Hopp til innhold

Difi - Direktoratet for forvaltning og IKT

Digitaliseringsdirektoratet

Internkontroll/styringssystem (Versjon 1.5)

Søkeskjema

Tekststørrelse A+ A a For å endre tekststørrelsen, hold Ctrl-tasten nede og trykk på + for å forstørre eller - for å forminske.
  • Hjelp
  • Kontakt oss
  • Om veilederen
Meny
Hjem » Systematiske aktiviteter » Kommunikasjon
  • Hjem
  • Sammendrag
  • Systematiske aktiviteter
    • Ledelsens styring og oppfølging
    • Risikovurdering
    • Risikohåndtering
    • Overvåking og hendelseshåndtering
    • Måling, evaluering og revisjon
    • Kompetanse- og kulturutvikling
    • Kommunikasjon
  • Etableringsaktiviteter
  • Utdypninger
  • Godt å vite

Kommunikasjon

Dette er en beskrivelse av delaktivitetene under Kommunikasjon.

Målgruppe

  • fagansvarlig informasjonssikkerhet
    • Hele beskrivelsen
  • Personer som skal forberede eller lede enkeltaktiviteter
    • Enkeltaktiviteter avhengig av ansvarsområde 

Innhold

  • Innledning
  • Formidle nye føringer
  • Dokumentere gjennomførte internkontrollaktiviteter
  • Dokumentere etterlevelse av sikkerhetstiltak
  • Utarbeide statusrapporter som grunnlag for risikovurderinger
  • Utarbeide saksnotat til virksomhetsledelsens gjennomgang
  • Kommunikasjon mellom aktiviteter og aktører
  • Dialog med styrende organ
  • Ekstern kommunikasjon

1 Innledning

God kommunikasjon er en forutsetning for god internkontroll. Virksomheten må ha en avklart struktur på, og grunnleggende krav til, dokumentasjon. Vi kaller det rammeverk for dokumentasjon av internkontroll. Dette er beskrevet nærmere under etableringsaktiviteten Etablere rammeverk for dokumentasjon av internkontroll.

1.1 Hensiktsmessig nivå

Det er viktig at virksomheten finner et hensiktsmessig nivå på hva som må dokumenteres skriftlig, og hva som i tilstrekkelig grad kan sikres gjennom kompetanse hos og tillit til de ansatte. Dokumentasjon og kompetanse kan være både supplerende og alternative tiltak.

Vi anbefaler at virksomhetene ikke legger konkrete dokumentasjonskrav inn i nevnte rammeverk. Vi anbefaler i stedet at slike krav bestemmes og tydeliggjøres delvis på

  • overordnet nivå gjennom virksomhetsledelsens føringer i virksomhetens retningslinje for roller og ansvar i internkontroll- og sikkerhetsarbeidet eller tilsvarende
  • taktisk ledernivå som en del av delaktiviteten Delegere og følge opp gjennom linjen
  • operativt nivå som krav til konkrete sikkerhetstiltak når det er viktig for oppgaveeiere, systemeiere og tiltaksleverandører å få dokumentert at tiltakene faktisk blir fulgt eller gjennomført

På denne måten kan virksomheten få en risikobasert og behovsorientert dokumentasjon, som samtidig skjer innenfor et tydelig felles rammeverk for dokumentasjon av internkontroll.

1.2 Muntlig kommunikasjon

Kommunikasjon er viktig, både skriftlig og muntlig. Når man i vesentlig grad baserer seg på muntlig kommunikasjon, må man være ganske sikker på at kulturen i virksomheten og i de ulike organisatoriske enhetene stimulerer til åpen og ærlig kommunikasjon om viktige, og også tradisjonelt vanskelige tema.

