Hopp til hovedinnhold

Etableringsaktiviteter

Etableringsaktiviteter er aktiviteter som gjennomføres for å bygge opp og etablere settet med styringsaktiviteter. De legger grunnlaget for at disse skal kunne fungere bra.

På denne siden

    Etableringsaktivitetene benyttes når man skal etablere, eller vesentlig forbedre, arbeidet med styring av informasjonssikkerhet. Det er sentrale støtteaktiviteter for etablering og forbedring av internkontrollen. Aktivitetene kan gjennomføres når virksomheten har identifisert mangler ved styringen av informasjonssikkerhet.

    Dersom en virksomhet skal etablere styring av informasjonssikkerhet, er det nyttig å gjennomføre alle etableringsaktivitetene. Stifinneren kan brukes som et hjelpemiddel for å navigere gjennom veiledningen som gis her. Denne viser hvordan etableringsaktiviteter benyttes i arbeidet med etablering, og viser hvordan de står i sammenheng med styringsaktivitetene som etter hvert kommer på plass.

    Visuelt skille mellom steg, med ikon for å vise at neste steg er en etableringsaktivitet

    1. Analysere status

    1.1 Er omfanget og kvaliteten på arbeidet med informasjonssikkerhet godt nok?

    Man må vite noe om hvor man er for å vite om status er tilfredsstillende, eller om noe bør gjøres. Dersom virksomhetsledelsen er usikker på om omfang og kvalitet på arbeidet med styring av informasjonssikkerhet er godt nok, må virksomheten analysere status.

    1.2 Organisering av arbeidet

    Analysen bør gjennomføres av en arbeidsgruppe med god innsikt i virksomhetens organisering, aktiviteter og eksisterende arbeid med styring og kontroll. Gruppen må normalt snakke med flere interne aktører.

    Det er viktig at deltakerne i arbeidsgruppen ikke er opptatt av å forsvare det som er gjort tidligere. Følelsesmessig uavhengighet til det som skal analyseres, er en forutsetning for et pålitelig resultat.

    1.3 Vurdering opp mot Digitaliseringsdirektoratets anbefalte styringsaktiviteter

    Referansen det vurderes mot er Digitaliseringsdirektoratets offisielle anbefalinger for hvordan virksomheter kan etablere og vedlikeholde styring på informasjonssikkerhetsområdet. Status i virksomheten vurderes opp mot veiledningsmateriellets anbefalte aktiviteter og dokumentasjon.

    Det er viktig at man setter seg godt inn i innholdet i aktivitetene før man starter analysen. En mal og et støttedokument til hjelp i en analyse av status, er tilgjengelig i dette veiledningsmateriellet.

    Det er viktig at man i analysen vurderer innhold og kvalitet på det man allerede har og gjør, både innen informasjonssikkerhet og på andre internkontrollområder. Man bør vurdere i hvilken grad styringsaktivitetene gjennomføres og dokumenteres, og hvilke behov man ser for endring. Der man ser at det er mulig å dra nytte av arbeid som gjøres på andre områder, bør dette noteres.

    Analysen bør peke på behov for vesentlig forbedring, basert på avstanden mellom nåsituasjonen og ønsket situasjon. Behovene for forbedring bør prioriteres, og man bør si noe om forventet bruk av ressurser.

    1.4 Resultatene fra analysen

    En oppsummering av resultatene fra analysen tas videre i arbeidet med å planlegge etablering eller forbedring av internkontrollen, og vil være en del av saksgrunnlaget når virksomhetsledelsen skal ta beslutning om det videre arbeidet.

    Hjelp til gjennomføring

    Til denne aktiviteten kan følgende være nyttig:

    Visuelt skille mellom steg, med ikon for å vise at neste steg er en etableringsaktivitet

    2. Planlegge etablering/forbedring

    2.2 Hvordan komme videre?

    En analyse av status er grunnlaget for valg av veien videre. Basert på analysen bør man utarbeide en plan for hvordan man skal arbeide med etablering eller forbedring av arbeidet med styring av informasjonssikkerhet.

