Styringssystem for informasjonssikkerhet Erfaringer med og anbefalinger om standardene ISO og ISO Rapport 2012:15 ISSN

Transkript

1 Styringssystem for informasjonssikkerhet Erfaringer med og anbefalinger om standardene ISO og ISO Rapport 2012:15 ISSN

2 Forord Digitalisering er et viktig virkemiddel for å få en effektiv og brukerrettet forvaltning. For at befolkningen, næringslivet og politikerne skal ha nødvendig tillit til en digital forvaltning, må forvaltningen ha kontroll på risikoene. Å sikre styring og kontroll med informasjonssikkerheten er et topplederansvar. Det handler om styring og intern kontroll. Å skape gode styringssystem krever involvering og ledelsesengasjement. Det forutsetter kunnskap, forståelse, god ledelse og gode rådgivere. Dette kan være en utfordring på et område som mange tradisjonelt distanserer seg fra. Det kreves i dag at statlige virksomheter skal ha en internkontroll på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Difi har nylig gjort ISO til anbefalt forvaltningsstandard på området. Kravene er ikke nye, de er bare blitt klarere. Samtidig ser vi at mange virksomheter sliter med å forstå hva dette handler om og komme ordentlig i gang. Denne rapporten prøver å klargjøre både utfordringene, kjernen i ISOstandardene og en rekke styringsbegrep som gjerne blir brukt litt uklart og om hverandre. Rapporten gjengir og vurderer en rekke erfaringer fra forvaltningen - både fra revisjons- og tilsynsmyndigheter og fra virksomheter som har etablert slike styringssystem og brukt de aktuelle standardene. Vi har også samlet et knippe «Råd fra virksomhetene». Vi håper dette vil være interessant og nyttig for mange. Rapporten inneholder også en vurdering av om det bør gis et pålegg om bruk av ISO og ISO standardene i statlige virksomheter. Rapportens tre hovedkapitler kan i stor grad leses uavhengig av hverandre, avhengig av leserens forhåndskompetanse og hovedinteresse. Samtidig gir det første hovedkapitlet kunnskapsgrunnlag for de to andre. Se rapportens leserveiledning for mer om dette. Vi takker alle informantene som velvillig har bidratt med sin tid og sin kunnskap i intervjuer. Difi står ansvarlig for innholdet i rapporten. Arbeidet er utført av Jan Sørgård fra Difi og Lars Helland fra Norconsult. Underdirektør Ellen Strålberg har vært prosjektansvarlig og Jan Sørgård prosjektleder. Vivi Lassen, Ingunn Botheim, Peter Bøgh. Jon Berge Holden, Kristian Bergem og Gunn Hauan har bistått med kvalitetssikring eller gode råd underveis. Oslo, 21. desember 2012 Hans Christian Holte direktør

3 Innhold 1 Sammendrag Innledning Bakgrunn Mål med prosjektet Avgrensninger Metode Målgruppe og leserveiledning Hva handler dette egentlig om? Hva er informasjonssikkerhet? Identifiserte svakheter og mangler ved styring og kontroll av informasjonssikkerheten Hva er et styringssystem for informasjonssikkerhet? Hva er et samlet styringssystem? Hva er sammenhengen til begrepene intern kontroll og internkontroll? Hvilke regler og føringer gjelder allerede? ISO og Bakgrunn ISO ISO Kobling til andre styringssystemstandarder Erfaringer med og råd om innføring av styringssystem for informasjonssikkerhet Ledelsesforankring og kompetanse Funn og observasjoner Difis vurderinger Råd fra virksomhetene Etablering og innføring Funn og observasjoner Difis vurdering Råd fra virksomhetene Risikovurderinger og sikringstiltak Funn og observasjoner Difis vurderinger Råd fra virksomhetene Dokumentasjon Funn og observasjoner Difis vurderinger Råd fra virksomhetene Avvikshåndtering og etterlevelse Funn og observasjoner Difis vurderinger Råd fra virksomhetene... 55

4 4.6 Resultater, effekter og kostnader Funn og observasjoner Difis vurderinger Råd fra virksomhetene Noen hovedmomenter fra undersøkelsen Pålegg om bruk av ISO-standardene eller andre tiltak? Eksisterende pålegg i Danmark og Sverige Synspunkter om pålegg fra vår undersøkelse Difis vurdering Forslag om andre tiltak Oppsummert anbefaling Litteratur og referanser Vedlegg: Intervjuguider Intervjuguide for virksomheter som baserer seg på ISO Generell intervjuguide Intervjuguide for tilsyns-, kontroll- og revisjonsmyndigheter Intervjuguide for direktoratsnivå utland... 93

5 1 Sammendrag Både Riksrevisjonen, Nasjonal sikkerhetsmyndighet (NSM) og Datatilsynet har i revisjoner, årsmeldinger og uttalelser de senere årene sagt at tilstanden innen informasjonssikkerhet ikke er god nok i forvaltningen. Det er for mange virksomheter som mangler tilstrekkelig styring og kontroll med informasjonssikkerheten. Tiltak som har vært trukket frem i flere sammenhenger er økt bruk av styringssystem for informasjonssikkerhet og bruk standarden ISO Hva handler dette egentlig om? Informasjonssikkerhet handler om å sikre konfidensialitet, integritet og tilgjengelighet på informasjon som trenger slik sikring. Det er virksomhetens mål, behovene i virksomhetens arbeidsprosesser og bestemmelser i lover og regler som avgjør hvilken informasjon dette gjelder og om det er konfidensialitet, integritet og/eller tilgjengelighet som må sikres. Det kan samtidig ofte være interesse- og målkonflikter, spesielt mellom sikring av konfidensialitet og tilgjengelighet, som må balanseres. Grunnlaget for det som oftest regnes som god styring med informasjonssikkerhet ligger i den sekvensielle prosessen: styringssignal fra ledelsen, informasjonsidentifisering, risikovurderinger og valg av sikringstiltak (styrings og kontrolltiltak innen sikkerhet). Informasjonen skal identifiseres ut fra det ledelsen har bestemt virksomheten skal ha fokus på i arbeidet med informasjonssikkerhet. Risikovurderingene skal utføres med utgangspunkt i den identifiserte informasjonen og hvordan denne behandles og lagres. Valg av sikringstiltak skal skje ut fra identifiserte risikoer og ledelsens styringssignal om akseptabelt risikonivå, bruk av ressurser på styrings- og kontrolltiltak, mv. For å få tilstrekkelig kontroll må virksomheten i tillegg oftest gjennomføre systematiske tiltak for å undersøke om sikringstiltakene blir etterlevd, om de fungerer som forutsatt og om de over tid er dekkende for endringer i risikobildet. Videre om omfang og kvalitet på det arbeidet virksomheten gjør for å ha styring og kontroll er godt nok, kostnadseffektivt og tilpasset samlet risiko og virksomhetens egenart. Ut fra resultatet av disse undersøkelsene må justeringer gjøres slik ledelsen har bestemt. Det virksomheten på denne måten samlet gjør for å ha styring og kontroll med informasjonssikkerheten kan kalles virksomhetens styringssystem for informasjonssikkerhet. Dette forutsetter normalt sammenheng mellom og systematikk i både styring, kontroll og oppfølging. Dette samsvarer i hovedsak med innholdet i den internasjonale standarden ISO der styringssystem for informasjonssikkerhet defineres som den delen av det samlede styringssystemet i en virksomhet som etablerer, implementerer, drifter, overvåker, evaluerer, vedlikeholder og forbedrer informasjonssikkerhet. Som del av det samlede styringssystemet kan det også kalles en del av virksomhetens kvalitetssystem, internkontroll eller det virksomheten gjør for å ha intern kontroll. Begrepene er flere, i stor grad overlappende, men til dels 1

6 uklare og brukt forskjellig. Dette kan gjøre forståelse og en god implementering av både hele og deler av styringssystem krevende. Standarden ISO er utarbeidet på grunnlag av god praksis. Som alle slike standarder er den et kompromiss i en internasjonalt sammensatt gruppe. ISO standarden inneholder et sett av krav til et styringssystem for informasjonssikkerhet. Kravene gjelder hvilke prosedyrer, tiltak mv. som må være med i styringssystemet, samt krav til dokumentinnhold, ledelsesengasjement, plikt til tilstrekkelig resursavsetting mv. Kontinuerlig forbedring er et sentralt element i standarden. Siden ISO er en kravsstandard, er det mulig å sertifisere seg etter den. En sertifisering vil dokumentere at en virksomhet etterlever kravene. Standarden ISO blir ofte nevnt i tilknytning til ISO ISO inneholder ikke krav, men er kun en veiledning tilknyttet implementering av aktuelle sikringstiltak. Relevansen til de enkelte sikringstiltakene skal avgjøres av en forutgående risikovurdering utført som en del av styringssystemet. Det finnes også flere andre standarder i ISO familien som gir veiledninger om andre sider ved styringssystemet. ISO (informasjonssikkerhet) er en del av en serie med styringssystemstandarder som også omfatter ISO 9001 (kvalitet) og ISO (miljø). Det skjer nå en harmonisering mellom disse for å tydeligere vise at standardene stiller krav til det samlede styringssystemet fra ulike perspektiv. Det finnes en rekke lover, forskrifter, rundskriv og veiledninger i Norge som på ulike områder og måter gir regler, føringer eller anbefalinger som angår styring og kontroll med informasjonssikkerhet. Noen gjelder både offentlige og private virksomheter og dekker delområder som personvern og nasjonale sikkerhetsinteresser. Andre, som eforvaltningsforskriftens 13, gjelder kun offentlig sektor, men alle områder i digital forvaltning, Den paragrafen kan det samtidig være litt vanskelig å forstå den fullstendige praktiske konsekvensen av. Høsten 2012 gjorde Difi ISO til anbefalt forvaltningsstandard for styringssystem for informasjonssikkerhet. Dette gjennom en oppdatering av referansekatalogen til versjon 3.1. Rett etter kom Digitaliseringsrundskrivet fra Fornyings-, administrasjons- og kirkedepartementet (FAD). Der presiserte FAD at statlige virksomheter skal ha en internkontroll på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder. Det ble vist til Difis anbefalig. Formuleringene gir samtidig handlingsrom for bruken av standarden ut fra virksomhetens egenart samt risiko og vesentlighet. FAD presiserte videre i rundskrivet at denne internkontrollen med fordel kan være en integrert del av virksomhetens helhetlige styringssystem for kontinuerlig forbedring av alle områder. Digitaliseringsrundskrivets omtale av informasjonssikkerhet kan også sees på som en presisering av eforvaltningsforskriftens 13 rettet mot statlige virksomheter. 2

7 Erfaringer med og gode råd om innføring av styringssystem for informasjonssikerhet Difi har gjennomført en undersøkelse om erfaringer med innføring og bruk av styringssystem for informasjonssikkerhet, med spesiell vekt på erfaringer med ISO Vi har intervjuet tre revisjons- og tilsynsmyndigheter, åtte virksomheter, samt de myndighetsansvarlige for informasjonssikkerhet i Danmark og Sverige. Vi ser at ledelsesforankring er en forutsetning for å lykkes og at styringskompetanse er en utfordring. Det er forankring og kompetanse som avgjør om virksomheten faktisk kan få god styring og kontroll med informasjonssikkerheten eller ikke. Videre ser vi at det er det lederen blir målt på, som blir prioritert. Et pålegg har i seg selv liten effekt, men etatsstyrerne har en nøkkelrolle. Vi ser også at for å få et korrekt bilde av status, må en rette blikket mot innhold og virkemåte i styringssystemet. Hva en spør om, blir derfor avgjørende, både for hva en får vite og hvordan en påvirker retningen videre. I implementeringen ser vi at kompetanseheving, støtte og oppfølging gir effekt. Konsulenter brukes best som prosessfasilitatorer og faglig støtte. Det er også flere veier til målet. Virksomhetene vi har undersøkt har ulike hovedtilnærminger. De som synes å lykkes best med ledelsesengasjement og involvering i organisasjonen, er de som baserer seg på et prosessbasert kvalitetssystem i virksomheten. Kravene til et styringssystem for informasjonssikkerhet blir da implementert i dette. Vi merker oss at god risikostyring er en krevende utfordring. Skal en få kontroll må sikringstiltak henge sammen med risikovurderinger. Det er nok her den største utfordringen ligger for mange. Samtidig er det en rekke veiledninger fra ulike aktører som alle forklarer mye av det samme på sine egne måter. Vi registrerer at samordning av nasjonale veiledninger er viktig. En bør i etableringen av styringssystemet legge vekt på at dokumentasjonen skal være en aktiv støtte når systemet brukes. Videre må avviksrapportering forståes som innspill til forbedring. Blir det oppfattet og håndtert som feil blir avvikene feid under teppet. Etterlevelse og kultur bør få økt oppmerksomhet. Det er etterlevelse og kultur som avgjør den egentlige kvaliteten. Og det er ingen tvil om at ledelsens handlinger har eksempelets makt. Undersøkelsen vår har vist at innføring av styringssystem har gitt virksomhetene bedre oversikt og kontroll. Kostnadene er forskjellige både ut fra virksomhetenes egenart, utgangspunkt og tilnærming, men alle opplever at nytten har forsvart kostnaden. Samtidig ser vi at de etablerte styringssystemene har forbedringspotensialer. Men det er vel nettopp derfor dette styringssystemet eller internkontrollen legger stor vekt på kontinuerlig forbedring. I kapittel 4 i denne rapporten gjennomgås en rekke observasjoner, funn og vurderinger som ligger til grunn for oppsummeringen over. I tillegg har vi innen seks hovedområder videreformidlet «Råd fra virksomhetene». 3

8 Pålegg om bruk av ISO-standardene eller alternative tiltak? Ett av formålene bak denne rapporten har vært å vurdere om det bør gis et pålegg om bruk av ISO og eventuelt ISO i staten. Dette også som første ledd i en eventuell vurdering av om de også bør gjøres til obligatoriske forvaltningsstandarder. De vil da ev. bli obligatoriske også for kommunene. Som pekt på innledningsvis har både Riksrevisjonen, NSM og Datatilsynet vært svært kritisk til offentlige virksomhetenes styring og kontroll med informasjonssikkerheten. Situasjonen er blitt bedre, men utfordringene er fremdeles mange. Det er imidlertid skjedd en rekke samordningstiltak høsten 2012, som etter vår vurdering er viktige for bedre styring og kontroll med informasjonssikkerheten i virksomhetene. Difi har gjort ISO til anbefalt forvaltningsstandard og FAD har i Digitaliseringsrundskrivet presisert at alle statlige virksomheter skal ha en internkontroll på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder 1. Det er med det tatt viktige skritt i riktig retning. Om tiltakene vil få ønsket effekt, er det for tidlig å si noe om. De må først bli tatt inn i virksomhetens beslutningsprosesser, risikovurderinger og videre prioriteringer. Det er først etter noen år en vil kunne se effekten. De samlede erfaringene fra Danmark, Sverige og Norge med konkrete pålegg innen informasjonssikkerhet, signaliserer etter vår vurdering at en bør være velbegrunnet og tydelig i anbefalingene når det gjelder retning, forsiktig med detaljerte pålegg om hvordan noe konkret skal gjøres og stimulere til helhetlige risikovurderinger og tilpasninger i virksomhetene ut fra virksomhetenes egenart og behov. Intervjuundersøkelsen vi har gjennomført med revisjons- og tilsynsmyndigheter og i hovedsak virksomheter som alt har et forhold til ISO 27001, trekker i samme retning. Undersøkelsen gir samlet signaler om at staten bør være forsiktig med å gi et pålegg om bruk av ISO Det kan føre til fokus på bokstavetterlevelse, feil tilnærminger og uheldige prioriteringer i mange virksomheter. Flere påpeker at eventuelle føringer i Norge bør være i retning av å «basere seg på» standarden, snarere enn å følge den slavisk. I stedet for pålegg bør en først gå videre med alternative virkemiddel. Vi har sett at ISO i hovedsak er svært fleksibel og skalerbar med store tilpasningsmuligheter til den enkelte virksomhet. Samtidig kan riktig bruk være kompetansekrevende. Vi har også sett at det finnes krav i ISO som det etter vår vurdering må kunne stilles kritiske spørsmål ved den allmenne nytten av. Et eventuelt pålegg om bruk av standarden kan dermed gi unødvendige kostnader i virksomheter eller uheldige signaler om regelverk generelt skal følges eller om det bare er veiledende. ISO er en veileder. Det er etter vår vurdering ikke hensiktsmessig å gi pålegg om bruk av en veileder. Et eventuelt pålegg om å bruke denne vil også 1 Jf. kapittel 3.6 4

9 kunne skape misforståelser, unødvendige kostnader og styre en del virksomheter i en annen retning enn det en ønsker. Med bakgrunn i erfaringene fra Difi-rapport 2012:14 Ute av kontroll?, er det viktig å være varsom med å pålegge statlige virksomheter nye unødvendige krav som kan bidra til økt ressursbruk til administrasjon, kontroll og rapportering. Her kan det også trekkes paralleller til danskenes tidligere krav om å følge DS 484 som nettopp førte til unødvendig ressursbruk. Samlet sett er det Difis vurdering at der staten i dag er kommet med Referansekatalogen og Digitaliseringsrundskrivet, så er kravene i det siste mer formålseffektivt enn et pålegg om bruk av ISO Kravene i Digitaliseringsrundskrivet har ennå ikke fått tid til å virke. Vi anser risikoene for uheldige sideeffekter av et pålegg nå om bruk av ISO som for store. Et pålegg stimulerer heller ikke etter vår vurdering til den risikobaserte tilnærming som er kjernen i et styringssystem. Når det gjelder ISO er dette en veileder som etter vår vurdering ikke er egnet for et pålegg. Difi vil ut fra dette anbefale at det ikke blir gitt et pålegg om bruk av ISO eller ISO i statlige virksomheter, men at det bygges videre på nylig gjennomførte tiltak med ytterligere pedagogiske og organisatoriske virkemidler. En må samtidig fortsatt være tydelig på at ansvaret for å ha hensiktsmessige styringssystem og tilfredsstillende intern kontroll ligger i den enkelte virksomhet. Videre at det er det enkelte departement sitt ansvar å sikre seg at underliggende virksomheter har tilfredsstillende intern kontroll. Difi anbefaler heller ikke at bruken av de to standardene blir gjort til obligatoriske forvaltningsstandarder. Problemstillingen anses lite relevant når det ikke anbefales et pålegg i staten. Basert på observasjoner, funn og vurderinger i arbeidet med denne rapporten anbefaler Difi følgende fire tiltak for å styrke det videre arbeidet med bedre styring og kontroll på informasjonssikkerheten i statlige virksomheter: 1) Presisere eforvaltningsforskriftens 13 2) Klargjøre sentrale felles styringssystem- og internkontrollbegrep 3) Harmonisere veiledning og veiledningsmateriell innen risikometodikk 4) Vurdere nye kompetanse- og støttetiltak i sektorer og eventuelt tverrsektorielt Difi foreslår at FAD vurderer tiltak 1. Videre vil Difi ta et initiativ overfor DFØ slik at disse direktoratene sammen kan vurderer hvordan tiltak 2 bør organiseres og gjennomføres. Difi vil også ta et første initiativ ut mot flere aktører i tiltak 3. For både tiltak 2 og 3 er det viktig med bred involvering. For tiltak 4 foreslår Difi at det enkelte departement vurderer hva som eventuelt bør gjøres innen egen sektor. Videre at FAD ut fra sitt samordningsansvar, i samråd med de øvrige departementene, vurderer om det kan være hensiktsmessig med tverrsektorielle tiltak rettet mot etatsstyrernivå. 5

10 2 Innledning 2.1 Bakgrunn Digitalisering er et viktig virkemiddel for en effektiv og brukerrettet forvaltning. Digitaliseringen skaper nye muligheter, men også nye trusler og risikoer. Nye IKT-løsninger innføres, arbeidsmåter og rutiner endres og vi kommuniserer og omgås på helt nye måter. I en hurtig omskiftende verden der mange krav og forventninger til forvaltningen er effektivitets- og teknologidrevet, er det viktig at forvaltningen også har kontroll på risikoene og iverksetter hensiktsmessige tiltak for å redusere disse til et akseptabelt nivå. Dette er en forutsetning for at befolkningen, næringslivet og politikerne skal ha nødvendig tillit til forvaltningen. Både Riksrevisjonen, Nasjonal sikkerhetsmyndighet (NSM) og Datatilsynet har i revisjoner, årsmeldinger og uttalelser de senere årene sagt at tilstanden innen informasjonssikkerhet ikke er god nok i forvaltningen 2. Det er for mange virksomheter som mangler tilstrekkelig oversikt over og kontroll med risikoene. Samtidig har det vært uttrykt behov og ønsker fra flere virksomheter om å få klare anbefalinger om hvordan de bør gå frem for å få bedre styring og kontroll med informasjonssikkerheten. Noen har også uttrykt at dette bør være likt i forvaltningen. Difi har kanalisert mottatte signal om dette inn i direktoratets arbeid med anbefalte og obligatoriske forvaltningsstandarder 3. I Sverige og Danmark har myndighetene stilt konkrete krav til statlige virksomheter om bruk av nasjonale og internasjonale standarder i arbeidet med informasjonssikkerhet 4. De siste årene har begge landene fokusert på styringssystem for informasjonssikkerhet og ISO spesielt. Difi utarbeidet i 2011 en arbeidsrapport 6 om standarder for styring av informasjonssikkerhet. Dette som en del av Difis standardiseringsarbeid. I rapporten pekes det på standarden ISO for styringssystem for informasjonssikkerhet og standarden ISO for vurderingen av konkrete 2 Jf. kapittel Forvaltningsstandard: nærmere angitte krav, anbefalinger eller retningslinjer gitt av en relevant myndighet om at visse standarder skal legges til grunn for hele eller større deler av forvaltningen. (Jf. Forskrift om IT-standarder i offentlig forvaltning 2). 4 Jf. kapittel På området informasjonsteknologi har ISO (International Organization for Standardization) og IEC (International Electrotechnical Commission) nedsatt en felles teknisk komité som jevnlig reviderer disse standardene. Det formelle navnet på standardene innen informasjonssikkerhet er derfor ISO/IEC <nr>:<publiseringsår>. Det er likevel vanlig å omtale de kun som ISO <nr>. Det er også vanlig å utelate publiseringsår når en mener siste offisielle publisering/versjon. For å gjøre rapporten meir lesbar følger vi denne forenklede skrivemåten i denne rapporten. 6 Difi, 2011, Utredning av standarder for styring av informasjonssikkerhet. 6

11 sikringstiltak. Rapporten inngår som et element i den metodikk Difi følger for å etablere anbefalte og obligatoriske forvaltningsstandarder. I behandlingen av rapporten har Standardiseringsrådet 7 gitt sin tilslutning til at disse to standardene blir anbefalte for forvaltningen. Standardiseringsrådet har samtidig anbefalt at Difi bør gjennomføre en erfaringsinnhøsting rundt bruken av disse standardene i forvaltningen. Dette før det tas stilling til om standardene skal følge videre prosess i standardiseringsarbeidet frem mot å eventuelt bli gjort obligatoriske. Difis ledelse har vært enige med Standardiseringsrådet. Etter en bred høring av ny versjon av referansekatalogen 8 våren 2012, er nå disse standardene etablert som anbefalte forvaltningsstandarder. Dette skjedde gjennom oppdatering av referansekatalogen til versjon 3.1 den 30. oktober Difis ledelse har videre besluttet at den anbefalte erfaringsinnhøstingen rundt innføring og bruk av disse standardene skal gjennomføres. Videre at resultatet av denne også bør gjøres kjent som kunnskapsgrunnlag for alle offentlige virksomheter. Dette uavhengig av konklusjoner inn mot standardiseringsprosessen. Erfaringene vil uansett kunne være viktige læringspunkter for alle offentlige virksomheter. I tillegg har Difi fått følgende konkrete oppdrag i Difis tildelingsbrev for 2012: Utarbeide en kort vurdering av mulig pålegg om bruk av ISO og ISO standardene i statlige virksomheter. 2.2 Mål med prosjektet Med dette til grunn har Difis ledelse definert følgende mål med arbeidet bak og innholdet i denne rapporten: 1. Oppsummere og analysere erfaringer og gi råd om innføring av styringssystem for informasjonssikkerhet med spesiell vekt på erfaringer fra noen offentlige virksomheter som har besluttet å basere seg på ISO relevante tilsyns- og revisjonsmyndigheter i offentlig sektor 2. Vurdere om standardene ISO og eventuelt ISO fra et formålsperspektiv bør gjøres til obligatoriske forvaltningsstandarder, gjøres obligatorisk i staten eller om andre tiltak er mer hensiktsmessige for å nå den egentlige målsettingen bak standardene 7 Standardiseringsrådet er et bredt sammensatt, rådgivende organ for standardiseringsarbeidet i offentlig forvaltning. Jf. 8 Referansekatalogen forvaltes av Difi og er en oversikt over IT-standarder som er obligatoriske eller anbefalte for offentlig sektor. 7

12 2.3 Avgrensninger Det er gjort følgende avgrensinger i prosjektet: Tidligere arbeid som har vurdert standarder for styringssystem for informasjonssikkerhet legges til grunn. Det gjøres derfor ikke nye vurderinger av om det eventuelt finnes andre alternativ. Eventuelle anbefalinger om nye krav/pålegg vil bli gjort fra et formålsperspektiv og må følges opp av en egen grundigere økonomisk konsekvensanalyse senere. Dette slik det naturlig følger av både Difis standardiseringsmetodikk og utredningsinstruksen. Det er ikke en del av dette arbeidet å foreta en slik konsekvensanalyse. 2.4 Metode Denne rapporten baserer seg på litteraturstudier, intervjuer og en samlet vurdering av begge. Det er lagt vekt på å gjennomgå spesielt relevante undersøkelser og rapporter om temaet styringssystem for informasjonssikkerhet fra Norge, Sverige og Danmark, spesielt relevante ISO-standarder og spesielt relevante rapporter, veiledninger og tilhørende fagstoff om kvalitetssystem, internkontroll og virksomhetsstyring. Vi har intervjuet representanter fra åtte offentlige virksomheter om deres erfaringer med styringssystem for informasjonssikkerhet. Dette var Asker kommune, Mattilsynet, Post- og teletilsynet, Riksarkivet, Skatteetaten, Statens kartverk, Statens landbruksforvaltning og Statens vegvesen. Videre har vi intervjuet representanter for tre revisjons- og tilsynsmyndigheter, Riksrevisjonen, Datatilsynet og Nasjonal sikkerhetsmyndighet (NSM), om deres forståelse av status og erfaringer innen temaet i forvaltningen generelt. Vi har også intervjuet representanter fra Digitaliseringsstyrelsen i Danmark og Myndigheten för samhällsskydd och beredskap (MSB) i Sverige om deres erfaringer med standarden og deres bruk av pålegg. Informantene hos de norske virksomhetene kommer fra en kommune og syv statlige virksomheter av ulik størrelse. Da undersøkelsen skulle ha spesiell vekt på erfaringer fra noen offentlige virksomheter som har besluttet å basere seg på ISO 27001, ble utvalget av virksomheter i hovedsak basert på høringsuttalelsene til referansekatalogen v. 3.1, der egne erfaringer med standarden var et eget tema. Det ble supplert med Asker kommune som er en av få offentlige virksomheter som har sertifisert seg etter standarden. For å få en tilstrekkelig balanse i vurderingsgrunnlaget ble det også plukket ut noen virksomheter av ulik størrelse som ikke benyttet disse standardene, men som har signalisert at de har tilstrekkelig kontroll med informasjonssikkerheten. I den innledende kontakten med virksomhetene ga vi uttrykk for at vi primært ønsket å snakke med den som var leder eller ansvarlig for informasjonssikkerhet i virksomheten, (sikkerhetssjef e.l.). Vi presiserte at vi i denne sammenheng ikke tenkte spesielt på IT-sjef, med mindre virksomheten hadde lagt hovedansvaret for informasjonssikkerhet til denne rollen. I tillegg ga vi 8