1.3 Aktiviteter

Under følger en beskrivelse av hver av de systematiske aktivitetene. Ledere på alle nivå må systematisk:

  • Formidle nye føringer
  • Dokumentere gjennomførte internkontrollaktiviteter

Fagansvarlig informasjonssikkerhet må systematisk

  • Utarbeide statusrapporter som grunnlag for risikovurderinger
  • Utarbeide saksnotat til virksomhetsledelsens gjennomgang

Ulike aktører må ut fra definerte krav:

  • Dokumentere etterlevelse av tiltak
  • Føre dialog med overordnet, styrende organ
  • Utføre sin del av ekstern kommunikasjon

Alle ansatte må systematisk bidra til:

  • Kommunikasjon mellom aktiviteter og aktører

*****

2 Formidle nye føringer

Ansvarlig for gjennomføring:

  • Ledere på alle nivå.

2.1 Om aktiviteten

Nye føringer må formidles raskt og effektivt til dem som har eller kan få bruk for dem. Føringene må være enkelt tilgjengelig over tid. Det krever normalt at de er dokumenterte, lagret og tilgjengeliggjort på en systematisk måte.

Ansvaret ligger hos dem som gir føringene. Lagrings- og formidlingskanalene bør være koordinert på virksomhetsnivå, slik at man får en helhet i virksomhetens dokumentasjon av internkontroll, i samsvar med kravene i virksomhetens rammeverk for dokumentasjon av internkontroll.

Den ansvarlige bør alltid vurdere om det i tillegg er behov for egne informasjonsmøter, opplæringstiltak o.l. Dette for å forsikre seg om at føringene når frem til rette mottakere, er tilgjengelig når de har behov for dem, er forstått samt at mottakeren har tilstrekkelig kompetanse til å etterleve føringene.

Krav om slik formidling og slike vurderinger bør nedfelles i virksomhetens retningslinje for roller og ansvar i internkontroll- og sikkerhetsarbeidet eller tilsvarende.

*****

3 Dokumentere gjennomførte internkontrollaktiviteter

Ansvarlig for gjennomføring:

  • Alle ledere og andre som er ansvarlig for å gjennomføre internkontrollaktivteter.

3.1 Om aktiviteten

Gjennomføring av etableringsaktivitetene og de systematiske aktivitetene i internkontrollen bør som hovedregel dokumenteres skriftlig. Dette kan oftest gjøres enkelt som en del av gjennomføringen, og ansvaret ligger hos de som er ansvarlig for aktiviteten. Arkivering bør skje i samsvar med bestemmelsene i virksomhetens rammeverk for dokumentasjon av internkontroll.

Ved bruk av gode maler, ved å legge vekt på å dokumentere det viktigste, og ved å integrere dokumentasjonsarbeidet i virksomhetens ordinære arkiverings- og journalføringsrutiner, vil slik dokumentasjon i liten grad representere vesentlig merarbeid.

Samtidig vil systematisk dokumentering sikre at både det som er gjort, bakgrunnen for beslutninger og selve beslutningene blir en del av virksomhetens hukommelse. Det vil være viktig og nyttig både som kontrollgrunnlag, og ved behov for etterlevelse, opplæring og oppdateringer.

Krav til dokumentasjon av gjennomføringen av slike aktiviteter bør nedfelles i virksomhetens retningslinje for roller og ansvar i internkontroll- og sikkerhetsarbeidet eller tilsvarende. Der aktivitetene er en del av andre styringsaktiviteter i virksomheten, eksempelvis budsjettering, bør dokumenteringen skje som en del av disse.

*****

4 Dokumentere etterlevelse av sikkerhetstiltak

Ansvarlig for gjennomføring:

  • Alle som skal etterleve sikkerhetstiltak der det er stilt krav om dokumentasjon av etterlevelse.

4.1 Om aktivitetene

Etterlevelse av prosedyrer, rutiner og andre sikkerhetstiltak bør dokumenteres skriftlig dersom tiltakene stiller konkrete krav om det. Hvem som har ansvaret må fremgå av beskrivelsen av tiltaket.

Dokumentasjonskrav bør være risikobaserte og klart forankret i behov. Behovene vil variere, avhengig av hvilke risikoer tiltaket skal dekke, type tiltak, kompetanse og kultur blant de ansatte samt behovet for å kontrollere etterlevelse.