    2.3 Et langsiktig arbeid

    Etablering av internkontroll handler om både utforming av føringer, andre etableringsaktiviteter og det man anser som nødvendig for å få styringsaktivitetene i gang i hele virksomheten. Det siste innebærer informasjon, opplæring og de første rundene i gjennomføringen. Samtidig må man tilpasse tidsbruken til virksomhetens løpende aktiviteter.

    Planen vil derfor ofte gå over flere år. Det kan med fordel utarbeides en grov plan for hele planperioden, og detaljplanlegges for avgrensede perioder underveis. Det bør være en ordinær prosjektplan med klare aktiviteter og ansvarlige utførere.

    2.4 Forankring i virksomhetsstyringen

    For å sikre gjennomføring og fremdrift, bør planen forankres og følges opp i den ordinære virksomhetsstyringen med tilhørende rapportering. Den bør i tillegg følges opp i Virksomhetsledelsens gjennomgang på informasjonssikkerhetsområdet.

    Hjelp til gjennomføring

    Bruk Stifinneren som utgangspunkt

    Stifinneren som finnes i dette veiledningsmateriellet kan gjerne brukes som utgangspunkt i en plan. Ved å se resultatene fra analysen av status i sammenheng med den foreslåtte fremdriften i Stifinneren, kan det skisseres en plan for arbeidet med forbedring. De første stegene eller etappene kan man planlegge i nærmere detalj. På denne måten sikrer man at man får på gjennomført de viktigste aktivitetene først.

    Støttedokumenter

    I tillegg til Stifinneren kan følgende dokument være nyttig i denne aktiviteten:

    Visuelt skille mellom steg, med ikon for å vise at neste steg er en etableringsaktivitet

    3. Utforme føringer

    I denne aktiviteten skal man komme fram til hvordan styringen skal fungere i virksomheten. Struktur og innhold i styringsaktivitetene skal beskrives. Virksomheten skal finne ut hvem som skal gjøre hva, og hvordan det skal gjøres.

    Det er snakk om virksomhetsledelsens føringer for hvordan styringen av virksomheten skal fungere, og de må derfor være aktivt involvert i utformingen av dem.

    Struktur og innhold i styringsaktivitetene som beskrives i dette veiledningsmateriellet bør benyttes som utgangspunkt, da det er offisiell anbefaling til forvaltningen.

    3.1 Fremgangsmåte for utforming av føringer

    Arbeidet med de ulike føringene må sees i sammenheng. Føringer for forskjellige områder vil kreve ulik arbeidsinnsats og ulik kompetanse. Det bør derfor etableres en eller flere arbeidsgrupper.

    Virksomhetsledelsen må engasjere seg aktivt i utforming og godkjenning av føringene. Det er også viktig at beslutningsgrunnlaget er basert på solid og bred involvering i virksomheten. En bred forankring bidrar til gode beslutninger og god etterlevelse.

    Arbeidet med føringene kan organiseres som et prosjekt, hvor ulike roller er involvert.

    3.2 Innhold i føringene

    Føringene bør si noe overordnet om formålet med informasjonsbehandlingen og informasjonssikkerhet, og hvilken betydning det har for virksomhetens oppgaver og tjenester. Beskrivelse av roller og ansvar i arbeidet med styring av informasjonssikkerhet (hva skal gjøres, og hvem skal gjøre det) er også vesentlig å få på plass.

    Føringer for hvordan virksomheten skal forstå, vurdere og håndtere risiko er viktig for en helhetlig og samordnet styring av risiko på informasjonssikkerhetsområdet. Enhver virksomhet må også vurdere behovet for mer detaljerte føringer for andre styringsaktiviteter, for eksempel under Måling, evaluering og revisjon.

