Etappe 7 - Forbedre og justere

I forrige etappe vurderte dere hvordan arbeidet har gått så langt, og identifiserte behov for justering av kursen, slik at dere får dette til å fungere godt. Nå er det på tide å følge opp disse vurderingene, og stake ut kursen videre.

Illustrasjon av stien med 7 etapper, der etappe 7 – «Forbedre og justere» - er markert.

Det kan være behov for å gjennomføre flere aktiviteter enn det som er beskrevet her. Dette er de som er viktigst for å beslutte hva som skal gjøres, og sette det videre arbeidet i gang.

    Visuelt skille mellom steg, med ikon for å vise at neste steg er en etableringsaktivitet

    Oppdatere plan

    Basert på evalueringen som ble gjennomført i forrige etappe bør arbeidsgruppen vurdere om det er behov for å oppdatere planen. Det kan hende at noen aktiviteter gjennomført tidligere må legges inn igjen og gjennomføres på nytt. Det kan også hende at dere nå kan planlegge i mer detalj hva som skal skje i tiden fremover.

    Tips på veien

    • Bruk erfaringene fra evalueringen og gjennomføringen så langt til å legge en så realistisk plan som mulig.

    Beskrivelse av aktiviteten

    Planlegge etablering og forbedring

    Visuelt skille mellom steg, med ikon for å vise at neste steg er en styringsaktivitet

    Virksomhetsledelsens gjennomgang

    Virksomhetsledelsen vurderer resultatet fra evalueringen, inkludert sammenfatning av risikoeiernes vurderinger av status på eget ansvarsområde, og forbedringer og endringer som er foreslått.

    Toppleder tar beslutning om veien videre.

    Det vil i de fleste tilfeller også innebære beslutninger knyttet til finansiering av det videre arbeidet.

    Tips på veien

    • Husk å ta med det fra evalueringen som var bra, og som fungerte godt. Det er viktig å vise fremgang – hva har dere oppnådd til nå, og hvilke gevinster dere oppnår ved å jobbe videre slik dere har begynt.

    • Alle forslag til endringer og justeringer dere mener det er behov for må presenteres, med tilhørende anbefalinger fra arbeidsgruppen. Det kan for eksempel være behov for å oppdatere føringene for hvordan ting skal fungere, eller det kan være avdekket ekstra behov for opplæring.

    • Dere bør legge vekt på at det skal bli lettere å gjennomføre styringsaktivitetene og oppnå gode resultater av arbeidet som gjøres.

    • Legg spesiell vekt på å svare på alle spørsmål ledelsen sitter med. Dette er deres redskap, som de skal benytte som en del av styringen av virksomheten.

    • Etter hvert som aktivitetene i etappe 5, 6 og 7 gjentas, vil innholdet i virksomhetsledelsens gjennomgang endre seg. Den må være tilpasset situasjonen dere er i, og behovet ledelsen har, slik at de kan styre på en god måte.

    • Alt som skal gjøres i virksomheten behøver ressurser. Dersom det er behov for beslutning om finansiering av det videre arbeidet bør det tas nå. Ressurstilgangen må stå i stil med føringene og ambisjonene for hva som skal oppnås.

    • Dersom det ikke stilles tilstrekkelig med ressurser til disposisjon for å oppnå det ledelsen har gitt føringer for, så bør dette flagges tydelig. Enten må ressursallokeringen justeres opp, eller ambisjonene for arbeidet må justeres ned. Ledelsen må ha god informasjon og beslutningsstøtte slik at de er i stand til å se konsekvensene av beslutningene de tar.

    • Aktivitetene Virksomhetsledelsens gjennomgang og Sikre finansielle rammer er her beskrevet sammen. Det er snakk om beslutninger det er naturlig å ta samtidig.

