Suksesskriterier for styring av informasjonssikkerhet

For å lykkes med styring og kontroll på informasjonssikkerhet trengs mer enn planer og dokumenter. Ledelsen må gå foran, og virksomheten må ha gode støttefunksjoner for å gjennomføre arbeidet i praksis.

Opprettet: 09. desember 2021 Sist endret: 20. august 2025

    Tonen på toppen

    Ledelsens holdninger setter standarden for hele virksomheten.
    👉 Kort sagt: hvis ledelsen ikke tar sikkerhet på alvor, gjør ikke virksomheten det heller.

    De ansatte og brukerne av IKT-systemene må forstå hvorfor informasjonssikkerhet er viktig, hvorfor tiltak etableres, og hvorfor de må følges. Det må også være samsvar mellom det de ansatte sier de gjør, og det de faktisk gjør.

    Eksempler på faktorer som kan synliggjøre ledelsens faktiske holdning, er:

    • ledelsens engasjement:
    1. ved utarbeiding av føringer for informasjonssikkerhet
    2. i virksomhetsledelsens gjennomgang av informasjonssikkerhet
    3. ved utforming av styringsparametere og årlige krav til informasjonssikkerhet
    • ledelsens fremheving av informasjonssikkerhet i sin «dag-til-dag»-kommunikasjon ut i organisasjonen og at ledelsen tydelig synliggjør hva tilstrekkelig og balansert informasjonssikkerhet betyr for virksomheten
    • om ledelsen selv etterlever de retningslinjer og rutiner som blir etablert
    • de ansattes mulighet til å være kritiske til etablerte tiltak som kanskje ikke fungerer optimalt, og til å få endret disse
    • om det er positivt i virksomheten å melde fra om mulige sikkerhetshendelser og mulige eller reelle feil og avvik
    • om informasjonssikkerhet er tema i topplederens oppfølging av egne underordnede ledere
    • om informasjonssikkerhet er et fast tema i virksomhetens medarbeidersamtaler eller lignende nedover i hele organisasjonen

    Dette handler om «tonen på toppen» og er et avgjørende suksesskriterium for tilstrekkelig styring og kontroll på informasjonssikkerhetsområdet.

    Virksomhetens fagansvarlig informasjonssikkerhet må informere lederne på alle nivå om dette. De kan gjerne vise til både Digitaliseringsdirektoratets undersøkelser og anbefalinger, ISO-standarder og COSO-rammeverk. Videre må de legge til rette for at det er enkelt for lederne å involvere seg. De må fôre dem med relevant kunnskap og støtte dem gjennom prosesser som er nye, og som de første gangene kan oppleves tunge eller vanskelige. Lykkes de med det, er en på god vei.

    Støtte til ledelsen 👥

    Ledelsen bør selv delta aktivt i styringsaktivitetene i Ledelsens styring og oppfølging. For at toppledelsen skal kunne ta gode beslutninger, trengs faglige ressurser som kan gi riktig grunnlag.

    Pådriver på virksomhetsnivå – fagansvarlig informasjonssikkerhet

    Digidir anbefaler at ledelsen utpeker, eller ansetter, en pådriver for informasjonssikkerhet på virksomhetsnivå.

    Denne rollen kan ha ulike titler:

    • Sikkerhetsansvarlig
    • Sikkerhetssjef
    • Chief Information Security Officer (CISO)
    • Kvalitetssjef (med bredere ansvar)

    Det viktigste er ikke navnet, eller organisatoriske plasseringen, men at

    • Funksjonen finnes
    • Roller og ansvar er tydelig definert
    • Nødvendige ressurser er satt av

    👉 Ressursbehovet må vurderes lokalt ut fra virksomhetens størrelse, kompleksitet og kompetanse.

    Funksjonen bør bistå virksomhetsledelsen i utføringen av alle delaktivitetene under ledelsens styring og oppfølging, og være en nøkkelressurs for øvrig i virksomhetens kontinuerlige internkontrollarbeid på informasjonssikkerhetsområdet.

    Dette er ikke en teknisk IKT-stilling, men det kreves god forståelse for både IKT-relaterte risikoer, andre typer informasjonssikkerhetsrisikoer, internkontrollsystemer, styringssystemer og sammenhenger mellom internkontroll på informasjonssikkerhetsområdet og virksomhetens samlede mål, organisering og arbeidsmåter.

    Naturlige plasseringen i virksomheten kan være:

    • I stab til virksomhetsledelsen
    • I en administrasjonsavdeling
    • Eller tilsvarende sentralt nivå

    Pådrivere på avdelingsnivå eller tilsvarende 🏢

    I tillegg bør virksomheten ha en pådriver i hver avdeling (eller tilsvarende nivå). Dette kan være en ordinær fagstilling som får et tilleggansvar.

    Vanlige titler er:

    • Sikkerhetskoordinator
    • Lokal sikkerhetsrådgiver
    • Lokal sikkerhetsansvarlig

    Oppgaven er å:

    • Støtte ledelsen og ansatte i avdelingen
    • Bidra i arbeidet med internkontroll og sikkerhet
    • Bygge opp kompetanse i samarbeid med virksomhetens fagansvarlig

    Rollen som pådriver på avdelingsnivå krever heller ikke teknisk IKT-kompetanse. Det er en fordel med noe av den samme kompetansen som for pådriverne på virksomhetsnivå. Dette er samtidig en kompetanse som disse funksjonene i samarbeid med virksomhetens pådriver for informasjonssikkerhet på virksomhetsnivå kan bygge opp over tid.

    👉 Viktigste forutsetninger:

    • Motivasjon og personlig egnethet
    • Kjennskap til avdelingens arbeid og organisering

    Ressursbehovet må også her vurderes lokalt.

    Pådrivergruppe informasjonssikkerhet

    Pådriverne på virksomhetsnivå og avdelingsnivå kan med fordel utgjøre en pådrivergruppe.

    En slik gruppe gir virksomheten:

    🌐 Både sentral og lokal forankring

    🧩 Kompetanse som dekker flere nivå

    🤝 Gode bindeledd mellom avdelingene og ledelsen

    Sammen kan pådrivergruppen fungere som:

    • Pådrivere
    • Fasilitatorer
    • Koordinatorer

    ... i alle nødvendige aktiviteter innen informasjonssikkerhet og internkontroll.