    3.3 Oversikt over virksomhetens rammebetingelser

    Omfang, struktur og ressursinnsats på styringen må være tilpasset virksomheten. Man må ha en overordnet oversikt over virksomheten, rammevilkårene for det den driver med og kunnskap om omgivelsene den befinner seg i. En slik oversikt bidrar til å gjøre virksomheten i stand til å få tilpasset utformingen av styringsaktivitetene til sitt behov. Man kan med fordel ha denne oversikten allerede før man starter arbeidet med å analysere status, slik at dette ligger til grunn for den analysen.

    Den overordnede oversikten bør dokumenteres i en eller annen form, for eksempel et notat. En slik overordnet beskrivelse kan bidra til at virksomhetsledelsen får god forståelse av hva arbeidet med informasjonssikkerhet handler om og hvilken betydning det har.

    3.4 Dokumentasjon

    Føringene må dokumenteres på en hensiktsmessig måte, slik at de

    • fungerer som oppslagsverk, hvor man kan sette seg inn i dem
    • fungerer som samfunnsdokumentasjon (arkivplikt)
    • ved behov kan gi eksterne interessenter informasjon om hvordan ting fungerer hos dere

    God dokumentasjon er viktig for at styringsaktivitetene og sikkerhetsarbeidet for øvrig skal bli gjennomført i tilstrekkelig omfang og på riktig måte.

    Både struktur og innhold i dokumentene bør alltid sees i sammenheng med tilsvarende man eventuelt har på andre områder. Muligheter for og nytte av samordning og integrering bør alltid vurderes.

    De overordnede føringene dokumenteres som regel i en form for policy for informasjonssikkerhet. Den understøttes av mer detaljerte retningslinjer for hva som skal gjøres og hvordan ting skal fungere.

    3.5 Eksempler fra Digitaliseringsdirektoratet

    Følgende eksempler er tilgjengelig i dette veiledningsmateriellet:

    • Notat om virksomhetens rammer
    • Policy for informasjonssikkerhet (kort og overordnet)
    • Roller og ansvar
    • Forstå, vurdere og håndtere risiko
    • Vurdere behov for risikovurderinger
    Illustrasjon av forholdet mellom de styrende dokumentene Digdir har eksempler på. Notatet om virksomhetens rammebetingelser danner grunnlaget for policy, som bør inneholde mål og strategi, jf eForvaltningsforskriften §15. Policyen er grunnlaget for Retningslinje for roller og ansvar, som beskriver hva som skal gjøres av hvem, strukturert etter roller. Videre danner denne grunnlag for retningslinje for å forstå, vurdere og håndtere risiko, og vurdere behov for risikovurderinger.

    I tillegg er det tilgjengelig et dokument med eksempler på føringer for øvrige styringsaktiviteter.

    Eksemplene viser hvordan flere eller alle internkontrollområder kan integreres. De kan benyttes som inspirasjon eller utgangspunkt, og må tilpasses den enkelte virksomhet.

    Eksemplene kan lastes ned fra samlesiden for maler og eksempler:

    Støtte til gjennomføring

    Praktisk hjelp til utforming av føringer for den som er ansvarlig eller skal delta i arbeidet er beskrevet på en egen side:

    Visuelt skille mellom steg, med ikon for å vise at neste steg er en etableringsaktivitet

    4. Få på plass nøkkelpersoner

    4.1 Linjen som hovedføring på internkontrollarbeidet

    Ansvaret for informasjonssikkerhet og tilhørende internkontrollarbeid bør som hovedregel følge linjen. Det er sikring av måloppnåelse som er formålet med internkontrollen, og ansvaret for det ligger i linjen.

    4.2 Støtte fra ulike funksjoner

    For å understøtte både virksomhetsleder og linjen, må virksomheten tidlig etablere tilstrekkelige fellesfunksjoner, støttefunksjoner og samarbeidsgrupper. Sammen med linjen utgjør dette det som kalles sikkerhetsorganisasjonen i virksomheten.