Der oppgaveeiere, systemeiere eller tiltaksleverandører krever dokumentasjon på etterlevelse av sikkerhetstiltak, bør dokumentasjonen legges opp på en måte som ikke oppleves unødvendig eller vesentlig hemmende for annet viktig arbeid. Dersom den gjør det, bør man justere formen, eller vurdere tiltak innen kompetanseheving og kulturutvikling for å styrke forståelsen for hvorfor dokumentasjon er viktig.

*****

5 Utarbeide statusrapporter som grunnlag for risikovurderinger

Ansvarlig for gjennomføring:

  • Fagansvarlig informasjonssikkerhet.

5.1 Om aktiviteten

Risikoeiere og systemeiere av fellessystemer skal systematisk vurdere behovet for nye eller oppdaterte risikovurderinger innen eget ansvarsområde. Ved behov må risikovurderingene gjennomføres. For å gjøre gode vurderinger trenger de relevant informasjon.

5.2 Tilstrekkelig beslutningsgrunnlag

En del av beslutningsgrunnlaget kan de enkelt skaffe seg selv ved å vurdere hva de har ansvaret for, og status og utfordringer rundt det de har direkte styringsmulighet på.

For å få et tilstrekkelig beslutningsgrunnlag bør de i tillegg motta rapporter om andre forhold som har betydning for vurderingene. Dette krever en vurdering og oppsummering av en rekke forhold både internt i virksomheten og eksternt, i sammenlignbare virksomheter og nasjonalt.

5.3 Jevnlig oppdatering av status

Vi anbefaler at virksomhetene får utarbeidet slike oppdaterte statusrapporter minst en gang årlig. De må gjøres tilgjengelig for virksomhetens risikoeiere. Utsendelsen bør tilpasses den tidsperiode hoveddelen av vurderingene gjennomføres. Dette vil gjerne være i tilknytning til virksomhetens planleggingsprosess for øvrig.

Det vil normalt være naturlig at fagansvarlig informasjonssikkerhet får ansvaret for å utarbeide rapportene. Vedkommende kan ved behov få bistand fra både eksterne og interne, og virksomhetens system for hendelses- og avvikshåndtering vil være en viktig kilde. Ulike aktører rundt om i virksomheten vil også være viktige informasjonskilder. Både samarbeidspartnere og offisielle rapporter o.l. kan være eksterne kilder.

5.4 Innhold tilpasset målgruppen

Innholdet i rapportene bør tilpasses den enkelte virksomhets behov. I utformingen må man være spesielt oppmerksom på hvem som er målgruppen og deres behov.

Det bør være lett å få oversikt over innholdet. Lesere med ulik bakgrunnskunnskap må raskt kunne finne stoff som er relevant for seg. Rapportene bør være lette å lese. Man bør tydelig skille nytt stoff fra stoff som er omtalt i tidligere rapporter.

Utdypninger bør ligge i vedlegg. Man kan ofte henvise til egne utdypningsdokumenter eller oversikter på virksomhetens intranett eller lignende der det er naturlig.

5.5 Sentrale tema i rapportene

Sentrale tema i rapportene kan være

  • oppsummering og kategorisering av tidligere registrerte sikkerhetshendelser
  • trender i trussel- og risikobildet hos virksomheten, i lignende virksomheter, i verden generelt
  • oppsummering og trender i interne revisjoner, evalueringer, undersøkelser og målinger
  • sårbarhetsnivå/tiltaksstyrke på felles tiltaksområder
  • oversikt over felles tiltaksleverandører, fellessikring og mulig tilleggssikring

Krav om utarbeiding av statusrapporten bør være forankret i virksomhetens retningslinje for roller og ansvar i internkontroll- og sikkerhetsarbeidet eller tilsvarende.

*****

6 Utarbeide saksnotat til virksomhetsledelsens gjennomgang

Ansvarlig for gjennomføring:

  • Fagansvarlig informasjonssikkerhet.

6.1 Om aktiviteten

For å sikre at virksomheten har tilstrekkelig styring og kontroll på informasjonssikkerhetsområdet, er det svært viktig å gjennomføre Virksomhetsledelsens gjennomgang.

For at gjennomgangen skal være effektiv, må det utarbeides et godt saksnotat for møtet. Det vil ofte være naturlig at fagansvarlig informasjonssikkerhet får ansvaret for å utarbeide dette.

