Hvorfor styring av informasjonssikkerhet?🎯

1. Hvorfor er dette viktig? 💡

Informasjon og IKT-systemer er avgjørende for nesten alle oppgaver i offentlig sektor. Fungerer ikke informasjonsbehandlingen og IKT-systemene slik de bør, kan det få store konsekvenser for måloppnåelse, effektivitet og etterlevelse av lover og regler. Internkontroll på informasjonssikkerhetsområdet er en nøkkelfaktor for en velfungerende og målrettet informasjonsbehandling og IKT-bruk.

2. Informasjonssikkerhet

For å beskytte informasjon balanserer vi tre prinsipper:

🔒 Konfidensialitet - Informasjonen holdes skjult for uvedkommende

Konfidensialitet vil i offentlig sektor i hovedsak handle om lovpålagt taushetsplikt eller virksomhetsinterne tilleggsføringer om hva som skal unntas offentlighet. Brudd på konfidensialiteten kan gå ut over enkeltpersoner, private bedrifter og den jobben offentlige virksomheter selv skal gjøre. Konsekvensene kan være i spennvidden ubehagelig følelse, tap av anseelse og integritet, ødeleggende livssituasjon, økonomiske tap, vanskelig å få gjennomført forsvarlig saksbehandling, avsløring av bedriftshemmeligheter, fare for liv og helse. Det er slike konsekvenser sikring av konfidensialitet skal redusere eller fjerne.

🛡️ Integritet - Informasjon er korrekt og pålitelig

Dersom informasjon er endret utilsiktet eller av uautoriserte, sier vi at den har mistet sin integritet. Informasjonsbehandlingen skjer da på feil grunnlag. I «beste tilfelle» kan verken ansatte eller eksterne stole på informasjonen. Også ved integritetsbrudd øker sannsynligheten for feil beslutninger, ineffektivt arbeid, tapt arbeidstid, feil i økonomiske transaksjoner og brudd på innbyggernes rettigheter og rettssikkerhet. Det er slike konsekvenser sikring av integritet skal redusere eller fjerne.

⏱️Tilgjengelighet - informasjon er tilgjengelig når den trengs

Både ledelsen, ansatte og eksterne brukere trenger kontinuerlig og effektiv tilgang til relevant informasjon og relevante IKT-systemer og digitale tjenester. Uten slik tilgang øker sannsynligheten for feil beslutninger, ineffektivt arbeid, tapt arbeidstid, feil i økonomiske transaksjoner og brudd på innbyggernes rettigheter og rettssikkerhet. Det er slike konsekvenser sikring av tilgjengelighet skal redusere eller fjerne.

3. Helhetlig, risikobasert og balansert ⚖️

Noen ganger kan prinsippene komme i konflikt. Strenge sikkerhetstiltak kan for eksempel svekke brukervennligheten. Tiltak må derfor vurderes i en helhetlig risikovurdering, slik a kostnaden står i forhold til nytten og størrelsen på risikoen.

Sikkerhetstiltak for å ivareta de tre interessene må derfor ses i sammenheng, forankres i helhetlige risikovurderinger, og balanseres ut fra risikovurderingene og ledelsens føringer blant annet om kriterier for å akseptere risiko.

4. Internkontroll - styring og kontroll 🔄

Med dagens bruk av IKT er styring og kontroll med informasjonssikkerheten kritisk for de fleste aktiviteter i en virksomhet. Er informasjonssikkerhetstiltakene målrettede, formålseffektive og kostnadseffektive? Understøtter de informasjonsbehandlingen i samsvar med ledelsens prioriteringer? I hvilken grad lar ledelsen tilfeldighetene og usystematisk arbeid avgjøre om konsekvensene vi har nevnt over, inntreffer eller ikke? Hvor mye vet egentlig ledelsen og virksomheten for øvrig om skjulte hendelser og konsekvenser?

For å få tilstrekkelig styring og kontroll må ledelsen og virksomheten for øvrig arbeide systematisk og effektivt med informasjonssikkerhet etter anerkjente prinsipp for internkontroll og styringssystem for informasjonssikkerhet. Dette er to begrep for det samme.

Styring og kontroll på informasjonssikkerhetsområdet handler om systematiske styringsaktiviteter. Disse skal sørge for at relevante risikoer blir vurdert, at nødvendige og hensiktsmessige sikkerhetstiltak blir etablert, og at det systematisk blir kontrollert og fulgt opp at tiltakene og styringsaktivitetene faktisk fungerer som forutsatt.

5. Pålegg i lov og forskrift 📜

Styring av informasjonssikkerhet er ikke bare nyttig for virksomheten - det er også et krav i lovverket for offentlige virksomheter.