Utforme føringer
Det er svært viktig med klare føringer for hvordan styring av informasjonssikkerhet skal fungere i virksomheten. Føringene må besluttes av virksomhetsledelsen, og skal bidra til at toppleder har tilstrekkelig styring og kontroll på informasjonssikkerhetsområdet.
Målgruppe
- Fagansvarlig informasjonssikkerhet i rollen som lederstøtte og pådriver i arbeidet med informasjonssikkerhet.
- De som skal organisere og lede arbeidet med å utforme dokumentene. Dette kan være ledere for flere arbeidsgrupper.
1. Om føringer for styring av informasjonssikkerhet
1.1 Hvorfor er det viktig med gode føringer?
Føringene skal beskrive struktur og innhold i styringsaktivitetene. Virksomheten skal beskrive hvem som skal gjøre hva, og hvordan det skal gjøres. Struktur og innhold i styringsaktivitetene som beskrives i dette veiledningsmateriellet bør benyttes som utgangspunkt, da det er offisiell anbefaling til forvaltningen.
1.2 Hva bør man ha føringer for?
Føringene bør si noe overordnet om formålet med informasjonsbehandlingen og informasjonssikkerhet, og hvilken betydning det har for virksomhetens oppgaver og tjenester. Beskrivelse av roller og ansvar i arbeidet med styring av informasjonssikkerhet (hva skal gjøres, og hvem skal gjøre det) er også vesentlig å få på plass.
Føringer for hvordan virksomheten skal forstå, vurdere og håndtere risiko er viktig for en helhetlig og samordnet styring av risiko på informasjonssikkerhetsområdet. Enhver virksomhet må også vurdere behovet for mer detaljerte føringer for andre styringsaktiviteter, for eksempel under Måling, evaluering og revisjon.
Det kan være hensiktsmessig at føringene omfatter andre områder enn informasjonssikkerhet. Felles føringer for ulike områder for styring vil gi mer helhet i virksomhetsstyringen.
Utformingen av føringer er en aktivitet som vanligvis utføres på virksomhetsnivå på oppdrag fra virksomhetsledelsen. Føringene som utarbeides, og de styrende dokumentene, gjelder da for hele virksomheten.
Dersom virksomheten er stor og underliggende enheter er organisert svært selvstendig, kan det være hensiktsmessig med en annen oppdeling. Ut fra virksomhetens egenart må det da vurderes hvilke føringer som bør etableres på virksomhetsnivå, av den øverste virksomhetsledelsen, og hvilke av de enkelte underliggende enhetene selv skal utforme.
En måte å gjøre det på kan være at den øverste virksomhetsledelsen først etablerer noen prinsipielle føringer på virksomhetsnivå. Disse kan blant annet stille krav om helhetlig arbeid med styring og kontroll, herunder styrende dokumenter, i hver enhet. Virksomhetsledelsen må da følge opp disse prinsipielle føringene. Ansvaret for det vi beskriver her, blir da liggende ett nivå under virksomhetsnivå.
En annen måte er at deler av det vi beskriver her utformes på virksomhetsnivå, mens andre deler utformes i de underliggende enhetene. Ansvaret for å utforme og følge opp føringene vil da være delt på de ulike styringsnivåene.
1.3 Hvordan bør føringene dokumenteres?
Føringene må dokumenteres på en hensiktsmessig måte, slik at de
- fungerer som oppslagsverk, hvor man kan sette seg inn i dem
- fungerer som samfunnsdokumentasjon (arkivplikt)
- ved behov kan gi eksterne interessenter informasjon om hvordan ting fungerer hos dere
God dokumentasjon er viktig for at styringsaktivitetene og sikkerhetsarbeidet for øvrig skal bli gjennomført i tilstrekkelig omfang og på riktig måte.
Hvordan retningslinjene faktisk struktureres og hva de kalles må tilpasses de styringsdokumenter virksomheten har fra før, og de valg som gjøres under etableringsaktiviteten Etablere dokumentasjonsrammeverk. En kombinasjon av ulike dokumenter, der struktur, utdypninger og detaljeringsnivå er tilpasset virksomhetens egenart og behov, vil normalt gi den mest oversiktlige og funksjonelt beste etterlevelsen.
De overordnede føringene dokumenteres som regel i en form for policy for informasjonssikkerhet. Den understøttes av mer detaljerte retningslinjer for hva som skal gjøres og hvordan ting skal fungere.
Digitaliseringsdirektoratets eksempler på styrende dokumenter
Dette veiledningsmateriellet har eksempler på styrende dokumenter med føringer for roller og ansvar, og hvordan forstå, vurdere og håndtere risiko. I tillegg er det et dokument tilgjengelig med eksempler på føringer for øvrige styringsaktiviteter. Eksemplene kan brukes som et utgangspunkt når en virksomhet skal etablere egne føringer.
Det er imidlertid svært viktig at virksomhetene gjør innholdet til sitt eget. Det er viktig det gjennomføres en prosess som sikrer god forståelse og forankring både i virksomhetsledelsen og i organisasjonen for øvrig.
Ved samordning inn mot andre områder, kan våre eksempler justeres og utvides med relevante krav fra disse områdene. Eksemplene på retningslinjer er utformet slik at de kan dekke flere internkontrollområder.
Alternativt kan innholdet i våre eksempler plukkes ut, omstruktureres og legges inn i andre maler eller eksisterende dokumenter. Dette er avhengig av hva virksomheten har fra før, eller hva den ønsker å bruke i en helhetlig tilnærming til styring og kontroll i virksomheten.
