Bergen kommunes strategi for informasjonssikkerhet

Transkript

1 Bergen kommunes strategi for informasjonssikkerhet Bergen kommune skal innarbeide informasjonssikkerhet som en integrert del av organisasjonskulturen gjennom planmessig og systematisk arbeid. Side 1 av 12

2 Innholdsfortegnelse Innledning 3 Visjon og overordnet perspektiv 3 Bakgrunn 4 Informasjonssikkerhet langt mer en teknologi 4 Sammensatt og kompleks informasjonsplattform 5 Den "menneskelige brannmur 5 Tidligere arbeid 6 Samarbeid og samspill 6 Sentrale strategier og føringer i Bergen kommune 6 Overordnete veiledninger og føringer 6 Nasjonalt regelverk 7 Personopplysningsforskriften og kravene 7 Fokusområder, målsetninger og strategiske tiltak 8 Fokusområder 8 Fokusområde 1 - organisering, systematikk og styring 8 Strategisk nivå (Jf. figur 1, over) 9 Taktisk nivå (Jf. figur 1) 10 Operasjonelt nivå (Jf. figur 1) 10 Overordete tiltak 11 Fokusområde 2 - informasjon, bevisstgjøring og sikkerhetskultur 12 Overordnete tiltak 12 Side 2 av 12

3 Innledning Informasjon er et aktivum som, i likhet med andre viktige virksomhetsaktiva, har verdi for en organisasjon og derfor må vernes på forsvarlig måte. Informasjonssikkerhet beskytter informasjon mot utautorisert innsyn, uautorisert endring og sikrer nødvendig tilgjengelighet. Bergen kommune forvalter viktig informasjon om kommunens ansatte, innbyggere, organisasjoner og virksomheter. Fokus på informasjonssikkerhet er viktig i kommunens daglige drift, både som et ledd i gjennomføring av de daglige oppgaver og for å kunne gi innbyggerne den nødvendige tillit til at informasjonen deres blir ivaretatt på en god måte. Informasjons- og kommunikasjonsteknologi (IKT) brukes i stadig større grad som verktøy i kommunens ulike behandlingsformål. Det forventes en fortsatt økning i bruk av IKT i årene fremover. Økt bruk av IKT øker også kompleksitet i kommunens informasjonsplattform, dvs. kommunens totale portefølje av informasjonsbehandlinger, noe som igjen kan føre til økt risiko for brudd på informasjonssikkerheten. Verdien av informasjonen er ofte høy og konsekvensene tilsvarende store dersom informasjonen skulle gå tapt, bli skadet eller på annen måte ikke bli ivaretatt på en tilstrekkelig trygg måte. Denne strategien vil være gjeldene for perioden frem til og med Strategien skal revideres årlig for å sikre at den er oppdatert, med hensyn til styrende dokumenter og føringer. På grunnlag av en rekke uønskete hendelser i løpet av 2010 har nødvendigheten av å styrke informasjonssikkerheten i Bergen kommune blitt tydelig. Derfor øker nå ledelsen fokus på informasjonssikkerhet. Med denne strategien ønsker ledelsen i Bergen kommune å starte arbeidet med å styrke sikkerhetskulturen gjennom planmessig og systematisk arbeid i hele organisasjonen. Visjon og overordnet perspektiv Målet med strategien er å legge til rette for å realisere Bergen kommunes visjon om en organisasjon med fokus på informasjonssikkerhet i alle ledd, hvor informasjonssikkerhet håndteres planmessig og systematisk og blir en naturlig del av organisasjonskulturen. Bergen kommune skal innarbeide informasjonssikkerhet som en integrert del av organisasjonskulturen gjennom planmessig og systematisk arbeid. (Rune Haugsdal) Side 3 av 12

