Digitaliseringsdirektoratet
Internkontroll/styringssystem (Versjon 1.5)
Internkontroll/styringssystem (Versjon 1.5)
Dette er en beskrivelse av delaktivitetene under Kommunikasjon.
God kommunikasjon er en forutsetning for god internkontroll. Virksomheten må ha en avklart struktur på, og grunnleggende krav til, dokumentasjon. Vi kaller det rammeverk for dokumentasjon av internkontroll. Dette er beskrevet nærmere under etableringsaktiviteten Etablere rammeverk for dokumentasjon av internkontroll.
Det er viktig at virksomheten finner et hensiktsmessig nivå på hva som må dokumenteres skriftlig, og hva som i tilstrekkelig grad kan sikres gjennom kompetanse hos og tillit til de ansatte. Dokumentasjon og kompetanse kan være både supplerende og alternative tiltak.
Vi anbefaler at virksomhetene ikke legger konkrete dokumentasjonskrav inn i nevnte rammeverk. Vi anbefaler i stedet at slike krav bestemmes og tydeliggjøres delvis på
På denne måten kan virksomheten få en risikobasert og behovsorientert dokumentasjon, som samtidig skjer innenfor et tydelig felles rammeverk for dokumentasjon av internkontroll.
Kommunikasjon er viktig, både skriftlig og muntlig. Når man i vesentlig grad baserer seg på muntlig kommunikasjon, må man være ganske sikker på at kulturen i virksomheten og i de ulike organisatoriske enhetene stimulerer til åpen og ærlig kommunikasjon om viktige, og også tradisjonelt vanskelige tema.
Under følger en beskrivelse av hver av de systematiske aktivitetene. Ledere på alle nivå må systematisk:
Fagansvarlig informasjonssikkerhet må systematisk
Ulike aktører må ut fra definerte krav:
Alle ansatte må systematisk bidra til:
*****
Ansvarlig for gjennomføring:
Nye føringer må formidles raskt og effektivt til dem som har eller kan få bruk for dem. Føringene må være enkelt tilgjengelig over tid. Det krever normalt at de er dokumenterte, lagret og tilgjengeliggjort på en systematisk måte.
Ansvaret ligger hos dem som gir føringene. Lagrings- og formidlingskanalene bør være koordinert på virksomhetsnivå, slik at man får en helhet i virksomhetens dokumentasjon av internkontroll, i samsvar med kravene i virksomhetens rammeverk for dokumentasjon av internkontroll.
Den ansvarlige bør alltid vurdere om det i tillegg er behov for egne informasjonsmøter, opplæringstiltak o.l. Dette for å forsikre seg om at føringene når frem til rette mottakere, er tilgjengelig når de har behov for dem, er forstått samt at mottakeren har tilstrekkelig kompetanse til å etterleve føringene.
Krav om slik formidling og slike vurderinger bør nedfelles i virksomhetens retningslinje for roller og ansvar i internkontroll- og sikkerhetsarbeidet eller tilsvarende.
*****
Ansvarlig for gjennomføring:
Gjennomføring av etableringsaktivitetene og de systematiske aktivitetene i internkontrollen bør som hovedregel dokumenteres skriftlig. Dette kan oftest gjøres enkelt som en del av gjennomføringen, og ansvaret ligger hos de som er ansvarlig for aktiviteten. Arkivering bør skje i samsvar med bestemmelsene i virksomhetens rammeverk for dokumentasjon av internkontroll.
Ved bruk av gode maler, ved å legge vekt på å dokumentere det viktigste, og ved å integrere dokumentasjonsarbeidet i virksomhetens ordinære arkiverings- og journalføringsrutiner, vil slik dokumentasjon i liten grad representere vesentlig merarbeid.
Samtidig vil systematisk dokumentering sikre at både det som er gjort, bakgrunnen for beslutninger og selve beslutningene blir en del av virksomhetens hukommelse. Det vil være viktig og nyttig både som kontrollgrunnlag, og ved behov for etterlevelse, opplæring og oppdateringer.
Krav til dokumentasjon av gjennomføringen av slike aktiviteter bør nedfelles i virksomhetens retningslinje for roller og ansvar i internkontroll- og sikkerhetsarbeidet eller tilsvarende. Der aktivitetene er en del av andre styringsaktiviteter i virksomheten, eksempelvis budsjettering, bør dokumenteringen skje som en del av disse.
*****
Ansvarlig for gjennomføring:
Etterlevelse av prosedyrer, rutiner og andre sikkerhetstiltak bør dokumenteres skriftlig dersom tiltakene stiller konkrete krav om det. Hvem som har ansvaret må fremgå av beskrivelsen av tiltaket.
Dokumentasjonskrav bør være risikobaserte og klart forankret i behov. Behovene vil variere, avhengig av hvilke risikoer tiltaket skal dekke, type tiltak, kompetanse og kultur blant de ansatte samt behovet for å kontrollere etterlevelse.
