Internkontroll/styringssystem (Versjon 1.5)
Dette er bakgrunnsstoff («Godt å vite») til hovedaktiviteten Ledelsens styring og oppfølging. Målgruppen er de fagansvarlige informasjonssikkerhet som ønsker å sette seg litt grundigere inn i enkelte tema og dermed øke sin bakgrunnskunnskap.
På denne siden presenterer vi hvilke regelverk og anbefalinger som ligger til grunn for dette veiledningsmateriellet.
Forvaltningsorgan (ethvert organ for stat og kommune, dvs. det vi kaller offentlige virksomheter) er gjennom eForvaltningsforskriftens § 15 pålagt å ha internkontroll (styring og kontroll) på informasjonssikkerhetsområdet.
Kravet gjelder all informasjonsbehandling i virksomheten. eForvaltningsforskriften vil derfor være et naturlig utgangspunkt for alt informasjonssikkerhetsarbeid i offentlige virksomheter. Relevante krav i annet regelverk, som for eksempel personopplysningsregelverket, skal da inkluderes. Behandling av informasjon som kommer inn under sikkerhetsloven, skal også bli henledet til de bestemmelsene som gjelder for den. Et utgangspunkt i eForvaltningsforskriftens § 15 kan gi alle offentlige virksomheter en helhetlig og styrket tilnærming til informasjonssikkerhet.
Forståelsen av sentrale begrep i eForvaltningsforskriften og sammenhengen inn mot tilgrenset regelverk, som personopplysningsregelverket og sikkerhetsloven, er utdypet under høyremeny «Nyttig/Regelverkskrav»
eForvaltningsforskriften § 15 stiller krav om at internkontrollen på informasjonssikkerhetsområdet skal basere seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Digitaliseringsdirektoratet er i henhold til forskriften pekt ut til å gi anbefalinger på området.
I Referansekatalogen, bruksområde «Internkontroll/styringssystem/ledelsessystem for informasjonssikkerhet», anbefaler Digitaliseringsdirektoratet bl.a. at internkontrollen baseres på den internasjonale standarden ISO/IEC 27001:2013. Dette er den mest anerkjente standarden på området.
Det veiledningsmateriellet du nå leser, er basert på eForvaltningsforskriften og den anbefalte standarden. Kjernen i standarden, strukturert etter hovedaktivitetene i dette veiledningsmateriellet, er tilgjengelig fra høyremeny Nyttig/Hva sier ISO/IEC 27001? Teksten har for hvert kjernepunkt kapittelreferanse til den komplette og formelle teksten i selve standarden.
Både eForvaltningsforskriftens § 15 og ISO/IEC 27001 anbefaler at internkontrollen/styringssystemet på informasjonssikkerhetsområdet er en integrert del av virksomhetens helhetlige styringssystem. Sikkerhetsloven § 4-1 stiller krav om at sikkerhetsarbeidet etter loven skal være en del av virksomhetens styringssystem. For å gjøre en slik tilnærming enklere har vi laget en kort omtale av førende lover og regler, ulike styringsoppskrifter og tilgrensende internkontrollområder (jf. høyremeny Nyttig/Virksomhetskontekst).
I tillegg har vi laget en oversikt over andre sentrale veiledningsaktører innen andre internkontrollområder (jf. høyremeny Nyttig/Hva sier andre?).
Da tidligere valg og nåværende status i offentlige virksomheter er svært forskjellig, har virksomhetene svært forskjellig utgangspunkt for og innretning mot helhetlige styringssystemer. Den praktiske integreringen av ulike internkontrollområder i et helhetlig styringssystem må derfor skje hos den enkelte virksomhet på den måte og i den takt som passer den enkelte. De hovedaktivitetene og delaktivitetene vi skisserer for informasjonssikkerhet, skal imidlertid være så fleksible at de kan inngå i de fleste modeller og tilnærminger.
────────────────────────────────────────────────────────────────────
────────────────────────────────────────────────────────────────────