4 Bakgrunn Overordnet kan man anse informasjonssikkerhet som egenskaper med en hver form for informasjon. En hver bit med informasjon kan klassifiseres på grunnlag av hvilke krav som stilles til beskyttelse av den. Det være seg krav til beskyttelse mot uautorisert innsyn (konfidensialitet) og uautorisert endring (integritet), samt sikre nødvendig tilgjengelighet. Det siste tiåret har det vært en overgang fra manuell, papirbasert forvaltning til elektronisk og automatisert forvaltning og elektroniske tjenester. Dette virker både effektiviserende internt i offentlig forvaltning, og skaper et grunnlag for større grad av kontroll og medvirkning for publikum. Samtidig skaper økt bruk av IKT behov for nye og endrete behandlingsprosesser. Dette fører igjen til økt kompleksitet og dermed større utfordringer for informasjonssikkerheten ved at informasjon behandles og blir spredt i større grad en tidligere. Informasjonssikkerhet langt mer en teknologi IKT krever teknologiske sikringstiltak for å tilby et minimum av sikkerhet. Samtidig er det fortsatt en rekke behandlingsprosesser som i stor grad foregår med manuelle rutiner og de alle fleste behandlingsprosesser har fortsatt et visst tilsnitt av manuelle rutiner knyttet til seg. For eksempel papirbaserte skjema og per brev. Manuelle, papirbaserte prosesser er underlagt de samme lover og regler for informasjonssikkerhet som de elektroniske. Kravene til informasjonssikkerhet handler om hvordan kommunen best mulig skal beholde kontroll og samtidig sikre sine informasjonsbehandlinger på forsvarlig vis, i henhold til regelverket. Det handler med andre ord om å hindre uønskede hendelser i form av uautorisert innsyn, uautorisert endring eller utilgjengelighet. Dette er uavhengig av om informasjonen lagres eller behandles elektronisk eller manuelt. Informasjonssikkerhet handler om sikring av den informasjonen som behandles til en hver tid. Dette gjelder i en hvilken som helst behandlingsprosess og det gjelder enten behandling foregår elektronisk eller manuelt. For å skape trygghet om at informasjonssikkerheten er ivaretatt kreves et bevisst forhold til hvilken informasjon som behandles, til hvilket formål og til risikoen ved hvert behandlingsformål. Side 4 av 12

5 Sammensatt og kompleks informasjonsplattform Økt bruk av elektronisk informasjonsbehandling og stadig flere koblinger mellom de ulike behandlingene fører til en vesentlig økning i kompleksitet i det vi kan kalle informasjonsplattformen til Bergen kommune. Økende kompleksitet krever økt innsats for å beholde kontroll. Det stiller høyere krav til ulike prosess- og systemeiere om hvordan de skal opprettholde kontroll og oversikt over grunnleggende forhold som formålet med en informasjonsbehandling, oversikt over hvilke data som skal og bør behandles og hvilke krav som skal og bør stilles til sikring av denne informasjonen. Den "menneskelige brannmur Informasjonssikkerhet handler altså om å beskytte den informasjonen man ikke har anledning til å la komme på avveier eller på annen måte bli utsatt for noe uønsket. Store mengder informasjon som behandles i kommunens informasjonsplattform er av en karakter som gjør at den må håndteres med forsiktighet. Med forsiktighet menes at man i større grad behandler informasjonen med grunnleggende forståelse for de kravene som stilles til sikring av informasjonen som behandles. Dessverre oppfatter alt for mange at informasjonssikkerhet er en teknologisk løsning som kan skrues av eller på. Faktum er at stadig flere sikkerhetstrusler innebærer en eller annen form for menneskelig involvering. Enten det handler om å trykke på en lenke til en smittebærende nettside, åpne et pdf-dokument som innholder mer enn bare informasjon, koble kommunens bærbare pc til et usikret trådløst nettverk, ta med seg data ut av organisasjonen på en minnepenn, ta med seg infisert minnepenn inn i organisasjonen eller bare oppgi passordet sitt til uvedkommende. Den stadig mer profesjonelle hacker-industrien blir mer og mer vellykket desto dyktigere den blir til å utnytte den menneskelige faktor. De siste årene har fokus blitt rettet mot brukeren og mulighetene for å kombinere teknologiske svakheter med muligheten for å utnytte enkeltmenneskers nysgjerrighet, grådighet eller redsel. Ved å spille på en eller flere av disse tre faktorene utnytter angripere sluttbrukeren for å komme forbi de teknologiske sikkerhetsmekanismene for å tilegne seg taushetsbelagt og beskyttelsesverdig informasjon. Uansett hvor mange og gode fysiske og logiske barrierer en organisasjon måtte ha, vil det alltid være relativt enkelt for en tiltrodd ansatt å forbigå disse uten nødvendigvis å være bevisst et sikkerhetsbrudd. De ansatte er som brannmurer, de må få definerte regelsett for å vite hva som skal slippe inn og ut av organisasjonen. De siste par årene har man sett eksempler på at de ansattes manglende opplæring og forståelse kan skape store problemer i en organisasjon. Store organisasjoner, også innen offentlige sektor, i Norge har opplevd store tap som følge av for lite fokus på og forståelse for informasjonssikkerhet. Ved å forstå bakgrunnen for et hvert sikkerhetsbrudd kan dette fortelle oss noe om hvordan de best kan unngås. Det hjelper ikke bare å ha oppdatert programvare, antivirusløsning og brannmurer når de ansatte ikke har klare grenser og et klart definert ansvar for sikkerheten i sin egen arbeidshverdag. Den "menneskelige brannmur" er det svakeste ledd. Derfor er det viktig å sørge for at alle medarbeidere kjenner sitt eget og andres ansvar for å bidra til økt informasjonssikkerhet. Side 5 av 12

