Ved oppstarten har dere skaffet dere oversikt over virksomheten og rammebetingelser. På denne etappen vil dere finne ut hvordan det står til med styring av informasjonssikkerhet i virksomheten.
Virksomhetsledelsen vil deretter beslutte om de ønsker å gjøre noe for å endre på tingenes tilstand. Dersom det er behov for å gjøre større endringer, sørger de for ressurser til arbeid med dette.
Analysere status
Dere vurderer status opp mot gjeldende anbefalinger om struktur og innhold på styringsaktiviteter. Dere ser også styringsaktivitetene i sammenheng med hva dere allerede har på andre områder i virksomheten, slik at dere kan bygge opp mest mulig samordnet og helhetlig styring.
Analysen vil danne grunnlaget for beslutning om veien videre.
Det er helt nødvendig å ha denne oversikten over hvordan det står til med styring på informasjonssikkerhetsområdet for å være i stand til å planlegge det videre arbeidet. Den vil gjøre dere i stand til å gi nødvendig informasjon og anbefalinger til virksomhetsledelsen.
Tips på veien
Det er svært viktig at arbeidsgruppen har god forståelse for tilnærmingen som ligger til grunn for Internkontroll i praksis - Informasjonssikkerhet. For at analysen skal være nyttig, må arbeidsgruppen ha satt seg inn i alle hovedaktivitetene – og vite hva som ligger i delaktivitetene de består av.
Arbeidsgruppen må ha god innsikt i hvordan styringen av virksomheten foregår i dag.
Dere benytter analysen av status til å vurdere og prioritere behov i forbindelse med etablering av det anbefalte settet med styringsaktiviteter. Dere lager en overordnet plan for etablering eller forbedring av styring av informasjonssikkerhet.
Tips på veien
Det er viktig å holde det overordnet. Det vil ikke være hensiktsmessig å planlegge i detalj langt fram i tid.
Dere kan benytte prioriteringsinformasjonen fra skjemaet for Analysere status i arbeidet med planen.
Dere bør benytte metoder og verktøy for prosjektstyring som dere ellers benytter i virksomheten.
Hvilke etableringsaktiviteter dere har behov for, og hva omfanget på dem skal være, kan avhenge av hva dere allerede har på plass og hvordan det står til i dag. Dersom dere ikke har svært god oversikt over dette, så kan dere legge opp til å følge de etableringsaktivitetene som Stifinneren beskriver.
På denne etappen handler virksomhetsledelsens gjennomgang om å gå gjennom analysen av status og forslaget til plan sammen med toppleder og virksomhetsledelsen. Virksomhetsledelsen skal ta beslutning om veien videre.
Dersom planen skal gjennomføres er det behov for ressurser til dette. Alt som skal gjøres i virksomheten behøver ressurser. Ledelsen må sørge for tilstrekkelig finansiering av arbeidet, som står i stil med føringene og ambisjonene for hva som skal oppnås.
På dette stadiet vil det ofte være snakk om en eller annen form for «etableringsprosjekt», som i en stund fremover kommer til å behøve noe mer ressurser enn arbeidet med informasjonssikkerhet forventes å behøve på sikt.
Dersom ledelsen er fornøyd med hvordan arbeidet med informasjonssikkerhet foregår i dag, og beslutter å ikke gjøre noe for å forbedre styringen av området, så er dere ferdige her. Det vil ikke ha noen hensikt å gjennomføre de andre etappene.
Tips på veien
Det er viktig at beslutningstakere har god forståelse for hva dette handler om før disse beslutningene tas.
Styringsaktivitetene er ledelsens redskap for styring av informasjonssikkerhet. Arbeidsgruppen skal bidra til at toppleder kan ta eierskap til, og ansvar for, arbeidet med informasjonssikkerhet, og bidra til at vedkommende får evne til å styre.
Styringsaktivitetene skal gi ledelsen evne til å styre aktivt. Styring av informasjonssikkerhet er ikke noe som i sin helhet kan delegeres til en rolle eller funksjon i virksomheten.
Dersom det ikke stilles tilstrekkelig med ressurser til disposisjon for å utføre de delene av planen som ledelsen har fattet vedtak om, så må de blitt gjort oppmerksom på det.
Aktivitetsbeskrivelsen det vises til under er generell – laget for all gjennomføring av Virksomhetsledelsens gjennomgang. Denne gangen handler det om analysen av status og beslutning om plan for veien videre.
Aktivitetene Virksomhetsledelsens gjennomgang og Sikre finansielle rammer er her beskrevet sammen, ettersom det er snakk om beslutninger det er naturlig å ta samtidig.
Denne aktiviteten gjennomfører dere dersom det er relevant å rapportere styringsinformasjon til overordnet organ.
Tips på veien
En statlig virksomhet vil for eksempel ha behov for å rapportere om status på arbeidet med styring og kontroll, eller gi annen styringsinformasjon til sitt departement.
Dere kan planlegge slik at denne aktiviteten er koordinert med etatsstyringsmøte, og at styring av informasjonssikkerhet er på agendaen.
