Hva vil det si å jobbe helhetlig?

Å jobbe helhetlig betyr å se sammenhengen mellom viktige områder og aktiviteter i virksomheten. Hva som er viktig å sette søkelys på vil variere fra en virksomhet til en annen. Ved å se aktiviteter, risikoer og tiltak på tvers av fagområder og avdelinger kan virksomheten oppnå bedre styring og kontroll. Her tar vi utgangspunkt i informasjonssikkerhet.

    Sørg for samordnet styring og kontroll i virksomheten

    Informasjonsbehandling har stor betydning for en virksomhets oppgaveløsing. Informasjonssikkerhet handler om å sikre denne informasjonsbehandlingen. Det er derfor viktig med god risikostyring innen dette området. Virksomheter som evner å jobbe helhetlig kjennetegnes ved at de har en ledelse som tar ansvar, samordner arbeidet med informasjonssikkerhet med annen risikostyring, og evner å se informasjonssikkerhet i sammenheng med virksomhetens øvrige arbeid med styring og kontroll.

    Å jobbe helhetlig innebærer at alle relevante områder er inkludert, at prosesser er gjenkjennbare på tvers av fagområder og at ledelsen og ansatte forstår sammenhengen mellom områdene.

    Konseptuell fremstilling av hvordan virksomhetsstyring, risikostyring og styring og kontroll av informasjonssikkerhet er integrert, ved å illustrere det som tre sirkler der "overordnet virksomhetsstyring" er ytterst, "risikostyring i virksomheten" ligger inne i den, og "styring og kontroll med informasjonssikkerhet i virksomheten" er innerst.

    Arbeidet med styring og kontroll av informasjonssikkerhet er en del av virksomhetens risikostyring, som igjen er en del av den overordnede virksomhetsstyringen. De som jobber helhetlig ser informasjonssikkerhetsarbeidet i sammenheng med styringen av andre området.

    Alle virksomheter må ha styring og kontroll av informasjonssikkerhet

    Informasjonssikkerhetsbrudd kan få konsekvenser for virksomhetens leveranser, økonomi og evnen til å utføre oppgaver og yte tjenester. Det kan føre til negative konsekvenser for innbyggere og ansatte, andre virksomheter, samfunnsfunksjoner eller nasjonale sikkerhetsinteresser.

    Effektiv og pålitelig informasjonsbehandling er ofte avgjørende for at virksomheter skal arbeide effektivt og nå sine mål. Dette inkluderer alt fra manuell menneskelig behandling, automatisert maskinell behandling, til teknisk styring av for eksempel vannverk eller teknisk-medisinsk utstyr. Behandling av informasjon, hvor både mennesker og digitale systemer er involvert, er ofte både en kjerneaktivitet og en viktig støtteaktivitet i en virksomhetet.

    Benytt et styringssystem som fungerer på tvers av fagområder

    Virksomheten må etablere styringsaktiviteter med klare roller, ansvar og rapporteringslinjer. Dette er ledelsens redskap for å følge opp og styre arbeidet med blant annet informasjonssikkerhet. En rekke regelverk stiller krav til at ledelsen benytter denne typen systematikk. Virksomheter som evner å arbeide helhetlig, har en toppledelse som følger opp styringsaktivitetene på tvers av fagområder.

    En rekke hensyn skal ivaretas i arbeidet med informasjonssikkerhet, og flere ulike regelverk må etterleves. Sikkerhetsarbeidet må i tillegg være effektivt, og la seg gjennomføre med tilgjengelige ressurser. Styringsaktivitetene bør derfor fungere på tvers av fagområder og på tvers av prosesser og aktiviteter i virksomheten. Det vil likevel være ulike metoder i bruk, og forskjellige måter å gjennomføre deler av aktivitetene på, alt etter hvilke hensyn som skal ivaretas og hvilke regelverk som gir føringer for virksomhetens arbeid.

    Illustrasjon av sammenhengen mellom styringsaktiviteter og sikkerhetstiltak. En boks til høyre med tittel "styringsaktiviteter" lister opp de ulike styringsaktivitetene. Det går en pil fra risikovurdering- og håndtering, til en boks til høyre med tittel "sikkerhetstiltak". Her beskrives ulike formål tiltak kan ha, og hvilke type tiltak som finnes.

    En virksomhet trenger både styringsaktiviteter og sikkerhetstiltak for å ha god styring og kontroll med informasjonssikkerhet.

    Med «styringsaktiviteter» menes de lederstyrte aktivitetene som utgjør kjernen i styring og kontroll på informasjonssikkerhetsområdet:

    • ledelsens styring og oppfølging
    • risikovurdering
    • risikohåndtering
    • overvåking og hendelseshåndtering
    • måling, evaluering og revisjon
    • kompetanse og kulturutvikling
    • kommunikasjon

    Det handler om å ta beslutninger, prioritere oppgaver, fordele ressurser og følge opp arbeidet – å styre dette området som en del av den helhetlige styringen av virksomheten.

    Med «sikkerhetstiltak» menes de varige tiltakene som virksomheten etablerer og forvalter for å redusere risikoen for informasjonssikkerhetsbrudd. Dette er tiltak som velges og etableres ved gjennomføring av styringsaktivitetene «risikovurdering» og «risikohåndtering». Tiltakene kan ha som formål å forebygge, oppdage eller håndtere og gjenopprette etter hendelser, og kan være organisatoriske, menneskelige, fysiske eller teknologiske.

    Styringsaktivitetene er svært like, og bygget over samme lest, uavhengig av hvilket område som styres (Informasjonssikkerhet, personvern, sikkerhetsstyring iht. sikkerhetsloven, ansattes helse iht. HMS-regelverk osv.). Sikkerhetstiltakene er i større grad rettet kun mot informasjonssikkerhetsområdet.

    Helhetlig forvaltning av sikkerhetstiltak

    En virksomhet som jobber helhetlig evner å arbeide med og prioritere sikkerhetstiltak på tvers av sine oppgaver og tjenester, og på tvers av organisasjonsenheter, fagområder og lokasjoner. De har også et grunnleggende nivå av sikkerhet på tvers av virksomhetens oppgaver og tjenester. De samordner for å ha kostnadseffektiv forvaltning av sikkerhetstiltak og for å effektivisere gjennomføringen av styringsaktiviteter, for eksempel knyttet til vurdering og håndtering av risiko.

    Noen sikkerhetstiltak vil bidra til å redusere risiko innen flere områder. Brannverntiltak kan for eksempel både sikre informasjonsbehandlingen og ansattes liv og helse (HMS).

    Les mer om grunnleggende nivå av sikkerhet her:

    Internkontroll i praksis - informasjonssikkerhet: Fellessikring

    Tilpass graden av samordning og helhet til behovene i virksomheten

    Alt vil ikke gjøres likt. En del elementer vil ha mer felles enn andre. Noe kan samkjøres i stor grad, andre ting vil samordnes så langt det lar seg gjøre. Det vil variere fra virksomhet til virksomhet hvordan dette helhetsbildet ser ut, og i hvilken grad ulike deler av styring og kontroll kan samordnes.