Etappe 2 - Hvordan skal ting fungere hos oss?

Dere har analysert status for styring av informasjonssikkerhet hos dere og etablert en plan for arbeid med å styrke styringen. På denne etappen skal dere finne ut hvordan ting skal fungere hos dere.

Illustrasjon av stien med 7 etapper, der etappe 2 – «Hvordan skal ting fungere hos oss?» - er markert.

Det handler blant annet om

  • innhold i styringsaktivitetene

  • hvem som skal ha ansvar for hva

  • delegering av myndighet til roller som skal ta ulike beslutninger

  • hvordan disse beslutningene skal tas

  • finansiering av det som skal gjøres

Dere dokumenterer føringene i policy og retningslinjer, og legger til rette for at dere kan dokumentere beslutninger og andre deler av styringen i tiden fremover.

På denne siden

    Visuelt skille mellom steg, med ikon for å vise at neste steg er en etableringsaktivitet

    Føringer

    I denne aktiviteten skal struktur og innhold i styringsaktivitetene beskrives. Dere finner ut hvem som skal gjøre hva, og skriver ned føringer for hvordan det skal gjøres.

    Føringene dokumenteres på en hensiktsmessig måte, slik at de

    • fungerer som oppslagsverk, hvor man kan sette seg inn i dem

    • fungerer som samfunnsdokumentasjon (arkivplikt)

    • ved behov kan gi eksterne interessenter informasjon om hvordan ting fungerer hos dere

    Tips på veien

    • Dette er virksomhetsledelsens føringer for hvordan styringen av virksomheten skal fungere. De må være aktivt involvert i utformingen.
    • Struktur og innhold i styringsaktivitetene som beskrives i Digitaliseringsdirektoratets veiledning er offisiell anbefaling til forvaltningen.
    • En vesentlig del av føringene for hvordan ting skal fungere handler om delegering av myndighet til ulike roller. Legg spesielt merke til delegering av ansvar for å styre risiko for virksomhetens oppgaver og tjenester, og hvordan noen beslutninger likevel skal tas av andre roller, med utvidet myndighet. Det kan for eksempel være slik at beslutning om aksept av svært høy risiko skal tas av toppleder. Aktiviteten Delegere og følge opp gjennom linjen er derfor inkludert her.
    Visuelt skille mellom steg, med ikon for å vise at neste steg er en styringsaktivitet

    Virksomhetsledelsens gjennomgang

    Virksomhetsledelsen må ta en beslutning om at føringene er gode nok til at de kan testes ut, og at slik utprøving skal gjennomføres.

    Det kan også være behov for å presentere en oppsummering av arbeidet så langt, og skissere veien videre, slik at hele virksomhetsledelsen har god forståelse for hva som skjer, og hva som skal skje i tiden fremover.

    Tips på veien

    • Dette kan være en enkel sak på et ledermøte, men Stifinneren viser til aktiviteten Virksomhetsledelsens gjennomgang for at det skal være tydelig hvor beslutninger om hvordan virksomheten skal styres hører hjemme.

    • Dette må ikke være en sak som er «til informasjon» til virksomhetsledelsen, eller noe toppleder og ledergruppen bare har en vag idé om hva er. De skal ha vært aktive i utformingen av føringene, slik at det i praksis er enkelt å bestemme seg for å prøve det ut i praksis.

    • Utprøvingen foregår i neste etappe.

    Visuelt skille mellom steg, med ikon for å vise at neste steg er en etableringsaktivitet

    Få på plass fagansvarlig informasjonssikkerhet

    Det er svært viktig å ha, eller tidlig få på plass, en «fagansvarlig informasjonssikkerhet» eller lignende rolle.

    Fagansvarlig informasjonssikkerhet skal gi faglig støtte til virksomhetsledelsen i arbeidet med å etablere styringsaktivitetene, og i det videre arbeidet med styring av informasjonssikkerhet.

    Tips på veien

    • Øvrige støttefunksjoner kan etableres på en senere etappe. Etableringsaktiviteten kommer derfor igjen på etappe 4.

    Visuelt skille mellom steg, med ikon for å vise at neste steg er en etableringsaktivitet

    Etablere rammeverk for dokumentasjon

    Et rammeverk for dokumentasjon gjør at nødvendig dokumentasjon har en fornuftig struktur og er lett tilgjengelig for de som har behov for den.

    Det som bør dokumenteres inkluderer føringer i form av policy eller retningslinjer, ulike typer vurderinger som gjøres og beslutninger som blir tatt.

    Tips på veien

    • På dette stadiet bør dere få på plass et minimum, slik at dere kan holde oversikt over og finne igjen dokumentasjonen dere trenger på de neste etappene.

    • Dersom dere har behov for et stort dokumenthåndteringsprosjekt, så bør dere skille det ut og la det gå parallelt med det videre arbeidet. Unngå at etablering av god styring blir et dokument-prosjekt.

    • Informasjon kan gjøres tilgjengelig ulike steder, for å dekke ulike behov.

    • Husk at en offentlig virksomhet må sørge for tilstrekkelig samfunnsdokumentasjon.

    Beskrivelse av aktiviteten

    Etablere rammeverk for dokumentasjon

    Dette kan også være nyttig

    Veiledning fra Arkivverket

    Visuelt skille før sjekklisten for etappen

    Sjekkliste – etappe 2

    • Vi har en god beskrivelse av hvordan styring av informasjonssikkerhet skal fungere hos oss.

    • Ansvaret for å styre risiko (på informasjonssikkerhetsområdet) er delegert i ordinær linje, til de som har ansvaret for våre oppgaver og tjenester.

    • Toppleder / virksomhetsledelsen har besluttet å prøve ut hvordan det vil fungere i praksis.

    • Ledelsen får støtte i det videre arbeidet av en fagansvarlig informasjonssikkerhet (eller tilsvarende rolle).

    • Vi har et rammeverk for dokumentasjon og tekniske løsninger for å lage, finne og bruke denne dokumentasjonen vi har behov for.

    Neste etappe

    Når dere kan svare tilfredsstillende på punktene i sjekklisten er dere klare for tredje etappe.

    Har du kommentarer eller spørsmål? Ta kontakt!