    4.3 Få på plass personer og få arbeidet i gang

    Det er viktig å ha eller tidlig få på plass en støttefunksjon som «fagansvarlig informasjonssikkerhet» eller lignende. Dette er virksomhetsledelsens ansvar. Denne rollen er viktig for arbeidet som skal gjøres fremover, og må derfor være på plass tidlig.

    Øvrige støttefunksjoner kan etableres på et senere tidspunkt, men virksomheten er tjent med at de etableres så tidlig som mulig. Etablering av nye funksjoner og grupper, og utpeking av hvilke personer som skal dekke funksjonene eller inngå i gruppene, bør derfor legges inn i planene for etablering/forbedring av internkontrollen. Da kan aktivering av sikkerhetsorganisasjonen følges opp systematisk.

    Utpeking av personer som skal dekke funksjoner eller inngå i grupper er normalt et ansvar for ulike ledere på linjen.

    4.4 Roller og ansvar må være tydelige

    De fleste virksomheter har allerede etablert fellesfunksjoner, støttefunksjoner og samarbeidsgrupper som dekker mye av behovet. Andre behov kan være delvis dekket, og det vil være nødvendig å tydeliggjøre ansvar, og eventuelt foreta justeringer. Det man har behov for og mangler, må etableres.

    Både hovedføringen, hvilke funksjoner og grupper det er behov for og deres rolle og ansvar, bør komme tydelig frem av føringene fra virksomhetsledelsen.

    Det er viktig å få frem hvordan fellesfunksjonene skal støtte linjen. Arbeidet med informasjonssikkerhet i virksomheten skal være en integrert del av virksomhetens styring og kontroll. Det bør ikke leve sitt eget liv ved siden av. Da er det vanskelig å få sammenheng i virksomhetens styring og kontroll.

    Visuelt skille mellom steg, med ikon for å vise at neste steg er en etableringsaktivitet

    5. Grunnopplæring

    5.1 Informasjon og kurs for ledere

    Når føringene for styringsaktivitetene er på plass, bør virksomheten utforme informasjonsmateriell til internt bruk. Ved større endringer bør det også være klart opplæring for linjeledere (risikoeiere). Behov, innretning og organisering er avhengig av virksomhetsstørrelse, status i arbeidet med styring og kontroll samt kompetansen til lederne om internkontroll og informasjonssikkerhet.

    5.2 Opplæring av andre aktører

    Virksomheten bør i tillegg spesielt vurdere om og hvordan det eventuelt bør gjennomføres informasjonsformidling, opplæring og kulturutvikling for:

    • Ledergruppen/toppleder
    • Systemeiere fellessystem
    • Rådgiver informasjonssikkerhet/lokale sikkerhetskoordinatorer
    • Felles tiltaksleverandører
    • Prosessledere i aktivitetene Ha oversikt og prioritere, Gjennomføre risikovurdering og Foreslå håndtering av risikoer
    • Håndteringsansvarlige i aktiviteten Iverksette godkjente tiltak
    • Alle ansatte

    Dette behøver ikke skje med en gang, men bør legges inn i planen for etablering/forbedring.

    5.3 Organisering av arbeidet

    Fagansvarlig informasjonssikkerhet vil være en sentral aktør i behovsvurdering, planlegging og gjennomføring. Arbeidet bør skje i samarbeid med eventuelle fellesfunksjoner i virksomheten som har ansvar for intern informasjon og intern opplæring, og lederne for relevante områder.

    Digitaliseringsdirektoratet har utarbeidet en veileder i hvordan man kan utforme helhetlig opplæring innen informasjonssikkerhet. Vi anbefaler at man baserer seg på denne veilederen når man utformer kompetansetiltak i virksomheten.

    5.4 Vedlikehold gjennom internkontrollen

    Kompetanse- og kulturutvikling er styringsaktivitetene i internkontrollen. Den skal sørge for at det arbeides med nødvendig kompetanse- og kulturutvikling, også i etterkant av den grunnopplæringen som ligger i denne etableringsaktiviteten.

