Hva og hvorfor er det viktig?
Risikostyring av informasjonssikkerhet
For å løse sine oppgaver og nå sine mål må en virksomhet styre risiko knyttet til gjennomføring av oppgaver og leveranse av tjenester, dette inkluderer å vurdere og håndtere risiko, og følge opp arbeidet. Risikostyring skal derfor være innlemmet i styringen av alle statlige virksomheter. Les mer om risikostyring.
Ettersom informasjonsbehandling både er en kjerneoppgave og en sentral støttefunksjon, er arbeidet med informasjonssikkerheten en viktig del av denne risikostyringen. Arbeidet med informasjonssikkerhet skal understøtte kjerneprosessene og bidra til at virksomheten når sine mål.
Sikre informasjonsbehandling
Informasjon behandles i et samspill mellom mennesker, prosesser og teknologi. Informasjonssikkerhet handler om å sikre denne informasjonsbehandlingen. Det inkluderer å sikre informasjon i alle former og informasjonssystemene som benyttes, inkludert digitale tjenester, IKT-systemer og komponentene som inngår i IKT-systemer. Det handler også om å tilrettelegge arbeidsoppgavene (prosessene) slik at det er enkelt å utføre oppgavene med god sikkerhet. Informasjonssikkerhet handler dessuten om kompetanse og kultur i virksomheten.
Informasjonssikkerhet kan forstås som beskyttelse av
- IKT-systemer
- samvirke mellom systemer
- tjenestene som leveres av systemene
- rutinene og kulturen til dem som bruker systemene
- informasjonen som behandles i systemene
Konfidensialitet, integritet og tilgjengelighet
En virksomhet har i oppgave å sikre å sikre konfidensialitet, integritet og tilgjengelighet. Målet å sørge for
- konfidensialitet, det vil si sikre at informasjonen ikke blir kjent for uvedkommende
- integritet, det vil si sikre at informasjonen ikke blir endret utilsiktet av uvedkommende
-
tilgjengelighet, det vil si sikre at informasjonen er tilgjengelig ved behov
Hvorfor jobbe med informasjonssikkerhet?
Brudd på informasjonssikkerheten kan gi alvorlige følger for innbyggere, andre virksomheter og samfunnet, og det kan få konsekvenser for virksomhetens økonomi og om den er i stand til å yte tjenester. En virksomhet har derfor behov for å jobbe helhetlig og systematisk med temaet over tid, og departementet har behov for å vite at virksomheten jobber helhetlig og systematisk med dette.
Figuren under illustrerer hvorfor offentlige virksomheter jobber med informasjonssikkerhet:
- for å ivareta samfunnets behov
- for å ivareta virksomheters behov
- for å ivareta innbyggernes behov
- for å overholde lover og regler
- for å nå sine egne mål og resultater
- for at rapportering skal være pålitelig
Følger av utilstrekkelig informasjonssikkerhet
Informasjonsbehandling og digitale verktøy blir stadig mer uunnværlige i all oppgaveløsning og for alle samfunnsfunksjoner. Dermed øker betydningen av god informasjonssikkerhet. Utilstrekkelig informasjonssikkerhet kan gi en rekke negative følger for virksomhetens måloppnåelse og resultater, noe som igjen gir konsekvenser for innbyggere og andre virksomheter. Det kan for eksempel medføre
- feil beslutninger
- brudd på rettigheter og rettssikkerhet
- omdømmetap og økonomiske tap for innbyggere, næringsliv, virksomheten og departementet
- ødeleggende livssituasjon for brukere og innbyggere
- effektivitetstap for virksomheten selv og andre
- tap av liv og helse
Forståelsen av risiko ligger i hvilke konsekvenser informasjonssikkerhetsbrudd kan få for virksomhetens oppgaver og tjenester – og hvilke konsekvenser dette kan føre til for
- virksomhetens måloppnåelse, resultater og økonomi
- innbyggere, andre virksomheter og samfunnet
Bruk av IKT og digitale tjenester inngår i dag i stort sett all oppgaveløsning, derfor er digital sikkerhet en viktig del av arbeidet med informasjonssikkerhet. For ledelsen i virksomhetene handler det om å styre risikoen for de aktivitetene som er avhengige av de digitale miljøene.