Krav om utarbeiding av saksnotatet bør være forankret i virksomhetens retningslinje for roller og ansvar i internkontroll- og sikkerhetsarbeidet, eller tilsvarende.

Det er viktig å ha en god struktur og konsentrere seg om det viktigste i det som presenteres i hovednotatet. Utdypninger kan legges i vedlegg.

6.2 Behov for godt beslutningsgrunnlag

Virksomhetsledelsens gjennomgang inkluderer å ta beslutninger, derfor må saksforholdet opplyses i på en slik måte at det gir et godt beslutningsgrunnlag. Anbefalinger bør være tydelige og begrunnede.

Informasjon må normalt hentes fra ulike kilder både internt og eksternt. Det bør være etablert gode rapporteringsrutiner fra aktuelle aktører til den som utarbeider notatet.

Dokumentasjon av gjennomførte internkontrollaktiviteter vil være en viktig kilde. Det samme vil virksomhetens system for hendelses- og avvikshåndtering, evalueringer og revisjoner. Både samarbeidspartnere og rapporter fra myndigheter kan være eksterne kilder.

6.3 Innholdet i gjennomgangen

I omtalen av aktiviteten Virksomhetsledelsens gjennomgang, under Ledelsens styring og oppfølging, har vi skissert sentrale tema som over tid vil være aktuelle. Notatet bør imidlertid alltid inneholde

  • status på endringer og andre beslutninger fra forrige gjennomgang
  • trender i risikobildet både for virksomheten, nasjonalt og internasjonalt
  • omtale av særskilte risikoer eller risikoområder av strategisk betydning for virksomheten
  • oppsummering av vesentlige avvik i internkontrollarbeidet og i informasjonssikkerheten
  • vurdering av årsaker til vesentlige avvik
  • vurdering av om det helhetlige internkontrollarbeidet fungerer effektivt og gir ønskede resultater
  • anbefalte tiltak for forbedring

Tilpasning til virksomhetens behov og situasjon

Innholdet i saksnotatet vil variere over tid, avhengig av hvor langt virksomheten er kommet i arbeidet med internkontroll på informasjonssikkerhetsområdet. Ledere kan også ha egne interesser som gir spesielle føringer.

Maler, eksempler og støtteverktøy

Til utarbeidelse av saksnotat anbefales følgende som hjelp:

[STØTTE] Støttespørsmål til virksomhetsledelsens gjennomgang

*****

7 Kommunikasjon mellom aktiviteter og aktører

Alle aktiviteter i internkontrollen er avhengig av effektiv kommunikasjon med andre aktiviteter og mellom ulike aktører.

Alle ansatte bør ha et klart ansvar for å bidra til at riktig informasjon kommer frem til riktig person til riktig tid. Ivaretagelse av lovpålagt taushetsplikt og etterlevelse av krav om unntatt offentlighet, ligger i begrepet riktig informasjon til riktig person.

7.1 Organisasjonskultur er viktig for god kommunikasjon

Virksomheten må ha gode støttesystemer som understøtter effektiv kommunikasjon. I tillegg må organisasjonskulturen også understøtte dette.

Uformell kommunikasjon er også en ordinær og viktig del av en virksomhets organisasjonskultur. Det bør stimuleres til en kultur der ansatte tar opp med sine kollegaer og ledere spørsmål og problemstillinger dersom noe er uklart eller oppleves som uheldig eller uhensiktsmessig. Det kan være både avklarende diskusjoner og innspill om ting som bør forbedres. En forutsetning for en god kultur rundt dette er at ledere tar slike henvendelser på alvor, og at det gis tilbakemeldinger på innspill som gis.

Viktigheten av slik uformell kommunikasjon og tilretteleggingen for det kan med fordel forankres i overordnede policyer og retningslinjer. Graden av uformell kommunikasjon og hvor forbedringsorientert den er, kan også være et sentralt målepunkt for virksomhetens kultur.

