Helhetlig styring og kontroll av informasjonssikkerhet
Hva vil det si å jobbe helhetlig?
Å jobbe helhetlig betyr å se sammenhengen mellom områder og aktiviteter i virksomheten. Hva som er viktig vil variere fra en virksomhet til en annen. Ved at dere ser på aktiviteter, risiko og tiltak på tvers av fag og avdelinger, kan virksomheten deres få bedre styring og kontroll.
Fellestrekk for styring og kontroll
Uavhengig av om dere jobber med økonomistyring, informasjonssikkerhet, personvern, nasjonal sikkerhet eller HMS, er aktivitetene for styring og kontroll ganske like. Når dere jobber helhetlig, tar dere utgangspunkt i den samme strukturen når dere bygger styring og kontroll på ulike områder.
Det er grunnleggende aspekter ved styring og kontroll som er felles for flere fagområder:
- Ledelsen må lede an
- Ha tydelige roller og ansvar
- Jobb systematisk
- Jobb risikobasert
- Bygg riktig kompetanse og en god kultur
- Gjennomfør ledelsens gjennomgang
- Gjennomfør evalueringer
- Sørg for kontinuerlig forbedring
Ulike perspektiver gir ulikt fokus
«Helheten» er ikke den samme fra en virksomhet til en annen. Ulike målsetninger og forpliktelser påvirker hva som oppleves som viktigst. For å arbeide godt helhetlig må virksomheten forstå hvordan dette påvirker de vurderingene som gjøres.
Ulike perspektiver kan blant annet være:
- Ulik forståelse av risiko, for eksempel
- årsaker til og konsekvenser av hendelser
- hvem et sikkerhetsbrudd får konsekvenser for
- Hva slags informasjon som behandles
Veiledning i helhetlig styring og kontroll av informasjonssikkerhet
Anbefalinger om hvilke styringsaktiviteter offentlige virksomheter bør ha finner du her. De anbefalte styringsaktivitetene legger til rette for helhetlig arbeid i en virksomhet.
Veiledningen «Helhetlig styring og kontroll av informasjonssikkerhet» på digdir.no forklarer mer om helhetlig arbeid og hensyn som skal ivaretas for å lykkes med dette. Denne veiledningen er laget av NSM, DFØ og Digdir, med bidrag fra KS og Datatilsynet.