Internkontroll/styringssystem (Versjon 1.5)
Dette er bakgrunnsstoff («Godt å vite») til hovedaktiviteten Ledelsens styring og oppfølging. Målgruppen er de fagansvarlige informasjonssikkerhet som ønsker å sette seg litt grundigere inn i enkelte tema og dermed øke sin bakgrunnskunnskap.
Skal en virksomhet lykkes med å få tilstrekkelig styring og kontroll med informasjonssikkerheten, er det ikke nok med systematiske planer, policyer, retningslinjer, styringsparametere og oppfølging. Kulturen i organisasjonen er avgjørende.
De ansatte og brukerne av IKT-systemene må forstå hvorfor informasjonssikkerhet er viktig, hvorfor tiltak etableres, og hvorfor de må følges. Det må også være samsvar mellom det de ansatte sier de gjør, og det de faktisk gjør.
Hva ledelsen selv sier og ikke minst gjør, er fundamentet i organisasjonens kultur. Dersom ledelsen ikke tar informasjonssikkerhet på alvor, blir dette fort synlig blant de ansatte uavhengig av hva som sies eller skrives. Tar ikke ledelsen informasjonssikkerhet på alvor, er det lite trolig at de ansatte vil gjøre det.
Eksempler på faktorer som kan synliggjøre ledelsens faktiske holdning, er:
Dette handler om «tonen på toppen» og er et avgjørende suksesskriterium for tilstrekkelig styring og kontroll på informasjonssikkerhetsområdet.
Virksomhetens fagansvarlig informasjonssikkerhet må informere lederne på alle nivå om dette. De kan gjerne vise til både Digitaliseringsdirektoratets undersøkelser og anbefalinger, ISO-standarder og COSO-rammeverk. Videre må de legge til rette for at det er enkelt for lederne å involvere seg. De må fôre dem med relevant kunnskap og støtte dem gjennom prosesser som er nye, og som de første gangene kan oppleves tunge eller vanskelige. Lykkes de med det, er en på god vei.
────────────────────────────────────────────────────────────────────
────────────────────────────────────────────────────────────────────