Hopp til hovedinnhold

Informasjonssikkerhet er en del av virksomhetsstyringen

Internkontroll og risikostyring er en integrert del av virksomhetens styringssystem. Gjennom virksomhetens internkontroll skal også risiko knyttet til informasjonssikkerhet fanges opp, og følges opp som en del av virksomhetens helhetlige risikostyring.

    Føringer for offentlige virksomheters virksomhetsstyring

    For statlige virksomheter er det regelverket for økonomistyring i staten og bestemmelser om økonomistyring i staten som stiller krav til virksomhetsstyringen. For kommuner og fylkeskommuner stilles det i kommuneloven krav til kommunens styring og internkontroll. Regelverkene skal sikre at offentlige virksomheter yter sine tjenester og når sine mål og resultatkrav på en effektiv og forsvarlig måte.

    Hvordan se informasjonssikkerhet og virksomhetsstyring i sammenheng

    Når en linjeleder, systemeier, eller lignende (risikoeier), gjennomfører risikovurderinger på sitt ansvarsområde, er informasjonssikkerhetsrisiko ett av flere områder som må vurderes. Dersom vedkommende har tilstrekkelig oversikt over sitt ansvarsområde, og hva slags informasjonstyper som behandles der, er det lettere å vurdere mulige konsekvenser som følge av informasjonssikkerhetsbrudd. I virksomhetsstyringen er det viktig å inkludere flere ulike kilder til hendelser, og særlig vurdere sikkerhetsbrudd som får konsekvenser for virksomhetens leveranser, tjenestenivå og økonomi. Andre konsekvenskategorier er imidlertid også viktige, siden en målsetning med av internkontrollen er å overholde lover og regler.

    I virksomhetsstyringen har man hovedsakelig fokus på konsekvenser for virksomhetens mål og resultater, men man må også vurdere konsekvenser utenfor virksomheten. Dette vil variere ut fra virksomhetens egenart.

    Sløyfediagram som viser årsaker til sikkerhetsbrudd på venstre side, sikkerhetsbrudd i midten, og mulige konsekvenskategorier på høyre side. Alle årsaker er uthevet (tilsiktede handlinger, uaktsomhet, uhell og ulykker og naturhendelser), og virksomhetens leveranser og økonomi er uthevet som primære konsekvenskategorier. En klamme omfatter også konsekvenskategoriene personvern, liv og helse og nasjonal sikkerhet, med en pil som viser til internkontrollmålsetningene.

    Videre lesing

    DFØ veileder statlige virksomheter om virksomhetsstyring og internkontroll i virksomhetsstyringen. KS veileder kommunene i hvordan internkontrollen er en del av kommunens styring og ledelse. Les mer om hvilke råd DFØ og KS gir.