Last ned våre eksempler på styrende dokumenter
Digitaliseringsdirektoratet har laget eksempler på følgende styrende dokumenter:
- Notat om virksomhetens rammer
- Policy for informasjonssikkerhet
- Retningslinje for roller og ansvar
- Retningslinje for å forstå, vurdere og håndtere risiko
- Retningslinje for å vurdere behov for risikovurderinger
Disse er tilgjengelig fra samlesiden med maler og eksempler:
2. Fremgangsmåte for utforming av føringer
Arbeidet med de ulike føringene må sees i sammenheng. Det kan være hensiktsmessig å kartlegge virksomhetens rammer før man starter arbeidet med føringene. Dette vil være viktig input til arbeidet med selve føringene.
Det er deretter naturlig å starte med å utforme virksomhetens policy for informasjonssikkerhet. Når den begynner å bli ferdig, kan arbeidet med føringer på andre områder starte.
Det er bedre at utformingen tar noe tid og ressurser, enn at innholdet blir et resultat av tilfeldigheter og blind kopiering av andres arbeid. Føringene skal være et hjelpemiddel for å oppnå ønsket styring og kontroll. De styrende dokumentene er ikke et mål i seg selv. Gode føringer som er forankret i virksomheten, og som de ansatte har forståelse for, sikrer god etterlevelse og tilstrekkelig styring.
Behovet for nye eller oppdaterte føringer blir identifisert i etableringsaktiviteten Analysere status eller styringsaktiviteten Virksomhetsledelsens gjennomgang. Analysen eller gjennomgangen bør ha avdekket hvilke føringer som bør revideres eller utformes. Arbeidet må tilpasses dette.
Dersom det er identifisert store avvik mellom de føringene og styrende dokumentene virksomheten har, og strukturen og innholdet i styringsaktivitetene som beskrives i dette veiledningsmateriellet, kan det være hensiktsmessig å utforme nye føringer. Eksemplene på styrende dokumenter vist til over kan benyttes som et utgangspunkt for dette arbeidet.
Dersom avvikene mellom de eksisterende føringene og de anbefalingene som gis i dette veiledningsmateriellet er mindre, kan det være tilstrekkelig å justere de eksisterende føringene og styrende dokumentene virksomheten allerede har.
2.1 Etablere arbeidsgrupper
Føringer på ulike områder krever ulik arbeidsinnsats og ulik kompetanse. Digitaliseringsdirektoratet anbefaler at det etableres en eller flere arbeidsgrupper for utforming av føringene og de styrende dokumentene.
Deltakerne kan helt eller delvis være andre personer enn de som sitter i en eventuell prosjektgruppe for å etablere styringsaktiviteter på informasjonssikkerhetsområdet. Virksomhetens fagansvarlig informasjonssikkerhet vil normalt være en sentral aktør.
Man må også sikre nødvendig samordning med andre områder for styring og kontroll. Det betyr at fagansvarlige for ulike områder må involveres.
I tillegg er det hensiktsmessig at også nøkkelpersoner med god kjennskap til virksomhetens formål, viktigste oppgaver, eksisterende organisering, styringsstrukturer og dagens styringsaktiviteter både innen informasjonssikkerhet og på andre områder deltar i arbeidsgruppen(e).
I arbeidsgruppen som arbeider med føringer for hvordan virksomheten skal forstå, vurdere og håndtere risiko, bør både linjeledere (risikoeiere), systemeiere og andre nøkkelpersoner i gjennomføring av risikovurderinger være representert.
Arbeidsgruppene bør også representere bredden i virksomheten. Dette har ofte vesentlig betydning for både kvaliteten på sluttresultatet og for forståelse og lojalitet når føringene skal etterleves.
Det er en fordel om flere i arbeidsgruppene har kjennskap til beskrivelsene av styringsaktivitetene i dette veiledningsmateriellet.
2.2 Involvering av organisasjonen
Arbeidsgruppene bør lage utkast, avstemme med virksomhetsledelsen underveis og sikre hensiktsmessig involvering av organisasjonen for øvrig. Det siste kan skje gjennom informasjonsmøter og ulike typer høringer avhengig av virksomhetens egenart. Det er også viktig å involvere arbeidstakerorganisasjonene på en hensiktsmessig og formelt korrekt måte.
Vi anbefaler at man sikrer en god og reell høringsprosess i hele virksomheten for å inkludere de som ikke har fått deltatt i arbeidsgruppene eller referansegrupper. Det kan skje både underveis og mot slutten av arbeidet.
Virksomhetsledelsen må ha eierskap til føringene. De setter svært viktige styringssignal, og er avgjørende for en tilfredsstillende styring av informasjonssikkerheten i virksomheten. Virksomhetsledelsen bør derfor være aktivt involvert i utformingen av føringene. I tillegg er det virksomhetsledelsen som tar de endelige beslutningene til slutt i arbeidet, vedtar de endelige føringene og følger opp etterlevelsen, blant annet i Virksomhetsledelsens gjennomgang.
Bruk av referansegrupper
I deler av arbeidet kan det være nyttig å benytte en eller flere referansegrupper. Toppledergruppen eller representanter derfra kan være en referansegruppe for å få inn styringssignal fra toppen.
Videre kan representanter for de som vil være sentrale i gjennomføringen av risikovurderinger i ulike deler av virksomheten, være en eller flere andre referansegrupper. Størrelse og kompleksitet i virksomheten vil påvirke hva som er hensiktsmessig.
2.3 Beslutning og oppfølging
Det er virksomhetsledelsen som må ta endelig stilling til og vedta føringene. Som en del av beslutningsprosessen må de vurdere hvilke endringer dette eventuelt får for stillinger og organisasjonsstrukturer i virksomheten, herunder hvilke økonomiske og personalmessige konsekvenser det får.
