Innholdet i tabellen er prefikset med navn på regelverk som omtales, og kan benyttes der dette regelverket er relevant.
Ved gjennomgang av dette temaet vil du som er etatsstyrer, få innsikt i virksomhetens etterlevelse av regelverk.
Indikatorene under inneholder en liste med utsagn eller beskrivelser av tilstand. Den første listen kan benyttes som indikatorer på god styring og kontroll, mens den andre listen beskriver forhold som kan indikere manglende styring og kontroll. Det er ikke direkte sammenheng mellom innholdet i de to listene, og alt har ikke en positiv og en negativ omtale. En del typiske og kjente problemsymptomer er vektlagt med forhold som kan indikere mangler i styring og kontroll.
Forvaltningsloven: Virksomheten har styring og kontroll i tråd med eForvaltningsforskriften § 15 andre ledd, som er basert på anerkjent internasjonal standard og gjeldende anbefalinger for etterlevelse av bestemmelsen. Arbeidet med styring og kontroll med informasjonssikkerhet er en integrert del av virksomhetens helhetlige styringssystem og inkluderer relevante krav som er fastsatt i annen lov, forskrift eller instruks.
Sikkerhetsloven: Ledelsen viser god forståelse for innholdet i sikkerhetsloven med forskrifter og har oversikt over hvor sikkerhetsbrudd kan få konsekvenser for grunnleggende nasjonale funksjoner og nasjonale sikkerhetsinteresser.
Sikkerhetsloven: Sikkerhetsstyring etter denne loven er en del av virksomhetens styringssystem. Innholdet i de systematiske aktivitetene er tilpasset for å ivareta alle særkrav i dette regelverket i de tilfellene der det er behov for det.
Sikkerhetsloven: Virksomheten har etablert sikkerhetstiltak i tråd med minimumskravene, inkludert kravene i virksomhetsikkerhetsforskriften.
Sikkerhetsloven: Virksomheten kan redegjøre for hvordan de oppnår forsvarlig sikkerhetsnivå for det som skal sikres etter loven.
Personopplysningsloven med personvernforordningen: Virksomheten behandler personopplysninger med tilstrekkelig sikkerhet og kan dokumentere etterlevelse av regelverket.
Virksomheten har god oversikt over hvilke særlover og sektorregelverk som gjelder informasjonsbehandlingen deres, og god forståelse for hvilke krav det stiller til deres arbeid med informasjonssikkerhet.
Virksomheten har ikke oversikt over regelverk de er omfattet av.
Virksomheten håndterer forskjellige regelverk for seg, er ikke i stand til å se sammenhengene og har ikke en helhetlig oppfølging av dem.
Forvaltningsloven: Virksomheten har ikke styring og kontroll i tråd med eForvaltningsforskriften § 15 andre ledd og tilhørende anbefalinger.
Sikkerhetsloven: Virksomheten kan ikke redegjøre for pliktene de har etter sikkerhetsloven med forskrifter.
Personopplysningsloven med personvernforordningen: Virksomheten har ikke oversikt over hvordan de behandlerpersonopplysninger og hvilket behov det er for å sikre personopplysningene med tanke på konfidensialitet, integritet og tilgjengelighet for å ivareta fysiske personers rettigheter og friheter.