    Hjelp til gjennomføringen

    Visuelt skille mellom steg, med ikon for å vise at neste steg er en etableringsaktivitet

    6. Etablere system for hendelses- og avvikshåndtering

    6.1 Hvorfor trenger vi et system for dette?

    Risikoer må identifiseres, vurderes og håndteres jevnlig, ikke bare når de inntreffer. En viktig støtte er et godt utarbeidet system for hendelses- og avvikshåndtering.

    Systemet må kunne sikre forsvarlig rapportering, registrering og oppfølging av uønskede hendelser, avvik og informasjonssikkerhetsbrudd.

    6.2 Hva er «systemet»?

    Å ha et «system» vil si å ha hensiktsmessig systematikk for håndteringen. Det handler ikke bare om et IKT-system som understøtter hendelseshåndteringen. Det viktigste systemet skal sikre er klare føringer om

    • hva som skal rapporteres
    • hvem som skal rapportere og når det skal rapporteres
    • hvordan rapporteringen skal skje
    • hvem som skal håndtere hva
    • hvem som skal informeres om hva

    Dette må understøttes av enkle og effektive IKT-løsninger og eventuelt en egen støttefunksjon. Samlet skal systemet sikre god informasjonsflyt, oppfølging og analysemuligheter. Det bør også gis tilbakemelding til den som har meldt inn avviket eller hendelsen, for å opprettholde motivasjonen for rapportering blant ansatte.

    Vær også oppmerksom på at ulike regelverk stiller krav til varsling til ulike myndigheter ved informasjonssikkerhetsbrudd. Eksempelvis gis det i personvernreglementet regler om varsling av henholdsvis tilsynsmyndigheten og den registrerte ved «brudd på personopplysningssikkerheten». Sikkerhetsloven (§ 4-5) og virksomhetsikkerhetsforskriften (§ 8) har regler om varsling til tilsynsmyndighet, sikkerhetsmyndighet og andre i forbindelse med hendelser, avvik og sikkerhetsbrudd. Slik varsling bør bygges inn i rutinene for hendelseshåndtering.

    6.3 Behovet gjelder flere områder

    En virksomhet vil normalt trenge et system for avviks- og hendelseshåndtering innen flere internkontrollområder. Man må også være oppmerksom på at løsninger på enkelte funksjonsområder, som for eksempel «helpdesk» for IKT-drift, er en del av virksomhetens samlede avviks- og hendelseshåndtering. Mange glemmer dette.

    Det er viktig å se ulike internkontrollområder, funksjoner og tilhørende IKT-løsninger i sammenheng. Det er en forutsetning for å få en helhet i avviks- og hendelseshåndteringen i virksomheten.

    Dette er også viktig for å kunne analysere hva som har skjedd av ulike typer hendelser, lære av erfaring samt rapportere relevant statistikk til virksomhetsledelsen, risikoeiere og systemeiere fellessystem.

    6.4 Organisering av arbeidet

    Virksomheten bør vurdere status på eksisterende system for avviks- og hendelseshåndtering. Ved betydningsfulle svakheter bør man starte et prosjekt for etablering eller forbedring. Innretning og omfang er avhengig av hva virksomheten har fra før, og i hvilken grad man vil samordne det som er nevnt over.

    6.5 Behov for endring

    For noen virksomheter vil det være nok å få presisert føringene i eksisterende system slik at også informasjons­sikkerhets­området dekkes. Andre må sørge for ny og bedre informasjonsflyt mellom aktører for å sikre at informasjon om det som skjer kommer frem til relevante aktører og blir håndtert forsvarlig.

    Noen virksomheter må få tilrettelagt for nyttig statistikk også fra system som «helpdesker» og lignende. Andre må inkludere flere internkontrollområder i ett system. Enkelte må også utvikle eller anskaffe en ny IKT-løsning som understøtter et mer helhetlig system for flere eller alle områder.

    Visuelt skille mellom steg, med ikon for å vise at neste steg er en etableringsaktivitet

    7. Etablere fellessikring og synliggjøre tilleggssikring

    Fellessikring er et felles grunnleggende sikkerhetsnivå for hele, eller sentrale områder, i virksomheten.

    Fellessikring består av sikkerhetstiltak som bidrar til sikkerheten for alle, eller de fleste, av virksomhetens oppgaver og tjenester. Tilleggssikring er sikkerhetstiltak som gjelder for de med spesielle risikoer og ekstra behov for tiltak.

    7.1 Gjennomføre en «ryddejobb»

    De fleste virksomheter må gjennomføre en «ryddejobb» i sikkerhetstiltakene for å finne en god balanse mellom fellessikring og tilleggssikring. Den bør gjennomføres som et prosjekt på virksomhetsnivå.

    Arbeidet bør ledes av fagansvarlig informasjonssikkerhet. Alle felles tiltaksleverandører er sentrale deltakere. Representanter fra risikoeiere og systemeiere fellessystem må involveres underveis.

    Arbeidet bør gjennomføres i flere faser. Sentrale interne tiltaksleverandører bør først gå gjennom egen og anerkjent god praksis på sine områder. De identifiserer tiltak som helt klart har vesentlig betydning for mange av virksomhetens oppgaver og tjenester, og som gjerne har lav kostnad og ingen vesentlige sideeffekter. Disse utgjør første forslag til fellessikring. Sikkerhetstiltak som kan ha vesentlige sideeffekter for noen, identifiseres som mulig tilleggssikring for de som har særskilte behov.

    Deretter gjennomføres det vurdering og håndtering av risiko for to til fire representative oppgaver eller tjenester. Når det skal etableres sikkerhetstiltak for disse koordineres arbeidet, og forslaget til fordelingen mellom fellessikring og tilleggssikring justeres. En bredere referansegruppe bør involveres. Til sist bør forslaget til fellessikring ut på en høring i virksomheten før endelig beslutning tas.

    7.2 Nytte av «ryddejobben»

    Resultatet av «ryddejobben» har vesentlig betydning for virksomhetens effektivitet og samlede styring og kontroll. Det gir også risikoeiere og systemeiere fellessystem bedre oversikt over virksomhetens fellessikring og hvilke muligheter de har til å velge tilleggssikring. Dette øker kvaliteten på vurdering og håndtering av risiko.

    7.3 En risikobasert tilnærming

    Sikkerhetstiltak skal redusere risiko. Det gjør de ved å forebygge, redusere og reagere på uønskede hendelser. Virksomhetene bør ha et bevisst og risikobasert forhold til hvilke sikkerhetstiltak de etablerer, og fordelingen mellom fellessikring og tilleggssikring.

    Nytte/kost for virksomheten samlet bør avgjøre om tiltak blir fellessikring eller tilleggssikring. Man må se samlet på vurderinger av risiko og behov for sikkerhetstiltak hos risikoeierne rundt om i virksomheten. Man må samtidig være litt pragmatisk for å få en kostnadseffektiv forvaltning av sikkerhetstiltakene.

    7.4 Negative sideeffekter av sikkerhetstiltak

    Tiltak som ikke er tilpasset risikoer og ulike organisatoriske enheters behov, kan gi negative sideeffekter og medføre nye risikoer. Det kan gå utover effektivitet eller virksomhetens andre målsetninger. Ressursene i virksomheten blir da ikke brukt riktig. De ansatte kan få unødvendige hindringer for arbeidet, og de kan miste respekten for sikkerhetstiltak generelt.

    7.5 Helhetlig forvaltning av sikkerhetstiltak

    Mange virksomheter har en rekke sikkerhetstiltak, men man kan mangle et bevisst og systematisk forhold til hvilke risikoer tiltakene skal dekke, hvilke sikkerhetstiltak som bør være felles for alle oppgaver og tjenester og hvilke som kun noen har behov for. Mangler i helhetlig forvaltning av sikkerhetstiltak vil ofte føre til at de ikke er tilstrekkelig tilpasset risiko og nytte/kost for virksomheten.