Også her må arbeidstakerorganisasjonene involveres slik lov- og avtaleverk krever.
Dersom nye eller oppdaterte føringer medfører behov for nytilsettinger, funksjonsoppnevninger eller kompetanseheving, må dette iverksettes som en del av oppfølgingen. Det er et ansvar for virksomhetsledelsen eller den de utpeker.
3. Virksomhetens rammebetingelser
Vi anbefaler at virksomheten identifiserer og lager en oversikt over rammebetingelser som kan påvirke arbeidet med styring av informasjonssikkerhet. Dette kan man med fordel gjøre allerede før man starter arbeidet med å analysere status, slik at dette ligger til grunn også for denne analysen.
En slik oversikt er viktig for å utforme føringer som er tilpasset virksomheten, og bidrar til man får en virksomhetstilpasset utforming av styringsaktivitetene. Den er også et viktig grunnlag for å få gode diskusjoner internt. Oversikten vil være nyttig for
- virksomhetsledelsen
- de som arbeider med å utforme utkast til føringer
- avdelinger og seksjoner når de involveres
3.1 Samle og sammenstille fra ulike kilder
I de fleste virksomheter vil mye være identifisert allerede, men ofte være spredd. Dette arbeidet vil derfor ofte i hovedsak innebære å samle og sammenstille informasjon fra ulike interne kilder. Der noe mangler, kan intervju med nøkkelpersoner være nødvendig.
Oversikten bør dokumenteres, for eksempel i form av et notat.
Virksomheten
-
Virksomhetens formål og primære oppgaver og tjenester
-
Få oppgaver eller mange oppgaver
-
Oppgaver av samme type, eller ulike oppgaver med ulike behov
-
-
Organisasjon
-
Liten eller stor
-
Enkel og oversiktlig eller komplekst hierarki med mange enheter og nivåer
-
-
Overordnet oversikt over hvordan virksomheten styres i dag
-
Styringsmodell
-
Sentralstyrt eller delvis selvstyrte enheter
-
-
Eksisterende organisering
-
Fordeling av ansvar og myndighet for styring av risiko for oppgaver og tjenester
-
Fordeling av ansvar og myndighet innen styring av informasjonssikkerhet
-
Andre internkontrollområder i virksomheten med lignende styringsbehov
-
-
Kjente utfordringer, problemer eller sårbarheter
Rammevilkår
-
Regelverk (lover og forskrifter)
-
Overordnede føringer
-
Fra overordnet departement eller kommunestyre
-
Rundskriv
-
-
Avtaler eller andre forpliktelser
-
Nasjonale strategier
Omgivelser
-
Interessenter og interesser i virksomhetens oppgaver og tjenester, og informasjonsbehandling som skjer i, og under ansvaret til, virksomheten
-
Trusler, farer og trusselaktører dere kan være spesielt utsatt for
I arbeidet med en overordnet oversikt kan det være nyttig å stille dere selv disse spørsmålene. Svarene kan dere for eksempel finne i samråd med noen utvalgte ledere.
-
Hvilken betydning har oppgavene og tjenestene virksomheten har ansvaret for?
-
Hvilken betydning har informasjonsbehandling for disse oppgavene og tjenestene?
-
«Informasjonsbehandling» inkluderer også all bruk av digitale systemer i alle varianter, også for å styre fysiske prosesser
-
-
Hva kan konsekvensene bli ved informasjonssikkerhetsbrudd i oppgaver og tjenester?
-
Konsekvenser for virksomheten?
-
Tjenestenivå
-
Økonomi
-
Ansatte
-
-
Konsekvenser for andre?
-
Innbyggere
-
Andre virksomheter
-
Samfunnsfunksjoner
-
Nasjonale sikkerhetsinteresser
-
-
-
Behov for utvikling og innovasjon?
-
Hvilken betydning vil god informasjonssikkerhet ha?
-
-
Er rammevilkårene i endring?
-
Strategiske valg
-
Endringer i oppgaver og tjenester
-
Endringer i regelverk
-
Teknologisk utvikling
-
-
Hvilken betydning har digitale tjenester for oppgaveløsningen?
-
Bruk av informasjonsteknologi generelt?
-
-
Hvilken betydning har informasjonssikkerhet for evnen til å utføre primæroppgavene, og hvilken betydning har det for å ivareta andre forpliktelser?
-
For eksempel: hvor store konsekvenser kan informasjonssikkerhetsbrudd kunne få for evnen til å gjennomføre en oppgave, og hvor store konsekvenser kan det få for personvernet til de man behandler opplysninger om for å kunne gjennomføre den primæroppgaven?
-
For eksempel: hvor store konsekvenser kan informasjonssikkerhetsbrudd i en tjeneste kunne få for virksomheten selv og dens økonomi, og hvor store konsekvenser kan sikkerhetsbrudd forårsaket av tilsiktede handlinger (angrep) få for en grunnleggende nasjonal funksjon (GNF), som er avhengig av tjenesten, og nasjonale sikkerhetsinteresser?
-
4. Policy for informasjonssikkerhet
En policy for informasjonssikkerhet skal kommunisere det viktigste og danne grunnlaget for mer detaljerte retningslinjer.
Policyen bør nå ut til alle ansatte og gi dem en forståelse av hvorfor informasjonssikkerhet er viktig i og for virksomheten. Den bør også gi grunnleggende kunnskap om virksomhetens mål for informasjonssikkerhet og krav til informasjonssikkerhetsarbeidet i virksomheten.
