Ny versjon av veileder – med tilpasninger til ny sikkerhetslov

Difi har publisert en ny versjon av veiledningsmateriellet «Internkontroll i praksis – informasjonssikkerhet». Utover tilpasning til ny sikkerhetslov er det kun gjort et fåtall mindre endringer.

Publisert: 11. feb 2019, Sist endret: 11. feb 2019

Ny sikkerhetslov

Lov om nasjonal sikkerhet med forskrifter trådte i kraft 1. januar i år. Store deler av regelverket retter seg mot informasjonssikkerhetsområdet, med krav til å beskytte informasjon og informasjonssystemer mot tilsiktede hendelser som kan føre til konsekvenser for grunnleggende nasjonale funksjoner og nasjonale sikkerhetsinteresser. I tillegg kan objekter og infrastruktur også være av betydning for informasjonsbehandling og informasjonssikkerhet.

Behovet for helhetlig styring og kontroll

Systematiske aktiviteter for styring og kontroll er toppleders redskap, og det som gjør ledelsen i stand til å ivareta sitt ansvar: å lede virksomheten, inkludert arbeidet med informasjonssikkerhet.

Sikkerhetsloven legger opp til at arbeidet med å ivareta nasjonale sikkerhetsinteresser i virksomhetene skal inngå i virksomhetsstyringen, i et helhetlig arbeid med styring og kontroll.

Et av målene med dette veiledningsmateriellet har hele tiden vært å legge til rette for helhetlig styring og kontroll i virksomhetene. Det har blant annet inkludert å legge til rette for å etterleve kravene om «sikkerhetsadministrasjon» etter den gamle sikkerhetsloven. I ny versjon av veilederen er alle henvisninger til sikkerhetsloven oppdatert, og skal være i tråd med det nye regelverket.

Bestemmelsene relatert til styring og kontroll i det nye regelverket er hovedsakelig å finne i lovens kapittel 4 og virksomhetsikkerhetsforskriftens kapittel 2 og 3.  De er basert på prinsippene i de internasjonale standardene ISO 31000 (risikostyring) og ISO/IEC 27001 (styringssystem for informasjonssikkerhet).  Alt ligger derfor til rette for at virksomhetene kan etterleve sikkerhetsloven som del av et helhetlig arbeid med styring og kontroll.

Behovet for oversikt

Veiledningen har som utgangspunkt at arbeidet med informasjonssikkerhet handler om å sikre informasjonsbehandlingen. Det betyr å sikre konfidensialitet, integritet og tilgjengelighet for informasjon i alle former, og sikre informasjonssystemene som benyttes for å behandle informasjon – inkludert sikkerhet i IKT-systemer, IKT-tjenester og IKT-komponenter.

En forutsetning for å lykkes med dette er at er at virksomheten har tilstrekkelig oversikt over sin informasjonsbehandling, og hvilken betydning den har.

  • hvilke informasjonstyper behandles i forskjellige arbeidsoppgaver (prosesser eller tjenester)?
  • hvilke IKT-systemer benyttes?
  • hvor store kan konsekvensene bli ved sikkerhetsbrudd i tilknytning til de forskjellige arbeidsoppgavene?
     

Lederne i en virksomhet bør holde slik oversikt for å være i stand til å prioritere ressursbruk, arbeide kostnadseffektivt med sikkerhet og oppnå tilstrekkelig sikkerhet for informasjon og informasjonssystemer.

Aktiviteten «Få oversikt og prioritere» inkluderer slik kartlegging. Informasjon og informasjonssystemer som potensielt er skjermingsverdige etter sikkerhetsloven kan identifiseres i den samme kartleggingsaktiviteten. Veiledning fra Nasjonal sikkerhetsmyndighet må benyttes i det videre arbeidet med å vurdere om, og i hvor stor grad, det kan skade nasjonale sikkerhetsinteresser at informasjonen blir kjent for uvedkommende, går tapt, blir endret eller blir utilgjengelig.

Oppdatert veiledningsmateriell

Veiledningsmateriellet «Internkontroll i praksis – informasjonssikkerhet» har utvidet omtale av sikkerhetsloven under «Regelverkskrav», og det er foretatt en lang rekke andre oppdateringer og tilpasninger. F.eks. er omtale av varsling ifbm. hendelseshåndtering oppdatert med henvisning til varslingspliktene i sikkerhetsloven. Hensikten er å legge til rette for at virksomhetene kan ha helhetlige og gode rutiner for å ivareta alle krav til varsling.

Du kan lese mer om endringene i endringsloggen.

Veiledning fra Nasjonal sikkerhetsmyndighet

Sikkerhetsloven er ny, og Nasjonal sikkerhetsmyndighet vil komme med omfattende veiledning til det nye regelverket utover i 2019.

Difis veiledning er på ingen måte tilstrekkelig for å etterleve pliktene som følger av sikkerhetsloven, men kan gi dere et godt grunnlag i form av systematiske aktiviteter for styring og kontroll.

Dere må sette dere inn i sikkerhetsloven med forskrifter og veiledning fra Nasjonal sikkerhetsmyndighet. Nasjonal sikkerhetsmyndighet er ansvarlig for å gi informasjon, råd og veiledning om sikkerhetsarbeid etter loven og krav til tiltak.

Lykke til med sikkerhetsarbeidet

Vi håper at den oppdaterte veiledningen vil være til nytte. Både for dere som allerede baserer arbeidet på denne veiledningen, og for dere som nå vil benytte anledningen til å bygge opp et mer helhetlig og systematisk arbeid med styring og kontroll.

Kontakt