Fire historier om styring av informasjonssikkerhet

Digdir viser hvordan styringsarbeidet kan gjøres mer effektivt ved å fortelle historiene til fire ansatte i "Direktoratet for eksempler" (Deks), som har ulike roller i informasjonssikkerhet.

Opprettet: 07. juni 2021 Sist endret: 20. august 2025

Det er flere roller som har et ansvar i arbeidet med styringen av informasjonssikkerhet i en virksomhet. Arbeidet med informasjonssikkerhet skal underbygge virksomhetens informasjonsbehandling og måloppnåelse. Selv om toppleder har det overordnede ansvaret for at virksomheten når målsetningene sine, vil det være ulike personer som har ansvaret for å gjennomføre styringsaktivitetene. Noen personer vil ha flere roller de må ivareta.

Ved å følge vår veiledning, vil de som har ansvaret for ulike deler av arbeidet kunne gjennomføre dette på en mer effektiv måte, der man klarer å prioritere hvor det er viktig å bruke ressursene. Her beskriver vi historien til fire personer som jobber i Direktoratet for eksempler (Deks). Disse personene fyller viktige roller i direktoratets systematiske arbeid med informasjonssikkerhet. Deks utfører oppgaver og leverer tjenester til både innbyggere og offentlige og private virksomheter, og informasjonsbehandling er et viktig element i de oppgavene som utføres.

På denne siden

Turid Toppleder

Turid Toppleder leder Direktoratet for eksempler (Deks). Hun må sørge for at direktoratet styrer risiko for sine oppgaver på en god måte. Som toppleder har hun det overordnede ansvaret, men hun kan ikke ha full oversikt over alle detaljer i direktoratet. Derfor sørger hun for å etablere styringsaktiviteter som gir henne den oversikten hun trenger for å ta beslutninger knyttet til hvordan Deks skal arbeide med informasjonssikkerhet. Dette gjør henne trygg på at direktoratet kan utføre oppgavene og ivareta forpliktelsene sine.

Arbeid med ledergruppen 🎯

Illustrasjon av hierarki med leder på toppen

Sammen med ledergruppen sin har Turid utarbeidet føringer for arbeidet med informasjonssikkerhet i direktoratet. De har blant annet besluttet hvordan arbeidet skal organiseres og gjennomføres, hvordan roller og ansvar fordeles, og hvordan virksomheten skal forstå, vurdere og håndtere risiko. De startet med å gjøre en analyse av hva som allerede fungerte bra i virksomheten, og hva som måtte forbedres. Ledergruppen får hele veien god støtte fra Fridtjof Fagansvarlig.

Setter tonen på toppen 📣

Turid vet at toppledelsen må gå foran. I tillegg vet hun at alle som har en rolle i styringsaktivitetene fått opplæring, slik at de vet hva som er deres ansvar, og hvor de kan henvende seg dersom de trenger støtte. Direktoratet har jobbet grundig med dette. Derfor kan Turid ha tillit til at de som har ansvar for oppgaver og tjenester gjør gode vurderinger, og at hun blir involvert når det er behov for det. Siden de holder oversikt over oppgaver og tjenester, og hvilken betydning informasjonsbehandlingen har, vet hun at de gjennomfører grundig vurdering av risiko der det er mest behov for det.

Fellessikring og tilleggssikring 🛡️

Diirektoratet har etablert fellessikring – et grunnleggende sett av sikkerhetstiltak for hele virksomheten, og de har oversikt over tilgjengelig tilleggssikring. Turid er trygg på at de som har ansvar for oppgaver og tjenester, og de som er ansvarlige for sikkerhetstiltak, i fellesskap håndterer risiko på en kostnadseffektiv måte.

Oppfølging og styring 📊

Turid følger opp sine ledere, og er tydelig på hva hun forventer at de skal ha oversikt over. Hun leder virksomhetsledelsens gjennomgang, og får den oversikten hun trenger til å

vurdere behov for endringer.
rapportere styringsinformasjon til departementet.

