Veiledningsaktører innen styring og kontroll

En rekke offentlige aktører veileder på områder som er relevant for styring og kontroll av informasjonssikkerhet. På denne siden gir vi en oversikt over hvilke veiledningsaktører som er særlig relevante i dette arbeidet.

Illustrasjon av sammenhengen mellom virksomhetsstyring, styring av informasjonssikkerhet og styring av konkrete områder som personvern og nasjonale sikkerhetsinteresser, og angir hvilke veiledningsaktører som veileder på de ulike områdene.

Internkontroll og styring og kontroll er en del av virksomhetsstyringen. Styring og kontroll av informasjonssikkerhet er en viktig del av dette arbeidet. Personvern og sikring av nasjonale sikkerhetsinteresser er spesifikke områder som både overlapper med den generelle internkontrollen i virksomheten, og styringen av informasjonssikkerhetsområdet. Nedenfor beskriver vi aktørene som veileder på de ulike nivåene.

I tillegg må en virksomhet forholde seg til eventuelle sektoraktører for sin sektor.

Veiledning innen virksomhetsstyring/internkontroll

Direktoratet for forvaltning og økonomistyring (DFØ) er statens fagorgan for økonomi- og virksomhetsstyring, organisering og ledelse i staten. DFØs samfunnsoppdrag er å være en pådriver for god styring, ledelse og organisering i staten, og for at staten skal oppnå stordriftsfordeler og synergier i egen drift.

DFØ forvalter Instruks om utredning av statlige tiltak (utredningsinstruksen) og regelverket for økonomistyring i staten (økonomiregelverket), og skal med utgangspunkt i disse regelverkene bidra til effektiv ressursbruk i staten. I rollen som forvalter skal direktoratet tilby kompetansehevende tiltak og rådgivning på disse områdene, deriblant gi råd og sørge for at statlige virksomheter har god kompetanse om statlig økonomi- og virksomhetsstyring.

DFØ tilbyr veiledning, metoder og verktøy for å oppnå god virksomhetsstyring, risikostyring og internkontroll. DFØ har også et eget veiledningsmateriale om hvordan departementer og virksomheter kan følge opp informasjonssikkerhet i etatsstyringsdialogen. En samlet oversikt over DFØs veiledningsmateriale på området finnes på DFØ sine nettsider:

KS er kommunesektorens organisasjon og utviklingspartner. Alle norske kommuner er medlemmer i KS. KS arbeider for en effektiv og selvstendig kommunesektor som ivaretar innbyggernes behov. Aktivitetene i KS skal støtte opp under rollen som utviklingspartner for kommuner og fylkeskommuner, som interessepolitisk aktør overfor sentrale myndigheter og andre, og som forhandlingspart for arbeidstakerorganisasjonene i kommunesektoren.

Kommuner og fylkeskommuner har et selvstendig ansvar for å føre kontroll med egen virksomhet, der de blant annet skal føre internkontroll med administrasjonens virksomhet, jf. Kommuneloven § 25-1. For å hjelpe kommuner og fylkeskommuner i deres internkontrollarbeid, har KS lansert veilederen «Orden i eget hus – Kommunedirektørens internkontroll» og en egen temaside om internkontroll. Denne veilederen finnes på KS sine nettsider:

Veiledning innen styring og kontroll av informasjonssikkerhet

Digitaliseringsdirektoratet er regjeringens fremste verktøy for digitalisering av offentlig sektor, og skal bidra til formålstjenlig digitalisering av samfunnet som helhet. I denne sammenheng har direktoratet flere roller, der de er både premissgiver, iverksetter, fellestjenesteleverandør og tilsynsmyndighet.

Digitaliseringsdirektoratet er statens kompetansemiljø for informasjonssikkerhet. Som premissgiver er deres oppgave å ha kunnskap om tilstand og trender, for å gi råd og veiledning på informasjonssikkerhetsområdet. Direktoratet jobber særlig for å veilede offentlige virksomheter i hvordan de kan ha en helhetlig tilnærming til arbeidet med informasjonssikkerhet.

