Virksomhetens generelle arbeid med informasjonssikkerhet

Det systematiske arbeidet med informasjonssikkerhet i en virksomhet er en vesentlig del av virksomhetens helhetlige styring og kontroll. Informasjonsbehandling er en kjerneaktivitet eller en vesentlig støtteaktivitet i så godt som alle virksomheter. Styring av risiko knyttet til informasjonssikkerhetsbrudd er viktig for å sikre at virksomheten kan utføre sine oppgaver og levere sine tjenester, og nå sine mål og resultatkrav.

    Føringer for arbeidet med informasjonssikkerhet

    Ut over de generelle kravene til at offentlige virksomheter skal ha internkontroll, som vil medføre at man har internkontroll også på informasjonssikkerhetsområdet, er det også et spesifikt krav i eForvaltningsforskriften om at forvaltningsorganer skal ha internkontroll (styring og kontroll) på informasjonssikkerhetsområdet. Det er også en rekke andre regelverk som stiller krav til en virksomhets arbeid med informasjonssikkerhet.

    Hva skal arbeidet med informasjonssikkerhet dekke?

    Illustrasjon av at et informasjonssystem består av mennesker, prosesser og teknologi. IKT er et element av teknologien.

    Arbeidet med informasjonssikkerhet handler om å sikre all informasjonsbehandling som inngår i virksomhetens oppgaver og tjenester. Dette innebærer å sikre all informasjon som behandles, uavhengig av om denne behandlingen er digital eller ikke, og informasjonssystemene som benyttes. Informasjonssystemer består av både teknologi, inkludert digitale tjenester, IKT-systemer og komponenter som inngår i IKT-systemer, prosesser og de menneskene som er involvert.

    Hvordan bør arbeidet med informasjonssikkerhet foregå?

    Oversikt over informasjonsbehandlingen som inngår i oppgaver og tjenester gir et godt utgangspunkt for arbeid med informasjonssikkerhet, og for å ivareta en rekke ulike regelverkskrav. Det vil også gi evne til å vurdere hvilke oppgaver og tjenester som må prioriteres i det systematiske arbeidet med informasjonssikkerhet.

    Virksomhetsledelsen må etablere det systematiske arbeidet i hele virksomheten, og sørge for gode føringer for effektiv gjennomføring. Det operative ansvaret må delegeres på lik linje med annen risikostyring. Ved å se arbeidet i sammenheng, på tvers av oppgaver, tjenester og fagområder, kan arbeidet gjøres mer kostnadseffektivt, for eksempel gjennom etablering av et felles grunnleggende sikkerhetsnivå (fellessikring) alle risikoeiere kan forholde seg til.

    Når man vurderer risiko i det generelle arbeidet med informasjonssikkerhet, må man vurdere alle årsaker til hendelser. Man vil i hovedsak se på konsekvenser for måloppnåelse, men avhengig av hvilken informasjonsbehandling som gjennomføres må man ivareta de øvrige perspektivene, og dermed vurdere konsekvenser innen ulike konsekvenskategorier.

    Sløyfediagram som viser årsaker til sikkerhetsbrudd på venstre side, sikkerhetsbrudd i midten, og mulige konsekvenskategorier på høyre side.

    Videre lesing

    Digitaliseringsdirektoratet veileder offentlige virksomheter i hvordan de kan ha en helhetlig tilnærming til arbeidet med informasjonssikkerhet, og har utarbeidet veiledning i hvordan offentlige virksomheter kan etablere og vedlikeholde systematisk internkontroll på informasjonssikkerhetsområdet.

    Internkontroll i praksis - informasjonssikkerhet (Digitaliseringsdirektoratet)