Vurdere status på eget ansvarsområde
Det vil være krav til at ledere innenfor ulike områder vurderer status på arbeidet med informasjonssikkerhet innenfor sitt ansvarsområde, og sørger for forbedring ved behov.
Målgruppe
- Risikoeiere, systemeiere fellessystemer og andre ledere med ansvar i arbeidet med styring av informasjonssikkerhet
1. Vurderingens omfang og innretning
Hvem som skal gjennomføre slike vurderinger, bør komme frem av føringene fra virksomhetsledelsen.
Omfanget av en statusvurdering vil variere. Dersom man har god oversikt over eget ansvarsområde, kjenner sine ansatte godt og ansvarsområdet har lav kompleksitet og kritikalitet, kan vurderingen være overordnet og enkel. Dersom man ikke har god nok oversikt, må det kanskje gjennomføres konkrete undersøkelser for å avdekke status.
En hensiktsmessig tilnærming vil være å vurdere hvor stor tillit man har til at status er slik den bør være i eget ansvarsområde. Dette kan uttrykkes i nivåer: lav, moderat, høy. Tilliten kan være forskjellig for ulike deler av området.
Dersom tilliten er lav, bør nærmere undersøkelser gjennomføres. Dersom den er moderat, bør behovet for nærmere undersøkelser vurderes ut fra hvor kritisk området anses å være, både for virksomheten og egen enhet. Er tilliten høy, er det normalt ingen grunn til ytterligere undersøkelser. Det betinger imidlertid at tillitsnivået bygger på kritisk refleksjon om egen kunnskap.
2. Hvem som må vurdere status på hva
Ledere som delegerer og skal følge opp gjennom linjen, bør systematisk vurdere hvilken tillit de har til at styringsaktivitetene som underliggende ledere er ansvarlige for blir utført slik de skal.
Risikoeiere og systemeiere for fellessystemer, som er ansvarlige for risikovurderinger og tilhørende risikohåndtering, bør systematisk vurdere hvilken tillit de har til at egne styringsaktiviteter blir utført forsvarlig, og at egne ansatte etterlever de sikkerhetstiltak som er etablert og gjelder dem.
Felles tiltaksleverandører bør systematisk vurdere om de har tillit til at tiltakene de har ansvar for fungerer som forutsatt og avtalt. De bør også angi tiltaksstyrke på tiltakene. Dette gir risikoeiere viktig informasjon om status på sikkerhetstiltak og sårbarhet.
De som er ansvarlige for tjenestenivåavtaler eller andre avtaler, bør også systematisk vurdere om de har tillit til at avtalene blir fulgt.
Også de som er ansvarlige for egne deler av styringsaktivitetene, som for eksempel hendelseshåndteringssystemet og internrevisjon, bør systematisk vurdere om de har tillit til at det de har ansvaret for, fungerer i samsvar med forventninger og krav.
3. Undersøke status nærmere
Dersom noen av aktørene nevnt over ikke har tilstrekkelig tillit til at det de har ansvaret for fungerer tilfredsstillende, bør de undersøke status nærmere. Det gjøres normalt i tre faser:
- planlegging
- datainnsamling
- analyse
Behov for formaliseringen er avhengig av omfanget av undersøkelsen.
3.1 Planlegging
De det gjelder, bør først få klart for seg hvilke delområder de er usikre på, og hva de trenger mer informasjon om. De bør deretter vurdere om de selv som ledere skal gjennomføre en eller flere undersøkelser, eller om de skal få noen av egne ansatte eller eksterne til å gjøre det. Dette vil normalt avhenge av hvor omfattende undersøkelser som anses nødvendig. Er omfanget stort, kan første deloppdrag være å sette opp en plan for arbeidet.
Behovet for nærmere undersøkelser vil være størst når slike vurderinger blir gjort første gang.
3.2 Metodevalg i datainnsamlingen
Avhengig av sakens karakter kan gjennomføringsansvarlig velge ulike metoder eller kombinasjoner under datainnsamlingen. Eksempler er:
- inspeksjon (av dokumentasjon og konfigurasjon)
- intervju (av personer)
- testing (av prosedyrer og teknologiske tiltak)
3.3 Metodevalg og målepunkter ved avtaler
For tiltaksleverandører som har inngått tjenesteavtaler (SLA) eller lignende, vil metodevalget være styrt av avtalene.
Avtalene kan stille krav om systematisk måling og rapportering av status på ytelse og effekt. Tiltaksleverandørene må da få etablert nødvendige målepunkter og målemetoder under etablering av tiltakene. Dette gjør at de systematisk kan undersøke og rapportere status i henhold til avtalene.
3.4 Analyse
Etter datainnsamlingen må dataene analyseres. Målet er å avdekke om status er slik den skal være. Har man klart for seg forventet nivå, og har samlet inn relevante data og informasjon, vil analysene normalt være enkle.
4. Oppfølging
Dersom konklusjonen fra undersøkelsene er at det som er undersøkt fungerer som det skal, samtidig som tilliten til undersøkelsene er stor, bør den ansvarliges tillit til at eget ansvarsområde fungerer som det skal, være tilfredsstillende.
Dersom undersøkelsene viser avvik, må den ansvarlige sørge for at dette rapporteres slik det skal. Det kan være direkte til relevante interessenter eller de man har rapporteringsavtale med. Dersom hendelseshåndteringssystemet krever rapportering av denne typen, må det også meldes der.
Ved avvik må den ansvarlige også sørge for konkrete forbedringstiltak tilpasset sakens karakter. Disse må gjennomføres og følges opp slik at tilliten til at ting fungerer, kan økes til et tilfredsstillende nivå.
Vanlige forbedringstiltak vil være
- kompetanse- og kulturutviklingstiltak
- justeringer av tiltakene som ikke fungerer som de skal
- nærmere risikovurderinger rundt problemområdet, med eventuell videre oppfølging i tilhørende risikohåndteringsaktiviteter
5. Dokumentasjon
At vurderingen er gjort som forventet, og hvilke undersøkelser og oppfølgingstiltak som eventuelt er gjennomført, bør dokumenteres i et kort notat.