Digitaliseringsdirektoratet er utpekt fra KMD til det organ som skal gi anbefaleringer knyttet til internkontroll på informasjonssikkerhetsområdet etter eForvaltningsforskriften § 15. Som en del av dette arbeidet har direktoratet utarbeidet veiledning i hvordan offentlige virksomheter kan etablere og vedlikeholde systematisk internkontroll på informasjonssikkerhetsområdet. Veiledningen er basert på ISO/IEC 27001 og utdyper de mest sentrale delene av standarden. Veiledningen inneholder også pragmatiske tilpasninger til norske offentlige virksomheter.

Digitaliseringsdirektoratets veiledningsmateriell på området finnes på Digitaliseringsdirektoratets nettsider:

KS skal veilede kommuner og fylkeskommuner i arbeidet med informasjonssikkerhet, digital beredskap og personvern. Veiledningen som gis er basert på de utfordringene KS ser at kommuner og fylkeskommuner står overfor.

KS arbeider med å tilrettelegge veiledning for toppledelsen i kommuner og fylkeskommuner, og et rammeverk for trygg digitalisering som omfatter informasjonssikkerhet, digital beredskap og personvern.

I KS Læring er det tilgjengelig en kompetansepakke som skal sikre at de som gjennomfører programmet har tilstrekkelig kunnskap til å ivareta personvern og informasjonssikkerhet for brukere, innbyggere og medarbeidere. Pakken er modulbasert, og kan tilpasses ulike målgrupper. Mer informasjon om dette finnes på KS sine nettsider:

Veiledning innen spesifikke områder

Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og objektsikkerhet, og det nasjonale fagmiljøet for IKT-sikkerhet, og utøver denne rollen som både sikkerhetsmyndighet og fagorgan. NSM skal utøve sitt ansvar som sikkerhetsmyndighet i henhold til Lov om nasjonal sikkerhet (sikkerhetsloven) med tilhørende forskrifter.

Som sikkerhetsmyndighet har NSM det sektorovergripende ansvaret for at forebyggende sikkerhetsarbeid i virksomhetene utføres i samsvar med sikkerhetsloven. Som fagorgan har NSM et ansvar for å gi en helhetlig tilnærming til sikkerhetsarbeidet på tvers av militær og sivil sektor.

For å hjelpe virksomheter i sitt arbeid med forebyggende sikkerhet etter sikkerhetsloven, skal NSM gi informasjon, råd og veiledning. NSM har i den sammenheng utarbeidet flere veiledere og håndbøker som utdyper den tematiske sammenhengen mellom ulike bestemmelser i sikkerhetsloven og tilhørende forskrifter. Veilederne representerer NSMs syn på hvordan lov og forskrifter er å forstå, og danner et grunnlag for virksomhetenes arbeid med å etterleve regelverket.

En samlet oversikt over NSM’s veiledere og håndbøker til sikkerhetsloven finnes på NSMs nettsider:

NSM har også utarbeidet konkrete anbefalinger knyttet til sikkerhetsarbeidet i virksomheter, kalt grunnprinsipper. Prinsippene må anses som frittstående anbefalinger og er relevante for alle norske virksomheter. En samlet oversikt over NSMs grunnprinsipper finnes på NSMs nettsider, se særlig NSMs grunnprinsipper for sikkerhetsstyring:

Datatilsynet er et uavhengig forvaltningsorgan som administrativt er underlagt Kommunal- og moderniseringsdepartementet (KMD). Datatilsynet forvalter Lov om behandling av personopplysninger (personopplysningsloven) og er tilsynsmyndighet for EUs personvernforordning i Norge, som blant annet stiller krav til informasjonssikkerhet for personopplysninger. Oppgavene til Datatilsynet følger av personvernregelverket.

Datatilsynet er både tilsyn og ombud i personvernsaker. Som tilsynsmyndighet er deres oppgave å føre kontroll med at personopplysninger behandles i samsvar med personvernregelverket, og medvirke til at enkeltpersoner ikke blir krenket gjennom bruk av opplysninger som kan knyttes til dem. Som ombud skal de gi råd til privatpersoner og virksomheter om behandling og sikring av personopplysninger, og gi informasjon om hvordan personvernregelverket skal etterleves.

For å sikre at virksomheter behandler personopplysninger lovlig, sikkert og forsvarlig, har Datatilsynet utarbeidet relevant veiledning knyttet til internkontroll og informasjonssikkerhet.

Datatilsynets veiledningsmateriell om informasjonssikkerhet og internkontroll, finner du på Datatilsynets nettsider: