsvarende være uenighet i virksomheten om hvilke tiltak som skal inngå i virksomhetens fellessikring og gjelde alle, og hvilke som bør være tilleggssikring for dem som har ekstra behov.

    For en overordnet beslutningstaker handler disse beslutningene om å se risikoer og direkte og indirekte kostnader for flere organisatoriske enheter i sammenheng. Ved uenighet mellom flere enheter er det overordnet ledelse som må avgjøre hvilke risikoer, ulemper eller kostnader noen må akseptere for å redusere risikoer, ulemper eller kostnader hos andre.

    Visuelt skille mellom delaktiviteter

    7. Beredskap og krisehåndtering

    Ansvarlig for gjennomføring

    • Ledere på alle nivå

    7.1 Om aktiviteten

    Tiltak i informasjonssikkerhetsarbeid handler om å redusere sannsynligheten for at uønskede hendelser skal skje, og å redusere konsekvensen om de skulle skje. I mange tilfeller er det vanskelig, for dyrt eller uhensiktsmessig å redusere sannsynligheten ytterligere for ulike typer hendelser. Da vil konsekvensreduserende tiltak som beredskap og krisehåndtering av ulik karakter kunne være viktige og ofte riktige tiltaksvalg dersom risikoen må reduseres.

    Ledere på ulikt nivå vil være sentrale aktører i beredskapsarbeid og krisehåndtering. Det er avgjørende at virksomheten har gode prosedyrer med klare ansvarslinjer og nødvendig samordning. Virksomheten må også ha jevnlige øvelser for å sikre etterlevelse på alle ledernivå. Dersom kriser oppstår, må lederne kjenne sitt ansvar og kunne utføre sine oppgaver.

    Virksomhetens fagansvarlig informasjonssikkerhet vil ofte få en sentral tilrettelegger- og pådriverrolle i arbeidet med utforming av planer og øvelser for ledelsens beredskap og krisehåndtering innen informasjonssikkerhet. Dette bør skje i samarbeid med tilsvarende ansvarlige for andre områder. Virksomhetens samlede krise- og beredskapsarbeid bør henge sammen.

    Ansvaret for at virksomhetens beredskap og krisehåndtering er på plass, henger sammen og fungerer, ligger uansett primært på virksomhetsledelsen. Deretter ligger det på ledere på alle nivå basert på risikovurderinger for det de har ansvaret for.

    Det er anerkjent at beredskapsarbeid og krisehåndtering bør baseres på

    • ansvarsprinsippet
    • likhetsprinsippet
    • nærhetsprinsippet
    • samvirkeprinsippet

    Dette gjelder også informasjonssikkerhet.