    7.6 Vedlikehold av fellessikringen

    Innholdet i fellessikringen bør forvaltes gjennom det videre arbeidet med håndtering av risiko.

    Hjelp til gjennomføring

    Praktisk hjelp til å etablere fellessikring og synliggjøre tilleggssikring for den som er ansvarlig eller skal delta i arbeidet er beskrevet på en egen side:

    Visuelt skille mellom steg, med ikon for å vise at neste steg er en etableringsaktivitet

    8. Etablere dokumentasjonsrammeverk

    Dersom arbeidet med informasjonssikkerhet skal fungere effektivt, må nødvendig informasjon være tilgjengelig for de som har behov for den. Det må også være lett å utarbeide og fylle ut nødvendig dokumentasjon, og kontrollere etterlevelsen der det er behov for det.

    Dette sikres best ved at virksomheten har et tydelig rammeverk for slik dokumentasjon. Det kan også dekke virksomhetsstyring for øvrig. Et godt rammeverk vil blant annet skissere en variant av oversiktsfiguren under.

    Begrepene i figuren er ingen fasit, men typiske eksempler. Det er heller ikke nødvendig å ha med alle kolonnene. Man tilpasser og tar med det som gir nytte.

    Skisse til hierarki: Eksternt styrende: lover, forskrifter, tildelingsbrev o.l. Ansvarlig: Styresmakter og overordnet dep. Innhald: hva skal gjøres. Internt styrende: policy og retningslinjer. Ansvarlig: virksomhetsledelsen. Innhold: kva skal gjøres av hvem. Gjennomførende: krav, instrukser, prosedyrer, rutiner. Ansvarlig: ledere på ulike nivå. Innhold: hvordan og når noe skal gjøres. Kontrollerende: logger, referat, rapporter, notat o.l. om utførte oppgaver. Ansvarlig: Utførere. Innhold: hva er utført.

    8.1 Sentralt innhold i dokumentasjonsrammeverket

    Dokumentasjonsrammeverket bør:

    • beskrive formål og bruksområde for de ulike dokumenttypene man har
    • vise til relevante maler
    • presisere arkiverings- og publiseringskrav
    • klargjøre ansvar for forvaltning av rammeverket.

    Det er spesielt viktig at det er tydelig hva som skal journalføres og lagres på bestemte saker i virksomhetens sak-/arkivsystem, hva som skal publiseres på virksomhetens intranett og hva som skal lagres og være tilgjengelig fra andre steder.

    Det er også viktig å ha maler for sentrale dokumenttyper. Med gode maler unngår man variasjon i hvordan arbeidet med informasjonssikkerhet dokumenteres. Dersom man også har dokumenttyper med tilsvarende maler som gjelder på tvers av ulike områder, vil dette gjøre dokumentasjonen gjenkjennbar og lettere å bruke.

    8.2 Hensiktsmessig omfang

    Dersom virksomheten allerede har et godt dokumentasjonsrammeverk, bør det benyttes også for informasjonssikkerhet.

    Man bør ikke gjøre dokumentasjonsrammeverket og arbeidet med det mer omfattende enn nødvendig. Formålet er at det skal støtte og effektivisere dokumentasjonsarbeidet, samt gjenfinning, bruk og kontroll av dokumentasjonen. Det er også bedre å legge til rette for gradvis forbedring av rammeverket enn å skulle identifisere alle behov i forkant.

    8.3 Organisering av arbeidet

    Etablering eller vesentlig forbedring av dokumentasjonsrammeverket bør organiseres som et fellesprosjekt i virksomheten. Det vil være naturlig at virksomhetens enhet for kommunikasjon leder arbeidet. Sentrale deltakere vil være virksomhetens arkivfunksjon, fagansvarlig informasjonssikkerhet og fagansvarlige for andre internkontrollområder.