6 Rammebetingelser Tidligere arbeid I gjennomførte Bergen kommune en bevisstgjøringskampanje om informasjonssikkerhet som førte til det første informasjons- og dokumentasjonsløftet på dette området. Den gang ble det satt i gang en prosess for å bygge opp et styrings- og internkontrollsystem for informasjonssikkerhet, nå skal dette arbeidet videreutvikles og ferdigstilles. Prosessen som ble satt i gang danner et grunnlag av erfaringer og forståelse for hvordan man bør gå frem for å nå målet om et godt og systematisert arbeid med informasjonssikkerhet i Bergen kommune. Samarbeid og samspill Bergen kommune er som en av få kommuner etablert som dialog- og samarbeidspartner i flere nasjonale og regionale samarbeidsfora. Det er etablert god dialog med sentrale myndigheter som Datatilsynet, Helsedirektoratet, Norsk senter for informasjonssikring (NorSIS), Direktoratet for forvaltning og IKT (DIFI) og regionalt med Fylkesmannen i Hordaland. Denne typen samarbeid er viktig både for å holde seg godt orientert og for å få mulighet til å påvirke utviklingen av fagområdet. Sentrale strategier og føringer i Bergen kommune Denne strategien er ment å fungere både på grunnlag av og i sammenheng med andre sentrale strategier, styrende dokumenter og føringer i Bergen kommune. Her nevnes noen av disse: IKT-strategien HR-strategien Etisk standard Revisjonsrapport Informasjonssikkerhet og behandling av personopplysninger Overordnete veiledninger og føringer De siste årene har informasjonssikkerhet fått økt fokus fra sentrale myndigheter. I 2003 kom den første nasjonale strategien for informasjonssikkerhet. I 2007 kom regjeringens "Nasjonale retningslinjer for å styrke informasjonssikkerheten ". Disse retningslinjene har tre hovedmålsetninger. 1. Robust og sikker kritisk infrastruktur og støttesystemer for kritiske samfunnsfunksjoner 2. God sikkerhetskultur ved utvikling og bruk av informasjonssystemer og ved elektronisk informasjonsutveksling 3. Høy kompetanse og fokus på forskning om informasjonssikkerhet I tillegg har man en rekke andre føringer å forholde seg til, slik som Datatilsynets retningslinjer om personopplysningsforskriftens sikkerhetsbestemmelser, Datatilsynets veiledning om internkontroll og informasjonssikkerhet, Norm for informasjonssikkerhet i helsesektoren og Sikkerhetsloven med forskrifter for å nevne noen. Norsk sikkerhetsmyndighet (NSM) ga i 2008 ut en veiledning til klassifisering og beskyttelse av informasjon. I 2009 deltok Bergen kommune i arbeidet med en risiko- og sårbarhetsanalyse for Hordaland fylke. I denne FylkesROS-en inngikk også en analyse av informasjonssikkerhetsområdets i lys av kritisk infrastruktur. Her ble det blant annet pekt på manglende sikkerhetskultur og - styring som en kritisk risiko. Side 6 av 12

