Hopp til hovedinnhold

Etappe 3 - Prøve ut og justere

På forrige etappe kom dere fram til hvordan ting skal fungere hos dere. Dette skal nå prøves ut i praksis.

Illustrasjon av stien med 7 etapper, der etappe 3 – «Prøve ut og justere» - er markert.

Dere vil finne ut om det er ting som bør gjøres annerledes, eller om det er vanskelig for ledere å skjønne hva de skal gjøre for å ivareta ansvaret sitt. Dere benytter denne læringen til å oppdatere og forbedre beskrivelsene av hvordan ting skal fungere.

Dere skal utarbeide og prøve ut grunnopplæring for de lederne som skal styre og ta beslutninger, og andre med sentrale roller i styringsaktivitetene.

Det kan hende dere vil gjennomføre noen av de aktivitetene som etter hvert skal gå av seg selv rundt omkring i virksomheten. Det kan være en slags «pilot» som gjennomføres i en enhet i virksomheten, eller et par mindre enheter i ulike deler av organisasjonen.

Dere må forvente at det vil være en del forvirring, og at en del ting forløper litt annerledes enn dere hadde tenkt. Det er alle de tingene som er uklare, og steder hvor ting går treigt eller stopper opp, dere skal fange opp. Dere kan deretter justere føringer, innholdet i grunnopplæringen til ledere og gjøre andre justeringer, før aktivitetene skal gjennomføres i hele organisasjonen.

Når virksomhetsledelsen har bestemt seg for hvordan de ønsker å styre, og er fornøyd med beskrivelsen av hvordan ting skal fungere hos dere, tar de beslutning om at føringene skal gjelde.

    Visuelt skille mellom steg, med ikon for å vise at neste steg er en styringsaktivitet

    Kommunisere viktighet

    Det er viktig at toppleder kommuniserer sine forventninger til organisasjonen, og er tydelig på hva som er viktig og hva som er prioritert. Det er akkurat som alle andre ting som skal gjennomføres i en organisasjon: Det som er viktig og prioritert blir gjort.

    Kommunikasjonsbehovet vil være avhengig av omfang av utprøving. Virksomhetsledelsen må sørge for at de delene av organisasjonen som skal gjennomføre utprøvingen ser hensikten med det de skal gjøre og er motivert til å få dette til på en god måte.

    Tips på veien

    • Det vil være fornuftig å benytte de kanalene ledelsen ellers benytter til å kommunisere prioriteringer og få ting til å skje i organisasjonen.
    • Kommunikasjonen må komme fra toppen, og fra de som ellers har ansvaret for å styre hele eller deler av virksomheten. Den kan ikke komme fra fagansvarlig informasjonssikkerhet eller andre støttefunksjoner.
    Visuelt skille mellom steg, med ikon for å vise at neste steg er en etableringsaktivitet

    Grunnopplæring

    Dere skal utarbeide og gjennomføre opplæring til de som skal ha sentrale roller i styringsaktivitetene.

    Det er vesentlig at de får god forståelse for konseptene som ligger til grunn, og hvordan informasjonssikkerhet bidrar til at virksomheten når sine mål og kan ivareta sine forpliktelser.

    Tips på veien

    • Det er spesielt viktig at risikoeiere og (interne) tiltaksleverandører forstår og er i stand til å utøve rollene sine.
    • Det kan være lurt å legge vekt på hva personene har å gagne fra å få til dette på en god måte.
    Visuelt skille mellom steg, med ikon for å vise at neste steg er en styringsaktivitet

    Vurdering av risiko del 1 – Oversikt og prioritering

    Denne aktiviteten handler om å skaffe tilstrekkelig oversikt over oppgaver og tjenester, informasjonsbehandlingen i disse, og hvor store konsekvensene kan bli ved informasjonssikkerhetsbrudd.

    Dette kan prøves ut i en eller flere enheter i virksomheten. Det kan prøves ut grundig, eller det kan testes litt sammen med en risikoeier.

    Oversikten gjør risikoeiere i stand til å prioritere arbeidet med informasjonssikkerhet, spesielt hvor ressursene skal benyttes til grundigere vurdering og håndtering av risiko.

    Tips på veien

    • Vær tydelig på formålet med å gjøre dette, og hvilke fordeler det vil gi på sikt.

    Beskrivelse av aktiviteten

    Vurdering av risiko - Ha oversikt og prioritere

    Dette kan også være nyttig

    Foranalyse av eget ansvarsområde

    Visuelt skille mellom steg, med ikon for å vise at neste steg er en styringsaktivitet

    Vurdering av risiko del 2 – Planlegge og gjennomføre risikovurdering

    Denne aktiviteten handler om å vurdere risiko for minst en av virksomhetens oppgaver.

    Dette kan prøves ut i en eller flere enheter i virksomheten. Det kan prøves ut grundig, eller det kan testes litt sammen med en risikoeier.

    Tips på veien

    • Aktivitetsbeskrivelsen viser til en fremgangsmåte som kan benyttes. Dersom virksomheten har erfaring med metoder som fungerer godt, så kan de benyttes. Dere bør ha satt dere godt inn i risikomodeller og risikoforståelse da dere utarbeidet føringene for aktiviteten.
    Visuelt skille mellom steg, med ikon for å vise at neste steg er en styringsaktivitet

    Håndtering av risiko

    Denne aktiviteten handler om å håndtere risiko, i forlengelse av vurderingen dere nettopp har gjennomført.

    Dere vil få testet i hvilken grad risikoeiere er i stand til å ta gode beslutninger basert på informasjonen de får fra vurderingen av risiko.

    Tips på veien

    • Legg merke til at aktiviteten i hovedsak handler om å ta beslutninger om hvordan risiko skal håndteres. Den handler ikke om detaljene i sikkerhetstiltak – i de tilfellene der etablering av dem for å redusere risiko er måten risiko skal håndteres på.
    • Dersom det gjennomføres grundig for en oppgave eller tjeneste så kan dette gjenbrukes som én av de utvalgte oppgavene/tjenestene når dere senere skal etablere fellessikring.
    Visuelt skille mellom steg, med ikon for å vise at neste steg er en styringsaktivitet

    Evaluering

    Hvordan gikk utprøvingen? Er det noe dere bør endre på eller forbedre før dette skal gjennomføres rundt omkring i hele virksomheten?

    Dere evaluerer utprøvingen og beskriver forslag til endringer i hvordan ting skal fungere hos dere.

    Tips på veien

    • Dere bør legge vekt på opplevelsen risikoeierne hadde i gjennomføringen. Hva har de behov for?
    • Dersom dere har gode fremgangsmåter for å evaluere ting i virksomheten, så bør dere se om dere kan benytte dem her.
    Visuelt skille mellom steg, med ikon for å vise at neste steg er en styringsaktivitet

    Virksomhetsledelsens gjennomgang

    I dette steget er det viktigste at det tas en beslutning om at føringene for hvordan ting skal fungere hos dere skal gjelde. Andre beslutninger kan også være aktuelle, for eksempel beslutninger knyttet til finansiering av arbeidet.

    Evalueringen presenteres for toppledelsen. Det må inkludere alle forslag til endringer i hvordan ting skal fungere hos dere, basert på erfaringene fra utprøvingen.

    Toppleder tar beslutning om at føringene skal gjelde i virksomheten.

    Tips på veien

    • Dette må ikke være en sak som er «til informasjon» til ledelsen, eller noe toppleder og virksomhetsledelsen bare har en vag idé om hva er, og at er viktig. De skal ha vært aktive i utformingen av føringene, slik at det i praksis er en formalitet å fatte vedtak om hvordan de ønsker å styre arbeidet med informasjonssikkerhet.
    • Husk å ta med det fra evalueringen som var bra, og som fungerte godt.
    • Legge vekt på å svare på alle spørsmål ledelsen sitter med. Dette er deres redskap, som de skal benytte som en del av styringen av virksomheten.
    • Alt som skal gjøres i virksomheten behøver ressurser. Dersom det er behov for beslutning om finansiering av det videre arbeidet bør det tas nå. Ressurstilgangen må stå i stil med føringene og ambisjonene for hva som skal oppnås.
    • Dersom det ikke stilles tilstrekkelig med ressurser til disposisjon for å oppnå det virksomhetsledelsen har gitt føringer for, så bør dette flagges tydelig. Enten må ressursallokeringen justeres opp, eller ambisjonene for arbeidet må justeres ned. Ledelsen må ha god informasjon og beslutningsstøtte slik at de er i stand til å se konsekvensene av beslutningene de tar.
    • Aktivitetene Virksomhetsledelsens gjennomgang og Sikre finansielle rammer er her beskrevet sammen. Det er snakk om beslutninger det er naturlig å ta samtidig.
    • Det kan også være behov for å presentere en oppsummering av arbeidet så langt, og skissere veien videre, slik at hele virksomhetsledelsen har god forståelse for hva som skjer, og hva som skal skje videre.
    Visuelt skille før sjekklisten for etappen

    Sjekkliste – etappe 3

    • De som skal prøve ut styring av risiko, inkludert ha oversikt over sitt ansvarsområde, vurdere risiko og ta beslutninger om håndtering av risiko og annen prioritering av ressurser, har god forståelse for hva dette handler om og hvilket ansvar de har.
    • Vi har prøvd ut det å skaffe seg tilstrekkelig oversikt over et ansvarsområde, prioritere videre arbeid, og det å vurdere og håndtere risiko.
    • Vi har evaluert utprøvingen av hvordan ting skal fungere hos oss.
    • Toppleder har tatt beslutning om at føringene skal gjelde i virksomheten.

    Neste etappe

    Når dere kan svare tilfredsstillende på punktene i sjekklisten er dere klare for fjerde etappe.

    Har du kommentarer eller spørsmål? Ta kontakt!

    Kompetansemiljø for informasjonssikkerhet