Internkontroll – informasjonssikkerhet
Internkontroll/styringssystem (Versjon 1.3)
Internkontroll/styringssystem (Versjon 1.3)
Dette er bakgrunnsstoff («Godt å vite») til hovedaktiviteten Ledelsens styring og oppfølging. Målgruppen er de fagansvarlige informasjonssikkerhet som ønsker å sette seg litt grundigere inn i enkelte tema og dermed øke sin bakgrunnskunnskap.
Ledelsen bør selv delta aktivt i de viktigste delene under hovedaktiviteten «Ledelsens styring og oppfølging». Samtidig er det ut fra Difis erfaring nødvendig med god forberedende saksbehandling til ledelse på alle nivå. Dette er ofte en forutsetning for at virksomheten skal lykkes med god lederinvolvering, aktiv styring og systematisk oppfølging på informasjonssikkerhetsområdet. Vi anbefaler derfor etablering av pådrivere innen informasjonssikkerhet på flere organisatoriske nivå.
Difi anbefaler at ledelsen utpeker eller ansetter noen på virksomhetsnivå som skal være pådriver og støtte til ledelsen og organisasjonen for øvrig i informasjonssikkerhetsarbeidet.
Mange virksomheter har allerede en slik funksjon eller stilling med litt ulike navn som sikkerhetsansvarlig, sikkerhetssjef, Chief Information Security Officer (CISO), Chief Security Officer (CSO), mfl. Enkelte har også lagt funksjonen til en kvalitetssjef med et bredere ansvar. Noen kan også finne det hensiktsmessig at funksjonen dekker flere internkontrollområder og ikke bare informasjonssikkerhet.
Det er ikke samlet ansvar, den organisatoriske plasseringen eller hva funksjonen kalles, som er viktigst her, men at funksjonen finnes, at roller og ansvar for informasjonssikkerhet er godt definert, og at nødvendige ressurser til reell innsats på informasjonssikkerhetsområdet er avsatt. Ressursbehovet vil være avhengig av virksomhetens størrelse, kompleksitet og tilgjengelig kompetanse. Det må vurderes lokalt.
Funksjonen bør bistå virksomhetsledelsen i utføringen av alle delaktivitetene under ledelsens styring og oppfølging og være en nøkkelressurs for øvrig i virksomhetens kontinuerlige internkontrollarbeid på informasjonssikkerhetsområdet.
Dette er ikke en teknisk IKT-stilling, men det kreves god forståelse for både IKT-relaterte risikoer, andre typer informasjonssikkerhetsrisikoer, internkontrollsystemer, styringssystemer og sammenhenger mellom internkontroll på informasjonssikkerhetsområdet og virksomhetens samlede mål, organisering og arbeidsmåter.
Endelig plassering i organisasjonen bør vurderes og besluttes som en del av arbeidet med utforming av virksomhetens retningslinje for roller og ansvar i sikkerhetsorganisasjonen. Naturlige plasseringer kan være i stab til virksomhetsledelsen, sentralt i en administrasjonsavdeling eller tilsvarende.
I tillegg til en funksjon som pådriver innen informasjonssikkerhet på virksomhetsnivå anbefaler Difi at virksomhetene også utpeker en pådriver i hver avdeling eller på tilsvarende organisatorisk nivå, avhengig av virksomhetens størrelse og organisering. Dette vil oftest være en funksjon som kan legges til en ordinær fagstilling.
Mange virksomheter har også slike funksjoner i dag med litt ulike navn som sikkerhetskoordinator, lokal sikkerhetsrådgiver, lokal sikkerhetsansvarlig, mfl. Funksjonsnavnet er ikke viktig her heller. Det viktige er å etablere funksjonene.
Pådriverne for informasjonssikkerhetsarbeidet på avdelingsnivå skal støtte ledelsen og de ansatte for øvrig på avdelings- og seksjonsnivå eller tilsvarende i arbeidet med informasjonssikkerhet og internkontroll på området.
Heller ikke disse funksjonene krever teknisk IKT-kompetanse. Det er en fordel med noe av den samme kompetansen som for pådriverne på virksomhetsnivå. Dette er samtidig en kompetanse som disse funksjonene i samarbeid med virksomhetens pådriver for informasjonssikkerhet på virksomhetsnivå kan bygge opp over tid.
De viktigste forutsetningene for pådriverne på avdelingsnivå er motivasjon og personlig egnethet. Det er selvsagt også en fordel med god kjennskap til avdelingens arbeid og organisering.
Ressursbehovet vil også her være avhengig av enhetens størrelse, kompleksitet og tilgjengelig kompetanse. Det må vurderes lokalt.
De nevnte funksjonene på virksomhetsnivå og avdelingsnivå kan med fordel utgjøre en samlet pådrivergruppe for informasjonssikkerhet i virksomheten. Hva gruppen kalles, er ikke viktig og avgjøres i den enkelte virksomhet. Funksjonen på virksomhetsnivå vil naturlig være drivkraft i gruppen.
På denne måten kan virksomheten få både sentral og lokal forankring av informasjonssikkerhetsarbeidet og nødvendig kompetanse i og gode bindeledd mellom de ulike organisatoriske nivåene.
Både internkontroll-, risikostyrings- og informasjonssikkerhetskompetanse i virksomheten kan systematisk bygges opp gjennom en slik pådrivergruppe. Sammen kan de være pådrivere, fasilitatorer og koordinatorer i nødvendige aktiviteter på alle organisatoriske nivå.
────────────────────────────────────────────────────────────────────
────────────────────────────────────────────────────────────────────