13 uttrykk for at vi ønsket at en leder med ansvar for andre sentrale styringssystem i virksomheten, f.eks. administrasjonssjef eller kvalitetssjef, var med i intervjuet. Vi gjorde oppmerksom på at vi under intervjuet ville komme inn på relasjonen til andre styringssystem i virksomheten. Vi ga også uttrykk for at det var ok dersom leder for informasjonssikkerhet også ønsket å ha andre ressurser med under intervjuet. Hos de fleste virksomhetene møtte to personer i intervjuet, men noen møtte kun med én. Hvem som møtte syntes å være noe avhengig av hvordan virksomhetene hadde organisert arbeidet med informasjonssikkerhet, i hvilken grad styringssystemet for informasjonssikkerhet var integrert med andre styringssystem og hvordan kontaktpersonene forstod både styringssystemets og egen rolle i virksomhetene. I noen av virksomhetene møtte ikke informanter med ansvar for andre styringssystem enn det virksomhetene hadde for informasjonssikkerhet. Hos revisjons- og tilsynsmyndighetene i Norge ba vi om å få snakke med noen som kjenner godt til statusen og utfordringene ute i offentlige virksomheter med hensyn til styringssystem for informasjonssikkerhet. Alle revisjons- og tilsynsmyndighetene møtte med representasjon på både ledernivå og operativt tilsynsnivå. I Sverige og Danmark ba vi om å få snakke med de som hadde mest kunnskap om bakgrunn, erfaringer og viktige støttetiltak rundt disse landenes pålegg rundt styringssystem for informasjonssikkerhet. I Sverige møtte én person fra MSB, og i Danmark møtte i tillegg til to representanter fra Digitaliseringsstyrelsen også flere representanter fra ulike statlige sektorer. På bakgrunn av ovennevnte tilnærming og intervjuenes innretning bruker vi i denne rapporten begrepene virksomhetene, revisjons- og tilsynsmyndighetene og myndighetene i Sverige og Danmark når vi henviser til det våre informanter har gitt uttrykk for i intervjuene. De ble utarbeidet fire intervjuguider basert på samme grunnmal, men tilpasset de ulike informantgruppene. Disse følger som vedlegg til denne rapporten. Rapporten baserer seg på våre notater fra intervjuene. Utvalgsmetoden gir ikke grunnlag for å generalisere. Undersøkelsen bør imidlertid kunne gi en rekke interessante erfaringer fra primærvirksomhetene og observasjoner hos revisjons- og tilsynsmyndighetene og de utenlandske myndighetene som andre virksomheter kan lære av. Bredden i informantgrunnlaget gjør også at disse erfaringene og observasjonene anses som relevant og viktig informasjonsgrunnlag i vurderingen av om det bør iverksettes pålegg eller alternative tiltak rundt styringssystem for informasjonssikkerhet og ISOstandarder. 2.5 Målgruppe og leserveiledning En rapport for både departementer, virksomheter og kommuner Det har vært et mål for denne rapporten at den skal kunne inngå som et kunnskapsgrunnlag for alle offentlige virksomheter i deres arbeid med bedre styring og kontroll med informasjonssikkerheten. Det har også vært et mål å 9

14 bruke en del av kunnskapsgrunnlaget inn mot de vurderinger FAD har bedt oss gjøre om eventuelt pålegg i staten om bruk av ISO-standardene spesielt. Disse vurderingene kan samtidig også være nyttige for virksomhetene og de øvrige departementene i deres forståelse av utfordringene og videre arbeid. De er derfor tatt med som en del av rapporten. Kommunene kan også ha nytte av rapporten på linje med de statlige virksomhetene. Hovedmålgruppe for de enkelte kapitlene Rapporten har tre hovedkapitler 3. Hva handler dette egentlig om? 4. Erfaringer med og gode råd om innføring av styringssystem for informasjonssikkerhet 5. Pålegg om bruk av ISO-standardene eller andre tiltak? De tre kapitlene kan i stor grad leses uavhengig av hverandre, avhengig av leserens forhåndskompetanse og hovedinteresse. Kapittel 3 danner imidlertid et kunnskapsgrunnlag for både kapitel 4 og 5. De to siste kapitlene er samtidig mest uavhengig av hverandre. Vi tror kapittel 3 og 4 vil være spesielt nyttig for virksomhetsledere, sikkerhetsledere, kvalitetsledere og andre administrative ledere som sitter med ansvaret for informasjonssikkerhet spesielt eller styringssystem generelt i offentlige virksomheter. Vi tror det samme vil gjelde sentrale rådgivere for disse innen tilsvarende områder. Samtidig tror vi en del personer på virksomhetsnivå også vil finne kapittel 5 interessant og nyttig. Videre tror vi at kapittel 3 og 5 vil være spesielt nyttig for etatsstyrere og andre i departementene med ansvar eller interesse for oppfølging av intern kontroll i virksomhetene, herunder informasjonssikkerhet. Vi tror også en del personer på departementsnivå vil finne kapittel 4 interessant som kunnskapsgrunnlag for hva departementene eventuelt bør gjøre videre i forhold til informasjonssikkerhet i virksomhetene. For FAD og de som har vært involvert i Difis arbeid med obligatoriske og anbefalte forvaltningsstandarder vil kapittel 5 være spesielt nyttig, samtidig som kapittel 3 gir et viktig bakteppe og kapittel 4 kan være nyttig. Kort om kapitlene Vi har gjennom dette prosjektet forstått at det hos mange er usikkerhet eller uklare oppfatninger om en rekke sentrale utfordringer og begrep rundt informasjonssikkerhet og styringssystem for informasjonssikkerhet. Vi har derfor valgt å forsøke å klargjøre en del av disse og sammenhengen mellom dem i kapittel 3. Som en viktig del av prosjektet har vi gjennomført en intervjubasert undersøkelse høsten 2012 om innføring og bruk av styringssystem for informasjonssikkerhet, med spesiell vekt på erfaringer med ISO Kapittel 4 har som mål å oppsummere og analysere erfaringer og formidle konkrete råd videre fra virksomhetene vi har intervjuet. Kapittelet er inndelt i 10

15 seks områder og for hvert område tar vi for oss funn og observasjoner, Difis vurderinger samt råd fra virksomhetene. Ett av målene med arbeidet bak denne rapporten har vært å vurdere om standardene ISO og eventuelt ISO bør gjøres til obligatoriske forvaltningsstandarder, gjøres obligatorisk i staten eller om andre tiltak er mer hensiktsmessige for å nå den egentlige målsettingen bak standardene. I kapittel 5 klargjør vi først utviklingstrekk og status i Danmark og Sverige samt de synspunkter om eventuelt pålegg/forskriftskrav som kom frem i vår intervjuundersøkelse høsten Deretter følger selve vurderingen samt et forslag om fem tiltak basert på observasjoner, funn og vurderinger i arbeidet med denne rapporten. 11

16 3 Hva handler dette egentlig om? Vi har gjennom dette prosjektet forstått at det hos mange er usikkerhet eller uklare oppfatninger om hva informasjonssikkerhet faktisk er, hvorfor virksomhetene nå anbefales å ha et styringssystem for informasjonssikkerhet, hva et slikt styringssystem er, hvilke regler som allerede gjelder og hva disse ISO-standardene faktisk innebærer. Vi har også sett at både standarder, rammeverk, regelverk, veiledninger, litteratur, mv. bruker en rekke forskjellige begrep som etter vår vurdering i stor grad er ulike begrep for eller tilnærminger til det samme. Samtidig tolkes og brukes disse begrepene også på ulik måte i ulike sammenhenger. Dette gjør det ekstra krevende for både ledere og andre å forstå og gripe fatt i utfordringene på en god måte. Vi har derfor valgt å starte denne rapporten med å forsøke å klargjøre sentrale sider ved problemstillingene over. 3.1 Hva er informasjonssikkerhet? Informasjonssikkerhet handler om å sikre konfidensialitet, integritet og tilgjengelighet på informasjon 9. Å sikre konfidensialitet innebærer å hindre uautorisert innsyn i informasjon som ikke kan være åpent tilgjengelig for alle. Å sikre integritet innebærer å hindre uautorisert endring av informasjon. Å sikre tilgjengelighet innebærer å sikre tilgang til informasjon ved behov for tilgang. Det er virksomhetens mål, behovene og kravene i virksomhetens arbeidsprosesser og bestemmelser i lover og regler som avgjør hvilken informasjon som er relevant for slik sikring og om det er konfidensialitet, integritet og/eller tilgjengelighet som bør sikres. Trusler og uønskede hendelser kan komme fra både eksterne aktører, interne utro tjenere og egeneksponering gjennom feil, dårlige rutiner og holdninger, ubevisste handlinger og slurv, manglende sikringstiltak og tilrettelegging mv. Noen typer informasjon som kan trenge sikring finnes hos praktisk talt alle virksomheter, eksempelvis virksomheters regnskapsinformasjon og opplysninger om ansatte. Andre typer informasjon vil bare finnes hos noen grupper av virksomheter, eksempelvis taushetspliktig informasjon iht. forvaltningsloven i offentlige virksomheter og helseopplysninger i både private og offentlige virksomheter som behandler slike. For andre typer informasjon vil behovet for sikring kunne være virksomhetsspesifikt, eksempelvis hva som er forretningshemmeligheter, hva som påvirker omdømmet til virksomheten eller hvilken informasjon ansatte, kunder eller brukere trenger rask tilgang til for å jobbe effektivt eller få utført det de har behov for. I alle eksemplene over vil det være det faktiske innholdet i informasjonen, ulike behov og prioriteringer i virksomhetene og/eller krav i lov- og regelverk som avgjør om og i hvilken grad konfidensialitet, integritet, tilgjengelighet eller 9 Jf. eksempelvis personopplysningsloven 13 12

17 kombinasjoner bør sikres. Det kan samtidig ofte være interesse- og målkonflikter, spesielt mellom sikring av konfidensialitet og tilgjengelighet, som må balanseres. Den faktiske risikoen ved manglende sikring av konfidensialitet, integritet eller tilgjengelighet, i kombinasjon med kostnader og sideeffekter ved sikringstiltak, spiller oftest en avgjørende rolle ved valg om sikring bør gjennomføres og eventuelt på hvilken måte. I standarden ISO Styringssystem for informasjonssikkerhet defineres begrepet informasjonssikkerhet 10 i hovedsak på samme måte som over: information security: preservation of confidentiality, integrity and availability of information; in addition, other properties such as authenticity, accountability, non-repudiation and reliability can also be involved. Også i Norge vil enkelte i noen sammenhenger involvere de mulige tilleggsegenskapene standarden nevner; autentisitet (sikre at informasjon og brukere er ekte), sporbarhet/ansvarlighet (kunne spore endringer/holde brukere ansvarlig for sine handlinger), ikke-benekting (kunne dokumentere hvem som har utført handlinger) og pålitelighet (at informasjon og systemer er til å stole på og fungerer som forventet). Det er imidlertid mest vanlig i Norge å avgrense begrepet informasjonssikkerhet til sikring av konfidensialitet, integritet og tilgjengelighet. De nevnte tilleggsegenskapene vurderes da gjerne delvis under hovedegenskapene foran, delvis som egne forhold når de er spesielt relevante, eller delvis i tilknytning til andre forhold, f.eks. sikring av kvalitet, som er en annen interesse og et annet perspektiv på informasjon enn informasjonssikkerhet. 3.2 Identifiserte svakheter og mangler ved styring og kontroll av informasjonssikkerheten Bakgrunnen for at styringssystem for informasjonssikkerhet er satt på dagsorden er bl.a. at revisjons- og tilsynsmyndigheter har pekt på vesentlige svakheter ved informasjonssikkerheten i forvaltningen. Både Riksrevisjonen, Nasjonal sikkerhetsmyndighet (NSM) og Datatilsynet har i revisjoner, årsmeldinger og uttalelser de senere årene sagt at tilstanden innen informasjonssikkerhet ikke er god nok. Det har også vært påpekt svakheter i virksomhetenes interne kontroll og risikostyring generelt. Riksrevisjonen sier i Dokument 1 ( ) 11 at de for regnskapsåret 2009 har revidert organisering og styring av informasjonssikkerheten i alle departementene og 34 virksomheter. Bestemmelser om økonomistyring i staten, nasjonale retningslinjer for å styrke informasjonssikkerheten og NS- ISO 27002:2005 er lagt til grunn for revisjonen. Revisjonen for 2009 har ifølge Dokument 1 ( ) vist at det er til dels alvorlige svakheter og mangler innenfor informasjonssikkerhetsområdet. 10 Jf. ISO kapittel Riksrevisjonen (2010). Sammenstilling av Riksrevisjonene uttalelser i Dokument 1 ( ), s. 2 13