    Beskrivelse av aktivitetene

    Ledelsens styring og oppfølging - Virksomhetsledelsens gjennomgang

    Ledelsens styring og oppfølging - Sikre finansielle rammer

    Dette kan også være nyttig

    Kommunikasjon - Utarbeide saksnotat til virksomhetsledelsens gjennomgang

    Visuelt skille mellom steg, med ikon for å vise at neste steg er en styringsaktivitet

    Kommunisere viktighet

    På dette tidspunktet er det viktig at toppleder kommuniserer resultatene fra evalueringen til organisasjonen.

    • hva som fungerte godt

    • hva som fungerte mindre godt

    • hva ledelsen gjør for å sørge for kontinuerlig forbedring

    Det er viktig at toppleder og resten av virksomhetsledelsen kommuniserer sine forventninger til organisasjonen. Det må være tydelig hva som er viktig og hva som er prioritert. Det er akkurat som alle andre ting som skal gjennomføres i en organisasjon – det som blir ansett som viktig og prioritert er det som blir gjort.

    Tips på veien

    • Det vil være fornuftig å benytte de kanalene ledelsen ellers benytter til å kommunisere prioriteringer og få ting til å skje i organisasjonen.

    • Slik kommunikasjon bør skje gjentatte ganger, på ulike måter og på ulike nivåer i organisasjonen.

    • Kommunikasjonen må komme fra toppen, og fra de som ellers har ansvaret for å styre hele eller deler av virksomheten. Den kan ikke komme fra fagansvarlig informasjonssikkerhet eller andre støttefunksjoner.

    • Det er spesielt viktig at toppleder fortsatt tydelig kommuniserer sine forventninger til de som rapporterer direkte til vedkommende – at det som er viktig kommer til å bli fulgt opp, og at det er forventet at de skal ha oversikt og kunne redegjøre for hvordan det går innen deres respektive ansvarsområder.

    Beskrivelse av aktiviteten

    Ledelsens styring og oppfølging - Kommunisere viktighet

    Visuelt skille mellom steg, med ikon for å vise at neste steg er en styringsaktivitet

    Dialog med styrende organ

    Denne aktiviteten gjennomfører dere dersom det er relevant å rapportere styringsinformasjon til overordnet organ.

    Tips på veien 

    • En statlig virksomhet vil for eksempel ha behov for å rapportere om status på arbeidet med styring og kontroll, eller gi annen styringsinformasjon til sitt departement. 

    • Dere kan planlegge slik at denne aktiviteten er koordinert med etatsstyringsmøte, og at styring av informasjonssikkerhet er på agendaen. 

    Beskrivelse av aktiviteten 

    Kommunikasjon - Dialog med styrende organ

    Dette kan også være nyttig 

    Veileder i oppfølging av informasjonssikkerhet i styringsdialogen

    Visuelt skille før sjekklisten for etappen

    Sjekkliste – etappe 7

    • Vi har oppdatert planen for etablering eller forbedring av styring av informasjonssikkerhet.

    • Virksomhetsledelsen har behandlet evalueringen fra forrige etappe, og forslagene til forbedringer.

    • Toppleder og virksomhetsledelsen forstår sitt ansvar og har besluttet en plan for videre arbeid.

    • Det er tilstrekkelig med ressurser til arbeidet med informasjonssikkerhet.

    • Toppleder har tydelige forventninger til de som rapporterer direkte til seg.

    • Virksomhetsledelsen har tydelige forventninger til organisasjonen, og arbeidet med informasjonssikkerhet har tilstrekkelig prioritet.

    • Vi har rapportert styringsinformasjon til overordnet organ (f.eks. departement / kommunestyre).

    Ved stiens ende

    Når dere kan svare tilfredsstillende på punktene i sjekklisten er dere ferdige med reisen langs stien, og klare til å starte det kontinuerlige arbeidet med styring av informasjonssikkerhet.

    Stifinnerens slutt

    Har du kommentarer eller spørsmål? Ta kontakt!

    Kompetansemiljø for informasjonssikkerhet