7 Dette er blant de føringene som har vært med på å forme strategien og fungerer som et utgangspunkt for Bergen kommunes arbeid med informasjonssikkerhet fremover. Nasjonalt regelverk Informasjonssikkerheten i Bergen kommune og offentlig forvaltning generelt er regulert av en rekke lover og regler. Under nevnes noen av de viktigste: Utvalgte lover og forskrifter Lov om behandlingsmåten i forvaltningssaker (forvaltningsloven) Lov om kommuner og fylkeskommuner (kommuneloven) Lov om helseregistre og behandling av helseopplysninger (helseregisterloven) Forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT-forskriften) Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven) Forskrift om informasjonssikkerhet (forskrift til sikkerhetsloven) Lov om behandling av personopplysninger (personopplysningsloven) Forskrift om behandling av personopplysninger (personopplysningsforskriften) Både de overnevnte og en rekke annet regelverk stiller krav til informasjonssikkerhet, men kravene til systematisk arbeid med informasjonssikkerhet er klarest uttrykt i personopplysningsforskriften. Derfor benyttes denne gjerne som felles utgangspunkt for hva man bør ivareta for å oppnå tilstrekkelig grad av informasjonssikkerhet. Personopplysningsforskriften og kravene I forskriftens kapittel 2 listes det opp 16 spesifikke krav til informasjonssikkerhet: 1. Forholdsmessige krav om sikring av personopplysninger 2. Pålegg fra Datatilsynet 3. Sikkerhetsledelse 4. Risikovurdering 5. Sikkerhetsrevisjon 6. Avvik 7. Organisering 8. Personell 9. Taushetsplikt 10. Fysisk sikring 11. Sikring av konfidensialitet 12. Sikring av tilgjengelighet 13. Sikring av integritet 14. Sikkerhetstiltak 15. Sikkerhet hos andre virksomheter 16. Dokumentasjon Kravene til informasjonssikkerhet er her tydelige og konkrete. Dette følges opp i kapittel 3 med krav om internkontroll (compliance) og "systematiske tiltak for behandling av personopplysninger". Kort oppsummert kan man si at det dreier seg om å etablere en systematisk og dokumentert tilnærming for å forsikre organisasjonen om at alle informasjonsbehandlinger overholder kravene som stilles gjennom lover og regler. Norm for informasjonssikkerhet i helsesektoren 2 i kombinasjon med Datatilsynets veiledning om internkontroll og informasjonssikkerhet 3 ivaretar alle kravene i personopplysningsforskriften. Planen er å benytte denne normen som utgangspunkt for å bygge et planmessig og veldokumentert styrings- og internkontrollsystem for informasjonssikkerhet for Bergen kommune Side 7 av 12

8 Fokusområder, målsetninger og strategiske tiltak Personopplysningsforskriften er tydelig i sitt krav om virksomheters plikt til å definere egne sikkerhetsmål og -strategi 4. I Bergen kommune er sikkerhetsmål og -strategi i første rekke uttrykt gjennom denne strategien for informasjonssikkerhet, men også IKT-strategien har elementer av informasjonssikkerhet. I det følgende blir det gjort rede for hvilke strategiske satsingsområder Bergen kommune må fokusere på for å styrke informasjonssikkerheten. Fokusområder Hvert fokusområde er basert på en strategisk målsetning som skal understøtte og sikre at kommunen ivaretar personopplysninger og andre informasjonsverdier på tilfredsstillende måte. Kort oppsummert kan man si at dette styrker fokuset på kommunens oversikt over informasjonsverdier, risikovurderinger for å sikre at tilstrekkelige sikkerhetstiltak og forebygging og begrensing av konsekvenser ved uønskede hendelser. De følgende strategiske målsetningene beskriver overordnete mål for Bergen kommune fordelt på to fokusområder. Organisering, systematikk og styring Fokus på formidling og tydeliggjøring av den enkelte ansattes ansvar og plikter. Informasjon, bevisstgjøring og sikkerhetskultur - Fokus på å øke organisasjonens bevissthet om og forståelse for informasjonssikkerhet, og på å integrere informasjonssikkerhet som en naturlig del av organisasjonskulturen. Innen hvert fokusområde vil det listes opp overordnete tiltak. I kjølvannet av arbeidet med strategien vil disse overordnete tiltakene detaljeres og konkretiseres basert på behov innen det enkelte segment av styringssystemet. Fokusområde 1 - organisering, systematikk og styring Bergen kommune skal iverksette systematiske tiltak for å tydeliggjøre, følge opp og dokumentere den enkeltes ansvar for informasjonsresurser og behandlingsprosesser. Bergen kommune er en organisasjon med mer enn ansatte og over 400 lokasjoner. Det medfører store mengder informasjon fordelt mellom mange dokumenter, ansatte, lokasjoner og ulike informasjonskanaler. Skal det være mulig å holde orden på alle prosessene som behandler denne informasjonen er det nødvendig å holde orden på hvilken informasjon som behandles hvor, av hvem og med hvilken hensikt. Dette er grunnleggende elementer for kvalitetssikring og risikostyring. 4 Personopplysninsforskriften 2-3 Side 8 av 12

