Informasjonssikkerhet er en del av virksomhetsstyringen 🧭

Internkontroll og risikostyring er en integrert del av virksomhetens styringssystem. Gjennom virksomhetens internkontroll skal også risiko knyttet til informasjonssikkerhet fanges opp, og følges opp som en del av virksomhetens helhetlige risikostyring.

Opprettet: 21. januar 2021 Sist endret: 21. august 2025

    Føringer for offentlige virksomheters virksomhetsstyring 📜

    For statlige virksomheter er det regelverket for økonomistyring i staten, og bestemmelser om økonomistyring i staten som stiller krav til virksomhetsstyringen. For kommuner og fylkeskommuner stiller kommuneloven krav til kommunens styring og internkontroll.

    👉Målet er at offentlige virksomheter leverer tjenester, når mål og resultatkrav, og gjør det effektivt og forsvarlig.

    Hvordan se informasjonssikkerhet og virksomhetsstyring i sammenheng 🔗

    Når en linjeleder, systemeier, eller lignende (risikoeier), vurderer risiko på sitt ansvarsområde, er informasjonssikkerhetsrisiko ett av flere områder som må vurderes. Med god oversikt over ansvarsområdet, og hvilke informasjonstyper som behandles, blir det enklere å vurdere mulige konsekvenser som følge av informasjonssikkerhetsbrudd.

    I virksomhetsstyringen bør virksomheten inkludere ulike kilder til hendelser, og spesielt vurdere sikkerhetsbrudd som påvirker leveranser, tjenestenivå og økonomi. Samtidig må virksomheten også se på andre konsekvenskategorier, da en målsetning med internkontrollen er å overholde lover og regler.

    Selv om fokus ofte er konsekvenser for virksomhetens mål og resultater, må virksomheten også vurdere konsekvenser utenfor virksomheten. Hvor bred denne vurderingen bør være, avhenger av virksomhetens egenart.

    Sløyfediagram som viser årsaker til sikkerhetsbrudd på venstre side, sikkerhetsbrudd i midten, og mulige konsekvenskategorier på høyre side. Alle årsaker er uthevet (tilsiktede handlinger, uaktsomhet, uhell og ulykker og naturhendelser), og virksomhetens leveranser og økonomi er uthevet som primære konsekvenskategorier. En klamme omfatter også konsekvenskategoriene personvern, liv og helse og nasjonal sikkerhet, med en pil som viser til internkontrollmålsetningene.

    Videre lesing 🔍

    DFØ veileder statlige virksomheter om virksomhetsstyring og internkontroll i virksomhetsstyringen. KS veileder kommunene i hvordan internkontrollen er en del av kommunens styring og ledelse. Les mer om hvilke råd DFØ og KS gir.

    Virksomhetsstyring (DFØ)
    Internkontroll i virksomhetsstyringen (DFØ)
    Internkontroll i kommunene (KS)