Det er snakk om ledelsesstyrte aktiviteter for å gi føringer for hvordan arbeidet skal foregå i virksomheten, hvordan de skal prioritere arbeidet, utrede behov, beslutte bruk av ressurser, undersøke om arbeidet er effektivt, holde oversikt og ha tilstrekkelig styringsinformasjon mv.
Det er anbefalt at virksomhetene har (varianter av) disse hovedaktivitetene:
En gjennomgang av dette området vil gi deg som er etatsstyrer, innsikt i innholdet i forskjellige styringsaktiviteter i virksomheten.
Indikatorene under inneholder en liste med utsagn eller beskrivelser av tilstand. Den første listen kan benyttes som indikatorer på god styring og kontroll, mens den andre listen beskriver forhold som kan indikere manglende styring og kontroll. Det er ikke direkte sammenheng mellom innholdet i de to listene, og alt har ikke en positiv og en negativ omtale. En del typiske og kjente problemsymptomer er vektlagt med forhold som kan indikere mangler i styring og kontroll.
Virksomhetens leder har gitt tydelige føringer for aktivitetene: hva som skal gjøres, hvordan det skal gjøres, og hvem som har ansvaret for at det blir gjort.
Ledere rundt omkring i virksomheten holder oversikt over informasjonsbehandlingen i sine oppgaver og tjenester.
De har oversikt over informasjonstyper som behandles, aktuelle regelverk, IKT-systemer og digitale tjenester som benyttes, og hvor store konsekvensene kan bli ved sikkerhetsbrudd («verdivurdering»).
Virksomheten benytter sin oversikt over informasjonsbehandlingen til å prioritere arbeidet med informasjonssikkerhet. For eksempel kan det gjelde hvor og når det er behov for å gjøre nærmere vurdering av risiko, eller hvor det skal prioriteres å bruke ressurser til sikkerhetstiltak.
Risikoeiere vurderer regelmessig risiko i tilknytning til oppgavene og tjenestene virksomheten har ansvar for.
Virksomheten har ledelsesstyrt aktivitet for håndtering av risiko, som blant annet kan inkludere
Kriteriene for å akseptere risiko fungerer godt og gir ledere i virksomheten god støtte til å ta slike beslutninger.
Ved beslutning om å etablere sikkerhetstiltak vurderes kostnader, antatt effekt og mulige negative sideeffekter.
Virksomheten gjennomfører systematisk godkjenning og etablering av sikkerhetstiltak. Dette kan inkludere
Risikoeiere vurderer status på sine ansvarsområder minst en gang i året.
Tiltaksleverandører vurderer status på sine ansvarsområder minst en gang i året.
Virksomheten vurderer behov for å evaluere av hele eller deler av internkontrollen på området eller å bruke indikatorer som gjør dem i stand til å følge utviklingen over tid.
Virksomheten har oversikt over sitt behov for kompetanse på informasjonssikkerhetsområdet.
Virksomheten klarer å dekke sitt behov for kompetanse på informasjonssikkerhetsområdet.
Ledere får nødvendig grunnopplæring for å kunne utføre sine oppgaver på en god måte. Grunnopplæringen dekker alle vesentlige roller i de systematiske aktivitetene.
Virksomheten har kartlagt eller målt sikkerhetskulturen og benytter kunnskapen til å styrke organisasjonen.
Virksomheten har vurdert om informasjonssikkerhetshendelser vil kunne føre til utfordringer med virksomhetskontinuitet.
Virksomheten har beredskap og er forberedt på å håndtere hendelser som utfordrer virksomhetens evne til å fungere, eller som fører til alvorlig svikt i oppgaver og tjenester.
Virksomheten har tydelige roller, ansvar og prosedyrer for hvordan de håndterer hendelser. Dette inkluderer hvordan ledelsen involveres strategisk og taktisk ved behov.
Virksomheten har god oversikt over hendelser og avvik. De benytter denne kunnskapen til å forbedre arbeidet.
Virksomhetens leder har gitt føringer for arbeidet med informasjonssikkerhet, men aktivitetene gjennomføres ikke systematisk av ledere rundt omkring i virksomheten.
Virksomhetens arbeid med informasjonssikkerhet dekker ikke alle typer informasjon, IKT-systemer, digitale tjenester og uønskede hendelser.
Omfanget er for eksempel begrenset til
Virksomheten har ikke tilstrekkelig oversikt over verdikjeder.
Ledere i virksomheten har ikke oversikt over hvor avhengige de er av eksterne løsninger og tjenester, for eksempel hvor avhengige de er av nasjonale felleskomponenter og -løsninger.
Virksomheten vurderer ikke (informasjonssikkerhets)risiko ved oppstart og gjennomføring av utviklingsprosjekter og anskaffelsesprosesser.
Virksomheten vurderer risiko, men arbeider ikke systematisk for å håndtere risiko.
Virksomheten evaluerer ikke eget arbeid og har derfor liten mulighet til å drive kontinuerlig forbedring.
Ledelsen tar ikke ansvar for å utvikle god sikkerhetskultur.
Virksomheten bruker ikke hendelser til læring og forbedring.
Virksomheten har ikke oversikt over kostnadene som følge av informasjonssikkerhetshendelser.
Virksomheten arbeider ikke systematisk og målrettet med øvelser.
Virksomhetens kompetansetiltak er ikke tilpasset ulike målgrupper og behov.