18 Merknadene er blant annet knyttet til manglende identifisering og klassifisering av informasjonsaktiva, ufullstendige risikoanalyser og mangelfull beskyttelse av ikt-infrastruktur. Dette medfører risiko for uautorisert spredning og endring av informasjon, og manglende tilgjengelighet til informasjon og informasjonssystemer. Det sies videre i Dokument 1 ( ) at Riksrevisjonen for regnskapsåret 2009 har gitt merknader til 11 departementer vedrørende deres styring av informasjonssikkerheten innenfor sin sektor. Videre har 10 virksomheter fått avsluttende revisjonsbrev med merknad knyttet til vesentlige mangler ved informasjonssikkerheten. For det påfølgende regnskapsåret 2010 sier Riksrevisjonen i Dokument 1 ( ) 12 at årets revisjon har vist at det er iverksatt tiltak for å bedre informasjonssikkerheten, men at det vil ta tid før disse får ønsket effekt. Videre at Riksrevisjonen vil følge opp informasjonssikkerheten i forvaltningen i den løpende revisjonen. Samtidig sier Riksrevisjonen i samme Dokument 1 13, men i en omtale av internkontroll og risikostyring, at de i flere tilfeller har pekt på at det formelle rammeverket for risikostyring er på plass, men at det er utfordringer når det gjelder den praktiske implementeringen. Videre rapporteres det om at flere virksomheter har iverksatt risikoreduserende tiltak, men at det stilles spørsmål ved om disse har hatt tilstrekkelig effekt. At virksomhetene ikke har en tilfredsstillende intern kontroll svekker evnen til å forebygge og avdekke utilsiktede og tilsiktede handlinger utført i strid med gjeldende regelverk. NSM gjennomfører på sin side tilsyn med etterlevelsen av sikkerhetsloven. I sin årsmelding for sier NSM at det er til dels alvorlige mangler i det forebyggende sikkerhetsarbeidet, og at virksomhetene har lav forståelse for at vitale nasjonale sikkerhetsinteresser må beskyttes. NSM sier at gapet mellom truslene og sikkerhetstiltakene øker. Blant funnene er manglende ledelsesengasjement, og manglende systemer for å varsle virksomhetsledelse om uønskede hendelser. Det har også vist seg at enkelte virksomheter ikke er kjent med at de er underlagt sikkerhetsloven. I Datatilsynets årsmelding for 2009 sier de at det avdekkes mange brudd på regelverkets krav 15. Datatilsynets omtale gjelder virksomheter generelt, men det er ingen grunn til å tro at tilstanden for offentlige virksomheter spesielt er vesentlig bedre. Datatilsynet sier at alvorlighetsgraden på regelverksbruddene varierer, men gjennomgående er det for lite kjennskap til og respekt for de rettsregler som er fastsatt i personopplysningsloven. En generell beskrivelse av situasjonen er i følge Datatilsynet at 12 Riksrevisjonen (2011). Dokument 1 ( ), s ibid. S NSM. Årsmelding 2010, s FAD, Meld. St. 5 ( ). Melding til Stortinget. Datatilsynets og Personvernnemndas årsmeldinger for 2009, s. 21 ff 14

19 virksomhetene ikke har gjort seg tilstrekkelig kjent med regelverket (kjennskap) de i altfor liten grad har avklart hvem som må gjøre hva (ansvar) de har mangelfull oversikt over hvilke personopplysninger som behandles og har ikke reflektert over formål eller behandlingsgrunnlag de har mangelfull systematikk i tilnærmingen til regelverket (internkontroll) de ikke sørger for en god nok sikring av personopplysningene (informasjonssikkerhet) de ikke følger sentrale plikter i regelverket, som informasjonsplikten og slettebestemmelsene Etter Datatilsynets vurdering er det fare for alvorlige sikkerhetsbrudd hos mange virksomheter, både i privat og offentlig sektor. Som vi vil komme nærmere inn på i kapittel 4 viser vår undersøkelse fra høsten 2012 at utfordringene fortsatt er mange. Revisjons- og tilsynsmyndighetene forteller at det også i dag står dårlig til med styring og kontroll på informasjonssikkerheten i mange offentlige virksomheter. I tillegg til ovennevnte har også flere virksomheter selv sett utfordringer innen området. Det har vært uttrykt behov og ønsker fra flere om å få klare anbefalinger om hvordan de bør gå frem for å få bedre styring og kontroll med informasjonssikkerheten. Noen har også uttrykt at dette bør være likt i forvaltningen. Difi har kanalisert mottatte signal om dette inn i direktoratets arbeid med anbefalte og obligatoriske forvaltningsstandarder. I Danmark og Sverige har myndighetene stilt konkrete krav til statlige virksomheter om bruk av nasjonale og internasjonale standarder i arbeidet med informasjonssikkerhet. De siste årene har begge landene rettet kravene inn mot styringssystem for informasjonssikkerhet og standarden ISO 27001, som omhandler dette 16. Også Difis standardiseringsarbeid har identifisert styringssystem og denne standarden som et godt virkemiddel for å oppnå bedre styring og kontroll i virksomhetene. Videre har også FAD signalisert at ISO kan være et aktuelt virkemiddel Hva er et styringssystem for informasjonssikkerhet? Grunnlaget for det som oftest regnes som god styring med informasjonssikkerhet ligger i den sekvensielle prosessen: styringssignal fra ledelsen, informasjonsidentifisering, risikovurderinger og valg av sikringstiltak (styringsog kontrolltiltak innen sikkerhet). 16 Se for øvrig kapittel 5.1 for utdypninger om utviklingen og endringer i bruken av slike standarder i Danmark og Sverige. 17 Jf. oppdrag i Difis tildelingsbrev for 2012 om å vurdere mulig pålegg om bruk av ISO og i statlige virksomheter. 15

20 Informasjonen, inklusiv hvor, hvordan, ved hjelp av hva og av hvem den behandles og lagres, skal identifiseres ut fra det ledelsen har bestemt virksomheten skal ha fokus på i arbeidet med informasjonssikkerhet. Risikovurderingene skal utføres slik ledelsen har bestemt med utgangspunkt i den identifiserte informasjonen og hvordan denne behandles og lagres. Valg av sikringstiltak skal skje ut fra identifiserte risikoer og ledelsens styringssignal om akseptabelt risikonivå, håndtering av interessekonflikter mellom konfidensialitet, integritet og tilgjengelighet, bruk av ressurser på styrings- og kontrolltiltak, mv. For å få tilstrekkelig kontroll må virksomheten i tillegg oftest gjennomføre systematiske tiltak for å undersøke om sikringstiltakene blir etterlevd, om de fungerer som forutsatt og om de over tid er dekkende for endringer i risikobildet. Videre om omfang og kvalitet på det arbeidet virksomheten gjør for å ha styring og kontroll er godt nok, kostnadseffektivt og tilpasset samlet risiko og virksomhetens egenart. Ut fra resultatet av disse undersøkelsene må justeringer gjøres systematisk slik ledelsen har bestemt. Det virksomheten på denne måten samlet gjør for å ha styring og kontroll med informasjonssikkerheten kan kalles virksomhetens styringssystem for informasjonssikkerhet. Dette forutsetter normalt sammenheng mellom og systematikk i både styring, kontroll og oppfølging. Selve begrepet styringssystem for informasjonssikkerhet kommer fra det engelske begrepet «information security management system», oftest omtalt kun med forkortelsen ISMS. På svensk og dansk er delbegrepet «management system» oftest oversatt til ledelsessystem i stedet for styringssystem. Også på norsk brukes ledelsessystem og styringssystem litt om hverandre, samtidig som innholdsforståelsen ikke er helt entydig og klar. Delbegrepet «management system» er sterkt knyttet til en rekke standarder ugitt av ISO 18, som ISO 9001 (kvalitet), ISO (miljø) og ISO (informasjonssikkerhet). Hver av disse standardene inneholder krav til et sett av prosesser, prosedyrer, dokumenter m.v. som skal sikre ledelsen styring, kontroll og kontinuerlig forbedring i virksomheten innen det standarden omhandler. Styringssystemene innebærer altså ikke egne selvstendige system, men etterlevelse av visse krav til styringsprosesser. Kravene har også mye til felles på tvers av de ulike styringssystemene. Den vanligste referansen til hovedbegrepet styringssystem for informasjonssikkerhet (information security management system eller ISMS), er standarden ISO I denne er ISMS definert 19 som: that part of the overall management system, based on a business risk approach, to establish, implement, operate, monitor, review, maintain and improve information security. 18 For informasjonssikkerhet ISO og IEC - jf. note 5 19 Jf. ISO kapittel

21 På norsk kan dette direkte oversettes til: den delen av det samlede styringssystemet i en virksomhet som, basert på en forretningsmessig risikotilnærming, etablerer, implementerer, drifter, overvåker, evaluerer, vedlikeholder og forbedrer informasjonssikkerhet. Det er i standarden 20 bemerket spesielt at begrepet «business» (forretning) skal tolkes vidt og forstås som de aktivitetene som utgjør kjernen i virksomheten ut fra formålet med virksomhetens eksistens. Forretningsmessige risikoer vil i offentlig sektor da normalt være risikoer knyttet til aktiviteter rettet mot å nå de overordnede mål som virksomheten er opprettet for å nå. Det følger både av standarden og av generell oppfattelse av et slikt styringssystem at lover og regler skal overholdes. Det følger også av samme at styringssystemet består av et sett av prosesser, prosedyrer, dokumenter mv. satt i en sammenheng for å oppnå kontinuerlig forbedring. Videre at de konkrete sikringstiltakene som velges gjennom bruken av styringssystemet, skal være basert på systematiske risikovurderinger og ledelses uttrykte risikoaksept. 3.4 Hva er et samlet styringssystem? Styringssystemet for informasjonssikkerhet er ut fra ovennevnte en del av virksomhetens samlede styringssystem. En klargjøring av hva et slikt samlet styringssystem er kan da være nyttig. Private virksomheters overordnede mål er vanligvis å tjene penger. Offentlige virksomheters overordnede mål er oftest av mer kvalitativ art; å sikre eller bidra til god helse, opplæring, trygghet, rettsikkerhet mv. for innbyggerne 21, eller å understøtte dette. I alle tilfeller legger «eierne» og ledelsen en policy for hva virksomheten skal drive med og hvordan målene skal nås. I tillegg finnes det lover og regler som er krav en virksomhet må etterleve og arbeide innenfor. Noen er generelle og gjelder alle virksomheter og noen gjelder enkelte virksomheter avhengig av hva de arbeider med, eierskapstype mv. Virksomheter kan også ha inngått avtaler med andre som de må følge. Samlet utgjør mål, policy, lover, regler og avtaler de overordnede premissene for det som skjer i virksomheten. De representerer dermed den overordnede styringen av virksomheten. For å nå virksomhetens mål må de som arbeider der og det utstyret som benyttes utføre noen aktiviteter. Noe av det som gjøres er rettet direkte mot formålet med virksomhetens eksistens. Dette kalles ofte kjerneprosesser eller hovedprosesser. Noen av aktivitetene er rettet mot å understøtte hovedprosessene og kalles ofte støtteprosesser. Til sist er noe rettet mot å styre hovedprosessene og støtteprosessene slik at mål blir nådd, lover og regler blir etterlevd og ressurser blir brukt effektivt og ikke unødvendig. Dette siste kalles 20 Jf. ISO kapittel Herunder næringslivet 17

22 ofte styringsprosesser eller ledelsesprosesser. Prosessterminologien brukes ofte for å gruppere og forstå betydningen av ulike aktiviteter i en virksomhet. Dette for å gjøre helhetlig styring lettere, Nå er det ikke slik at alle virksomheter gjør alt innenfor egen virksomhet for å nå sine mål. De kan kjøpe tjenester (oppgaveutføring med gitte resultat- og kvalitetskrav) hos andre. Dette kan være hele eller deler av både hovedprosesser, støtteprosesser og styringsprosesser. Hos leverandøren vil slike tjenester være hovedprosesser uansett, siden det er disse oppgavene som er rettet mot formålet med leverandørens virksomhet. Regnskapsføring er et eksempel på noe som er en støtteprosess i de fleste virksomheter, men en kjerneprosess i et regnskapsfirma som lever av å utføre oppgaven for andre. På samme måte vil revisjon være en del av en styringsprosess i de fleste virksomheter, men en kjerneprosess i et revisjonsfirma. Tilsvarende vil det i offentlig sektor være noen virksomheter som har kjerneprosesser som omfatter direkte leveranse av det politikerne har bestemt at innbyggerne skal få av helse, opplæring, trygghet m.v, og noen virksomheter som har kjerneprosesser som virker som støtteprosesser eller styringsprosesser for andre. Hovedutfordringen for ledelsen i enhver virksomhet er å etablere en hensiktsmessig styring av virksomheten. Det handler om hvordan virksomheten skal nå virksomhetens mål, innenfor gjeldende regelverk, uten unødvendig ressursbruk. Styringen kan være overordnet og uformell, detaljert og dokumentert eller et sted imellom disse ytterpunktene. Hva som velges er avhengig av eventuelle lovkrav ut fra virksomhetens egenart, ledelsens styringskompetanse, de ansattes utførerkompetanse, virksomhetens kultur, kostnadene ved og effekten av styringsprosesser og kontrolltiltak, hvilken risiko ledelsen aksepterer, mv. Valget som gjøres, uavhengig av detaljeringsnivå og formalisme, kalles oftest virksomhetens styringssystem, ledelsessystem eller kvalitetssystem. Ulike begrep brukes på i hovedsak det samme «systemet». Men det konkrete innholdet i systemene kan være forskjellig mellom virksomheter, nettopp avhengig av de ulike ledernes valg. Det er i virksomhetsstyring vanlig å snakke om strategiske risikoer og operasjonelle risikoer. Strategiske risikoer knyttes gjerne til eksterne eller interne endringer samt den overordnede måloppnåelsen. Operasjonelle risikoer finnes i de løpende aktivitetene i hovedprosesser og støtteprosesser. Det er i hovedsak de operasjonelle risikoene en ofte forsøker å håndtere ved å bygge opp et styringssystem. Samtidig er valget av styringssystem og bruken av det en del av den strategiske risikohåndteringen. Innholdet i et samlet styringssystem omfatter både styringsprosesser og konkrete styrings- og kontrolltiltak i kjerneprosesser og støtteprosesser. Styrings- og kontrolltiltakene kan være ansvarsbeskrivelser, rutinebeskrivelser, fysiske og teknologiske tiltak, mv. for å sikre eller kontrollere at ting blir gjort riktig. Styrings- og kontrolltiltakene omtales i ulike sammenhenger også med andre begrep som bare kontrolltiltak, kontroller, sikringstiltak mv. 18

