Ledelsens styring og oppfølging (LS)
- etablere og følge opp styringsaktivitetene som en del av virksomhetsstyringen
- gi føringer for styringsaktivitetene og det øvrige arbeidet med informasjonssikkerhet og personopplysningsvern
- sørge for tilstrekkelig ressurser til arbeidet med informasjonssikkerhet og personopplysningsvern
- følge opp at styringsaktivitetene fungerer godt og gjøre nødvendige endringer ved behov
- følge opp at virksomhetens oppgaver og tjenester har tilstrekkelig informasjonssikkerhet og personopplysningsvern
LS-1 Gi føringer
Virksomhetsledelsen skal gi føringer for hvordan styringen av informasjonssikkerhet og personopplysningsvern skal fungere som en del av den helhetlige styringen av virksomheten. Innholdet i føringene bør være basert på virksomhetens interne og eksterne rammebetingelser.
Føringene skal inneholde overordnet beskrivelse av formålet med virksomhetens informasjonsbehandling, og hvilken betydning den har for virksomhetens oppgaver og tjenester.
- struktur og innhold i styringsaktivitetene
- roller og myndighet i arbeidet med styring av informasjonssikkerhet og personopplysningsvern
- delegering av oppgaver for å styre informasjonssikkerhet og personopplysningsvern til ledere som er mål- og resultatansvarlige for et område (risikoeiere).
- hvordan risikoeiere skal forstå, vurdere og håndtere risiko, inkludert kriterier for å akseptere risiko
- hvordan risikoeiere skal sørge for innebygd personvern i oppgaver og tjenester som behandler personopplysninger
- hvordan styringsaktivitetene skal gjennomføres
Gir evne til
- helhetlig styring av arbeidet med informasjonssikkerhet og personopplysningsvern.
- å styre hva som skal gjøres, og hvem som skal gjøre det
LS-2 Sørge for budsjett til arbeidet
Ledere på alle nivå skal sette av tilstrekkelig med ressurser til arbeidet med informasjonssikkerhet og personopplysningsvern. Det gjelder både styringsaktiviteter, sikkerhetstiltak og personverntiltak.
Øverste ledelse er ansvarlig for at tilstrekkelige midler tilordnes i de ordinære budsjettprosessene. Det må i tillegg settes av ressurser som gir virksomheten handlingsrom til å iverksette nødvendige aktiviteter og tiltak som blir identifisert gjennom budsjettperioden.
Gir evne til
- å ha tilstrekkelig finansiering av det ledelsen har besluttet at skal gjøres innen informasjonssikkerhet og personopplysningsvern.
- å se ressursbruken på arbeidet med informasjonssikkerhet og personopplysningsvern i sammenheng med virksomhetens andre aktiviteter.
LS-3 Kommunisere viktighet
Ledere på alle nivå skal benytte sin påvirkningskraft og kommunisere hvor viktig det er å gjennomføre styringsaktiviteter og forvalte sikkerhets- og personverntiltak. De skal også kommunisere hvordan dette arbeidet er prioritert i virksomheten.
Kommunikasjonen bør skje på hensiktsmessig måte, både skriftlig og muntlig.
Gir evne til
- å gjøre ledelsens prioriteringer kjent i virksomheten
- å påvirke effektiv gjennomføring av styringsaktiviteter i hele virksomheten
LS-4 Løfte og håndtere problemstillinger gjennom linjen
Når problemstillinger i styringsaktivitetene ikke kan løses på det organisatoriske nivå de oppstår skal det løftes til den som har tilstrekkelig myndighet til å håndtere problemstillingene. Vedkommende må se risikoer, kostnader og negative sideeffekter for flere organisatoriske enheter i sammenheng, og ta nødvendige beslutninger.
Risikoeiere skal løfte problemstillingen når:
- de ikke har budsjett til å finansiere tiltak som anses nødvendige for å redusere risikoer iht. føringene i virksomheten
- de ikke får redusert en risiko til det nivå de har myndighet til å akseptere. Beslutningen tas av person med tilstrekkelig myndighet, slik det er angitt i virksomhetens kriterier for å akseptere risiko.
- det er uenighet om prioriteringer og om hvordan risiko skal håndteres for ressurser som benyttes av flere risikoeiere
Gir evne til
- å ta effektive beslutninger i tråd med virksomhetens myndighetsstruktur, blant annet om aksept av risiko, finansiering av tiltak, og valg av løsninger
LS-5 Virksomhetsledelsens gjennomgang
Virksomhetsledelsen har ansvaret for å gjennomgå status for styring på informasjonssikkerhets- og personopplysningsvernsområdet minst én gang i året.
Gjennomgangen vil som regel omfatte:
- Vurdering av om styringsaktivitetene fungerer effektivt og gir ønskede resultater
- Status på
-
- tjenesteområder, eller tjenester der virksomhetsledelsen har prioritert informasjonssikkerhet og personopplysningsvern
- risikoer, eller risikoområder virksomhetsledelsen har prioritert
- endringer og andre beslutninger fra tidligere gjennomganger
- vesentlige avvik i informasjonssikkerhet og personopplysningsvern
- tilbakemeldinger på arbeidet, slik som avvik, resultater fra måling eller evaluering, resultater fra revisjoner, status på regelverksetterlevelse
- om kulturen i virksomheten understøtter et systematisk arbeid med styring og kontroll
- vesentlige endringer i rammebetingelser
- lokale, nasjonale og internasjonale trender knyttet til trusler, sårbarheter, uønskede hendelser og risikoer
Leder av virksomheten skal på bakgrunn av gjennomgangen gi eventuelle nye, eller oppdaterte føringer for styringsaktivitetene og øvrig arbeid med informasjonssikkerhet, samt sørge for at disse finansieres og iverksettes. Dette kan også innebære å sørge for at det gjennomføres nødvendige evalueringer eller internrevisjon, eller etableres målinger på enkeltområder.
Gir evne til
- å sørge for at virksomheten får utført oppgaver og levert tjenester
- å ta beslutninger om styringsaktiviteter
- å ta overordnede beslutninger om risikoaksept i virksomheten
- å ta overordnede beslutninger om ressursbruk