Veileder til internkontroll for Informasjonssikkerhet

Del denne sidenDel på e-post

Drift og rapportering av internkontroll

Internkontroll må følges opp løpende. Dette kapitlet viser hvordan virksomheten etablerer rutiner for oppfølging av sikkerhetstiltak og jevnlig rapportering til ledelsen.

Nivå 1 – Etabler grunnrutiner

1. Etabler rutine for oppfølging av tiltak

Beskriv hvordan handlingsplanen fra risikovurderingen skal følges opp:

  • Hvem sjekker status på tiltak?
  • Hvor ofte?
  • Hvordan dokumenteres fremdrift?

Bruk handlingsplanen fra kapitlet «Risikovurdering og prioritering av tiltak»

2. Etabler prosedyre for personellsikkerhet

Beskriv hvordan personellsikkerhet håndteres:

Ved ansettelse

  • Innhent signert taushetserklæring
  • Gjennomfør opplæring i sikkerhetsinstruks
  • Tildel nødvendige tilganger

Ved oppsigelse

  • Fjern tilganger samme dag som siste arbeidsdag
  • Oppdater tilgangsoversikten

3. Etabler rutine for rapportering til ledelsen

  • Beskriv når og hvordan ledelsen skal informeres:
  • Hva rapporteres? (hendelser, fremdrift på tiltak, beslutninger som trengs)
  • Hvor ofte? (kvartalsvis anbefales)
  • I hvilket forum? (bruk eksisterende ledermøter)

Minst én gang i året skal ledelsen gjennomgå internkontrollsystemet. Se kapittel "Oppdater og forbedre systemet".

4. Dokumenter rutinene

Lagre rutinebeskrivelsene i internkontrollsystemet.

 

Sjekkliste: Grunnrutiner for drift

☐ Rutine for oppfølging av tiltak beskrevet

☐ Prosedyre for personellsikkerhet beskrevet (ansettelse/oppsigelse)

☐ Rutine for rapportering til ledelsen beskrevet

☐ Rutiner lagret i internkontrollsystemet

 

Nivå 2 – Fra enkelt til systematisk

Når grunnrutinene er på plass, kan virksomheten bygge ut med fast møtestruktur, nøkkelindikatorer og mer strukturert rapportering.

Utvid rutinen for oppfølgingsmøter

Beskriv en fast møtestruktur

Tilpass møtefrekvensen til virksomhetens behov. Hvis virksomheten har etablerte møter for HMS, drift eller ledelse, vurder å legge informasjonssikkerhet som fast punkt i disse i stedet for å opprette helt nye møter. Dette gjør informasjonssikkerhet til en naturlig del av driften.

Møte Frekvens Innhold
Driftsmøte Månedlig Status på tiltak, hendelser siste periode
Statusmøte Kvartalsvis Fremdrift, beslutninger, ressursbehov
Ledelsens gjennomgang Årlig Strategisk evaluering, planlegging neste år

Se mer om ledelsens gjennomgang i «Oppdater og forbedre systemet».

Dokumenter beslutninger i møtereferat.

 

Utvid rutinen for rapportering

Beskriv hva som skal inngå i kvartalsvis rapport til ledelsen:

Område Innhold
Hendelser Antall, type, alvorlighet, sammenlignet med forrige periode
Tiltak Fremdrift mot handlingsplan, forsinkelser
Avvik Antall åpne, antall lukket, tid til lukking
Revisjoner Gjennomførte, planlagte, hovedfunn
Beslutninger Hva trenger ledelsen å ta stilling til?

 

For månedlig eller kvartalsvis rapportering bør ledelsen informeres om status og operativ oppfølging.

Hva bør rapporteres? Eksempel
Cybersikkerhetstilstand "Vi har gjennomført alle kritiske oppdateringer denne måneden. Brannmuren fungerer som den skal. Ingen alvorlige hendelser."
Hendelser som krever oppmerksomhet "Vi fikk 3 phishing-forsøk via e-post forrige uke. Ingen ansatte klikket på lenkene. Vi har sendt ut påminnelse om å være ekstra årvåken."
Fremdrift på handlingsplan "Backup-testen er gjennomført og fungerte bra. Sikkerhetsopplæring for nye ansatte er planlagt til neste måned.»
Beslutninger som trengs "Vi trenger godkjenning til å kjøpe lisens for antivirus-program. Vi må også bestemme hvem som skal ha administratortilgang til det nye systemet."

 

Definer nøkkelindikatorer

Velg 3-5 indikatorer som følges over tid:

  • Antall sikkerhetshendelser per kvartal
  • Andel tiltak gjennomført innen frist
  • Gjennomsnittlig tid til lukking av avvik
  • Andel ansatte med gjennomført opplæring

Visualiser med trafikklys (grønn/gul/rød) for rask oversikt.

Utvid rutinen med stedfortredere

For kritiske roller, definer stedfortreder:

Rolle Stedfortreder
IKT-sikkerhetskoordinator [Navn]
Beredskapsleder [Navn]