Mål og krav bør være målbare. Ledelsen kan da se om policyen blir fulgt. Policyen er normalt et offentlig dokument som kan være interessant for eksempelvis innbyggere, næringsliv, samarbeidspartnere og overordnede departement eller kommunestyre.
En policy for informasjonssikkerhet bør være overordnet, tydelig og førende, og samtidig ikke for lang. Noen få sider vil oftest være nok. Det er imidlertid ingen fasit på hvor omfattende policyen skal være og hva den samlet skal inneholde. Ulike virksomheter kan gjøre ulike valg ut fra egne erfaringer, vurderinger og andre føringer i egen virksomhetsstyring.
Det er viktig at den dekker all informasjonsbehandling og ikke bare enkelte deler, som for eksempel personopplysninger.
Vi anbefaler at følgende beskrives i en policy for informasjonssikkerhet:
- Omfang
- Formål med virksomhetens informasjonsbehandling og informasjonssikkerhet
- Mål for informasjonssikkerhet
- Strategi for informasjonssikkerhet, med overordnede krav til virksomhetens arbeid
De enkelte delene er beskrevet nærmere under.
4.1 Omfang
For de fleste virksomheter i offentlig sektor vil omfanget av en policy for informasjonssikkerhet være en variant av:
«Policyen gjelder all informasjonsbehandling internt i virksomheten og som virksomheten har ansvaret for eksternt. Dette omfatter all behandling, lagring og sending av informasjon både muntlig, på papir og digitalt. All bruk av IKT-verktøy er også inkludert.»
Enkelte kan oppleve det som unødvendig å ha et eget punkt i policyen for omfang når all informasjonsbehandling er inkludert. Samtidig kan dette være viktig å si for å skape forståelse hos alle ansatte om at informasjonssikkerhet angår dem alle og deres informasjonsbehandling.
Vi anbefaler derfor at omfanget alltid beskrives, selv om det bare inneholder varianter av setningene over.
4.2 Formål med virksomhetens informasjonsbehandling og informasjonssikkerhet
Informasjonsbehandling har stor betydning for en virksomhets oppgaver og tjenester. Informasjonssikkerhet handler om å sikre denne informasjonsbehandlingen. Virksomheten bør derfor beskrive formålet med informasjonsbehandlingen som utføres, og arbeidet med informasjonssikkerhet bør settes i sammenheng med dette.
En god formålsbeskrivelse vil tydeliggjøre og forankre alt arbeid med informasjon og informasjonssikkerhet opp til virksomhetens overordnede formål og dens oppgaver og tjenester. Dette er avgjørende for at de som arbeider i virksomheten skal forstå betydningen av virksomhetens informasjonsbehandling, og dermed også behovet for informasjonssikkerhet.
4.3 Mål for informasjonssikkerhet
Det bør formuleres et overordnet mål for informasjonssikkerhet i virksomheten. Det bør være en tydelig kobling mellom formålet med virksomhetens informasjonsbehandling og dette overordnede målet for arbeidet med informasjonssikkerhet.
Det bør også utformes delmål for henholdsvis konfidensialitet, integritet og tilgjengelighet på informasjon. Disse delmålene bør være en konkretisering av hva det overordnede målet innebærer. Vi anbefaler at man avgrenser seg til noen få sentrale, lett forståelige og gjenkjennbare mål for hvert av disse tre delområdene.
Man bør være klar over at målene innen delområdene kan komme i konflikt med hverandre. Hovedmålet bør da balansere dette.
Med denne tilnærmingen, vil målene for informasjonssikkerhet ofte bli svært like mellom offentlige virksomheter. Offentlige virksomheter har mange fellestrekk. Målene bør likevel utformes gjennom gode diskusjoner i den enkelte virksomhet. En god prosess gir både bedre forståelse av målene og bedre etterlevelse i det konkrete arbeidet senere.
4.4 Strategi for informasjonssikkerhet
Det bør defineres noen overordnede krav som skal legges til grunn for arbeidet med informasjonssikkerhet. Kravene skal gi tydelige styringssignal på veien mot realisering av de målene man har satt seg. De vil dermed danne grunnlaget for arbeidet med styring av informasjonssikkerhet.
eForvaltningsforskriftens § 15 stiller krav om å basere internkontrollarbeidet på anerkjente standarder. Kravene i policyen bør synligjøre dette. De viktigste hovedelementene som beskrives i dette veiledningsmateriellet bør også være synliggjort i disse kravene. De er basert på den anbefalte standarden NS-ISO/IEC 27001.
Omfanget av krav bør begrenses slik at man i policyen klarer å kommunisere det viktigste. Siden rammevilkårene er ganske like, vil også disse kravene ofte bli ganske like mellom offentlige virksomheter. Variasjonen kan imidlertid bli noe større enn ved målene for informasjonssikkerhet.
Vi anbefaler at man utformer krav på følgende områder:
- Ansvar knyttet til arbeidet med styring av informasjonssikkerhet
- Krav til gjennomføring av styringsaktiviteter
- Krav til ansatte
Vi anbefaler at kravene utformes gjennom gode diskusjoner i den enkelte virksomhet. Fokus bør være på hva som uttrykker de viktigste kravene ut fra virksomhetens ståsted.
5. Føringer for roller og ansvar
For å arbeide effektivt med styring av informasjonssikkerhet, er det viktig å ha klare føringer for hvem som har ansvaret for hva. En rekke organisatoriske enheter og personer rundt om i en virksomhet vil naturlig ha samme type ansvar på tvers av områder. Den mest formåls- og kostnadseffektive løsningen for virksomheten samlet, finner man ved å se de ulike områdene i sammenheng.
Vi anbefaler derfor at man så langt det er mulig utarbeider felles føringer for roller og ansvar for styring av ulike områder i virksomheten. Dersom dette i dag er beskrevet ulikt for ulike områder bør man ta stilling til hvilken form beskrivelsene skal ha og etterstrebe å samkjøre dem.
Fokus bør være på hvilke roller man faktisk trenger, og hva som kan være hensiktsmessig ansvarsfordeling ut fra eksterne og interne krav om hvordan arbeidet skal utføres. Det er viktig å få oversikt over hvordan ansvaret i dag er fordelt, både formelt og uformelt.
Arbeidet med føringer for roller og ansvar bør ta utgangspunkt i notatet man har utarbeidet om virksomhetens rammer. Her bør blant annet eksisterende organisering og relevante regelverkskrav være beskrevet.
5.1 Viktige elementer i føringer for roller og ansvar
Linjen som hovedføring
Ansvaret for sikkerhetsarbeidet i virksomheten bør i hovedsak følge linjen. Ansvaret delegeres og følges opp på samme måte som på andre områder.
De som er ansvarlig for en oppgave eller tjeneste er ansvarlig for resultater, måloppnåelse og hvordan arbeidet gjennomføres på sitt område. De blir da også ansvarlige for å identifisere og håndtere alle typer risikoer som kan hindre eller redusere måloppnåelse, effektivitet og regelverksetterlevelse. Risikoer innen informasjonssikkerhet er en del av dette.
Grunnleggende prinsipper
Alle ansatte har en rolle i en virksomhets sikkerhetsarbeid. Det er vanlig å synligjøre dette gjennom de fire prinsippene
- ansvarsprinsippet
- likhetsprinsippet
- nærhetsprinsippet
- samvirkeprinsippet
Dersom ikke spesielle grunner tilsier noe annet, anbefaler vi at virksomhetene slår fast disse prinsippene som grunnleggende prinsipper.
Spesialfunksjoner
Selv om linjen er en hovedføring i arbeidet med informasjonssikkerhet, vil det alltid være behov for et sett av spesialfunksjoner i sikkerhetsorganisasjonen. Disse bør kobles til konkrete funksjoner eller stillinger i de organisatoriske linjene de skal tilhøre.
Flere funksjoner kan legges til samme person og stilling, og flere stillinger kan samles i samme organisatoriske enhet. Man bør ta stilling til hvordan funksjonene skal organiseres når føringene utformes.
Et forhold man må vurdere spesielt når man vurderer organisatorisk plassering, er om man oppnår tilstrekkelig uavhengighet mellom virksomhetens arbeid med styring av informasjonssikkerhet, og tiltaksleverandører. Eksempelvis om uavhengigheten er god nok mellom fagansvarlig informasjonssikkerhet og IKT-driftsenheten.
Tiltaksleverandører
Vi anbefaler begrepet tiltaksleverandører for de som leverer eller er ansvarlig for ulike typer sikkerhetstiltak i virksomheten.
Alle virksomheter vil ha et sett av felles tiltaksleverandører. Disse er ansvarlig for tiltaksområder som flere risikoeiere og systemeiere benytter eller er avhengig av. Hvilke organisatoriske enheter dette er, bør konkretiseres i føringene.
I tillegg bør det i retningslinjen presiseres at både risikoeiere og systemeiere for fellessystem kan være tiltaksleverandører for egne ansvarsområder og system.
Samarbeidsforumer
I en sikkerhetsorganisasjon vil det også være behov for et sett av samarbeids- og beslutningsforumer på tvers av virksomheten.
Vi anbefaler at man så langt det er hensiktsmessig benytter de samme forumene som man har for andre områder. Dette understøtter de grunnleggende prinsippene. I tillegg kan det være behov for forumer eller grupper spesielt rettet mot arbeidet med informasjonssikkerhet.
5.2 Dokumentasjon av føringene for roller og ansvar
Vi anbefaler at beskrivelsen av roller og ansvar i virksomheten samles i én retningslinje. Konkrete oppgaver for de enkelte aktørene kan være beskrevet i andre retningslinjer, dokumenter og delegeringer, som for eksempel:
- Retningslinje: Internkontroll (for alle områder og/eller for spesifikke områder som informasjonssikkerhet, HMS og lignende)
- Stillings- eller funksjonsinstrukser i virksomheter som benytter slike
- Delegering gjennom linjen
6. Føringer for hvordan man forstår, vurderer og håndterer risiko
For at en virksomhet skal kunne jobbe effektivt med vurdering og håndtering av risiko, blant annet på informasjonssikkerhetsområdet, må det etableres en rimelig felles forståelse av hva risiko er og hvordan det skal beskrives. Det bør også være føringer for hvordan man skal prioritere arbeidet, planlegge og gjennomføre risikovurderinger, håndtere risiko, og kriterier for å akseptere risiko.
Føringene kan avgrenses til informasjonssikkerhet. Vår anbefaling er imidlertid at virksomhetene forsøker å utforme dem slik at de omfatter flest mulig områder og typer risikoer i virksomheten. Felles føringer for alle/flere områder gir mer helhet i virksomhetens risikostyring og det samlede arbeidet med styring og kontroll.
Det er viktig at de som deltar i å utforme disse føringene har god forståelse for ledelsens prioriteringer og hvilke konsekvenser brudd på konfidensialitet, integritet og tilgjengelighet kan få, med hensyn til avvik fra mål, brudd på lover og regler og manglende effektivitet. De bør også kjenne eventuelle lignende risikomatriser og styringssignal fra virksomhetsstyringen generelt, eller fra andre internkontrollområder i virksomheten.
6.1 Risikoforståelse – hva risiko er og hvordan det skal beskrives
En felles forståelse av risiko på informasjonssikkerhetsområdet vil gjøre risikostyringen på tvers av virksomheten mer samordnet og helhetlig.