23 Det vil normalt koste ressurser å etablere og etterleve styrings- og kontrolltiltak i en virksomhet. I god styring vil det derfor være ønskelig å basere eventuell bruk av slike tiltak på de lovkrav som gjelder for virksomheten og for øvrig en vurdering av risiko og vesentlighet (ofte omtalt samlet med begrepet risikovurdering). Risikovurderingen gjøres opp mot virksomhetens mål og kvalitetskrav samt ledelsens risikovilje. En slik risikovurdering er en viktig del av virksomhetens styringsprosesser. Andre viktige deler vil ofte være overordnet policy, klargjøring av mål, kvalitetskrav og risikoaksept/risikovilje, ressursstyring, jevnlig vurdering av om mål og kvalitetskrav blir nådd og jevnlig vurdering av om både styringsprosessene og de konkrete styrings- og kontrolltiltakene er effektive. Hvilke av disse og eventuelt andre element som faktisk bør inngå i styringsprosessene, sammenhengen mellom dem og det konkrete innholdet i og omfanget av dem, bør også avgjøres ut fra de lovkrav som gjelder for virksomheten, kostnadene ved prosessene, samt en vurdering av risiko og vesentlighet for virksomheten. En del av denne vurderingen vil være om det skal være egne styringsprosesser for spesielle områder og prosesser eller om virksomheten skal ha helhetlige styringsprosesser som ser ulike risikoområder i sammenheng. Et synlig trekk ved dagens utvikling av virksomhetenes styringssystem er økt interesse for og integrering av prosessbaserte kvalitetssystem og helhetlig risikostyring på både strategisk og operasjonelt nivå. Videre at en i risikostyringen vurderer og styrer ut fra både muligheter og tradisjonelle risikoer. 3.5 Hva er sammenhengen til begrepene intern kontroll og internkontroll? De to begrepene intern kontroll og internkontroll er vel kjent i forvaltningen, men de brukes både litt om hverandre og på litt forskjellige måter både hver for seg og sammen. Det kan være med på å skape noen forståelses- og kommunikasjonsutfordringer, spesielt når begrepene skal sees i sammenheng med andre begreper for lignende forhold. Begrepet «intern kontroll» forankres som oftest til COSO 22 -rapporten Internal Control An integrated Framework som ble utgitt i USA i Forankringen var i regnskaps- og revisjonsmiljøene. I følge Norges Interne Revisorers Forening (NIRF) omfatter det amerikanske begrepet «internal control» både intern styring og kontroll, mens begrepet i norsk oversettelse er fokusert på 22 COSO er en forkortelse for The Committee of Sponsoring Organizations of the Treadway Commission, en arbeidsgruppe bestående av fem organisasjoner som har engasjert seg i å strukturere hvordan organisasjoner kan etablere egnede effektive styrings- og kontrollstrukturer. De fem organisasjonene er American Institute of Certified Public Accountants, American Accounting Association, The Institute of Internal Auditors, Institute of Management Accountants og Financial Executives Institute. Coopers & Lybrand (nå en del av PriceWaterhouseCoopers) foresto mye av skrivearbeidet 19

24 kontrollaspektet 23. «Man mister derfor lett forståelsen for at kontrolltiltak kommer som et svar på behovet for styring, og må sees i sammenheng med dette.» Senter for statlig økonomistyring (SSØ), nå Direktoratet for økonomistyring (DFØ), sier tilsvarende 24. Det engelske begrepet internal control omfatter langt mer av styringsaspekter enn hva som på norsk ofte snevert forstås som interne kontrolltiltak. «Skal vi forstå begrepet intern kontroll må vi se sammenhengen mellom mål, risiko, styring og interne kontrolltiltak.» SSØ sier videre at det i en svensk utredning 25 beskrives at begrepet intern kontroll har skapt forvirring, noe som har resultert i at svenskene har oversatt dette med intern styring og kontroll. I økonomiregelverket i Norge har en valgt å benytte begrepet «intern kontroll», samtidig som en i tilknytning til begrepet stiller krav om risikostyring. I sitt metodedokument fra sier SSØ: Kravene til intern kontroll i økonomiregelverket er også krav til risikostyring. Kravene sier eksplisitt at den interne kontrollen skal være innebygd i virksomhetens interne styring, og øke sannsynligheten for oppnåelse av virksomhetens mål ved at man identifiserer risikoer og tiltak for å redusere risikoene. I SSØ sin veileder fra 2007, Hvordan få en god start på risikostyring i statlige virksomheter 27, har de definert begrepet «intern kontroll» som: Prosesser, systemer og rutiner igangsatt av ledelsen og de ansatte for å gi rimelig sikkerhet for virksomhetens måloppnåelse innenfor følgende kategorier: Målrettet og effektiv drift. Pålitelig regnskapsrapportering og økonomiforvaltning. Overholdelse av lover og regler. Dette er en definisjon der en kan se klare fellestrekk med beskrivelsen vi i kapittel 3.3 gav av styringssystem for informasjonssikkerhet. I begge tilfeller handler det om prosesser, systemer og rutiner igangsatt av ledelsen for å gi rimelig sikkerhet for virksomhetens måloppnåelse. Begge er også opptatt av overholdelse av lover og regler. Den viktigste forskjellen er at SSØs definisjon av intern kontroll har et større omfang enn et styringssystem for informasjonssikkerhet. Samtidig er definisjonen av et styringssystem for informasjonssikkerhet tydelig på at dette kun er en del av et samlet styringssystem. Det synes også å være en forskjell i vektleggingen av 23 Jf. Norges Interne Revisorers Forening, 24 SSØ (2009), Internrevisjon og intern kontroll i statlige virksomheter - en kartlegging, s Departementsserien, DS 2006/15 Intern styrning och kontroll i staten. 26 SSØ (2005) Risikostyring i staten. Håndtering av risiko i mål- og resultatstyringen. Medtodedokument, s SSØ (2007) Hvordan få en god start på risikostyring i statlige virksomheter, s. 8 20

25 kontinuerlig forbedring. Dette er sentralt i et styringssystem for informasjonssikkerhet, men er ikke nevnt spesielt i SSØs definisjon av intern kontroll. Ifølge NIRF har det skjedd en rivende utvikling etter den første COSOrapporten, og mange land har utarbeidet sine egne rapporter basert på førstnevnte. «Utviklingen har gått fra intern kontroll til kvalitetssikring og risikostyring.». Dette er trekk vi kjenner igjen også i utviklingen av ISOstandardene. Går en nærmere inn på COSO-rammeverket vil en nok finne flere likheter og forskjeller enn de vi har nevnt med utgangspunkt i definisjonene og beskrivelsene over. Slike må etter vår vurdering tilskrives litt forskjellige primærfokus i henholdsvis COSO-rammeverket og ISO-standardene. Ulike tilnærminger og begrep synliggjør ofte også faglig/yrkesmessig hovedforankring for de ulike rammeverkene og standardene. Etter vår vurdering er intern kontroll og samlet styringssystem to begrep for i hovedsak det samme. Som nevnt bruker en i Sverige begrepet intern styring og kontroll i stedet for intern kontroll. Et styringssystem for informasjonssikkerhet er som vi har pekt på en del av et samlet styringssystem. Det vil da også være en del av virksomhetens interne kontroll (på norsk) eller interne styring og kontroll (på svensk). Når det gjelder det sammensatte begrepet internkontroll blir det også forstått og brukt litt forskjellig på samme måte som begrepet intern kontroll. En forståelse som nå synes å ha blitt tatt videre av flere, fremkommer i rapporten 85 tilrådingar for styrkt eigenkontroll i kommunane, utarbeidet i 2009 av en arbeidsgruppe for KRD 28. De sier: I denne rapporten blir omgrepet «internkontroll» nytta. Det ligg ikkje noko anna i det enn i «intern kontroll», som blir nytta av andre. Arbeidsgruppen kobler dette videre direkte til COSO-rammeverket og i hovedsak den samme definisjonen som SSØ benytter, men nå om internkontroll i stedet for intern kontroll som SSØ benytter. I tillegg til ovennevnte innretning er begrepet internkontroll brukt over lengre tid i en rekke lover og forskrifter. På nettstedet Regelhjelp.no som drives av en rekke offentlige virksomheter 29 sies det 30 : Internkontroll er systematiske tiltak som skal sikre at virksomheten planlegger, organiserer, utfører og vedlikeholder sine aktiviteter i samsvar med gjeldende regelverkskrav. Krav om internkontroll finnes på en rekke områder, for eksempel etter matloven, HMS-lovgivingen, helselovgivningen, barnevernloven, sosialtjenesteloven og etter lovgivning om personvern og informasjonssikkerhet. 28 KRD (2009) 85 tilrådingar for styrkt eigenkontroll i kommunane

26 Prinsippene og elementene fra styringssystemstandarden ISO 9001 (kvalitetssystem) synes å være kilde eller fra samme kilde. Dette på samme måte som for ISO At internkontrollen skal sikre kvalitet og kontinuerlig forbedring synes å være et gjennomgående trekk. Regelverket krever og veiledningene skisserer en systematisk styringsprosess for det aktuelle regelverksområdet med samme kjerne som styringssystemstandardene 31 fra ISO. I Helsedirektoratets veileder om internkontroll i sosialog helsetjenesten 32, sies det slik: Internkontroll handler om å systematisere det som mange vil karakterisere som ordinære lederoppgaver og sikre at virksomheten utvikles og forbedres slik at myndighetskravene i sosial- og helselovgivningen etterleves. Forskrift om internkontroll i sosial- og helsetjenesten er uttrykk for myndighetenes klare satsing på systematisk styring og kontinuerlig forbedring. Og i Datatilsynets veiledning om internkontroll og informasjonssikkerhet 33 : Internkontroll kan gjerne kalles et kvalitetssystem for etterlevelse av regelverk. Vi har tidligere sagt at etter vår vurdering er intern kontroll og samlet styringssystem to begrep for i hovedsak det samme, og et styringssystem for informasjonssikkerhet en del av begge. På samme måte mener vi det er riktig å si at et slikt styringssystem er en del av virksomhetens samlede internkontroll. Det samme gjelder for den internkontroll som ulike lover og forskrifter krever for sine regelverksområder. Både den lovpålagte internkontrollen og styringssystemet for informasjonssikkerhet er en del av en samlet internkontroll, en del av en samlet intern kontroll og en del av et samlet styrings- eller ledelsessystem. Det handler i hovedsak om ulike begrep for det samme, eller tilsvarende deler av det samme. Vi har tidligere pekt på at en del av begrepsutfordringene er språklige og en del må tilskrives litt forskjellige primærfokus i henholdsvis COSO-rammeverket og ISO-standardene, og vi kunne sikkert også nevnt andre rammeverk som benyttes for andre områder. De fleste rammeverkene og standardene legger vekt på at det er et viktig risikobasert strategisk valg for virksomhetsledelsen å få den rette sammensetningen av et samlet styringssystem, en samlet internkontroll eller en samlet intern kontroll avhengig av hvilken term de benytter. Utfordringen for en statlig virksomhet, en kommune eller en privat virksomhet som ønsker å gjøre gode strategiske valg, er at de da gjerne må sette sammen det beste fra flere rammeverk og standarder. 31 Styringssystem og ledelsessystem blir som tidligere nevnt også brukt litt om hverandre i Norden som begrep for standardene fra ISO som dekker dette (9001, 27001,14001) 32 Helsedirektoratet (2004). Veileder. Hvordan holde orden i eget hus. Internkontroll i sosial- og helsetjenesten 33 Datatilsynet (2009): En veiledning om internkontroll og informasjonssikkerhet, s. 7 22

