Hvordan lykkes med informasjonssikkerhet i offentlige virksomheter?

For å kunne tilby god tjenesteyting og effektiv kundebehandling, digitaliserer stadig flere offentlige virksomheter sine systemer og prosesser. Digitaliseringen medfører at prosesser, informasjon og personopplysninger eksponeres for nye digitale trusler. Det er derfor et stort behov for å jobbe strukturert og effektivt med informasjonssikkerhet i offentlig sektor, men dette forutsetter at virksomhetene har den nødvendige kompetansen.

Det er fremdeles for få eksperter innen IT- og informasjonssikkerhet, og offentlige virksomheter konkurrerer med private aktører om de skarpeste hodene. I mange tilfeller kan det derfor være aktuelt å bygge opp sikkerhetskompetanse internt, ved å sikre kunnskapsoverføring fra innleide konsulenter, legge til rette for kompetanseheving for nøkkelpersoner i virksomheten, samt øke den generelle bevisstheten for informasjonssikkerhet i organisasjonen. 

Styring og kontroll av informasjonssikkerhet i offentlige virksomheter

eForvaltningsforskriftens § 15 pålegger ethvert organ for stat og kommune å ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet basert på anerkjente standarder for styringssystem for informasjonssikkerhet.

Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. -  eForvaltningsforskriftens § 15 [1]

ISO/IEC 27001 har over lang tid etablert seg som den mest anerkjente internasjonale standarden på området og anbefales brukt av Direktoratet for forvaltning og ikt (Difi). Men det finnes også andre standarder og rammeverk som kan være aktuelle når man jobber med internkontroll på informasjonssikkerhetsområdet. For å lykkes med internkontroll og sikre at prosessen med å implementere et informasjonssikkerhetsstyringssystem skjer i tråd med lov, forskrift og standarder, er det viktig at ledelsen har forståelse for at styring og kontroll krever ressurser, tid og kompetanse.

Bevisstgjøring og kursing av sentrale ansatte

For å bedre informasjonssikkerheten, setter ISO/IEC 27001-standarden krav til at nødvendig kompetanse defineres internt, og at det tilrettelegges for at nøkkelpersoner i organisasjonen får tilegne seg denne kompetansen gjennom utdanning, kursing og erfaring. Difi har publisert en nyttig veiledning som kan hjelpe til på veien med å sikre implementering av internkontroll. For å lykkes med informasjonssikkerhetsarbeidet er det viktig å skape en forståelse hos ledelsen, sentrale ansvarlige (eks. mellomledere) og de ansatte, gjennom opplæring, bevisstgjøring og bedriftsintern kursing innen internkontroll, holdningsskapende aktiviteter og lignende.

Ønsker du å vite lære mer om hvordan du kan kartlegge og adressere kompetansegapet i din virksomhet og jobbe etter beste praksis-standarder? Ta kontakt med oss i Watchcom Security Group.