Hopp til innhold

Difi - Direktoratet for forvaltning og IKT

Digitaliseringsdirektoratet

Internkontroll/styringssystem (Versjon 1.5)

Søkeskjema

Tekststørrelse A+ A a For å endre tekststørrelsen, hold Ctrl-tasten nede og trykk på + for å forstørre eller - for å forminske.
  • Hjelp
  • Kontakt oss
  • Om veilederen
Meny
Hjem » Godt å vite » Ledelsens styring og oppfølging » Krav og anbefalinger
  • Hjem
  • Sammendrag
  • Systematiske aktiviteter
  • Etableringsaktiviteter
  • Utdypninger
  • Godt å vite
    • Ledelsens styring og oppfølging
      • Hvorfor infosikkerhet?
      • Tonen på toppen
      • Støtte til ledelsen
      • Krav og anbefalinger
    • Risikovurdering
    • Risikohåndtering

Krav og anbefalinger

Dette er bakgrunnsstoff («Godt å vite») til hovedaktiviteten Ledelsens styring og oppfølging. Målgruppen er de fagansvarlige informasjonssikkerhet som ønsker å sette seg litt grundigere inn i enkelte tema og dermed øke sin bakgrunnskunnskap.

Innhold

  • Innledning
  • Regelverk
  • Anbefalt standard
  • Helhetlige styringssystem

1 Innledning

På denne siden presenterer vi hvilke regelverk og anbefalinger som ligger til grunn for dette veiledningsmateriellet.

2 Regelverk

Forvaltningsorgan (ethvert organ for stat og kommune, dvs. det vi kaller offentlige virksomheter) er gjennom eForvaltningsforskriftens § 15 pålagt å ha internkontroll (styring og kontroll) på informasjonssikkerhetsområdet.

Kravet gjelder all informasjonsbehandling i virksomheten. eForvaltningsforskriften vil derfor være et naturlig utgangspunkt for alt informasjonssikkerhetsarbeid i offentlige virksomheter. Relevante krav i annet regelverk, som for eksempel personopplysningsregelverket, skal da inkluderes. Behandling av informasjon som kommer inn under sikkerhetsloven, skal også bli henledet til de bestemmelsene som gjelder for den. Et utgangspunkt i eForvaltningsforskriftens § 15 kan gi alle offentlige virksomheter en helhetlig og styrket tilnærming til informasjonssikkerhet.

Forståelsen av sentrale begrep i eForvaltningsforskriften og sammenhengen inn mot tilgrenset regelverk, som personopplysningsregelverket og sikkerhetsloven, er utdypet under høyremeny «Nyttig/Regelverkskrav»

3 Anbefalt standard

eForvaltningsforskriften § 15 stiller krav om at internkontrollen på informasjonssikkerhetsområdet skal basere seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Digitaliseringsdirektoratet er i henhold til forskriften pekt ut til å gi anbefalinger på området.

I Referansekatalogen, bruksområde «Internkontroll/styringssystem/ledelsessystem for informasjonssikkerhet», anbefaler Digitaliseringsdirektoratet bl.a. at internkontrollen baseres på den internasjonale standarden ISO/IEC 27001:2013. Dette er den mest anerkjente standarden på området.

Det veiledningsmateriellet du nå leser, er basert på eForvaltningsforskriften og den anbefalte standarden. Kjernen i standarden, strukturert etter hovedaktivitetene i dette veiledningsmateriellet, er tilgjengelig fra høyremeny Nyttig/Hva sier ISO/IEC 27001? Teksten har for hvert kjernepunkt kapittelreferanse til den komplette og formelle teksten i selve standarden. 

4 Helhetlige styringssystem

Både eForvaltningsforskriftens § 15 og ISO/IEC 27001 anbefaler at internkontrollen/styringssystemet på informasjonssikkerhetsområdet er en integrert del av virksomhetens helhetlige styringssystem. Sikkerhetsloven § 4-1 stiller krav om at sikkerhetsarbeidet etter loven skal være en del av virksomhetens styringssystem. For å gjøre en slik tilnærming enklere har vi laget en kort omtale av førende lover og regler, ulike styringsoppskrifter og tilgrensende internkontrollområder (jf. høyremeny Nyttig/Virksomhetskontekst).

I tillegg har vi laget en oversikt over andre sentrale veiledningsaktører innen andre internkontrollområder (jf. høyremeny Nyttig/Hva sier andre?).

Da tidligere valg og nåværende status i offentlige virksomheter er svært forskjellig, har virksomhetene svært forskjellig utgangspunkt for og innretning mot helhetlige styringssystemer. Den praktiske integreringen av ulike internkontrollområder i et helhetlig styringssystem må derfor skje hos den enkelte virksomhet på den måte og i den takt som passer den enkelte. De hovedaktivitetene og delaktivitetene vi skisserer for informasjonssikkerhet, skal imidlertid være så fleksible at de kan inngå i de fleste modeller og tilnærminger.

────────────────────────────────────────────────────────────────────

Til toppen av siden

────────────────────────────────────────────────────────────────────

Nyttig

  • Maler og eksempler
  • Begrepsliste
  • Regelverkskrav
  • Hva sier ISO/IEC 27001?
  • Virksomhetskontekst
  • Hva sier andre?
  • Endringslogg
  • Kilder
  • Kontakt: redaksjonen@digdir.no
  • Telefon: +47 22 45 10 00
  • E-post: postmottak@digdir.no
  • Org.nr: 991 825 827