27 Et slikt behov bør også være utfordring til de som lager rammeverk, standarder og ikke minst veiledere både internasjonalt og nasjonalt om å søke det beste hos flere, mer enn å holde fast ved sitt ene utgangspunkt eller perspektiv. Dette kan lett bli preget av det avgrensede faglige miljøet som hovedtyngden av de enkelte utviklerne av rammeverk, standarder og veiledere kommer fra. Og for virksomhetsledere som de ovennevnte skal understøtte, er ikke det primære å velge ett rammeverk eller en standardserie, men om å få en best mulig løsning på helheten i egen virksomhet. 3.6 Hvilke regler og føringer gjelder allerede? Det finnes en rekke lover, forskrifter, rundskriv og veiledninger som på ulike områder og måter gir regler eller føringer som angår styring av informasjonssikkerhet. I en rapport fra Statskonsult fra ble sentrale deler av regelverkene gjennomgått, bl.a. for å se om og hvordan det eventuelt ble stilt krav om et styringssystem for informasjonssikkerhet. Rapporten konkluderer med at begrepet «styringssystem» ikke er direkte brukt i noen av regelverkene, men et fellestrekk er at enkeltord benyttes for å stille krav til informasjonssikkerheten: De mest brukte ordene er «planlagte og systematiske tiltak» som «dokumenteres», og er «helhetlig». Videre må en ha «internkontroll», «kvalitetssystem», lage «sikkerhetsmål», «sikkerhetsstrategi», «prosesser», «prosedyrer», «rutiner», «sikkerhetsadministrasjon», «anerkjente prinsipper for informasjonssystemers sikkerhet» osv. I rapporten sies det at beskrivelsen av kravene til informasjonssikkerhet, kvalitet og internkontroll i en del tilfeller er relativt sammenfallende. De krever som regel planlagte, systematiske tiltak, som dokumenteres. eforvaltningsforskriften eforvaltningsforskriften er hjemlet i forvaltningsloven og gjelder dermed ethvert organ for stat og kommune. Formålet er å legge til rette for sikker og effektiv bruk av elektronisk kommunikasjon med og i forvaltningen. Utgangspunktet var politiske målsettinger om en døgnåpen forvaltning. Det skapte behov for å tydeliggjøre krav til virksomhetene. Forskriften ble første gang vedtatt Den ble evaluert vinteren 2003/2004. Evalueringen viste at den var lite kjent og at den ble oppfattet som til dels vanskelig å forstå 35. Etter en vesentlig strukturell omarbeiding, men med få innholdsmessige endringer, ble nytt forslag godt mottatt av høringsinstansene. Forskriften i ny utgave trådte i kraft fra I eforvaltningsforskriften 13 Sikkerhetsmål og sikkerhetsstrategi sies det at forvaltningsorgan som benytter elektronisk kommunikasjon, skal ha beskrevet mål og strategi for informasjonssikkerhet i virksomheten (sikkerhetsmål og sikkerhetsstrategi). Sikkerhetsstrategien skal danne grunnlaget for forvaltnings- 34 Statskonsult (2007). Rettslig plikt til å ha system for informasjonssikkerhet. 35 Rolf Riisnæs i Jansen/Schartum (2005) Informasjonssikkerhet. Rettslige krav til sikker bruk av IKT, s

28 organets beslutninger om innføring og bruk av sikkerhetstjenester og -produkter på en helhetlig, planlagt, systematisk og dokumentert måte. Sikkerhetsstrategien skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks. Sikkerhetsstrategien skal være utarbeidet i henhold til anerkjente prinsipper for informasjonssystemers sikkerhet. I veiledningen til eforvalntingsforskriften pkt henvises det rundt dette til forskriftens noteapparat, I noteapparatet utdypes tolkningen av forskriftsteksten med bl.a. henvisninger til standarder som redskap for å etterleve 13. Selv med støtte i veiledning og noteapparat er det etter vår vurdering ikke umiddelbart lett å forstå den fullstendige praktiske konsekvensen av eforvaltningsforskriftens 13. Det gjør det også krevende å etterleve den på en god måte. Statskonsult (2007) oppsummerer imidlertid følgende etter sin gjennomgang av forskriften: eforvaltningsforskriften gir i 13 et klart pålegg til hele offentlig sektor om å ha en sikkerhetsstrategi som grunnlag for sin elektroniske forvaltning og kommunikasjon. Det fremgår også klart at den skal bygge på og være laget i henhold til anerkjente prinsipper for informasjonssystemers sikkerhet, - i klartekst skal det lages et styringssystem bygget for eksempel på den nå aktuelle ISO (tidligere var BS en av de aktuelle). Anbefalt forvaltningsstandard Hvilken standard den samlede forvaltningen bør følge for styringssystem for informasjonssikkerhet er det først nylig blitt større klarhet om. I referansekatalogen v. 3.1, publisert , har Difi gjort følgende til anbefalt forvaltningsstandard for Styringssystem for informasjonssikkerhet: Det er anbefalt å benytte ISO27001 ved etablering av styringssystem for informasjonssikkerhet. I arbeidet med å implementere relevante kontroller anbefales det å følge strukturen i ISO27001 appendiks A og innholdsmessig støtte seg på ISO/ IEC Dersom en virksomhet allerede har et operativt styringssystem på andre områder(f.eks. i relasjon til ISO 9001, ISO eller HMS), vil det i de fleste tilfeller være mest hensiktsmessig å oppfylle ISO27001-kravene innenfor rammene av det eksisterende styringssystemet. Det presiseres at selv om det å følge anviste standarder på området bidrar til økt sikkerhet, gir det ikke en automatisk tilfredsstillelse av alle krav i gjeldende regelverk. 36 FAD (2007). Veileder til eforvaltningsforskriften

29 Anvendelsesområdet for anbefalingen er sikker offentlig behandling av beskyttelsesverdig informasjon. Dette er utdypet i kap i referansekatalogen. Digitaliseringsrundskrivet FAD har brukt de nye anbefalte forvaltningsstandardene fra Difi inn i det nye Digitaliseringsrundskrivet P-10/2012 utsendt Rundskrivet gjelder for departementene, statens ordinære forvaltningsorganer, forvaltningsorganer med særskilte fullmakter og forvaltningsbedrifter. Under pkt 1.7 Informasjonssikkerhet i rundskrivet heter det: Virksomheten skal ha en internkontroll på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. (Jf. Difis referansekatalog versjon 3.1, pkt Styringssystem for informasjonssikkerhet. I forbindelse med Nasjonal strategi for informasjonssikkerhet vil det også bli vurdert å stille krav til statlige virksomheter om bruk av standarder for informasjonssikkerhet.) Denne internkontrollen kan med fordel være en integrert del av virksomhetens helhetlige styringssystem for kontinuerlig forbedring av virksomhetens arbeidsprosesser, måloppnåelse, informasjonssikkerhet, HMS, miljøledelse, samfunnsansvar m.v. FAD knytter på denne måten en sammenheng mellom begrepene internkontroll, styringssystem for informasjonssikkerhet og virksomhetens helhetlige styringssystem. Med bruken av begrepet «internkontroll» og «basert på», gir departementet, etter vår vurdering, også handlingsrom for bruken av forvaltningsstandarden 38 fra Difi ut fra virksomhetens egenart samt risiko og vesentlighet. Dette i samsvar med de overordnede føringene for intern kontroll 39 i økonomiregelverket i staten. Samtidig poengterer FAD i parentesen at det vil bli vurdert å stille ytterligere krav til statlige virksomheter om bruk av standarder. Departementet tydeliggjør også at målet ikke er å få et eget selvstendig system, men å implementere standardens krav til styring av informasjonssikkerhet. Dette med fordel som en integrert del i virksomhetens øvrige styringssystem. Rundskrivet kan etter vår vurdering sees på som en presisering av eforvaltningsforskriftens 13, jf. Statskonsults tolkning (gjengitt ovenfor). Rundskrivet gjelder imidlertid kun statlige virksomheter og ikke kommunene. Personvernreglene Personopplysningsloven (pol) er ikke avgrenset til offentlig sektor, men gjelder for alle. Loven er imidlertid avgrenset til personopplysninger, i henhold til lovens Eller annen tilsvarende anerkjent standard 39 Eller internkontroll jf. drøftingen i kapittel

30 I pol 13 Informasjonssikkerhet sies det at den ansvarlige skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet. Videre er det iht. 14 Internkontroll en plikt for den behandlingsansvarlige å etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i loven. Personopplysningsforskriften (pof) utfyller lovens pålegg om informasjonssikkerhet og internkontroll. I kapittel 2 finner vi regler og plikter knyttet til sikkerhetsledelse, sikkerhetsstrategi, risikovurdering, sikkerhetsrevisjon, avvikshåndtering, organisering, personell, taushetsplikt, fysisk sikring og sikring av konfidensialitet, tilgjengelighet og integritet, samt sikkerhetstiltak og sikkerhet hos andre virksomheter. På mange av disse punktene (de fleste) kreves det at det som gjøres blir dokumentert. I tillegg er det til slutt i kapitlet en egen bestemmelse om dokumentasjon av rutiner for bruk av informasjonssystemet og annen informasjon med betydning for informasjonssikkerheten. Innledningsvis i kapittel 2 slås det fast at slike planlagte og systematiske krav må stå i forhold til «sannsynligheten for og konsekvens av sikkerhetsbrudd». I forskriftens kapittel 3 er internkontroll regulert på en mer kompakt måte, og med overlappende regler om internkontroll spesielt rettet mot kravene i pol 13 om planlagte og systematiske tiltak for informasjonssikkerhet. Ordlyden er slik i pof 3-1, 1. ledd: Den behandlingsansvarlige skal etablere internkontroll i samsvar med Personopplysningslovens 14. De systematiske tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse i det omfang det er nødvendig for å etterleve krav gitt i eller i medhold av personopplysningsloven, med særlig vekt på bestemmelser gitt i medhold av personopplysningsloven 13. Selv om personvernreglene ikke nevner begrepet styringssystem for informasjonssikkerhet, er det rimelig klart at reglene gjennom kravene til internkontroll krever et slikt styringssystem. Reglene henviser imidlertid ikke til en standard, men har tatt de konkret kravene inn i forskriften. Kapittel 2 Informasjonssikkerhet i forskriften, har dessuten 16 paragrafer med overskrifter og innhold som har et slektskap til, og delvis bygger på den opprinnelige BS , som er forløperen til ISO Sikkerhetslov og forskrift om sikkerhetsadministrasjon Lov om forebyggende sikkerhetstjeneste (Sikkerhetsloven) gjelder ethvert organ for stat eller kommune. Den kan også gjelde andre som har tilgang til skjermingsverdige objekt eller sikkerhetsgradert informasjon. Sikkerhetsloven pålegger plikt til å utøve forebyggende sikkerhetstjeneste knyttet til skjermingsverdig informasjon og objekter ved tilsiktede handlinger/trusler mot rikets selvstendighet og sikkerhet, samt andre vitale nasjonale sikkerhetsinteresser. Loven definerer forebyggende sikkerhetstjeneste som planlegging, tilrettelegging, gjennomføring og kontroll av forebyggende sikkerhetstiltak. Av de fire forskriftene som er gitt til sikkerhetsloven, er det i forskriften om sikkerhetsadministrasjon vi finner regler som inneholder systemplikter. Denne 26

31 forskriften gjelder imidlertid på tvers for alle fag-/forskriftsområdene under loven (informasjonssikkerhet, personellsikkerhet og sikkerhetsgraderte anskaffelser), slik at systemplikten foreligger for alle områdene. Begrepet sikkerhetsadministrasjon defineres som internkontroll ved gjennomføring av systematiske tiltak for å sikre at virksomhetens aktiviteter planlegges, organiseres, utføres og revideres i samsvar med krav fastsatt i og i medhold av sikkerhetsloven ( 1-2, nr 1). Ivaretakelse og kontroll av sikkerheten skal være en integrert del av virksomhetens øvrige aktiviteter ( 2-2, 1. ledd), og en rekke forhold reguleres nærmere, herunder ansvarsforhold og organisering, opplæring og veiledning, risikohåndtering og -revisjon, samt reaksjoner og rapporteringer ved sikkerhetstruende hendelser. Forskriften har en rekke detaljerte krav. Selv om verken sikkerhetsloven eller forskrift om sikkerhetsadministrasjon nevner begrepet styringssystem for informasjonssikkerhet, er det rimelig klart at også disse reglene i praksis krever et slikt styringssystem. Heller ikke disse reglene henviser til en standard, men har tatt de konkret kravene inn i forskriften. NSM har i sin høringsuttalelse 40 til referansekatalogen v.3.1 uttalt at kravene til styringssystem i ISO sammenfaller i stor grad med kravene gitt i forskrift om sikkerhetsadministrasjon. Standarden kan derfor benyttes så lenge også tilleggskravene i forskriften etterleves. Andre lover og forskrifter som omfatter informasjonssikkerhet Det finnes videre lover inn mot spesielle områder som også i større eller mindre grad tar opp forhold som går på informasjonssikkerhet. Det blir for omfattende å gå inn på dette her, men gjennomgående er de konkrete kravene tatt inn i det områdespesifikke regelverket. Det handler samtidig ofte om risikobaserte planlagte og systematiske tiltak for å oppnå kontinuerlig forbedring. Overordnede styringskrav Mål- og resultatstyring er det grunnleggende styringsprinsippet i staten og er forankret i Stortingets bevilgningsreglement og det statlige økonomiregelverket. Mål- og resultatstyring skal benyttes i alle statlige virksomheter. Regelverket for økonomistyring i staten, også omtalt som økonomiregelverket, er en felles instruks for departementene og underliggende virksomheter i statsforvaltningen. Økonomiregelverket inneholder gjennomgående krav om intern kontroll og at all styring, oppfølging, kontroll og forvaltning i staten skal tilpasses risiko, vesentlighet og virksomhetens egenart 41. Det er virksomhetsledelsen som er ansvarlig for at virksomheten har tilstrekkelig intern kontroll. Departementene skal sikre seg at underliggende virksomheter har dette. Også departementenes kontroll skal være basert på risiko, vesentlighet og virksomhetens egenart. Departementene og underliggende virksomheter er revidert av Riksrevisjonen, som rapporterer til Stortinget SSØ (2005). Risikostyring i staten. Håndtering av risiko i mål- og resultatstyringen, s. 6 27