Der oppgaveeiere, systemeiere eller tiltaksleverandører krever dokumentasjon på etterlevelse av sikkerhetstiltak, bør dokumentasjonen legges opp på en måte som ikke oppleves unødvendig eller vesentlig hemmende for annet viktig arbeid. Dersom den gjør det, bør man justere formen, eller vurdere tiltak innen kompetanseheving og kulturutvikling for å styrke forståelsen for hvorfor dokumentasjon er viktig.
*****
Ansvarlig for gjennomføring:
Risikoeiere og systemeiere av fellessystemer skal systematisk vurdere behovet for nye eller oppdaterte risikovurderinger innen eget ansvarsområde. Ved behov må risikovurderingene gjennomføres. For å gjøre gode vurderinger trenger de relevant informasjon.
En del av beslutningsgrunnlaget kan de enkelt skaffe seg selv ved å vurdere hva de har ansvaret for, og status og utfordringer rundt det de har direkte styringsmulighet på.
For å få et tilstrekkelig beslutningsgrunnlag bør de i tillegg motta rapporter om andre forhold som har betydning for vurderingene. Dette krever en vurdering og oppsummering av en rekke forhold både internt i virksomheten og eksternt, i sammenlignbare virksomheter og nasjonalt.
Vi anbefaler at virksomhetene får utarbeidet slike oppdaterte statusrapporter minst en gang årlig. De må gjøres tilgjengelig for virksomhetens risikoeiere. Utsendelsen bør tilpasses den tidsperiode hoveddelen av vurderingene gjennomføres. Dette vil gjerne være i tilknytning til virksomhetens planleggingsprosess for øvrig.
Det vil normalt være naturlig at fagansvarlig informasjonssikkerhet får ansvaret for å utarbeide rapportene. Vedkommende kan ved behov få bistand fra både eksterne og interne, og virksomhetens system for hendelses- og avvikshåndtering vil være en viktig kilde. Ulike aktører rundt om i virksomheten vil også være viktige informasjonskilder. Både samarbeidspartnere og offisielle rapporter o.l. kan være eksterne kilder.
Innholdet i rapportene bør tilpasses den enkelte virksomhets behov. I utformingen må man være spesielt oppmerksom på hvem som er målgruppen og deres behov.
Det bør være lett å få oversikt over innholdet. Lesere med ulik bakgrunnskunnskap må raskt kunne finne stoff som er relevant for seg. Rapportene bør være lette å lese. Man bør tydelig skille nytt stoff fra stoff som er omtalt i tidligere rapporter.
Utdypninger bør ligge i vedlegg. Man kan ofte henvise til egne utdypningsdokumenter eller oversikter på virksomhetens intranett eller lignende der det er naturlig.
Sentrale tema i rapportene kan være
Krav om utarbeiding av statusrapporten bør være forankret i virksomhetens retningslinje for roller og ansvar i internkontroll- og sikkerhetsarbeidet eller tilsvarende.
*****
Ansvarlig for gjennomføring:
For å sikre at virksomheten har tilstrekkelig styring og kontroll på informasjonssikkerhetsområdet, er det svært viktig å gjennomføre Virksomhetsledelsens gjennomgang.
For at gjennomgangen skal være effektiv, må det utarbeides et godt saksnotat for møtet. Det vil ofte være naturlig at fagansvarlig informasjonssikkerhet får ansvaret for å utarbeide dette.
Krav om utarbeiding av saksnotatet bør være forankret i virksomhetens retningslinje for roller og ansvar i internkontroll- og sikkerhetsarbeidet, eller tilsvarende.
Det er viktig å ha en god struktur og konsentrere seg om det viktigste i det som presenteres i hovednotatet. Utdypninger kan legges i vedlegg.
Virksomhetsledelsens gjennomgang inkluderer å ta beslutninger, derfor må saksforholdet opplyses i på en slik måte at det gir et godt beslutningsgrunnlag. Anbefalinger bør være tydelige og begrunnede.
Informasjon må normalt hentes fra ulike kilder både internt og eksternt. Det bør være etablert gode rapporteringsrutiner fra aktuelle aktører til den som utarbeider notatet.
Dokumentasjon av gjennomførte internkontrollaktiviteter vil være en viktig kilde. Det samme vil virksomhetens system for hendelses- og avvikshåndtering, evalueringer og revisjoner. Både samarbeidspartnere og rapporter fra myndigheter kan være eksterne kilder.
I omtalen av aktiviteten Virksomhetsledelsens gjennomgang, under Ledelsens styring og oppfølging, har vi skissert sentrale tema som over tid vil være aktuelle. Notatet bør imidlertid alltid inneholde
Tilpasning til virksomhetens behov og situasjon
Innholdet i saksnotatet vil variere over tid, avhengig av hvor langt virksomheten er kommet i arbeidet med internkontroll på informasjonssikkerhetsområdet. Ledere kan også ha egne interesser som gir spesielle føringer.