Fridtjof Fagansvarlig

Fridtjof Fagansvarlig er fagansvarlig for informasjonssikkerhet i Direktoratet for eksempler (Deks). Han er pådriver for sikkerhetsarbeidet, og støtter både ledelsen og resten av virksomheten

Illustrasjon av nøkkelperson - fagansvalig informasjonssikkerhet

Kommunikasjon og samordning 🗣️

En av Fridtjofs viktigste oppgaver er å sikre god dialog mellom:

Toppledelsen
Linjeledere
Fagpersoner (for eksempel IT)

Fridtjof har støttet ledelsen i arbeidet med å etablere styringsaktiviteter, med klare føringer for hvordan arbeidet med informasjonssikkerhet skal gjennomføres, og kommunisere dette til de som har ansvaret for ulike deler. De som har et spesifikt ansvar har fått opplæring i de aktivitetene de skal gjennomføre. De som har ansvar for Deks’ oppgaver og tjenester vet hva de skal gjøre når det kommer til informasjonssikkerhet, og vet når de trenger å be om støtte fra Fridtjof. Han utarbeider statusrapporter de kan bruke når de vurderer risiko innen sine ansvarsområder. God oversikt over fellessikring og tilgjengelig tilleggssikring gjør det lett for Fridtjof å kommunisere både med de som skal styre risiko for oppgaver og tjenester, og de som er ansvarlige for å forvalte sikkerhetstiltak. Dette gjør at Deks har kostnadseffektiv håndtering av risiko.

Den gode dialogen gjør også at Fridtjof lettere kan identifisere behov for kompetanse-heving. Det kan både være behov hos de som har ansvar for styringsaktivitetene og de øvrige ansatte.

Rapportering til toppledelsen📝

En av Fridtjofs sentrale oppgaver er å rapportere status til Turid Toppleder og ledergruppen. Dette gjør han i virksomhetsledelsens gjennomgang. I forkant går han gjennom vurderingene de med ansvar for oppgaver og tjenester har gjort av tilstanden hos seg. Dette inkluderer også hvor de har identifisert behov for, og gjennomført, nærmere vurdering og håndtering av risiko. Sammen med annen informasjon om trusler og sårbarheter kan han skrive et godt saksnotat, og beskrive hva han anbefaler ledelsen å vurdere og ta beslutninger om for å forbedre informasjonssikkerhetsarbeidet i Deks.

Resultatet 🚀

Det systematiske arbeidet gjør at Fridtjof kan være en solid støtte for ledelsen. Han hjelper dem i å navigere i usikkerhet, og ta beslutninger slik at Deks når sine mål.

Linus Linjeleder

Linus linjeleder leder en seksjon i Direktoratet for eksempler (Deks). Han har ansvar for flere viktige oppgaver. Dermed har han også ansvaret for å styre risiko for disse oppgavene, og arbeidet med informasjonssikkerhet er en del av dette.

Opplæring og støtte 🎓

Han har fått opplæring i hva som er hans rolle i det systematiske arbeidet med informasjonssikkerhet. I tillegg kjenner han Fridtjof Fagansvarlig godt, og får hjelp fra ham dersom noe er uklart, eller han trenger hjelp til å gjennomføre noen av aktivitetene.

Grunnlaget for styring 📋

Da det systematiske arbeidet med informasjonssikkerhet ble etablert i Deks, tok ledelsen initiativ til at det i hele virksomheten skulle gjennomføres en foranalyse for å få oversikt over oppgaver og tjenester, og hvilke informasjonstyper som behandles i disse. De vurderte også hvor store konsekvenser informasjonssikkerhetshendelser kan få, og gjorde en overordnet vurdering av trusler, farer og sårbarheter.

Risikovurdering og håndtering 🛡️

Denne oversikten gjør det lettere for Linus å styre informasjonssikkerheten for de oppgavene han har ansvaret for. Han kan dele opp ansvarsområdet sitt på en hensiktsmessig måte, slik at han ser hvor det er behov for å vurdere risiko grundigere. Når han har vurdert risiko, og det er tid for å vurdere hvordan risikoene skal håndteres, har Linus klare retningslinjer fra ledelsen om kriterier for å akseptere risiko. Han vet derfor godt hvilke risikoer han kan håndtere på egenhånd, og hvilke som må løftes til hans leder – eller til Turid Toppleder. Dette gjør risikostyringen målrettet og effektiv.

Sikkerhetstiltak 🛠️

Når han beslutter at det skal etableres sikkerhetstiltak for å redusere risiko, har Linus god oversikt over hvilke tiltak som er tilgjengelige gjennom fellessikringen og tilleggssikringen. I tillegg har han et klart bilde av hvem i virksomheten som er ansvarlig for ulike typer sikkerhetstiltak, slik at det er lett å ta kontakt med dem for å få utformet sikkerhetstiltak. Noen ganger har disse også deltatt i selve vurderingen av risiko, fordi de vet mye om sårbarheter og hvor sannsynlig det er at hendelser inntreffer. Dersom noe er utfordrende, kan Fridtjof Fagansvarlig bidra for å lette kommunikasjonen.