I det generelle arbeidet med styring av informasjonssikkerhet anbefaler vi at man i føringene fokuserer på operasjonell risiko, der hendelser, informasjonssikkerhetsbrudd og konsekvenser ligger innenfor virksomhetens kontroll. Det er viktig å stille seg følgende spørsmål:
- Hvilken betydning har oppgavene og tjenestene virksomheten har ansvaret for?
- Hvilken betydning har informasjonsbehandling for disse oppgavene og tjenestene?
- Hva kan konsekvensene bli ved informasjonssikkerhetsbrudd i oppgaver og tjenester?
Dette bør ligge til grunn for føringene for hvordan risiko skal forstås. Føringene bør derfor klargjøre hva risiko betyr i virksomheten, som minimum for informasjonssikkerhet, og gjerne for styring og kontroll generelt.
Føringene bør også si noe om hvordan risiko på informasjonssikkerhetsområdet skal beskrives, og hvilke elementer som skal være med i beskrivelsene.
Det er hensiktsmessig at risikoforståelsen og føringene for å beskrive risiko i så stor grad som mulig er samkjørt på tvers av ulike områder i virksomheten. Det vil gjøre vurderingene av risiko på ulike områder mer sammenlignbare, noe som vil gjøre det lettere for virksomhetsledelsen å prioritere arbeidet på ulike områder.
Man benytter ulike risikomodeller for å resonnere og gjøre vurderinger knyttet til risiko. Disse modellene er bygget opp av flere elementer, som kan vurderes samlet, eller hver for seg. En risikomodell er disse elementene, og sammenhengene mellom dem. Føringene for hvordan man forstår og vurderer risiko i en virksomhet bør derfor også si noe om hvilke elementer som inngår i virksomhetens risikomodell, og hvordan man skal gå frem for å vurdere risiko.
Digitaliseringsdirektoratets anbefalinger knyttet til vurdering av risiko består av følgende elementer:
-
Ha oversikt over et ansvarsområde
-
Oppgaver og tjenester, og informasjonstyper som behandles i disse
-
Høyeste konsekvensnivå som kan inntreffe
-
Trusler, farer og sårbarheter
-
Eksterne krav (regulatoriske, avtalemessige eller lignende) til sikkerhetstiltak
-
Prioritering - Vurdering av behov for risikovurderinger
-
-
Gjennomføring av risikovurderinger:
-
Risikobeskrivelser
-
Hendelser, informasjonssikkerhetsbrudd og beskrivelse av konsekvenser/konsekvenskategorier
-
-
Risikostørrelse
-
Konsekvenskategori og konsekvensnivå
-
Tilhørende sannsynlighetsnivå
-
Risikonivå
-
-
Kriterier for å akseptere risiko
-
Vi anbefaler at alle disse elementene inngår i en virksomhets risikomodell, og at det settes føringer for dette som dokumenteres i virksomhetens styrende dokumenter.
6.2 Ha oversikt over et ansvarsområde
Risikoeiers ansvar for å ha oversikt over eget ansvarsområde bør være beskrevet i føringene for roller og ansvar. Føringene for hvordan risiko skal forstås og vurderes bør inneholde mer detaljerte beskrivelser av hva dette innebærer. Man bør si noe om hva risikoeier skal gjøre for å:
- gjennomføre en foranalyse av eget ansvarsområde, det vil si å kartlegge
- oppgaver og tjenester, og informasjonsbehandlingen i disse
- høyeste konsekvensnivå for oppgaver, tjenester og systemer
- trusler, farer og sårbarheter
- gruppere eller dele opp eget ansvarsområde for å bedre kunne prioritere det videre arbeidet med informasjonssikkerhet
- vurdere behov for grundigere vurdering og håndtering av risiko, inkludert støttespørsmål og vurderingskriterier som skal benyttes
Virksomheter har på den ene siden behov for at risikovurderinger blir gjennomført og oppdatert systematisk. På den andre siden koster også risikovurderinger ressurser.
Det gir en spesiell utfordring for risikoeiere som er ansvarlige for ulike ansvarsområder, herunder egne informasjonssystem. Det gir tilsvarende utfordringer for systemeiere for fellessystem.
Ledere i begge disse rollene bør systematisk vurdere om de har tilstrekkelig oversikt og kontroll over risikoene som angår deres ansvarsområde, og om de mener disse er innenfor virksomhetens kriterier for å akseptere risiko. Dersom dette ikke er tilfelle, bør de planlegge og gjennomføre mer grundige risikovurderinger.
Dette vil gi en tilnærming som både ivaretar helhetsperspektivet på risiko innenfor ansvarsområdet samlet, og dybdevurderinger av risikoer der det er nødvendig. Lederne får også mulighet til å prioritere systematisk hvor ekstra ressurser skal settes inn.
I praksis vil en slik overordnet vurdering være en forenklet risikovurdering. Vi anbefaler derfor at fremgangsmåte, støttespørsmål og beslutningskriterier beskrives når man utarbeider føringer på området.
6.3 Planlegging og gjennomføring av risikovurderinger
For å sikre at risiko innen informasjonssikkerhetsområdet vurderes på en enhetlig måte på tvers av virksomheten, bør man ha gode føringer for hvilken grunnleggende metode som skal brukes. Vi anbefaler at metoden som minimum innebærer å identifisere, analysere og evaluere risiko.