9 Figur 1 - organisasjonskart for arbeidet med informasjonssikkerhet Strategisk nivå (Jf. figur 1, over) Som vist i "figur 1 - organisasjonskart for arbeidet med informasjonssikkerhet" er organiseringen del i tre nivåer; strategisk, taktisk og operasjonelt. På strategisk nivå blir det holdt oversikt over kommunens overordnete status på informasjonssikkerhetsområdet. Dette skjer på grunnlag av rapportering fra taktisk nivå. På strategisk nivå planlegges, utarbeides og besluttes overordnete føringer og styrende dokumenter i samråd med taktisk nivå. Behandlingsansvarlige Med hjemmel i personopplysningsloven er det virksomhetens øverste leder som er ansvarlig for all informasjonsbehandling som foregår i virksomheten. I Bergen kommune er byrådsleder øverste behandlingsansvarlig. Behandlingsansvaret er delegert til kommunaldirektør for hver byrådsavdeling, i tillegg til revisjonssjef i Kommunerevisjonen og direktør for bystyrets kontor. Side 9 av 12

10 Informasjonssikkerhetsrådet (IS-rådet / kommunaldirektørforum) Er kommunens øverste styrende organ for informasjonssikkerhet og består av strategisk styringsgruppe, andre behandlingsansvarlige og informasjonssikkerhetsansvarlig. Informasjonssikkerhetsansvarlig (ISA / IKT-sikkerhetsansvarlig) I Bergen kommune er det IKT-sikkerhetsansvarlig som har det overordnete ansvaret for informasjonssikkerheten for konsernet Bergen kommune. Ansvaret innebærer å organisere, koordinere og styre sikkerhetsarbeidet på vegne av de daglig behandlingsansvarlige. Dette innbærer blant annet å etablere og vedlikeholde et overordnet styringssystem for informasjonssikkerhet, iverksette egenkontroll, gjennomføre forbedringsprosesser samt følge opp at sikkerheten vedlikeholdes i alle ledd. ISA har videre myndighet og ansvar til blant annet å kunne gjennomføre opplæring i informasjonssikkerhet, overordnete risikovurderinger, bestille sikkerhetstester, avvikshåndtering, iverksette korrigerende og andre sikkerhetsrelaterte tiltak. ISA rapporterer til daglig behandlingsansvarlige både innenfor den enkelte byrådsavdeling og gjennom IS-rådet i sikkerhetssaker. Taktisk nivå (Jf. figur 1) På dette nivået i styringssystemet skal strategiske føringer omsettes i praksis og gjennomføres i samarbeid med operasjonelt nivå. Gjennom IS-forum utarbeider planer og forbereder rapporter til strategisk nivå i samarbeid med ISA. Informasjonssikkerhetsforum (IS-forum) ISAs operative organ er IS-forum, som består av representanter for hvert av de lokale styringssystemene, som er henholdsvis IKT-koordinator for den enkelte byrådsavdeling, operativ sikkerhetsansvarlig for den interne driftsavdelingen og evt. andre med tilsvarende ansvar. I tillegg bør IS-forum også inkludere én representant fra verneombudsorganisasjonen, én fra tillitsmannsapparatet og én fra etat for samfunnssikkerhet og beredskap, når dette er naturlig. IKT-koordinatorer Bergen kommunes IKT-koordinatorer har et overordnet ansvar for koordinering av IKT innen en eller flere byrådsavdelinger. Disse koordinatorene har også et overordnet ansvar for oppfølging av styringssystem for informasjonssikkerhet innen sine respektive områder. Ansvaret består i å koordinere rapportering fra og oppfølging av den enkelte systemeier og resultatenhetsleder i informasjonssikkerhetssaker i henhold til instruks. Operasjonelt nivå (Jf. figur 1) Alt operasjonelt arbeid skal ivareta informasjonssikkerheten innen sitt ansvarsområde i henhold til instruks og vil få informasjon og bli revidert av IKT-koordinatorene på taktisk nivå. System- og tjenesteeiere Alle informasjonssystemer og -tjenester i Bergen kommune skal være administrert av en system- eller tjenesteeier som har ansvaret for at Bergen kommunes instruks for systemog tjenesteeiere blir fulgt opp. Resultatenhetsledere Resultatenhetsledere har ansvar for å følge "instruks for resultatenhetsledere" i sin ivaretakelse av informasjonssikkerhet knyttet til medarbeidere og informasjonsressurser. Alle ansatte Hver enkelt ansatt, innleid eller annen type bruker av Bergen kommunes Side 10 av 12

