Fellestrekk for styring og kontroll

Det finnes noen grunnleggende aspekter ved styring og kontroll som er f elles for flere fagområder. Ved å se sammenhengen mellom områdene, kan virksomheten jobbe målrettet, effektivt og koordinert.

Opprettet: 21. januar 2021 Sist endret: 21. august 2025

Uavhengig av om man jobber med økonomistyring, informasjonssikkerhet, personvern, nasjonal sikkerhet eller HMS, er aktivitetene for styring og kontroll i stor ganske like. De som jobber helhetlig, tar utgangspunkt i den samme strukturen når de bygger styring og kontroll på ulike områder. Om dette kalles styringssystem, internkontroll eller sikkerhetsstyring spiller mindre rolle - målet er det samme: god styring og kontroll, og tilstrekkelig/forsvarlig sikkerhet.

Her går vi gjennom disse grunnleggende aspektene, med fokus på informasjonssikkerhet.

På denne siden

Fellestrekkene gjør at virksomheten kan bygge videre på godt arbeid i ett område og forbedre andre. Følger virksomheten DFØ sin veileder på internkontroll, er du på god vei til å oppfylle NSM sine krav til sikkerhetsstyring. Jobber virksomheten godt med personvern, øker sjansen for å lykkes med risikostyring også på andre områder. Følger du Digdir sin veiledning om internkontroll for informasjonssikkerhet, har virksomheten et godt utgangspunkt for det systematiske arbeidet på andre områder.

Ledelsen må lede an

Virksomhetsledelsen har det overordnede ansvaret for at arbeidet med informasjonssikkerhet gjennomføres hensiktsmessig. Dette innebærer både å etablere styringsaktiviteter, og å følge opp at de gjennomføres. Slik blir styringsaktivitetene ledelsens redskap for å sikre tilstrekkelig og forsvarlig sikkerhet.

Ledelsen må også sikre ressurser og støtte slik at arbeidet kan gjennomføres godt.

Ha tydelige roller og ansvar

Organisering må være hensiktsmessig, og roller og ansvar skal være tydelig beskrevet og formidlet.

Linjeledere og andre med operativt ansvar må kjenne sin rolle, og vite hva den innebærer. De kjenner ofte risikoene best, og vurderer og håndterer risiko på sitt område, og i prosessene de har ansvar for. Dette risikoeierskapet er, som regel, ikke knyttet til type risiko eller internkontrollområder; samme person skal forstå, vurdere og ta beslutninger på tvers (for eksempel informasjonssikkerhet, personvern, HMS og økonomi).

Jobb systematisk

Styring og kontroll gjør det mulig å oppnå tilstrekkelig/hensiktsmessig sikkerhet, slik at virksomheten når sine mål. Felles for regelverk og veiledning, som omhandler styring og kontroll, er at dette er en prosess - et sett systematiske aktiviteter som er nødvendig for å oppnå og opprettholde tilstrekkelig sikkerhet.

Arbeidet gjennomføres på ulike områder og nivå, og ulike roller har ansvaret for de ulike aktivitetene.

Jobb risikobasert

God virksomhetsstyring forutsetter at risiko vurderes og håndteres. Styring og kontroll av informasjonssikkerhet er en del av virksomhetens risikostyring, og må tilpasses egenart, risiko og vesentlighet. Omfang og innretning på styringsaktivitetene må stå i forhold til virksomhetens oppgaver og behov, og sikkerhetstiltak må stå i forhold til risikoen som skal håndteres.

De fleste regelverk som inneholder føringer for arbeidet med informasjonssikkerhet legger opp til risikobasert innretning. Det betyr at ansvaret for å finne ut hva virksomheten har behov for, legges til den enkelte virksomhet. Noen regelverk har minimumskrav som skal være på plass uavhengig av lokale vurderinger. Slike minimumskrav er som regel et supplement til den risikobaserte tilnærmingen, for å ivareta minimumsbehov på tvers av virksomheter.

For å lykkes med risikobasert arbeid trengs riktig kompetanse, gode føringer for å forstå, vurdere og håndtere risiko, og anvendbare kriterier for å akseptere risiko.

Bygg riktig kompetanse og en god kultur

En forutsetning er å bygge riktig kompetanse og en sterk sikkerhetskultur. Alle – fra toppleder til den enkelte ansatte – har ansvar for informasjonssikkerhet i en virksomhet, og det er viktig at de ansatte forstår dette ansvaret. Dette gjøres ved tydelig opplæring og bevisstgjøring. Ansatte må vite hva de skal gjøre, hvordan de skal gjøre det og hvor de finner nødvendig informasjon - og hvorfor det er viktig i deres arbeidshverdag.

Kompetansebehovet varierer mellom områder. Likheten ligger i at man må se arbeidet i sammenheng med de arbeidsoppgaver som utføres, den informasjonen man forvalter, og de målsetningene virksomheten har.

Det er viktig at de ansatte har tilstrekkelig støtte til å utføre sine oppgaver, og at det jobbes med en sikkerhetskultur som understøtter den målsetningen man har med arbeidet med informasjonssikkerhet.

Gjennomfør ledelsens gjennomgang

Formålet med gjennomgangen er å vurdere status på virksomhetens arbeid med informasjonssikkerhet, og resultatet av gjennomgangen er beslutninger knyttet til kontinuerlig forbedring, og andre behov for endringer av det systematiske arbeidet.

Øverste ledelse må ha et aktivt forhold til hvordan det systematiske arbeidet utføres. I alle ISOs styringssystemstandarder er det en egen aktivitet for å følge opp, forbedre og effektivisere styringssystematikken, gjerne kalt ledelsens gjennomgang.

Gjennomfør evalueringer

Arbeidet med styring og kontroll i virksomheten bør jevnlig evalueres – enten helheten, eller ulike deler. Evalueringene bør dekke styringsaktivitetene og iverksatte sikkerhetstiltak.

Evalueringen kan for eksempel kartlegge om det systematiske arbeidet med informasjonssikkerhet:

🧭 gjennomføres i henhold til de føringer som er satt

🧩 er hensiktsmessig organisert

💰 er kostnadseffektivt

En internrevisjon er en form for evaluering.

Sørg for kontinuerlig forbedring

God styring og kontroll bygges over tid. Kontinuerlig forbedring handler om regelmessig og systematisk oppfølging, slik at svakheter og feil i styringsaktiviteter og sikkerhetstiltak rettes - og at arbeidet blir mer effektiv.

Bruk ulike Informasjonskilder for forbedring av arbeidet med informasjonssikkerhet, for eksempel:

Evalueringer av ulike deler av arbeidet
Analyser etter sikkerhetshendelser
Øvelser
Ulike typer testing av sikkerhet/tiltak
Avvikssystem
Internrevisjon

Veiledning om styring og kontroll

Flere offentlige aktører veileder på områder som er relevant for styring og kontroll av informasjonssikkerhet. Her finner du pekere til veiledning i virksomhetsstyring/internkontroll i stat og kommune, internkontroll for informasjonssikkerhet, personvern og sikkerhetsstyring etter sikkerhetsloven.

Hjelp oss å lage bedre nettsider

Fant du det du lette etter?

Når du svarer på spørsmålet dukker det opp et tekstfelt som må fylles ut.

Nei

* obligatorisk felt som du må fylle ut for å sende skjemaet.

Tilbakemelding

Tilbakemeldingen er anonym og vil ikke bli besvart.

Er du et menneske?

Mattespørsmål (15 + 1 =)

Løs dette enkle mattespørsmålet og skriv inn svaret. For eksempel: For 1+3, skriv inn 4.