32 Det er ikke noe tilsvarende detaljert regelverk felles for kommunene, men ansvaret er regulert i kommuneloven. For kommunene er det kommunestyret som har det overordnede kontrollansvaret for den kommunale virksomheten (egenkontroll). Det er videre administrasjonssjefen (rådmannen) som skal sørge for at kommunens aktiviteter drives i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll (internkontroll). I kommuner som er styrt etter en parlamentarisk styringsmodell, har by- eller kommunerådet tilsvarende ansvar. Kommunestyret bruker kontrollutvalget, utpekt av kommunestyret, for å kontrollere rådmannen. Det er kommunestyret som etter innstilling fra kontrollutvalget, avgjør hvilken revisjonsordning kommunen skal ha. Fylkesmannen og spesifikke tilsyn fører med forankring i lov tilsyn med at kommunen har tilstrekkelig egenkontroll generelt og internkontroll på spesifikke områder omfattet av lov og forskrifter. 3.7 ISO og Bakgrunn Historien bak standardene I 1992 ble dokumentet «A Code of Practice for Information Security Management» utgitt av det britiske offentlige organet The Department of Trade and Industry (DTI). Dokumentet var en samling av det DTI anså som beste praksis innen informasjonssikkerhet. Dette dokumentet utgjorde grunnlaget for standarden BS7799 som ble publisert av British Standards Institute (BSI) i 1995 som et sett av anbefalinger om beste praksis innen informasjonssikkerhet. Figur 1: Historien bak standardene I 1999 ble det utledet to nye standarder fra BS7799, henholdsvis del 1 og del 2. Dette skjedde blant annet som et resultat av at næringslivet etterspurte en sertifiseringsmulighet for styringssystem for informasjonssikkerhet. Del 1 (BS7799-1) ble en videreføring av originaldokumentet, med noen nye 28

33 sikringstiltak 42. Del 2 (BS7799-2) ble den nye styringssystemstandarden som virksomheter kunne bli målt og sertifisert mot. BS ble i 2000 re-publisert som en ISO-standard under navnet ISO På tross av sin nylige publisering, fulgte en rekke revisjoner av standarden over flere år 43. Dette skjedde på bakgrunn av mange kommentarer, innspill og innvendinger fra medlemslandene i ISO. Etter fem år med flere revisjoner, ble det i 2005 publisert en mer omforent versjon av ISO Samme året ble BS erstattet av tilsvarende med navnet ISO I 2007 fikk også ISO nytt navn og blir hetende ISO Den nye versjonen var identisk med den gamle utover at navnet ble endret. ISO er pr i dag inne i en prosess med nye revisjoner av ISO og ISO De nye versjonene kommer trolig høsten Årstall i navn Som det fremgår i Figur 1 utgjør årstallet standardene er utgitt siste del av det formelle navnet til standardene. Ofte utelates årstallet i omtalen av standardene og da menes normalt sist utgitte versjon. Vi har i hovedsak gjort dette i denne rapporten. Typer standarder Det er viktig å merke seg at standardbegrepet generelt blir brukt om både krav, anbefalinger og veiledninger. Standarder som består av konkrete krav kan brukes som grunnlag for sertifisering. Dette er en bekreftelse fra en autorisert ekstern revisor om at virksomheten følger kravene i standarden. Dette kan være nyttig for å skape et tillitsforhold mellom parter eller for å sikre etterlevelse på spesielt viktige områder. ISO er en slik kravstandard som virksomheter som ønsker det kan bli sertifisert etter, mens ISO kun er en veiledning rundt tiltak som bør vurderes. Norsk standard Både ISO og er tatt inn som Norsk standard. De har imidlertid kun norsk forside. Innholdet for øvrig står skrevet på originalspråket engelsk. Det formelle navnet er da: NS-ISO 27001:2005 NS-ISO 27002:2005 NS-ISO 27002:2005 var tidligere oversatt til norsk. Det oppstod imidlertid uenighet i det norske fagmiljøet om oversettelsen og det ble pekt på det flere mente var en rekke feil. Noe var språklige forskjeller mellom norsk og engelsk der en ikke har enkeltord som er gjensidig dekkende. Noe var begreper som var 42 På engelsk kalt controls og ofte på norsk kontroller 43 Disse revisjonene er av oversiktsgrunner ikke er tatt med i figur 1 29

34 misforstått og mistolket i oversettelsen. Videre er det nok ifølge utgiver Norsk standard en viss glidning og utvikling i begrepsbruk. Norsk standard valgte derfor å trekke den oversatte utgaven. Pr. i dag er innholdet i begge standardene derfor kun på engelsk. Kostnad Standardene er ikke fritt tilgjengelig. De norske standardene forvaltes av Standard Norge 44 som har enerett på å fastsette og utgi Norsk Standard (NS), og som er det norske medlemmet i CEN 45 og ISO. Standardene kan kjøpes bl.a. via Standard Norge, enten som elektronisk versjon eller i papirform. Prisene ligger rundt kr eks. mva. pr eksemplar, avhengig av type og tilgang. Det gis ulike pakketilbud og rabatter ISO ISO heter på norsk «Informasjonsteknologi Sikringsteknikker Styringssystemer for informasjonssikkerhet Krav». Denne standarden spesifiserer krav til etablering, implementering, drift, overvåking, evaluering, vedlikehold og forbedring av et styringssystem for informasjonssikkerhet. Kravene er generiske og laget for å være anvendbare i alle virksomheter uansett type, størrelse og egenart. Det sies i standarden 46 at det å etablere et styringssystem for informasjonssikkerhet bør være en strategisk beslutning i virksomheten. Det sies videre at det forventes at styringssystemet blir implementert i overenstemmelse med virksomhetens behov, og det trekkes frem som eksempel at en enkel situasjon krever en enkel styringssystemløsning Det blir i en note 47 i standarden sagt at dersom en virksomhet allerede har et operativt styringssystem for virksomhetens prosesser, er det i de fleste tilfeller mest hensiktsmessig å tilfredsstille kravene i standarden innenfor det eksisterende styringssystemet. Standarden baserer seg på prinsippene for kontinuerlig forbedring. Dagens versjon har lagt en versjon av Demings sirkel 48 til grunn for dette, kalt «PDCAmodellen». Modellen består av fire faser; Plan (etablere styringssystemet), Do (implementer og drift styringssystemet), Check (overvåk og revider styringssystemet) og Act (vedlikehold og forbedre styringssystemet). Modellen blir gjennomgått innledningsvis i standarden og er mye brukt i opplæring og pedagogisk tilnærming. Det er nå blitt kjent at omtalen av PDCA-modellen trolig vil bli fjernet fra standarden i forbindelse med neste versjon som er forventet i 2013, men prinsippene for kontinuerlig forbedring vil fremdeles være sentrale i praksis European Committee for Standardization (CEN) Jf. ISO kapittel Jf. ISO kapittel

35 Kjernen i standarden kan forenklet oppsummeres i følgende sett av pålagte dokumenter og prosedyrer: Ledelsens policy for styringssystemet, herunder mål, ansvar og definisjon av akseptabelt risikonivå (risikovilje) Oppdatert oversikt over viktig informasjon i virksomheten og øvrige viktige aktiva som virker inn på informasjonssikkerheten Systematiske og periodiske risikovurderinger Anvendelseserklæring som bl.a. viser en toveis koblingen mellom risiko og valgte sikringstiltak (jf. under) Tiltaksplan i samsvar med anvendelseserklæringen (for å møte risikoer som må håndteres i henhold til ledelsens risikovilje) Hendelses- og avvikshåndtering, inklusiv identifisering og håndtering av sikkerhetshendelser og svakheter i styringssystemet Systematiske interne revisjoner på implementering, etterlevelse og effekt til både styringssystemet, de valgte sikringstiltak Ledelsens gjennomgang av styringssystemet minst en gang årlig, med påfølgende eventuelle endringer i styrende dokumenter mv. Rundt disse ligger det krav til dokumentinnhold, oppfølging, ledelsesengasjement, plikt til tilstrekkelig resursavsetting mv. Det hele blir en gjentakende sløyfe som skal sikre kontinuerlig forbedring av styringssystemet. Standarden kan brukes som grunnlag for sertifisering for de som ønsker det. Sertifiseringen vil eventuelt dokumentere at kravene i standarden etterleves. Kravene utgjør i dagens utgave kun 12 sider av standardens samlede 36 sider. I tillegg til kravene står standardens appendiks A sentralt. Dette er en oversikt over de samme 11 områdene, 39 målene og 133 sikringstiltakene som det er gitt veiledning om i ISO Det er et krav i ISO at virksomheten må ta stilling til alle de 133 sikringstiltakene i appendikset, synliggjøre koblingen mellom valgte tiltak og risikoer i virksomheten som tiltakene skal redusere og begrunne både valg og utelatelse av de enkelte tiltakene. Alt dette skal dokumenteres i en anvendelseserklæring (Statement of Applicability SoA). Det er presisert at appendiks A ikke er uttømmende og at andre mål og sikringstiltak også kan være aktuelle når virksomheten vurderer tiltak for å redusere identifiserte risikoer til akseptabelt nivå. Også disse sikringstiltakene skal da inngå i anvendelseserklæringen. Det er viktig å merke seg at standarden i liten grad stiller krav til utforming og omfang i de enkelte momentene i listen over. Det hele kan gjøres enkelt eller mer omfattende. Det er her handlingsrommet ligger for den enkelte virksomhet til å dimensjonere og tilpasse styringssystemet til eget behov, egen risiko og egenart. Unntaket er kravene til anvendelseserklæringen (jf. over) som flere mindre virksomheter nok kan oppleve krevende. Deler av denne er samtidig nøkkelen for å få dokumentert sammenheng mellom ledelsens styringssignal, de utførte risikovurderingene og de konkrete sikringstiltakene. 49 Jf. kapittel

36 I den nye versjonen av ISO som trolig kommer høsten 2013 er det forventet en vesentlig omstrukturering av innholdet i standarden. Dette bl.a. for å oppnå større harmonisering med andre styringssystemstandarder som ISO Selve innholdet forventes det imidlertid ikke vesentlige endringer i, bortsett fra tillegg av noen nye sikringsområder som bør vurderes 50. I tillegg forventes det som nevnt at den såkalte Plan-Do-Check-Act modellen tones ned eller fjernes helt i den nye versjonen av standarden ISO ISO heter på norsk «Informasjonsteknologi Sikkerhetsteknikk Administrasjon av informasjonssikkerhet». Denne standarden er en veiledning tilknyttet mål og sikringstiltak som bør vurderes innen ulike områder for å holde virksomhetens risikoer innenfor akseptabelt nivå. Relevansen til de enkelte sikringstiltakene bør avgjøres av en forutgående risikovurdering. Veiledningen er strukturert i og omhandler følgende områder: Sikkerhetspolicy Organisering av informasjonssikkerhet Administrasjon av aktiva (informasjonsaktiva m.v.) Personalsikkerhet Fysisk og miljømessig sikkerhet Kommunikasjons- og driftsadministrasjon Aksesskontroll Anskaffelse, utvikling og vedlikehold av informasjonssystemer Administrasjon av informasjonssikkerhetsbrudd Kontinuitetsplanlegging Samsvar (etterleve regelverk) Innenfor disse 11 områdene er det totalt omtalt 39 mål og 133 underliggende sikringstiltak som kan være relevante for å redusere identifiserte risikoer i virksomheten. Disse er de samme som i appendiks A i ISO Implementerte tiltak skal føre til at restrisikoen blir redusert til et akseptabelt nivå. Det sies i standarden 51 at ressursene som brukes på sikringstiltak, må veies opp mot de mulige skadene ved sikkerhetssvikt. Standarden inneholder også en kort veiledning 52 om risikovurderinger og risikohåndtering. Dagens utgave av veiledningen er på totalt 97 sider og er svært overordnet. For å illustrere nivået sikringstiltakene er på, kan vi nevne følgende eksempler hentet fra ulike områder i standarden: Arbeidsoppgaver og ansvarsforhold bør deles for å redusere mulighetene for uautorisert eller utilsiktet endring eller misbruk av virksomhetens aktiva. 50 Jf. kapittel om forventete endringer i ISO Jf. ISO kapittel Jf. ISO kapittel 4 32

37 En policy for aksesskontroll bør utarbeides, dokumenteres og gjennomgås på grunnlag av virksomhetskravene og kravene til sikring av aksess. Klokkene i alle relevante informasjonsbehandlingssystemer i en virksomhet eller et sikkerhetsdomene bør synkroniseres med en avtalt nøyaktig tidsangiver. Veiledningens hovedinnhold er aktuelle retningslinjer for hvordan et eventuelt valgt sikringstiltak bør implementeres. Veiledningen er her i stor grad punktvis og har ikke begrunnelser eller utdypende forklaringer. Den forutsetter derfor en del basiskunnskap innen sikkerhetsområdet, men i liten grad spesifikk teknisk kompetanse. I noen tilfeller gis det klare overordnede føringer for hva som bør gjøres eller hvor omfattende sikringstiltaket bør være. I andre tilfeller er det mer punkter som skal/bør vurderes eller benyttes dersom de er relevante. Flere av sikringstiltakene er på et slikt nivå at implementeringen vil eller kan medføre flere selvstendige rutinebeskrivelser, tekniske tiltak mv. Veiledningen er derfor godt egnet som grunnlag for utarbeiding av en policy for virksomheten innen valgte områder, valgte mål og valgte sikringstiltak. Dette som grunnlag for implementering og etterkontroll. I den nye versjonen av ISO som trolig kommer høsten 2013, forventes det en del endringer på struktur i dokumentet. Det kommer også til noen nye mål, sikringstiltak og retningslinjer for noen nye områder. Det forventes også noen mindre endringer i tidligere mål, sikringstiltak og retningslinjer Kobling til andre styringssystemstandarder Det eksisterer i dag en rekke styringssystemstandarder for ulike områder, utgitt både av ISO og andre standardiseringsorganisasjoner. Av de mest kjente kan nevnes ISO 9001 (kvalitet), ISO (miljø), OHSAS (HMS) og den vi har gått nærmere inn på her ISO (informasjonssikkerhet) Hver av disse standardene inngår i en «familie» av standarder 54 av ulik type men innen samme hovedtema. Noen av standardene inneholder krav og andre er veiledninger innen ulike prosesser, fremgangsmåter mv. Familiene har første del av tusenummerserien felles og det er dette som identifiserer familien de tilhører. Figur 2: De ulike perspektivene 53 Occupational Health and Safety Management Systems utgitt av British Standard 54 Jf. figur 2 33