I tillegg bør det utarbeides
- konsekvenskategorier
- beskrivelser av konsekvensnivåer
- beskrivelser av sannsynlighetsnivå, og annen støtte for å estimere sannsynlighet
- beskrivelser av risikonivåer
Føringene må beskrive hvilke kombinasjoner av konsekvens og sannsynlighet som gir hvilke risikonivå. Vi anbefaler at man legger opp til at det skal være rimelig proporsjonalitet mellom nivåene på konsekvens og sannsynlighet. Man vil da få en forholdsmessighet i nivåene på risiko. Vi mener det gir det beste grunnlaget for å styre risiko på informasjonssikkerhetsområdet.
Vi anbefaler også at man benytter de samme nivånavnene for både konsekvens, sannsynlighet og risiko. I våre eksempler benyttes Svært høy, Høy, Moderat og Lav. Hver enkelt virksomhet bør velge nivånavn som er hensiktsmessig for dem.
Man bør klargjøre hva de ulike nivåene av konsekvens og sannsynlighet betyr. En felles normering av dette på tvers av virksomheten understøtter like vurderinger uavhengig av hvor i virksomheten vurderingen gjennomføres, og hvem som er ansvarlig.
Konsekvenskategorier og beskrivelser av konsekvensnivåer
Virksomheten bør først ta stilling til hvilke konsekvenskategorier som bør ha betydning, hvor mange nivåer som skal benyttes, og hvordan grenseverdiene skal settes. For å få en effektiv risikostyring bør ikke omfanget av kategorier bli for stort.
Vi anbefaler at man forsøker å beskrive grenseverdier mellom de ulike nivåene. Det gjør det enklere å estimere riktig nivå. Beskrivelsen av hva konsekvensnivåene faktisk betyr, bør være konsistent på tvers av kategoriene. Man bør systematisk se disse i sammenheng når utkast til grenseverdier utarbeides.
I ulike deler av virksomheten kan det være behov for mer detaljering eller konkretisering for spesielle områder. Det kan derfor også være relevant å gi føringer for hvilket handlingsrom lokale enheter har til å ytterligere konkretisere grenseverdiene.
Beskrivelser av sannsynlighetsnivåer
For å sikre ensartede vurderinger av ulike typer hendelser og informasjonssikkerhetsbrudd på tvers av virksomheten anbefaler vi at følgende elementer sees i sammenheng ved estimeringen av sannsynlighetsnivå:
- forventet/trolig hyppighet
- trusselaktørers intensjon og kapasitet
- virksomhetens sårbarhet
Beskrivelsene av sannsynlighetsnivåer må derfor inneholde grenseverdier og kriterier for alle disse områdene.
Hvor ofte noe har skjedd før, ofte kalt historisk hyppighet eller frekvens, kan gi oss en indikasjon på hvor sannsynlig noe er. Omfanget og påliteligheten i det vi vet eller tror om historien til en risiko, vil imidlertid ofte være mangelfull.
Noen risikoer er dessuten tilsiktede handlinger fra interne eller eksterne trusselaktører. Da er faktorer som intensjon og kapasitet til slike aktører svært relevant som grunnlag for å si noe om sannsynligheten.
I tillegg spiller vår sårbarhet inn. Det gjelder både med hensyn til tilsiktede handlinger, uaktsomhet og uhell av ulike varianter.
Helhetlig utforming og avstemming
Som hjelp til å utforme skalaer for sannsynlighet og konsekvens som står godt i forhold til hverandre, og er avstemt med hvilket risikonivå de sammen skal uttrykke, anbefaler vi at følgende utformes i sammenheng
- Skala for sannsynlighetsnivå (særlig hyppighet)
- Grenseverdier på konsekvensnivå
- Risikonivå med tilhørende kriterier for å akseptere risiko
Figuren under illustrerer hvordan dette kan sees i sammenheng. En slik tabell gir mulighet til å ha oversikt over flere faktorer samtidig.
Risikomatriser
Risikomatriser er en forenklet måte å uttrykke risiko på som er rimelig enkel å bruke, lett å forstå, lett å kommunisere og enkel å styre etter. Det er viktig at man ikke styrer etter matriseverdier alene. Disse sier noe om hvilket nivå man er på, og hvor man kan komme etter at eventuelle risikoreduserende tiltak er iverksatt.
Risikomatrisene skal primært brukes som støtte for å forstå og følge opp
- virksomhetsledelsens føringer for hvordan risikoer på ulike nivå skal håndteres
- virksomhetsledelsens kriterier for å akseptere risikoer på ulikt nivå
For å få tilstrekkelig innsikt vil både beslutningstaker og andre i en del tilfeller også ha behov for å se nærmere på de konkrete vurderingene som ligger bak nivåestimatene. Det er derfor viktig at det stilles krav til ytterligere dokumentasjon og begrunnelse etter gjennomføringen av en risikovurdering.
Det vil ofte være en fordel om en virksomhet velger en felles risikomatrise med samme antall nivå og nivåinndelinger på tvers av ulike fagområder.
Hver enkelt virksomhet bør selv vurdere og ta stilling til hvor mange nivå de finner det hensiktsmessig å benytte for henholdsvis konsekvens, sannsynlighet og risiko. Det er virksomhetens egen vurdering av hva som er effektivt og tilstrekkelig som bør være avgjørende.
I våre eksempler benyttes det fire nivåer av konsekvens og sannsynlighet, og dermed en 4X4 matrise. Dette mener vi gir tilstrekkelig detaljeringsnivå innen informasjonssikkerhet for de fleste, samtidig som man ikke behøver å bruke mer tid enn nødvendig på å vurdere kategorisering i flere nivå.