Maler, eksempler og støtteverktøy
Til utarbeidelse av saksnotat anbefales følgende som hjelp:
[STØTTE] Støttespørsmål til virksomhetsledelsens gjennomgang
*****
Alle aktiviteter i internkontrollen er avhengig av effektiv kommunikasjon med andre aktiviteter og mellom ulike aktører.
Alle ansatte bør ha et klart ansvar for å bidra til at riktig informasjon kommer frem til riktig person til riktig tid. Ivaretagelse av lovpålagt taushetsplikt og etterlevelse av krav om unntatt offentlighet, ligger i begrepet riktig informasjon til riktig person.
Virksomheten må ha gode støttesystemer som understøtter effektiv kommunikasjon. I tillegg må organisasjonskulturen også understøtte dette.
Uformell kommunikasjon er også en ordinær og viktig del av en virksomhets organisasjonskultur. Det bør stimuleres til en kultur der ansatte tar opp med sine kollegaer og ledere spørsmål og problemstillinger dersom noe er uklart eller oppleves som uheldig eller uhensiktsmessig. Det kan være både avklarende diskusjoner og innspill om ting som bør forbedres. En forutsetning for en god kultur rundt dette er at ledere tar slike henvendelser på alvor, og at det gis tilbakemeldinger på innspill som gis.
Viktigheten av slik uformell kommunikasjon og tilretteleggingen for det kan med fordel forankres i overordnede policyer og retningslinjer. Graden av uformell kommunikasjon og hvor forbedringsorientert den er, kan også være et sentralt målepunkt for virksomhetens kultur.
Det er ikke hensiktsmessig å forankre alle formelle rapporter eller krav til dokumentasjon og tilbakemeldinger i felles retningslinjer. Ofte vil dette være en del av en bestilling fra en oppdragsgiver, for eksempel i tilknytning til
I de fleste sammenhenger er det en fordel om slik rapportering innen informasjonssikkerhet kan kobles til lignende rapportering innen andre områder. På den måten blir sentral rapportering rundt internkontroll på informasjonssikkerhetsområdet integrert i den ordinære virksomhetsstyringen.
Kommunikasjon er en viktig del i virksomhetens hendelseshåndtering.
Hvordan dette skal skje, bør være nedfelt i beskrivelsen av det etablerte systemet for hendelseshåndtering. Det gjelder for eksempel hva, hvem og hvordan det skal varsles.
Man bør også være oppmerksom på de nasjonale anbefalingene om åpenhet om IKT-hendelser, utarbeidet av Nasjonal sikkerhetsmyndighet (NSM) på oppdrag fra Justisdepartementet: NSM – Åpenhet om IKT-hendelser – Nasjonale Anbefalinger.
*****
Virksomheter vil som regel ha behov for å kommunisere om informasjonssikkerhet til et overordnet eller styrende organ. Dette vil normalt være en del av dialogen om styring og kontroll i virksomheten ellers, siden informasjonssikkerhetsarbeidet er en del av helheten.
Styringsdialogen mellom departement og underliggende statlig virksomhet er et eksempel på slik kommunikasjon. Liknende forhold kan finnes i kommuner og fylkeskommuner, for eksempel mellom kommuneledelse og kommunale foretak. Tilsvarende forhold finnes også mellom et styre og daglig ledelse i private virksomheter. Den daglige ledelsen har det direkte ansvaret for å styre risiko, og er ansvarlig for innholdet i internkontrollaktivitetene i virksomheten. Det overordnede, styrende organet skal følge opp at den daglige ledelsen har tilstrekkelig styring og kontroll.
Aktiviteten Virksomhetsledelsens gjennomgang gir toppledelsen kunnskap om risiko for oppgaver og tjenester og kjennskap til status og modenhet på arbeidet med informasjonssikkerhet. Den informasjonen de utarbeider og benytter for egen styring, gir et godt grunnlag for å utarbeide og kommunisere den styringsinformasjonen som overordnet organ har behov for.
Utfyllende informasjon og støtte
Veileder om oppfølging av informasjonssikkerhet med et tilhørende dialogverktøy er tilgjengelig som en del av veiledningen om etatsstyring fra Direktoratet for forvaltning og økonomistyring (DFØ). Selv om denne veiledningen er utviklet for styringsdialogen mellom departement og underliggende statlig virksomhet, så kan den benyttes til inspirasjon for tilsvarende arbeid, eller tilpasses og brukes i samme type aktiviteter, av kommuner og fylkeskommuner.
*****
Kommunikasjon med personer utenfor virksomheten om risikoer, tiltak, internkontroll, informasjonssikkerhet, mv., må skje i samsvar med virksomhetens policy og retningslinjer for ekstern kommunikasjon generelt.
Lovpålagt taushetsplikt og interne føringer om unntatt offentlighet og meroffentlighet etter offentleglova, må ligge til grunn for all ekstern kommunikasjon.
────────────────────────────────────────────────────────────────────
────────────────────────────────────────────────────────────────────
