Virksomhetens generelle arbeid med informasjonssikkerhet

Det systematiske arbeidet med informasjonssikkerhet i en virksomhet er en vesentlig del av virksomhetens helhetlige styring og kontroll. Informasjonsbehandling er en kjerneaktivitet, eller en vesentlig støtteaktivitet i nesten alle virksomheter. Å styre risiko knyttet til informasjonssikkerhetsbrudd hjelper virksomheten til å utføre oppgaver, levere tjenester, og nå mål og resultatkrav.

Opprettet: 25. februar 2021 Sist endret: 21. august 2025

På denne siden

Føringer for arbeidet med informasjonssikkerhet

Ut over generelle krav til internkontroll, som vil medføre at man har internkontroll også på informasjonssikkerhetsområdet, er det også et spesifikt krav i eForvaltningsforskriften om at forvaltningsorganer skal ha internkontroll (styring og kontroll) på informasjonssikkerhetsområdet. I tillegg finnes det flere relevante regelverk som stiller krav til en virksomhets arbeid med informasjonssikkerhet.

Hva skal arbeidet med informasjonssikkerhet dekke?

Illustrasjon av at et informasjonssystem består av mennesker, prosesser og teknologi. IKT er et element av teknologien.

Arbeidet handler om å sikre all informasjonsbehandling som inngår i virksomhetens oppgaver og tjenester. Dette innebærer å sikre all informasjon som behandles, uavhengig av om denne behandlingen er digital eller ikke, og informasjonssystemene som benyttes. Informasjonssystemer består av både teknologi, inkludert digitale tjenester, IKT-systemer og komponenter som inngår i IKT-systemer, prosesser og de menneskene som er involvert.

Hvordan bør arbeidet med informasjonssikkerhet foregå?

Oversikt over informasjonsbehandlingen som inngår i oppgaver og tjenester gir et godt utgangspunkt for arbeid med informasjonssikkerhet, og for å ivareta en rekke ulike regelverkskrav. Det vil også gi evne til å vurdere hvilke oppgaver og tjenester som må prioriteres i det systematiske arbeidet med informasjonssikkerhet.

Virksomhetsledelsen må etablere det systematiske arbeidet i hele virksomheten, og sørge for gode føringer for effektiv gjennomføring. Det operative ansvaret må delegeres på lik linje med annen risikostyring. Ved å se arbeidet i sammenheng, på tvers av oppgaver, tjenester og fagområder, kan arbeidet gjøres mer kostnadseffektivt, for eksempel gjennom etablering av et felles grunnleggende sikkerhetsnivå (fellessikring) alle risikoeiere kan forholde seg til.

Når risiko vurderes, må man se på alle mulige årsaker til hendelser. Man vil i hovedsak se på konsekvenser for måloppnåelse, men avhengig av hvilken informasjonsbehandling som gjennomføres, må man ivareta de øvrige perspektivene, og dermed vurdere konsekvenser innen ulike konsekvenskategorier.

Videre lesing

Digdir har publisert veiledning for hvordan offentlige virksomheter kan etablere og vedlikeholde systematisk internkontroll for informasjonssikkerhet. Les mer på Internkontroll i praksis - informasjonssikkerhet.

Hjelp oss å lage bedre nettsider

Fant du det du lette etter?

Når du svarer på spørsmålet dukker det opp et tekstfelt som må fylles ut.

Nei

* obligatorisk felt som du må fylle ut for å sende skjemaet.

Tilbakemelding

Tilbakemeldingen er anonym og vil ikke bli besvart.

Er du et menneske?

Mattespørsmål (11 + 5 =)

Løs dette enkle mattespørsmålet og skriv inn svaret. For eksempel: For 1+3, skriv inn 4.