6.4 Håndtering av risiko
Formålet med risikovurderinger er å få et beslutningsgrunnlag for håndtering av risiko. Det bør utformes noen førende prinsipper for risikoaksept og risikohåndtering. Dette er sentrale temaer som virksomhetsledelsen bør være involvert i utformingen av. Arbeid med dette kan gi både viktig forståelse og klare prioriteringer.
Ressursinnsats og fokus
-
Ressursinnsatsen på å finne alternative arbeidsmåter og risikoreduserende tiltak skal stå i forhold til risikoens størrelse.
-
Under identifisering av tiltak skal hele utfallsrommet for en risiko vurderes, herunder alle berørte konsekvenskategorier
-
For risikoer som inkluderer så høye konsekvenser eller sannsynligheter at de går langt utenfor normale ytterpunkt i vår risikomatrise, skal det alltid vurderes om risikoen i realiteten er så stor at den bør håndteres som om den var på et høyere risikonivå enn risikostørrelsen indikerer.
Unngå risikoen
-
Alternative arbeidsmåter som gjør at man kan unngå risikoen, skal vurderes og eventuelt velges ut fra hensiktsmessighet, risikostørrelse og kostnad.
Valg av risikoreduserende tiltak
-
Aktuelle risikoreduserende tiltak skal vurderes opp mot nytte (risikoreduserende effekt), negative sideeffekter og kostnader for øvrig.
-
Tiltak som reduserer risikoer som gjelder liv og helse, skal velges og implementeres dersom det ikke kan dokumenteres at tiltakene klart koster mer enn nytten (ALARP-prinsippet).
-
Tiltak som reduserer risikoer som gir andre konsekvenser enn liv og helse, skal velges og implementeres dersom tiltakene har en vesentlig positiv nytte/kost (nytte/kost-prinsippet).
Nye tiltak i eksisterende oppgaver og system
-
I påvente av implementering av valgte tiltak, skal det straks vurderes om det er behov for eventuelle midlertidige ekstratiltak eller stopp i gjennomføring av pågående oppgaver og bruk av system.
Tiltak i nye oppgaver og system
-
Nye arbeidsoppgaver og system skal som hovedregel ikke startes eller tas i bruk før valgte tiltak er implementert.
-
Størrelsen på aksepterte risikoer skal stå i et rimelig forhold til viktigheten og nytten av oppgaven/tjenesten som skaper risikoen.
-
Aksept av risikoer skal bare kunne skje når risikoen er lav eller etter at det er gjennomført en risikohåndtering i henhold til prinsippene for risikohåndtering.
-
Aksept av risikoer skal skje på et ledernivå som står i forhold til risikoens størrelse.
Kriterier for å akseptere risiko
Prinsippene for håndtering av risiko og risikoaksept vil ha betydning for utformingen av kriterier for å akseptere risiko.
Kriteriene for å akseptere risiko bør knyttes opp til tema som:
- Hvilken innsats som skal settes inn på å finne realistiske risikoreduserende tiltak
- I hvilken grad tiltak er valgt i samsvar med de førende prinsippene fra virksomhetsledelsen
- I hvilken grad valgte tiltak er planlagt eller gjennomført
- I hvilken grad aktiviteten som medfører risikoen er nødvendig for virksomhetens primære måloppnåelse
- I hvilken grad det finnes alternative arbeidsmåter og hjelpemidler med lavere risiko
- Hvem i virksomheten som kan akseptere restrisikoer på ulike nivå
Ved å ha ulik gradering på disse temaene for hvert risikonivå, får man kriterier som er dynamiske og tilpasset risikobasert styring.
Eksempelvis kan kriteriene innebære at kun virksomhetsleder kan akseptere «svært høye» restrisikoer. Det bør medføre at man får en grundig vurdering av de andre kravene nevnt, for eventuelt å finne tiltak som om mulig og forsvarlig kan redusere risikoene.
Tilsvarende kan kriteriesettet innebære at kun virksomhetens nivå 2-ledere kan akseptere «høye» restrisikoer, samtidig som de øvrige kravene blir noe mildere. På denne måten får man en balanse mellom faktorene nevnt i kulepunktene foran. Samtidig får relevant ledernivå muligheten til å vurdere hvor kritisk den aktuelle aktiviteten faktisk er for virksomheten, sett opp mot den risiko den representerer.
6.5 Dokumentasjon av føringene for å forstå, vurdere og håndtere risiko
Føringene bør dokumenteres i en eller flere retningslinjer. Hvordan det eventuelt bør deles opp må vurderes fra virksomhet til virksomhet. I Digitaliseringsdirektoratets eksempler er føringene fordelt på to retningslinjer:
- Retningslinje for å forstå, vurdere og håndtere risiko
- Retningslinje for å vurdere behov for risikovurderinger
7. Føringer for øvrige styringsaktiviteter
Den enkelte virksomhet må vurdere behovet for mer detaljerte føringer også for de øvrige styringsaktivitetene:
- Overvåking og hendelseshåndtering
- Måling, evaluering og revisjon
- Kompetanse- og kulturutvikling
- Kommunikasjon
Det er i mange tilfeller særlig hensiktsmessig med føringer for hvordan risikoeiere skal gjennomføre aktiviteten Vurdere status på eget ansvarsområde under Måling, evaluering og revisjon.
Eksempler på hvordan føringer på dette og andre områder kan utformes kan finnes i eksemplet Aktiviteter og ansvar for informasjonssikkerhetsområdet:
Det kan også være hensiktsmessig at føringene dokumenteres på andre måter enn i retningslinjer. For eksempel kan føringer for overvåking ligge i beskrivelser og avtaler knyttet til spesifikke sikkerhetstiltak. Føringer for hendelseshåndtering vil gjerne være beskrevet i systemet for hendelses- og avvikshåndtering.