Hvordan bør informasjonssikkerhet følges opp i styringsdialogen?
Informasjonssikkerhet er et av mange områder etatsstyrer må følge opp i dialog med underliggende virksomhet. Dialogens form og innhold skal, på samme måte som annen etatsstyring, tilpasses egenart, risiko og vesentlighet.
Dialogen om informasjonssikkerhet bør inngå i den ordinære styringsdialogen. Det vil si at den bør inkluderes i instruksen, tildelingsbrevet, årsrapporten og etatsstyringsmøtene.
Eksempler på hvordan vi kan bruke de ulike arenaene:
-
årsrapport: omtale informasjonssikkerhet som en del av statusrapporten for styring og kontroll i del IV, se veiledning om årsrapport
-
tildelingsbrev: fastsette føringer for informasjonssikkerhet eller spesifikke rapporteringskrav
-
etatsstyringsmøter: utdype krav og rapporteringspunkter
-
instruks: sette generelle krav til styring og kontroll og sette eventuelle utdypende krav til informasjonssikkerhet
På regjeringen.no finner du eksempler på hvordan andre har gjort dette i tildelingsbrev, instrukser og årsrapporter.