Hopp til hovedinnhold

Regelverkskrav og anbefalinger - Internkontroll informasjonssikkerhet

På denne siden presenterer vi hvilke regelverk og anbefalinger som ligger til grunn for dette veiledningsmateriellet, og offentlige virksomheters arbeid med styring av informasjonssikkerhet.

    Bakgrunn

    Alle virksomheter bør ha en egeninteresse i å ha god styring på informasjonssikkerhetsområdet. Forvaltningsorgan er gjennom eForvaltningsforskriftens § 15 pålagt å ha internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som også ivaretar relevante krav som er fastsatt i annen lov, forskrift eller instruks. En rekke regelverk stiller krav til arbeidet med informasjonssikkerhet.

    Kravet i eForvaltningsforskriften gjelder all informasjonsbehandling i virksomheten. Dette kravet vil derfor være et naturlig utgangspunkt for alt informasjonssikkerhetsarbeid i offentlige virksomheter. Relevante krav i annet regelverk, som for eksempel personopplysningsloven og sikkerhetsloven, vil da bli inkludert. En slik helhetlig tilnærming kan gi mer effektivt arbeid med informasjonssikkerhet og bedre informasjonssikkerhet.

    Omfang

    eForvaltningsforskriften § 15 stiller krav om styring og kontroll med informasjonssikkerheten generelt i all informasjonsbehandling som offentlige virksomheter har ansvaret for. Andre lover og forskrifter har til dels overlappende og til dels mer detaljerte krav for ulike typer informasjon og informasjonsbehandling.

    Mens eForvaltningsforskriften gjelder forvaltningsorganer, gjelder de andre lovene og forskriftene gjerne også for private virksomheter. Kravene i de andre lovene og forskriftene vil imidlertid i mange tilfeller bare være aktuelle for enkelte typer virksomheter eller spesielle deler av virksomhetene. Det er hva virksomhetene arbeider med, og hvilken informasjon de behandler, som avgjør om bestemmelsene er relevante.

    Helhetlig arbeid med styring og kontroll

    Et avgjørende grep for de fleste virksomheter som omfattes av flere tilgrensende regelverk, er å se disse i sammenheng og etablere en oppgaveutføring, informasjonsbehandling og internkontroll som etterlever generelle regler gjennomgående og spesifikke regler der de er relevante.

    Både eForvaltningsforskriftens § 15 og NS-ISO/IEC 27001 anbefaler at internkontrollen/styringssystemet på informasjonssikkerhetsområdet er en integrert del av virksomhetens helhetlige styring. Sikkerhetsloven § 4-1 stiller krav om at sikkerhetsarbeidet etter den loven skal være en del av virksomhetens styringssystem.

    For mer informasjon om hvordan man kan jobbe helhetlig med styring og kontroll på informasjonssikkerhetsområdet, kan du se på veiledningen Digitaliseringsdirektoratet har laget sammen med Nasjonal sikkerhetsmyndightet (NSM) og Direktoratet for forvaltning og økonomistyring (DFØ) om temaet:

    Risikobasert tilnærming

    Gjennomgående er lovverkets krav at arbeidet på informasjonssikkerhetsområdet skal være risikobaser. I noen grad fremgår dette av lovteksten eksplisitt (henvisning til risikovurderinger) eller gjennom formuleringer som «egnet», «nødvendig», «tilfredsstillende», eller «tilstrekkelig» eller «forsvarlig». Også uten slike klare holdepunkt i lovteksten vil det være naturlig at bestemmelsenes krav tolkes i lys av risikoen på det aktuelle området.

    Det er virksomhetens kompleksitet, risiko og behov som bør avgjøre innretning, omfang og detaljeringsnivå på styringsaktiviteter og sikkerhetstiltak som etableres, og også på sikkerhetsstrategien virksomheten fastsetter.

