Styring og kontroll

Leder av en offentlig virksomhet har ansvaret for å styre virksomheten. Dette inkluderer å styre risiko forbundet med virksomhetens oppgaver og tjenester. Arbeidet med informasjonssikkerhet er en del av dette.

Innhold

    Styringsaktiviteter – leders redskap

    Internkontroll er leders redskap for å styre risiko på informasjonssikkerhetsområdet. Kjernen i internkontrollen er systematiske aktiviteter som gjennomføres av ledere med ansvar for virksomhetens oppgaver og tjenester. Vi kaller disse aktivitetene styringsaktiviteter. Styringsaktiviteter på informasjonssikkerhetsområdet har mye til felles med styringsaktiviteter på andre områder i virksomheten. Styring av ulike områder bør derfor ses i sammenheng.

    Toppleders viktigste oppgave er å sørge for at styringsaktivitetene blir etablert, og deretter å følge dem opp slik at arbeidet er formåls- og kostnadseffektivt.

    I vårt moderne informasjonssamfunn har informasjonssikkerhet stor betydning for oppgaver og tjenester, og for at forvaltningen skal nå sine mål. Det er derfor en rekke ulike regelverk som stiller krav til dette arbeidet og plasserer ansvaret i virksomhetene, og hos virksomhetens leder. Selv om forskjellige regelverk stiller krav som skal ivareta ulike formål, så bør virksomheten ivareta dette på en helhetlig måte.

    Sikkerhetstiltak for å redusere risiko

    Det er flere måter å håndtere risiko på. Innen informasjonssikkerhet er det viktig å etablere og forvalte sikkerhetstiltak for å redusere risiko. Ansvaret for å utforme, etablere og forvalte de sikkerhetstiltakene virksomheten har behov for er ofte spredt på ulike tiltaksleverandører. Det kan for eksempel være personalavdeling, IT-avdeling eller byggansvarlig. Det er vanlig at en del sikkerhetstiltak ivaretas av eksterne tjenesteleverandører – f.eks. leverandører av skytjenester og andre IT-tjenester.

    Hjelp og veiledning til offentlige virksomheter

    Digitaliseringsdirektoratet gir anbefalinger til offentlige virksomheter om styring og kontroll på informasjonssikkerhetsområdet.

    Praktisk veiledning til struktur og innhold på styringsaktiviteter – systematiske aktiviteter for styring og kontroll – er tilgjengelig i veiledningsmateriellet «Internkontroll i praksis – Informasjonssikkerhet».

    Du kan også laste ned en grunnleggende innføring i Digitaliseringsdirektoratets veiledningsmateriell Internkontroll i praksis – informasjonssikkerhet. Her vil du finne beskrivelser av sentrale aktiviteter i gjennomføring, etablering og forbedring av systematisk internkontroll. 

    Veiledning om etatsstyring og oppfølging av virksomheter

    Styring av informasjonssikkerhet skal være en integrert del av styringen av alle statlige virksomheter. Hvordan du kan gjøre dette i praksis i etatsstyringsmøter, utformingen av instruks og tildelingsbrev og i vurderingen av årsrapporten får du vite i veileder om oppfølging av informasjonssikkerhet. Veiledningen, med tilhørende dialogverktøy, er utarbeidet i et samarbeid mellom Direktoratet for forvaltning og økonomistyring (DFØ), Digitaliseringsdirektoratet og Nasjonal sikkerhetsmyndighet (NSM).

    Veiledningen kan tilpasses og benyttes i kommuneledelsens oppfølging av kommunale virksomheter.

    Styring og kontroll, styringssystem og internkontroll

    Alle virksomheter har behov for systematikk i styring og kontroll for å nå sine mål, arbeide effektivt, etterleve lover og regler og ha pålitelig rapportering.

    Når vi skriver internkontroll på informasjonssikkerhetsområdet, så mener vi det samme som styringssystem for informasjonssikkerhet. Styring og kontroll, internkontroll, styringssystem og ledelsessystem benyttes som ulike begreper for det samme.

    Du kan lese mer om dette i Digitaliseringsdirektoratets veileder om internkontroll.

    Når man har en risikobasert tilnærming, og benytter risikostyring som verktøy, så er internkontroll og risikostyring i praksis det samme. Du kan lese mer om sammenhengen mellom risikostyring og internkontroll hos Direktoratet for forvaltning og økonomistyring.

    Legg merke til at vår bruk av begrepet internkontroll ikke er begrenset til det å kontrollere etterlevelse av regelverk.

    Kontakt