Etablere dokumentasjonsrammeverk

Om arbeidet med informasjonssikkerheit skal fungere effektivt, må naudsynt informasjon vere tilgjengeleg for dei som har behov for han. Det må også vere lett å utarbeide og fylle ut naudsynt dokumentasjon, og kontrollere etterlevinga der det er behov for det. Dette sikrast best ved at verksemda har eit tydeleg rammeverk for slik dokumentasjon.

    Målgruppe

    • Dei som skal organisere, leie og delta i arbeidet. Fagansvarleg informasjonssikkerheit er ein av desse aktørane.

    1. Utgangspunkt og bakgrunn

    Føremålet med eit dokumentasjonsrammeverk er at det skal støtte og effektivisere dokumentasjonsarbeid, gjenfinning og bruk av dokumentasjon. Ein heilskapleg dokumentstruktur kan til dømes gjere det lettare for dei riktige personane i verksemda å

    • finne informasjonen dei har behov for
    • vite kva føringar som gjeld
    • vedlikehalde dokument og føringar
    • finne ut kven som er ansvarleg for ulike delar av styringa i verksemda
    • gje tilbakemeldingar på feil/manglar eller om noko er vanskeleg å finne
    • følgje arkivlova

    Dei fleste verksemder har visse fellestrekk i dokumentstruktur, kommunikasjonskanalar og liknande, både innan og på tvers av ulike internkontrollområde. Graden av formalisering kan likevel variere. Det kan vere større eller mindre forskjellar ut frå mellom anna historie, fagleg bakgrunn, ulike ansvarsområde, lite harmonisering. Mange verksemder manglar også tilpassa felles malar for ulike dokumenttypar og bruksområde.

    Interne forskjellar, mangel på malar eller mangel på klare føringar for arkivering og tilgjengeleggjering, gjer det vanskelegare å lykkast med styring og kontroll i verksemda.

    Dette kan redusere effektivitet og etterleving både i det systematiske arbeidet med informasjonssikkerheit, og i tryggingstiltak. Det kan også føre med seg manglande oversikt over og kontroll på kva føringar som finst, og kva som faktisk skjer i verksemda. Det handlar om vesentlege manglar i grunnlaget for tilstrekkeleg kommunikasjon – limet i internkontrollen. Dette er difor eit viktig element å få på plass.

    2. Organisering og gjennomføring

    Om verksemda manglar eit velfungerande heilskapleg dokumentasjonsrammeverk, eller det ein allereie har, har store manglar eller svake sider, rår vi til at verksemdsleiinga oppnemner ei arbeidsgruppe for å etablere eit nytt eller forbetra rammeverk.

    Mandatet bør vere å få på plass eit dokumentasjonsrammeverk i hovudsak slik det er skildra under. Det bør samstundes tilpassast eigenarten til verksemda.

    Rammeverket bør ikkje etablerast berre for informasjonssikkerheit, men som eit sams rammeverk for alle internkontrollområde i verksemda. Det gjer det enklare for tilsette som må forhalde seg til ulike område og som har behov for å sjå samanhengane. Rammeverket kan med fordel også dekkje heile verksemdsstyringa.

    Deltakarane i arbeidsgruppa bør vere representantar frå

    • fagansvarleg informasjonssikkerheit
    • andre internkontrollområde i verksemda
    • verksemdsstyring
    • arkiv
    • kommunikasjonseining
    • verksemdsarkitektur

    Arbeidet med dokumentasjonsrammeverket kan med fordel gjennomførast med bruk av ei referansegruppe som når breitt ut i verksemda. Ein må også sikre tilstrekkeleg involvering i heile verksemda, til dømes gjennom ei verksemdsintern høyring.

    Ein bør ikkje gjere rammeverket og arbeidet med det meir omfattande enn ein treng. Det er betre å leggje til rette for gradvis betring enn å skulle identifisere alle behov i forkant.

    I mandatet eller undervegs i arbeidet bør ein ta stilling til kor mykje av den praktiske etableringa av rammeverket arbeidsgruppa skal gjere, og kor mykje ein skal overlate til den som blir føreslått som forvaltar av rammeverket.

    3. Struktur og innhald for rammeverket

    Figuren under viser ei skisse av eit sams rammeverk for dokumentasjon. Omgrepa som er i figuren er typiske døme. Det er ikkje naudsynt å ha med alle kolonnane. Ein tilpassar og brukar ein struktur som er nyttig for verksemda.

    Skisse til hierarki: Eksternt styrande: lover, forskrifter, tildelingsbrev o.l. Ansvarleg: Styresmakta og overordna dep. Innhald: kva skal gjerast. Internt styrande: policy og retningslinjer Ansvarleg: verksemdsleiinga. Innhald: kva skal gjerast av kven. Gjennomførande: krav, instruksar, prosedyrar, rutinar. Ansvarleg: leiarar på ulike nivå. Innhald: korleis og kva tid noko skal gjerast. Kontrollerande: Loggar, referat, rapportar, notat o.l. om utførte oppgåver. Ansvarleg: utførarar. Innhald: KVA er utført

    Sjølve rammeverket vil typisk innehalde:

    • Ein variant av oversiktsfiguren framføre som skildrar dokumentasjonstypar, ansvar og supplerande informasjon.
    • Vidare presiseringar eller utdjupingar, gjerne i ein tabell, som viser føremål og bruksområde for dei enkelte dokumenttypane.
    • Malar for ulike dokumenttypar og bruksområde.
    • Krav eller råd til merking og utforming av dokument generelt eller enkelte dokumenttypar spesielt.
    • Tydelege arkiverings- eller journalføringskrav.
    • Krav til kva dokument som skal vere spesielt lett tilgjengelege via intranettet til verksemda eller liknande, og kva som skal vere tilgjengelege på annan måte.
    • Skildring av kva tid dokumenteringsansvarleg bør vurdere om spesiell tilgangsstyring er naudsynt, og av korleis slik tilgangsstyring kan gjennomførast.
    • Skildring av kva organisatorisk eining i verksemda som har forvaltningsansvaret for rammeverket, og kva prosedyrar som skal følgjast ved behov for forbetringar.

    Eksempel på rammeverk for dokumentasjon for internkontroll

    Eksemplet er i tråd med DFØ sine tilrådingar for dokumentasjon av internkontroll.

    Retningslinje: Dokumentasjonsrammeverk Nynorsk
    Retningslinje: Dokumentasjonsrammeverk Bokmål

    4. Policyar og retningslinjer

    Policyar og retningslinjer er omgrep som brukast med ulik forståing i ulike fagmiljø både på tvers av verksemder og innan dei same verksemdene.

    I dette rettleiingsmateriellet brukast omgrepet policy om eit kortfatta dokument frå verksemdsleiinga som peikar ut ei overordna retning på arbeidet innan eit område. I samanhengen vår blir dette policy for informasjonssikkerheit.

    Vi brukar omgrepet retningslinjer om utfyllande, meir spesifikke føringar frå verksemdsleiinga. Det mest sentrale i samanhengen vår er det vi føreslår som Retningslinje for roller og ansvar. Den brukar ei verksemd til å seie noko om kva styringsaktivitetar innan informasjonssikkerheit som skal gjennomførast «hos oss».

    Nokon brukar i tillegg omgrepa policy eller retningslinjer om meir operasjonelle krav til tryggingstiltak på ulike område. Det heng delvis saman med ein engelsk bruk av policy-omgrepet. Vi rår til at ein er medviten på at dette kan verke forstyrrande på norsk, og vurderer å bruke andre namn for denne typen dokument.

    Det er uansett den einskilde verksemda som må avgjere kva som er føremålstenleg omgrepsbruk for dei. Kva verksemda legg i sentrale dokumentomgrep, bør difor tydeleggjerast i dette arbeidet.