    Om mål, strategi og internkontroll

    Offentlige virksomheter skal i henhold til eForvaltningsforskriften § 15 etablere mål og strategi for informasjonssikkerhet og et tilfredsstillende system for internkontroll. Forskriften benytter kortformene sikkerhetsmål og sikkerhetsstrategi i sin videre omtale av mål og strategi for informasjonssikkerhet. Det vil derfor vi også gjøre her.

    Mål for informasjonssikkerhet

    Sikkerhetsmålene bør beskrive både formål med informasjonsbehandlingen i forvaltningsorganet og overordnede føringer for informasjonsbehandling og bruk av IKT. Disse føringene vil naturlig uttrykkes som mål med vekt på konfidensialitet, integritet og tilgjengelighet i virksomhetens informasjonsbehandling og bruk av IKT.

    Sikkerhetsmålene skal medvirke til at informasjonsbehandlingen på en best mulig måte realiserer virksomhetens samlede mål, er kostnadseffektiv og er i samsvar med lover og regler.

    Strategi for informasjonssikkerhet

    Sikkerhetsstrategien omfatter sentrale valg og prioriteringer i sikkerhetsarbeidet. Sikkerhetsstrategien består naturlig av to hoveddeler:

    1. Retningslinjer for hvordan sikkerhetsarbeidet skal organiseres og gjennomføres
    2. Retningslinjer for relevante tiltaksområder

    De siste bør etableres basert på vurderinger av risiko.

    Retningslinjene for organisering og gjennomføring av sikkerhetsarbeidet må klargjøre roller, myndighet og ansvar. De bør også omfatte krav og føringer til en systematisk organisering og gjennomføring av styringsaktivitetene. Aktivitetene og gjennomføringen skal baseres på anerkjente standarder for styringssystem for informasjonssikkerhet (jf. eForvaltningsforskriften § 15 andre ledd, første setning).

    Anbefalt standard

    eForvaltningsforskriften § 15 stiller krav om at internkontrollen på informasjonssikkerhetsområdet skal basere seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Digitaliseringsdirektoratet er pekt ut av Kommunal- og moderniseringsdepartementet til å gi anbefalinger på området.

    I Referansekatalogen, bruksområde «Internkontroll/styringssystem/ledelsessystem for informasjonssikkerhet», anbefaler Digitaliseringsdirektoratet bl.a. at styringen av informasjonssikkerhet baseres på den gjeldende versjonen av den internasjonale standarden NS-ISO/IEC 27001.

    Det veiledningsmateriellet du nå leser, er basert på eForvaltningsforskriften og NS-ISO/IEC 27001, og er Digitaliseringsdirektoratets offisielle anbefalinger for hvordan virksomheter kan etablere og vedlikeholde systematisk internkontroll på informasjonssikkehetsområdet.

    Begrepsbruk

    Forvaltningsorganer kan velge å bruke andre begrep enn sikkerhetsmål, sikkerhetsstrategi og retningslinjer om det som er omtalt over. Ledelsen må imidlertid vite hvordan eForvaltningsforskriftens krav til sikkerhetsmål, sikkerhetsstrategi og internkontroll er tilfredsstilt i virksomheten.

    Ulike regelverk har ulike målsetninger og krav

    Det finnes en lang rekke relevante regelverksbestemmelser, for eksempel i forvaltningsloven, personopplysningsloven, sikkerhetsloven, arkivloven og sektor-spesifikt regelverk.

    Ulike regelverk har forskjellig formål og innretning, som igjen påvirker hvordan virksomheten må jobbe for å etterleve kravene.

    Veiledningen om helhetlig styring og kontroll av informasjonssikkerhet, utarbeidet av Digitaliseringsdirektoratet, Nasjonal sikkerhetsmyndighet (NSM) og Direktoratet for forvaltning og økonomistyring (DFØ), beskriver blant annet hvilke elementer som påvirker hvilket fokus man har.

    Les mer om dette her: