Hopp til innhold

Difi - Direktoratet for forvaltning og IKT

Digitaliseringsdirektoratet

Internkontroll/styringssystem (Versjon 1.5)

Søkeskjema

Tekststørrelse A+ A a For å endre tekststørrelsen, hold Ctrl-tasten nede og trykk på + for å forstørre eller - for å forminske.
  • Hjelp
  • Kontakt oss
  • Om veilederen
Meny
Hjem » Godt å vite » Ledelsens styring og oppfølging » Suksessfaktor - tonen på toppen
  • Hjem
  • Sammendrag
  • Systematiske aktiviteter
  • Etableringsaktiviteter
  • Utdypninger
  • Godt å vite
    • Ledelsens styring og oppfølging
      • Hvorfor infosikkerhet?
      • Tonen på toppen
      • Støtte til ledelsen
      • Krav og anbefalinger
    • Risikovurdering
    • Risikohåndtering

Suksessfaktor - tonen på toppen

Dette er bakgrunnsstoff («Godt å vite») til hovedaktiviteten Ledelsens styring og oppfølging. Målgruppen er de fagansvarlige informasjonssikkerhet som ønsker å sette seg litt grundigere inn i enkelte tema og dermed øke sin bakgrunnskunnskap.

Skal en virksomhet lykkes med å få tilstrekkelig styring og kontroll med informasjonssikkerheten, er det ikke nok med systematiske planer, policyer, retningslinjer, styringsparametere og oppfølging. Kulturen i organisasjonen er avgjørende.

De ansatte og brukerne av IKT-systemene må forstå hvorfor informasjonssikkerhet er viktig, hvorfor tiltak etableres, og hvorfor de må følges. Det må også være samsvar mellom det de ansatte sier de gjør, og det de faktisk gjør.

Hva ledelsen selv sier og ikke minst gjør, er fundamentet i organisasjonens kultur. Dersom ledelsen ikke tar informasjonssikkerhet på alvor, blir dette fort synlig blant de ansatte uavhengig av hva som sies eller skrives. Tar ikke ledelsen informasjonssikkerhet på alvor, er det lite trolig at de ansatte vil gjøre det.

Eksempler på faktorer som kan synliggjøre ledelsens faktiske holdning, er:

  • ledelsens engasjement
    • ved utarbeiding av overordnede styrende dokumenter for informasjonssikkerhet
    • i ledelsens gjennomgang av informasjonssikkerhet
    • ved utforming av styringsparametere og årlige krav til informasjonssikkerhet
  • ledelsens fremheving av informasjonssikkerhet i sin «dag-til-dag» kommunikasjon ut i organisasjonen og om ledelsen tydelig synliggjør hva tilstrekkelig og balansert informasjonssikkerhet betyr for «oss» som virksomhet
  • om ledelsen selv etterlever de retningslinjer og rutiner som blir etablert
  • de ansattes mulighet til å være kritiske til etablerte tiltak som kanskje ikke fungerer optimalt, og til å få endret disse
  • om det er reelt positivt i virksomheten å melde fra om mulige sikkerhetshendelser og mulige eller reelle feil og avvik
  • om informasjonssikkerhet er tema i topplederens oppfølging av egne underordnede ledere
  • om informasjonssikkerhet er et fast tema i virksomhetens medarbeidersamtaler e.l. nedover i hele organisasjonen

Dette handler om «tonen på toppen» og er et avgjørende suksesskriterium for tilstrekkelig styring og kontroll på informasjonssikkerhetsområdet.

Virksomhetens fagansvarlig informasjonssikkerhet må informere lederne på alle nivå om dette. De kan gjerne vise til både Digitaliseringsdirektoratets undersøkelser og anbefalinger, ISO-standarder og COSO-rammeverk. Videre må de legge til rette for at det er enkelt for lederne å involvere seg. De må fôre dem med relevant kunnskap og støtte dem gjennom prosesser som er nye, og som de første gangene kan oppleves tunge eller vanskelige. Lykkes de med det, er en på god vei.

────────────────────────────────────────────────────────────────────

Til toppen av siden

────────────────────────────────────────────────────────────────────

Nyttig

  • Maler og eksempler
  • Begrepsliste
  • Regelverkskrav
  • Hva sier ISO/IEC 27001?
  • Virksomhetskontekst
  • Hva sier andre?
  • Endringslogg
  • Kilder
  • Kontakt: redaksjonen@digdir.no
  • Telefon: +47 22 45 10 00
  • E-post: postmottak@digdir.no
  • Org.nr: 991 825 827