Etappe 6 - Hvordan går det?

På forrige etappe sørget dere for at viktige styringsaktiviteter ble gjennomført i alle enheter i hele virksomheten. Det var en krevende og omfattende etappe, og det kan hende det har gått ganske lang tid siden dere startet på den. På denne etappen skal dere evaluere hvordan ting har fungert, og legge til rette for å få ting til å fungere enda bedre.

Illustrasjon av stien med 7 etapper, der etappe 6 – «Hvordan går det?» - er markert.

Det er på tide å ta en pust i bakken og vurdere:

  • hvordan har det gått til nå?

  • hva fungerer godt og mindre godt?

  • er det behov for å endre kursen litt?

Det tar tid å bygge god styring og kontroll. Det er behov for regelmessig og systematisk oppfølging, slik at svakheter og feil i styringsaktiviteter og sikkerhetstiltak kan korrigeres. Det dere skal gjøre på denne etappen er ting dere senere vil gjenta regelmessig, for å sikre kontinuerlig forbedring av informasjonssikkerhetsarbeidet.

    Visuelt skille mellom steg, med ikon for å vise at neste steg er en styringsaktivitet

    Vurdere status på eget ansvarsområde

    Ledere og andre personer som har et eget ansvarsområde i forbindelse med styringen skal nå vurdere status på ansvarsområdet sitt.

    I utgangspunktet skal de gjøre en vurdering av hvordan de selv opplever at status er, og hvor stor tillit de har til at ting er slik de skal være. Elementer som bør inngå i vurderingen er

    • blir styringsaktivitetene gjennomført som forventet?

    • er sikkerhetstiltak etablert og fungerer de etter hensikten?

    Tips på veien

    • Det aller viktigste er at risikoeiere med ansvar for virksomhetens oppgaver og tjenester har god oversikt over status. Det er også svært viktig at tiltaksleverandører med ansvar for sikkerhetstiltak har slik oversikt.

    • Andre ledere som delegerer og skal følge opp gjennom linjen, og andre roller, bør også skaffe seg oversikt over status på det de har ansvaret for.

    • Dersom man ikke er i stand til å vurdere om ting fungerer tilfredsstillende, bør det gjøres grundigere undersøkelser. Men det er ikke like aktuelt denne første gangen – hvor det er forventet at det er mye som er vanskelig eller ikke fungerer helt som det skal.

    Beskrivelse av aktiviteten

    Måling, evaluering og revisjon - Vurdere status på eget ansvarsområde

    Visuelt skille mellom steg, med ikon for å vise at neste steg er en styringsaktivitet

    Evaluering

    Arbeidsgruppen evaluerer hvordan det har gått med gjennomføringen av styringsaktivitetene på forrige etappe og vurderingene av status på eget ansvarsområde på denne etappen.

    Spørsmål det kan være nyttig å stille er:

    • Har risikoeierne lykkes i å få en god oversikt over ansvarsområdene sine?
    • Er det gjort gode vurderinger av hvor det var behov for grundigere vurdering og håndtering av risiko?
    • Hvordan har det fungert å løfte problemstillinger i linjen?
    • Har ledelsen god forståelse for risiko på området?
    • Hvordan har samspillet mellom risikoeiere og tiltaksleverandører fungert?
    • Er risikoeierne tilfreds med støtten de har fått?

    Hva som er viktig å ta med i evalueringen vil variere, og dere må vurdere dette selv.

    Arbeidsgruppen bør evaluere helheten, og beskrive forslag til forbedringer av måten ting skal fungere hos dere. Dette vil inngå i beslutningsgrunnlag til virksomhetsledelsen på neste etappe.

    Tips på veien

    • Vær spesielt oppmerksom på at den første gjennomføringen av vurdering og håndtering av risiko i forrige etappe er mye tyngre og mer arbeidskrevende enn når dette skal gjøres senere. Når risikoeiere har fått mer erfaring og god oversikt over ansvarsområdene sine, og dere har bedre oversikt i virksomheten som helhet, så skal dette bli mye enklere. Evalueringen bør inneholde en beskrivelse av dette, og hvordan arbeidet som er gjennomført legger grunnlaget for at dere kan bruke mindre ressurser på å gjennomføre disse aktivitetene etter hvert.
    • De som har hatt ansvaret for gjennomføring av styringsaktiviteter bør involveres i evalueringen. Det var sikkert noen som hadde gode forutsetninger og lyktes med det de skulle gjøre, og andre som syntes dette var utfordrende og vanskelig. Dere bør ta med et bredt grunnlag til evalueringen, slik at dere kan gi virksomhetsledelsen god oversikt over hvordan ting har fungert.
    • Dersom dere har gode fremgangsmåter for å evaluere ting i virksomheten, så bør dere vurdere om dere kan benytte dem her.
    • Evalueringen bør også benyttes til å identifisere behov for kompetanse- og/eller kulturutvikling.
    • I fremtidige evalueringer vil det sannsynligvis være flere andre temaer som er relevante. Det er avhengig av hvor langt dere er kommet, og hva dere anser som viktig å ta med i en evaluering av hele eller deler av arbeidet med informasjonssikkerhet.

    Beskrivelse av aktiviteten

    Måling, evaluering og revisjon - Gjennomføre evalueringer

    Dette kan også være nyttig

    Veiledere til evaluering på dfo.no

    Visuelt skille før sjekklisten for etappen

    Sjekkliste – etappe 6

    • Risikoeiere og tiltaksleverandører har vurdert status på sine ansvarsområder i alle enheter i hele virksomheten.

    • Vi har evaluert hvor godt styring av informasjonssikkerhet fungerer og foreslått forbedringer.

    Neste etappe

    Når dere kan svare tilfredsstillende på punktene i sjekklisten er dere klare for den siste etappen på stien.

    Etappe 7 - Forbedre og justere

    Har du kommentarer eller spørsmål? Ta kontakt!

    Kompetansemiljø for informasjonssikkerhet