    5. Prosedyrar, rutinar og liknande

    Prosedyrar, rutinar og liknande kan ha ulik formaliserings- og detaljeringsgrad ut frå behov. Omfang og detaljeringsnivå på skriftlege prosedyrar, rutinar og liknande bør difor ikkje fastsetjast i dette dokumentasjonsrammeverket. Dette bør i staden bestemmast ut frå behovet hos dei som er ansvarlege for dei ulike oppgåvene eller tenestene.

    Prosedyre- og rutineskildringar vil i nokre samanhengar vere viktige. Kompetanse- og kulturutviklingstiltak vil ofte vere gode alternativ eller supplement til desse.

    6. Malar

    Malar for ulike interne dokumenttypar og bruksområde bør vere lett tilgjengelege.

    I enkelte tilfelle kan det vere aktuelt og nyttig med fleire malar for same dokumenttype avhengig av bruksområde. Eit typisk døme er

    • generell notatmal utan spesifikk struktur på innhald
    • mal for risikonotat med deloverskrifter som viser kva som kort bør omtalast
    • mal for risikohandteringsnotat med deloverskrifter som viser kva som kort bør omtalast

    Spesifikke notatmalar kan også ha eigne malar eller verktøy for bestemte vedlegg, som til dømes risikovurderingsskjema, risikohandteringsskjema og liknande.

    Ein god indikator på eit godt dokumentasjonsrammeverk er at ein har eit tilpassa sett av malar som gjer arbeidet effektivt. Samstundes må ikkje desse vere så stramme i forma at dei hindrar effektiv tilpassing til ulike problemstillingar

    7. Merking og struktur på innhald

    Dokumentasjonsrammeverket bør innehalde krav eller råd til merking og utforming av dokument generelt, og ved behov enkelte dokumenttypar spesielt.

    Dokument bør mellom anna merkast einsarta og tydeleg, slik at lesarane raskt kan sjå til dømes.

    • kva type dokument det er
    • kva nivå i dokumentasjonsstrukturen det tilhøyrer
    • innanfor kva område det gjeld
    • kva versjon av dokumentet det er
    • tidspunkt for godkjenning
    • kven som har godkjent det

    Det er også viktig at informasjonen i dokumenta er føremålstenleg strukturert, slik at lesaren raskt kan få overblikk over

    • målgruppe
    • føremålet med dokumentet
    • korleis og kva tid eventuelle aktivitetar skal utførast

    8. Grensesnitt mot andre føringar

    Det er viktig at verksemda finn eit føremålstenleg nivå på kva som må dokumenterast skriftleg, og kva som i tilstrekkeleg grad kan sikrast gjennom kompetanse hos og tillit til dei tilsette. Dette gjeld både prosedyrar/rutinar og dokumentasjon på gjennomførte aktivitetar.

    Dette krev at det er ein fleksibilitet i kva som faktisk må dokumenterast, slik at omfang og innhald kan tilpassast behovet.

    Slike krav til dokumentasjon bør bestemmast og skildrast på

    • overordna nivå gjennom verksemdsleiinga sine føringar i verksemda si retningslinje for roller og ansvar eller tilsvarande
    • taktisk leiarnivå som ein del av delaktiviteten Delegere og følgje opp gjennom linja.
    • operativt nivå som krav til etablerte tryggingstiltak. Dette vil vere aktuelt der det er viktig for risikoeigarar, systemeigarar fellessystem og tiltaksleverandørar å få dokumentert korleis oppgåver skal gjennomførast, samt at tiltaka faktisk blir følgde eller gjennomførte.

    På denne måten blir nivået på dokumentasjonen til verksemda av informasjonssikkerheitsarbeidet behovsbasert, og arbeidet skjer innanfor eit tydeleg felles rammeverk for dokumentasjon av internkontroll.