Hva vil det si å jobbe helhetlig?

Det betyr å se sammenhengen mellom områder og aktiviteter i virksomheten. Hva som er viktig vil variere fra en virksomhet til en annen. Ved å se aktiviteter, risikoer og tiltak på tvers av fag og avdelinger, kan virksomheten få bedre styring og kontroll. Her tar vi utgangspunkt i informasjonssikkerhet.

Opprettet: 21. januar 2021 Sist endret: 21. august 2025

    Samordnet styring og kontroll i virksomheten

    Informasjonsbehandling er sentralt for hvordan virksomheten lærer, leverer og forbedrer. Informasjonssikkerhet handler om å sikre denne behandlingen. God styring krever at informasjonssikkerhet kobles til øvrig risikostyring og virksomhetsstyring.

    Virksomheter som jobber helhetlig kjennetegnes ved at de:

    • En ledelse som tar ansvar og følger opp
    • Samordner arbeidet med informasjonssikkerhet med annen risikostyring
    • Ansatte og ledere som forstår hvordan informasjonssikkerhet henger sammen med virksomhetens øvrige styringstiltak

    Å jobbe helhetlig betyr også at:

    • Relevante områder er inkludert
    • Prosessene er gjenkjennbare på tvers av fag
    • Ledelse og ansatte forstår helheten
    Konseptuell fremstilling av hvordan virksomhetsstyring, risikostyring og styring og kontroll av informasjonssikkerhet er integrert, ved å illustrere det som tre sirkler der "overordnet virksomhetsstyring" er ytterst, "risikostyring i virksomheten" ligger inne i den, og "styring og kontroll med informasjonssikkerhet i virksomheten" er innerst.

    Arbeidet med styring og kontroll av informasjonssikkerhet er en del av virksomhetens risikostyring, som igjen er en del av den overordnede virksomhetsstyringen. De som jobber helhetlig ser informasjonssikkerhetsarbeidet i sammenheng med styringen av andre området.

    Virksomheter må ha styring og kontroll av informasjonssikkerhet

    Brudd på informasjonssikkerhet kan ramme leveranser, økonomi og evnen til å utføre oppgaver og tjenester. Det kan berøre innbyggere, ansatte, andre virksomheter, samfunnsfunksjoner eller nasjonale sikkerhetsinteresser.

    Effektiv og pålitelig informasjonsbehandling er ofte avgjørende for at virksomheter skal arbeide effektivt og nå sine mål. Dette inkluderer alt fra manuell menneskelig behandling, automatisert maskinell behandling, til teknisk styring av for eksempel vannverk eller teknisk-medisinsk utstyr. Behandling av informasjon, hvor både mennesker og digitale systemer er involvert, er ofte både en kjerneaktivitet og en viktig støtteaktivitet i en virksomhet.

    Benytt et styringssystem som fungerer på tvers av fagområder

    Virksomheten må ha styringsaktiviteter med klare roller, ansvar og rapporteringslinjer. Dette er ledelsens redskap for å styre informasjonssikkerhet - og flere regelverk stiller krav til at ledelsen benytter denne typen systematikk.

    Virksomheter som evner å arbeide helhetlig, har en toppledelse som følger opp styringsaktivitetene på tvers. Samtidig må arbeidet;

    ⚖️ Balansere flere hensyn

    🧑‍💻 La seg gjennomføre med tilgjengelige ressurser

    🔗 Fungere på tvers av fag, prosesser og aktiviteter

    Det vil være ulike metoder i bruk, og forskjellige måter å gjennomføre deler av aktivitetene på. Dette er ut fra hvilke hensyn som skal ivaretas, og hvilke regelverk som gir føringer for virksomhetens arbeid. Det viktigste er at de henger sammen.

    Illustrasjon av sammenhengen mellom styringsaktiviteter og sikkerhetstiltak. En boks til høyre med tittel "styringsaktiviteter" lister opp de ulike styringsaktivitetene. Det går en pil fra risikovurdering- og håndtering, til en boks til høyre med tittel "sikkerhetstiltak". Her beskrives ulike formål tiltak kan ha, og hvilke type tiltak som finnes.

    En virksomhet trenger både styringsaktiviteter og sikkerhetstiltak for å ha god styring og kontroll med informasjonssikkerhet.

    Med «styringsaktiviteter» menes de lederstyrte aktivitetene som utgjør kjernen i styring og kontroll på informasjonssikkerhetsområdet:

    • ledelsens styring og oppfølging
    • risikovurdering
    • risikohåndtering
    • overvåking og hendelseshåndtering
    • måling, evaluering og revisjon
    • kompetanse og kulturutvikling
    • kommunikasjon

    Det handler om å ta beslutninger, prioritere oppgaver, fordele ressurser og følge opp arbeidet – å styre dette området som en del av den helhetlige styringen av virksomheten.

    Med «sikkerhetstiltak» menes de varige tiltakene som virksomheten etablerer og forvalter for å redusere risikoen for informasjonssikkerhetsbrudd. Dette er tiltak som velges og etableres ved gjennomføring av styringsaktivitetene «risikovurdering» og «risikohåndtering». Tiltakene kan ha som formål å forebygge, oppdage eller håndtere og gjenopprette etter hendelser, og kan være organisatoriske, menneskelige, fysiske eller teknologiske.

    Styringsaktivitetene er svært like, og bygget over samme lest, uavhengig av hvilket område som styres (Informasjonssikkerhet, personvern, sikkerhetsstyring iht. sikkerhetsloven, ansattes helse iht. HMS-regelverk osv.). Sikkerhetstiltakene er i større grad rettet kun mot informasjonssikkerhetsområdet.

    Helhetlig forvaltning av sikkerhetstiltak

    En virksomhet som jobber helhetlig:

    • Prioriterer tiltak på tvers av oppgaver, tjenester, enheter, fag og lokasjoner.
    • Har et grunnleggende nivå av sikkerhet på tvers.
    • Samordner tiltakene for kostnadseffektiv forvaltning, og mer effektiv gjennomføring av styringsaktivitetene (for eksempel vurdering og håndtering av risiko).

    Noen sikkerhetstiltak vil bidra til å redusere risiko innen flere områder. Brannverntiltak kan for eksempel både sikre informasjonsbehandlingen og ansattes liv og helse (HMS).

    Internkontroll i praksis - informasjonssikkerhet: Etablere fellessikring

    Tilpass graden av samordning og helhet til behovene i virksomheten

    Alt vil ikke gjøres likt. En del elementer vil ha mer felles enn andre. Noe kan samkjøres i stor grad, andre ting vil samordnes så langt det lar seg gjøre. Det vil variere fra virksomhet til virksomhet hvordan dette helhetsbildet ser ut, og i hvilken grad ulike deler av styring og kontroll kan samordnes.