Rolle: Toppleder
Toppleder er ansvarlig for at virksomheten har velfungerende styring og kontroll. Dette innebærer at arbeidet med informasjonssikkerhet gjennomføres på en systematisk og tilstrekkelig omfattende måte rundt om i hele virksomheten, tilpasset egenart, risiko og vesentlighet.
Ansvar og oppgaver
Toppleder, med sin ledergruppe, må gi føringer for hvordan internkontrollen på informasjonssikkerhetsområdet skal være: hvilke aktiviteter som skal gjennomføres, hvem som skal være ansvarlig, beskrivelse av nivåer for konsekvens og sannsynlighet, kriterier for å akseptere risiko etc. Føringer forankrer ledelsens ansvar.
Toppleder er også ansvarlig for at eventuelle nødvendige aktiviteter for å etablere og/eller forbedre internkontrollen på informasjonssikkerhetsområdet gjennomføres.
I det daglige er toppleder ansvarlig for å kommunisere viktighet – sette «tonen på toppen». I tillegg er det toppleders ansvar å vurdere og akseptere risikoer som er så store at de ikke kan aksepteres i linjen.
Toppleder er spesielt ansvarlig for at virksomhetsledelsens gjennomgang gjennomføres minst årlig. Vedkommende må ha tilstrekkelig oversikt til å rapportere status til etatsstyrer og/eller virksomhetens styre.
Ønsket kompetanse
Toppleder må forstå at det er ledelsens ansvar at arbeidet med informasjonssikkerhet i virksomheten er hensiktsmessig, og at ledelsen er ansvarlig for å legge føringene for dette arbeidet.
Det er nødvendig med tilstrekkelig kunnskap om informasjonssikkerhet til å kunne innarbeide informasjonssikkerhet i den helhetlige virksomhetsstyringen.
Toppleder bør ha forståelse for at styring av informasjonssikkerhetsarbeidet ikke skiller seg vesentlig fra annen virksomhetsstyring og internkontroll på andre områder (f.eks. HMS og personvern). I dette ligger det også å forstå at styringssystem/internkontroll (generelt) er et sett av systematiske aktiviteter, ikke en samling dokumenter.
Toppleder eier risikoen for at virksomheten ikke når sine mål, og det er viktig med forståelse for at arbeidet med styring og kontroll av informasjonssikkerhet er vesentlig for å møte denne risikoen. Effektiv risikostyring er viktig. Noe risiko må opp til toppleder for å eventuelt aksepteres, basert på definerte kriterier for å akseptere risiko, mens annen risiko kan aksepteres på operativt nivå.
Toppleder må også forstå hvordan informasjonssikkerhet, gjennom å understøtte den informasjonsbehandlingen som gjennomføres i virksomheten, bidrar til at virksomheten når sine mål. For å forstå dette, må vedkommende også ha forståelse for at informasjonssikkerhet handler om å sikre både konfidensialitet, integritet og tilgjengelighet på informasjonen, og at det gjelder mye mer enn personopplysninger og beskyttelse i henhold til sikkerhetsloven. Informasjonssikkerhetsbrudd kan få konsekvenser for virksomhetens økonomi og tjenestenivå. Det kan få konsekvenser for innbyggere, andre virksomheter og samfunnet.
I tillegg er det viktig med forståelse for at risikobildet endrer seg når man tar ulike strategiske valg, for eksempel dersom man velger å tjenesteutsette oppgaver, eller ta i bruk skytjenester.