Alle virksomheter har behov for systematikk i styring og kontroll for å nå mål og resultatkrav, arbeide effektivt, etterleve lover og regler og ha pålitelig rapportering. Dette gjelder på flere områder. Under omtales hvilke obligatoriske og anbefalte standarder som gjelder for internkontroll/styringssystem/ledelsessystem på informasjonssikkerhetsområdet.
Bruksområdet er internkontroll på informasjonssikkerhetsområdet. Det er det samme som styringssystem og ledelsessystem for informasjonssikkerhet. Formålet er at offentlige virksomheter skal ha tilstrekkelig styring og kontroll på informasjonssikkerheten; det vil si tilstrekkelig styring og kontroll på sikring av konfidensialitet, integritet og tilgjengelighet av informasjon. Dette gjelder all informasjonsbehandling, både internt i virksomheten, i kommunikasjon med andre og ved bruk av tjenester levert av eksterne.
Bruksområdet gjelder både informasjon som blir ansett som viktig for å nå virksomhetens mål og arbeide effektivt, og informasjon som er underlagt særskilte krav. Dette siste kan være lov- og ulovfestede krav til forsvarlig saksbehandling, lovbestemmelser om offentlighet, innsynsrett og taushetsplikt, og andre konkrete krav i relevante lov og forskrifter, som f.eks. personopplysningsloven og sikkerhetsloven.
En obligatorisk standard skal følges med mindre du faller inn under en unntaksordning i forskrift.
Anbefalte standarder skal benyttes med mindre du har gode grunner til å la være.
Det er obligatorisk for forvaltningsorgan som benytter elektronisk kommunikasjon å ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. eForvaltningsforskriften § 15 «Internkontroll på informasjonssikkerhetsområdet» sier følgende i 1.-3. ledd:
«Forvaltningsorgan som benytter elektronisk kommunikasjon skal ha beskrevet mål og strategi for informasjonssikkerhet i virksomheten (sikkerhetsmål og sikkerhetsstrategi). Disse skal danne grunnlaget for forvaltningsorganets internkontroll (styring og kontroll) på informasjonssikkerhetsområdet. Sikkerhetsstrategien og internkontrollen skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks.
Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Internkontrollen bør være en integrert del av virksomhetens helhetlige styringssystem. Det organet departementet peker ut skal gi anbefalinger på området.
Omfang og innretning på internkontrollen skal være tilpasset risiko.»
Samme paragraf nevner også 8 områder spesielt som - i den utstrekning det er relevant - skal adresseres og følges opp i sikkerhetsstrategien og internkontrollen.
Det er anbefalt å basere seg på gjeldende versjon av ISO/IEC 27001 ved etablering av internkontroll på informasjonssikkerhetsområdet. Begrepet «basere seg på» gir mulighet for lokal tilpasning av hvilke krav i standarden man følger.
Digitaliseringsdirektoratets veiledningsmateriell «Internkontroll i praksis - informasjonssikkerhet» er basert på ISO/IEC 27001. Det konkretiserer de mest sentrale delene av standarden og inneholder samtidig pragmatiske tilpasninger til norske offentlige virksomheter. Det er anbefalt å bruke dette veiledningsmateriellet som referanse og støtte ved analyse av status, og ved etablering og forbedring av internkontroll på informasjonssikkerhetsområdet.
Ved valg og implementering av risikoreduserende tiltak er det anbefalt å søke støtte i anerkjente kilder. Dette kan for eksempel være ISO/IEC 27002, ulike rammeverk, faktaark og veiledere i Norm for informasjonssikkerhet Helse og omsorgstjenesten og veiledninger fra NSM, Digitaliseringsdirektoratet og Datatilsynet. Tidsbruk bør tilpasses risikoen.
Digitaliseringsdirektoratet presiserer at lov- og regelverkskrav kan være mer omfattende enn krav og anbefalinger i de ovennevnte standardene. Virksomhetene må derfor, som en del av arbeidet, identifisere og etterleve de lov- og regelverkskrav som gjelder for dem.
Forskrift
Kravene er gjeldende. Innført 28.03.2014.
Forskrift om elektronisk kommunikasjon med og i forvaltningen (eForvaltningsforskriften)