Systematiske aktiviteter

For å være i stand til å ha styring og kontroll etablerer virksomhetsledelsen et «system» – det vil si et sett av systematiske aktiviteter som gjennomføres rundt omkring i virksomheten, med tilhørende roller, ansvar og myndighet. En rekke regelverk stiller krav til slik systematikk i det ledelsesstyrte arbeidet.

Ledelsens styring og oppfølging

«Ledelsens styring og oppfølging», til venstre i figuren over, er et viktig område med flere systematiske aktiviteter, blant annet noe som kalles «virksomhetsledelsens gjennomgang». I en virksomhet med god styring og kontroll har ledelsen mye kunnskap om risiko og kjenner til status og modenhet på eget arbeid. Dette kan danne grunnlaget for rapportering av den styringsinformasjonen som departementet har behov for, som illustrert i figuren under.

Helhetlig styring og kontroll

Bare med en helhetlig tilnærming er det mulig å svare på om vi jobber med de riktige tingene og på den rette måten. Ulike regelverk retter seg ofte mot forskjellige deler av informasjonssikkerhetsarbeidet i en virksomhet, for eksempel ulike kilder til risiko eller uønskede konsekvenser.

En virksomhet har behov for styring og kontroll på en rekke forskjellige områder, for eksempel

• virksomhetsstyring (økonomiregelverket)
• økonomistyring (økonomiregelverket)
• HMS (arbeidsmiljøloven)
• personvern (personvernforordningen)
• nasjonale sikkerhetsinteresser (sikkerhetsloven)

Styring og kontroll omfatter også informasjonsbehandling og IKT. Aktivitetene for styring og kontroll vil være ganske like for alle områder, og dere bør tilstrebe mest mulig helhetlig styring. Legg vekt på virksomhetens virksomhetsstyring, og se de andre områdene som en integrert del av denne styringen.