11 informasjonssystemer er selv ansvarlig for å sette seg inn i og opptre i overensstemmelse med kommunens instruks for sluttbrukere. Leverandører Alle leverandører som behandler data på vegne av kommunen skal undertegne en databehandleravtale. Eventuell tilknytning til kommunens infrastruktur skal skje i henhold til en kontrakt og instruks for eksterne brukere. Det systematiske arbeidet vil baseres på ulike ansvarsinstruksene og beskrivelsene av styringssystemet basert på Norm for informasjonssikkerhet i helsesektoren. Dokumentasjonen beskriver grunnleggende krav, rutiner og nødvendig arbeidsflyt for å ivareta tilstrekkelig sikkerhetsnivå. Overordnet dokumentasjon av styringssystemet, ansvarsinstrukser og viktige prosedyrer vil legges til som vedlegg til denne strategien etter hvert som de blir utarbeidet. Overordete tiltak For å nå denne målsetningen er det en forutsetning at det skal iverksettes en rekke strategiske tiltak for å styrke organisering og systematisering av arbeidet med informasjonssikkerhet. Overordnete tiltak for organisering, systematikk og styring 1. Konkret tiltaksplan innen styringssystemets enkelte segmenter utarbeides og revideres årlig. 2. Revidere eksisterende instrukser og retningslinjer, og etablere nye ved behov. 3. Etablere styringssystem for informasjonssikkerhet med utgangspunkt i "Norm for informasjonssikkerhet i helsesektoren". 4. Kartlegge og klassifisere alle vesentlige informasjonsbehandlinger med hensyn til sikkerhetskrav. 5. Gjennomføre overordnete risikovurderinger innen hver byrådsavdeling og andre naturlig avgrensete organisatoriske enheter. 6. Foreta jevnlige sikkerhetsrevisjoner. 7. Etablere elektronisk støttesystem for å ivareta styrings- og internkontrollsystem for informasjonssikkerhet og andre områder med tilsvarende behov, som HMS-arbeidet. 8. Styrke bemanningen innen informasjonssikkerhet. Side 11 av 12

12 Fokusområde 2 - informasjon, bevisstgjøring og sikkerhetskultur Bergen kommune skal iverksette tiltak for å tilby integrert opplæring og informasjon om informasjonssikkerhet som i størst mulig grad er tilpasset, tilgjengelig og teknologinøytral, samt tilstrebe at informasjonssikkerhet blir en naturlig del av kommunens organisasjonskultur. Informasjonssikkerhet skal være integrert med kommunens instrukser, retningslinjer, opplæring og organisasjonskultur. Den enkeltes plikter og oppgaver i tilknytning til arbeidet med informasjonssikkerhet skal være naturlig integrert i ulike områder av organisasjonens arbeid, som i anskaffelser, i driftssituasjoner, i systemutvikling så vel som i den daglige behandlingen av informasjon for den enkelte ansatte. Overordnete tiltak Skal kommunen oppnå økt fokus på informasjonssikkerhet som en integrert del av organisasjonskulturen, må det iverksettes en rekke grunnleggende tiltak for å innarbeide informasjonssikkerhet som en naturlig del av forventningene til det daglige arbeidet. Overordnete tiltak for informasjon, bevisstgjøring og sikkerhetskultur 1. Integrere grunnleggende instrukser for sluttbrukere i personal- og arbeidsreglementet. 2. Standardisere krav til kartlegging, klassifisering, risikovurdering og avvikshåndtering. 3. Erstatte dagens løsning med automatisk fornying av IT-sikkerhetserklæringen en gang i året, med en grunnleggende e-læring for informasjonssikkerhet knyttet til personal og arbeidsreglementet. 4. Etablere styringskort for informasjonssikkerhet blant ledere. 5. Integrere kursmoduler for informasjonssikkerhet i eksisterende HR-kurs. 6. Utarbeide og tilgjengeliggjøre en oversiktlig og informativ struktur for instrukser, retningslinjer og andre styrende dokumenter. 7. Jevnlig informere organisasjonen om utviklingen i trusselbildet. Side 12 av 12