    Hjelp til gjennomføring

    Praktisk hjelp til utforming av dokumentasjonsrammeverk for den som er ansvarlig er beskrevet på en egen side:

    Det er også tilgjengelig et eksempel som kan brukes som støtte i arbeidet:

    Visuelt skille mellom steg, med ikon for å vise at neste steg er en etableringsaktivitet

    9. Identifisere typiske oppgaver og informasjonstyper

    9.1 Støtte til styringsaktiviteten Ha oversikt og prioritere

    Ha oversikt og prioritere under Vurdering av risiko er en grunnleggende og viktig aktivitet som bør gjennomføres på operativt nivå i hele virksomheten. Vesentlige deler bør ledes av en prosessleder første gang aktiviteten gjennomføres.

    9.2 Eksempelsamling til støtte i arbeidet

    For å gjøre arbeidet mer effektivt, og sikre en mer enhetlig gjennomføring på tvers av virksomheten, vil risikoeierne ha nytte av å kunne ta utgangspunkt i eksempler på typiske oppgaver og informasjonstyper som behandles i virksomheten. Dette veiledningsmateriellet har en samling av slike eksempler. Eksemplene dekker ikke alle typer oppgaver og tjenester eller alle virksomheters behov.

    En virksomhet kan gjerne lage sin egen versjon av eksempelsamlingen, og utvide med flere oppgaver og tilhørende informasjonstyper som er relevante for virksomheten.

    Virksomhetsversjonen vil være en viktig støtteressurs

    • når ulike organisatoriske enheter skal få oversikt og prioritere
    • når nye oppgaver eller tjenester skal startes opp i virksomheten
    • dersom virksomheten har flere organisatoriske enheter med lignende oppgaver

    9.3 Gradvis oppbygging

    Virksomhetsversjonen kan bygges opp gradvis etter hvert som aktiviteten Ha oversikt og prioritere gjennomføres i flere organisatoriske enheter.

    De som er prosessledere for gjennomføringen bør være nøkkelpersoner i utarbeiding av virksomhetens egen eksempelsamling. Arbeidet bør koordineres av fagansvarlig informasjonssikkerhet. Vedkommende vil også kunne være prosessleder i aktiviteten Ha oversikt og prioritere.

    Visuelt skille mellom steg, med ikon for å vise at neste steg er en etableringsaktivitet

    10. Felles analyse av eksterne krav

    10.1 Støtte til styringsaktiviteten Analyse av eksterne krav

    I aktiviteten Analysere eksterne krav under Vurdering av risiko, må risikoeiere og systemeiere fellessystem identifisere spesifikke krav om sikkerhetstiltak eller typer sikkerhetstiltak i regelverk og avtaler innen eget ansvarsområde.

    10.2 Et fellesprosjekt gir bedre effektivitet

    Ofte vil de samme reglene og avtalene gjelde for oppgaver, tjenester og informasjonssystemer i flere organisatoriske enheter. En virksomhet kan derfor ha stor nytte av å gjennomføre deler av arbeidet som et fellesprosjekt for hele virksomheten samlet.

    I fellesprosjektet analyserer man kravene i regelverk og avtaler som gjelder flere i virksomheten. Resultatet bør være en spesifisering av spesifikke sikkerhetstiltak eller typer tiltak som skal være etablert.

    Risikoeiere og systemeiere fellessystem kan da hovedsakelig sjekke at resultatet fra fellesprosjektet er dekkende for eget ansvarsområde, og supplere med egne analyser dersom det er nødvendig.

    10.3 Gjenbruk av kompetanse

    Det er viktig at gruppen som skal gjennomføre en slik felles analyse har kompetanse om både juss og informasjonssikkerhet. Gruppen vil senere kunne fungere som ressurspersoner for risikoeiere og systemeiere fellessystem, når de skal analysere områder som ikke er dekket av fellesprosjektet.