Årlig vurdering 🔄

En gang i året gjør Linus en vurdering av status på sitt ansvarsområde:

Gjennomføres styringsaktivitetene som planlagt?
Er sikkerhetstiltak etablert og i drift?
Fungerer tiltakene etter hensikten?
Følger de regelverket?

Hvis ikke, setter han i gang endringene.

Bidrag til ledelsen📊

Resultatet av Linus’ vurdering inngår i Fridtjof Fagansvarlig rapportering til virksomhetsledelsen. Slik bidrar Linus til at toppledelsen får det beslutningsgrunnlaget de trenger for å navigere gjennom usikkerhet og nå virksomhetens mål.

Begrepet risikoeier brukes om alle ledere med ansvar for arbeidsoppgaver og tjenester rundt om i virksomheten. De er ansvarlig for utføring av arbeidet og de mål som skal nås. De bør da også eie – og være ansvarlig for å identifisere, vurdere og håndtere – risikoer innen eget ansvarsområde.

Trine Tiltaksleverandør

Trine Tiltaksleverandør jobber i en del av Direktoratet for eksempler (Deks) som leverer sikkerhetstiltak til ulike deler av virksomheten.

Hun har fått opplæring i hva som er hennes rolle i det systematiske arbeidet med informasjonssikkerhet. I tillegg har hun god kontakt med Fridtjof Fagansvarlig, som hjelper henne i kommunikasjonen med de som har en rolle i styringsaktivitetene rundt i virksomheten, og med toppledelsen.

Kjennskap til risiko og sårbarheter 🔍

Trine deltar ofte i risikovurderinger fordi hun har innsikt i:

Hvilke sårbarheter som finnes i systemene
Hvor sannsynlig det er at hendelser kan inntreffe
Hvilke tiltak som best kan redusere risiko

Fordi Deks har etablert fellessikring og tilgjengelig tilleggssikring, har hun god oversikt over hvilke sikkerhetstiltak de allerede har tilgjengelig. Det gjør det lettere å kommunisere med risikoeiere om håndtering av risiko. Det gjør det også lettere å etablere sikkerhetstiltak som ikke allerede finnes.

Når sikkerhetstiltak skal etableres, er det Trine som er ansvarlig for å utforme og etablere tiltakene innen sitt fagområde, i samarbeid med risikoeierne. Hun er også ansvarlig for å forvalte sikkerhetstiltakene, og vurdere om de fungerer etter hensikten, og rapportere status videre slik at denne informasjonen både kan benyttes i Fridtjof Fagansvarligs forberedelser til virksomhetsledelsens gjennomgang, og i virksomhetens framtidige vurdering av risiko.

Resultatet 🚀

Trine bidrar med fagkompetanse, og leverer og forvalter sikkerhetstiltak, og er en veldig viktig del av arbeidet når toppledelsen skal navigere gjennom usikkerhet på vei mot virksomhetens mål.

En virksomhet har mange tiltaksleverandører som leverer tiltak til hele virksomheten. Vi kaller dette felles tiltaksleverandører. Disse er ansvarlige for sikkerhetstiltak til en rekke ulike risikoeiere og systemeiere. Typiske felles tiltaksleverandører er IKT-drift, systemleverandører, bygningsansvarlig og personalseksjon. De kan levere både organisatoriske, menneskelige, fysiske og teknologiske tiltak.

Tiltaksleverandører kan også være eksterne. For eksempel kan IT-drift være satt ut til et eksternt datasenter, eller det kan være et eksternt selskap som står for drift av bygningen man har lokaler i.

Kompetansebeskrivelser

Mer informasjon om hvilket ansvar, arbeidsoppgaver og kompetansebehov som kan inngå i ulike roller innen styring og kontroll av informasjonssikkerhet finner du i våre kompetansebeskrivelser.

Kompetansebeskrivelser for roller innen styring og kontroll av informasjonssikkerhet

Kompetansemiljø for informasjonssikkerhet

E-post: infosikkerhet@digdir.no

Hjelp oss å lage bedre nettsider

Fant du det du lette etter?

Når du svarer på spørsmålet dukker det opp et tekstfelt som må fylles ut.

Nei

* obligatorisk felt som du må fylle ut for å sende skjemaet.

Tilbakemelding

Tilbakemeldingen er anonym og vil ikke bli besvart.

Er du et menneske?

Mattespørsmål (1 + 0 =)

Løs dette enkle mattespørsmålet og skriv inn svaret. For eksempel: For 1+3, skriv inn 4.