7.2 Rapportering til oppdragsgiver

Det er ikke hensiktsmessig å forankre alle formelle rapporter eller krav til dokumentasjon og tilbakemeldinger i felles retningslinjer. Ofte vil dette være en del av en bestilling fra en oppdragsgiver, for eksempel i tilknytning til

  • aktiviteten Delegere og følge opp gjennom linjen
  • delegering av oppgaver fra risikoeiere, tiltakleverandører mfl. til spesielle oppgaveutførere
  • kjøp av eksterne tjenester

I de fleste sammenhenger er det en fordel om slik rapportering innen informasjonssikkerhet kan kobles til lignende rapportering innen andre områder. På den måten blir sentral rapportering rundt internkontroll på informasjonssikkerhetsområdet integrert i den ordinære virksomhetsstyringen.

7.3 Kommunikasjon i hendelseshåndtering

Kommunikasjon er en viktig del i virksomhetens hendelseshåndtering.

Hvordan dette skal skje, bør være nedfelt i beskrivelsen av det etablerte systemet for hendelseshåndtering. Det gjelder for eksempel hva, hvem og hvordan det skal varsles.

Man bør også være oppmerksom på de nasjonale anbefalingene om åpenhet om IKT-hendelser, utarbeidet av Nasjonal sikkerhetsmyndighet (NSM) på oppdrag fra Justisdepartementet: NSM – Åpenhet om IKT-hendelser – Nasjonale Anbefalinger.

*****

8 Dialog med styrende organ

Virksomheter vil som regel ha behov for å kommunisere om informasjonssikkerhet til et overordnet eller styrende organ. Dette vil normalt være en del av dialogen om styring og kontroll i virksomheten ellers, siden informasjonssikkerhetsarbeidet er en del av helheten.

Styringsdialogen mellom departement og underliggende statlig virksomhet er et eksempel på slik kommunikasjon. Liknende forhold kan finnes i kommuner og fylkeskommuner, for eksempel mellom kommuneledelse og kommunale foretak. Tilsvarende forhold finnes også mellom et styre og daglig ledelse i private virksomheter. Den daglige ledelsen har det direkte ansvaret for å styre risiko, og er ansvarlig for innholdet i internkontrollaktivitetene i virksomheten. Det overordnede, styrende organet skal følge opp at den daglige ledelsen har tilstrekkelig styring og kontroll.

Aktiviteten Virksomhetsledelsens gjennomgang gir toppledelsen kunnskap om risiko for oppgaver og tjenester og kjennskap til status og modenhet på arbeidet med informasjonssikkerhet. Den informasjonen de utarbeider og benytter for egen styring, gir et godt grunnlag for å utarbeide og kommunisere den styringsinformasjonen som overordnet organ har behov for.

Utfyllende informasjon og støtte

Veileder om oppfølging av informasjonssikkerhet med et tilhørende dialogverktøy er tilgjengelig som en del av veiledningen om etatsstyring fra Direktoratet for forvaltning og økonomistyring (DFØ). Selv om denne veiledningen er utviklet for styringsdialogen mellom departement og underliggende statlig virksomhet, så kan den benyttes til inspirasjon for tilsvarende arbeid, eller tilpasses og brukes i samme type aktiviteter, av kommuner og fylkeskommuner.

DFØ - Etatsstyring

*****

9 Ekstern kommunikasjon

Kommunikasjon med personer utenfor virksomheten om risikoer, tiltak, internkontroll, informasjonssikkerhet, mv., må skje i samsvar med virksomhetens policy og retningslinjer for ekstern kommunikasjon generelt. 

Lovpålagt taushetsplikt og interne føringer om unntatt offentlighet og meroffentlighet etter offentleglova, må ligge til grunn for all ekstern kommunikasjon.

────────────────────────────────────────────────────────────────────

Til toppen av siden

────────────────────────────────────────────────────────────────────

Aktiviteter

Nyttig

  • Maler og eksempler
  • Begrepsliste
  • Regelverkskrav
  • Hva sier ISO/IEC 27001?
  • Virksomhetskontekst
  • Hva sier andre?
  • Endringslogg
  • Kilder
  • Kontakt: redaksjonen@digdir.no
  • Telefon: +47 22 45 10 00
  • E-post: postmottak@digdir.no
  • Org.nr: 991 825 827