38 Figur 3 viser en oversikt over et utdrag av standardene i ISO familien. Det er denne familien de to standardene vi har fokus på i denne rapporten er en del av. Figur 4 viser tilsvarende for ISO 9000-familien og Figur 5 for ISO familien. Antall standarder og innretning på dem innen hver familie varierer sterkt. Samtidig er alle standardene under jevnlig utvikling/forbedring. Figur 3: Utdrag av ISO familien Figur 4: ISO 9000-familien med relaterte standarder 34

39 Figur 5: Utdrag av ISO familien Felles for de standardfamiliene som omhandler et styringssystem innen et område, er at standarden med krav til styringssystemet har nummeret 1 i tusennummerserien, eks. ISO og ISO Det er ulike internasjonale arbeidsgrupper som utarbeider og reviderer standardene innen de enkelte familiene. Medlemmene i arbeidsgruppene har selvsagt ulike erfaringer, holdninger, mv. fra egne land og kulturer, og utformingen og revisjonene blir da selvfølgelig også til gjennom en rekke diskusjoner og kompromiss. Det er samtidig erkjent av de fleste at kravene og anbefalingene til styringssystemene bør harmoniseres på tvers av familiene. De skal jo egentlig alle være deler av det samme overordnede eller helhetlige styringssystemet. At det oftest er mest hensiktsmessig å integrere kravene til et styringssystem for informasjonssikkerhet i eksisterende styringssystem i stedet for å etablere et selvstendig nytt styringssystem for informasjonssikkerhet, er som tidligere nevnt også bemerket direkte i ISO ISO har nylig avsluttet et arbeid for å få identisk struktur, tekst og felles termer og definisjoner for fremtidens styringssystemstandarder 55. Dette vil medføre at nye og nyreviderte styringssystemstandarder vil bli mer konsistente, noe som skal gjøre integrasjon mellom dem enklere. De nye endringene skal ifølge ISO også gjøre styringssystemstandardene lettere å lese og forstå for brukerne. Tre styringssystemstandarder er allerede publisert i denne nye harmoniserte strukturen, og ytterligere syv standarder er på vei i ny struktur. ISO er som nevnt over en av disse standardene som trolig kommer i ny versjon og struktur i ISO, Management makeover - New format for future ISO management system standards, 35

40 Hovedhensikten med harmoniseringen er å legge til rette for felles rammeverk for styring av ulike områder i en virksomhet. Et av poengene med å beholde ulike styringssystemstandarder er at ikke alle områder er relevante for alle virksomheter. I tillegg vil enkelte elementer i styringssystemet alltid være områdespesifikt. Samtidig som denne harmoniseringen blant ISO-standardene skaper grunnlag for bedre forståelse for helhetlig styring og helhetlige styringssystem i virksomhetene, synliggjør den også andre utfordringer for samordning og helhet når en vil basere styringsprosesser på områdestandarder. Også de øvrige standardene innen de enkelte familiene, eksempelvis veiledninger, kan ha paralleller med større eller mindre forskjeller i andre familier. Det kan også være andre enn ISO som gir ut rammeverk, kravsstandarder eller veiledninger som naturlig bør inngå i det helhetlige styringssystemet ISO-standardene ønsker å stimulere til. Det er derfor viktig at virksomhetene ser dette og er beviste de valg de gjør når de velger standarder og rammeverk de vil benytte i egen virksomhetsstyring. Det er også viktig å vite hvilke standarder som faktisk er kravsstandarder og hva som er veiledninger. Det mest synlige obs-punktet i vår sammenheng er valg av metodikk for risikovurdering. Det er et krav i ISO at virksomhetene skal gjøre et slikt valg, men det er ikke føringer på hvilken metodikk som bør velges. Metodikken kan velges innen familien, fra ISO-standardene for øvrig eller fra andre rammeverk. ISO familien fikk sin første veiledning innen risikoområdet i 2008 gjennom standarden ISO «Information Security Risk Management». Delvis parallelt ble det i en annen arbeidsgruppe under ISO arbeidet med en egen generell veiledningsstandard for risikostyring. Denne ble publisert i 2009 under navnet ISO «Risk management Principles and guidelines». Denne gir prinsipper og generelle retningslinjer for risikostyring, og er ikke knyttet opp mot noen spesiell sektor eller fagområde. Standarden skal kunne brukes for alle typer risikoer uavhengig av positiv eller negativ konsekvens. Publiseringen av ISO medførte en revisjon av ISO for å få en harmonisering med førstnevnte. Den nye versjonen av ISO ble deretter publisert i Denne benytter nå det generelle rammeverket gitt i ISO 31000, og spisser dette mot området informasjonssikkerhet. ISO fungerer dermed nærmest som en overordnet «moderstandard» for risikostyring, og danner grunnlaget for eventuelle «understandarder» for risikostyring innen ulike områder. Sammenhengen er illustrert i Figur 6. En bør også være oppmerksom på at det finnes en rekke andre metodikker for risikostyring innen ulike områder og rammeverk. Dette gir grunnlag for en viktig strategisk vurdering og valg dersom ledelsen i størst mulig grad ønsker samme risikometodikk i virksomheten. 36

41 Figur 6: Utviklingen av risikostyringsstandardene 37

42 4 Erfaringer med og råd om innføring av styringssystem for informasjonssikkerhet Difi har i dette prosjektet gjennomført en intervjubasert undersøkelse høsten 2012 om innføring og bruk av styringssystem for informasjonssikkerhet, med spesiell vekt på erfaringer med ISO Dette kapittelet har som mål å oppsummere og analysere erfaringer og formidle konkrete råd videre fra virksomhetene vi har intervjuet 56. Kapittelet er inndelt i seks områder og for hvert område tar vi for oss funn og observasjoner, Difis vurderinger samt råd fra virksomhetene. 4.1 Ledelsesforankring og kompetanse Funn og observasjoner Revisjons- og tilsynsmyndighetene sier i vår undersøkelse at tilstanden er svært variabel i forvaltningen når det gjelder styringssystem for informasjonssikkerhet. Mange virksomheter har implementert en rekke sikkerhetstiltak, men det er kun noen få som etter deres erfaring har fullverdige fungerende styringssystem. Noen virksomheter har allikevel jobbet med dette i mange år, og har kommet langt på vei. Andre har ennå ikke startet dette arbeidet. Revisjons- og tilsynsmyndighetene sier at det finnes gjengangere der det står akseptabelt til. Dette er gjerne store virksomheter. For mange andre står det dårlig til med styring og internkontroll innen informasjonssikkerhet. Revisjon og tilsyn har vist at mange virksomheter i forvaltningen synes gjennomgående å slite med å forstå hva et styringssystem faktisk er. Mange har overordnede mål og policyer, men det kan synes som om de ofte mangler tilhørende risikovurderinger, kobling til valgte sikkerhetstiltak, avvikshåndtering, jevnlige revisjoner samt ledelsesforankring. Videre er det variasjon i virksomhetenes oppfattelse av hvorvidt de bør ha ett eget styringssystem for informasjonssikkerhet, eller om det bør være et helhetlig styringssystem/kvalitetssystem som i tillegg dekker flere områder som målstyring, HMS, miljøledelse osv. Mange ansatte var forvirret over alle de ulike styringssystemene, og lederne jobbet veldig med å få kontroll og oversikt over disse (Kvalitetsleder i virksomhet som nå har et integrert styringssystem for alle områder) Erfaringer etter revisjoner og tilsyn viser at de fleste virksomhetene har bra styring innen HMS og regnskap. Trolig fordi dette har vært sterkt vektlagt tidligere og er noe ledere ofte har blir målt på. Revisjons- og tilsynsmyndighetene trekker fram at virksomheter som ser styringssystemene som 56 Jf. kapittel

43 helhet, ofte har en større modenhet og klarer derfor også å ta ut synergieffektene. Virksomheter med lavere modenhet gjør gjerne ting dobbelt opp. Hos mange virksomhetene ser den saksansvarlige styringssystemet ofte kun ut fra sitt ansvarsområde. For eksempel ser HMS-ansvarlig bare HMSområdet, informasjonssikkerhetsansvarlig ser bare informasjonssikkerhet og økonomiansvarlig ser bare økonomistyringen. De ulike virksomhetene vi har intervjuet har hatt en svært forskjelligartet tilnærming til sitt styringssystem for informasjonssikkerhet. Enkelte virksomheter har hatt en «bottom-up»-tilnærming. For disse har implementeringsarbeidet oppstått som et lokalt initiativ nede i organisasjonen, gjerne hos IKT-miljøet, uten noen spesiell styring fra ledelsen. Andre virksomheter har hatt en «top-down»-tilnærming, der en sterk toppleder har gitt klare føringer nedover i organisasjonen om hvordan styringssystemet skal bygges opp og henge sammen. Tilsyns- og revisjonsmyndighetene påpeker i denne sammenheng at styringskompetanse hos lederne og hos nøkkelpersonell i virksomhetene, er helt sentralt når det kommer til den faktiske ledelsesforankringen av styringssystemet. De bemerker også at det i de virksomhetene der ledelsen har vært involvert fra starten, er det mer fremgang og driv for å få på plass et styringssystem. Ledelsesforankring gir fart og retning (Revisjons-/tilsynsmyndighet) For virksomheter som ikke har hatt noen klare føringer fra toppen, har varsel om eksterne tilsyn eller revisjoner, eller anmerkninger etter slike besøk, hatt en sterk igangsettelseskraft. Dette har ført til at toppledere har blitt bevisste sitt ansvar, eller at IKT-miljøet har brukt revisjonens innretning eller merknader som «brekkstang» oppover i organisasjonen for å få oppmerksomhet rundt temaet. De virksomhetene vi intervjuet som har etablert et styringssystem for informasjonssikkerhet, sier at virksomheten har systematisk behandling av informasjonssikkerhet på dagsorden i ledergruppen. Dette skjer for eksempel i form av ledelsens gjennomgang av informasjonssikkerhet som en fast del av årshjulet. Noen virksomheter har tilsvarende gjennomgang også på lavere nivå i organisasjonen. Resultatene her akkumuleres da til toppledernivå og deres videre gjennomgang. Også virksomheter som ikke har vektlagt å få et styringssystem for informasjonssikkerhet, sier de jevnlig har ledelsens gjennomgang av informasjonssikkerhet. Flere toppledergrupper i virksomhetene viser et stort engasjement om temaet informasjonssikkerhet når dette først kommer på dagsorden på en måte som angår dem. Det synes å være en større realitetsbehandling og diskusjon når informasjonssikkerhet er integrert i den øvrige virksomhetsstyringen. For flere 39

44 virksomheter synes imidlertid ledelsesbehandlingen av informasjonssikkerhet å være en papirøvelse for å oppfylle kravet. Det blir lett kun en aksept av saksbehandlers forslag. Gode sikkerhetsfolk med virksomhetsperspektiv synes å være en nøkkelfaktor for å få både godt ledelsesengasjement og forankring i organisasjonen for øvrig. Også blant virksomheter som ikke har et bevisst forhold til ISO 27001, er det tilfeller hvor de har etablert et styringssystem som til en viss grad dekker informasjonssikkerhetsområdet. I slike tilfeller er ledelsens helhetlige forståelse for kvalitetssystem, styringssystem og internkontroll avgjørende for den reelle styringen av informasjonssikkerheten Difis vurderinger Ledelsesforankring er en forutsetning og styringskompetanse en utfordring Styringskompetanse hos lederne og hos nøkkelpersonell i virksomhetene, synes å stå sentralt når det kommer til den faktiske ledelsesforankringen av styringssystemet for informasjonssikkerhet. Det ser også ut til å være en sammenheng mellom implementeringstilnærmingen for styringssystemet, og virksomhetenes faktiske evne til å få styringsdelen til å fungere. Blant de spurte virksomhetene viser det seg at toppstyrt innføring ofte gir mest innretning mot et helhetlig styrings- eller kvalitetssystem. Når initiativene kommer nedenfra i organisasjonen, ser virksomhetene i stor grad ut til å få egne selvstendige styringssystemer for informasjonssikkerhet med svakere forankring hos ledelsen og i virksomheten forøvrig. Det synes også å være mindre kunnskap om virksomhetens øvrige styringssystemer når det hos noen informanter argumenteres for at det er behov for et eget styringssystem for informasjonssikkerhet. Det synes som en klar trend at sterk og tydelig ledelsesforankring, samt forståelse for arbeidet med styringssystem for informasjonssikkerhet og virksomhetsstyring generelt, er en forutsetning for å få et velfungerende styringssystem også innen informasjonssikkerhet. Det er videre klare indikasjoner på at en sentral utfordring er ledelsens kompetanse og modenhet for å se styring av informasjonssikkerhet som en del av virksomhetsstyringen. Intervjuer med svenske og danske myndigheter underbygger dette. De sier også der at styringssystemkompetansen i virksomhetene er den største utfordringen. Dette selv om disse landene har hatt en mer systematisk tilnærming til styring av informasjonssikkerhetsområdet tidligere. Det er samtidig verdt å merke seg at en synes å legge større vekt på sammenhengen mellom styringssystem innen ulike områder i Sverige enn i Danmark. 40

45 Jeg blir ikke målt på sikkerhet (Virksomhetsleder) Det lederen blir målt på blir prioritert Tilsyns- og revisjonsmyndighetene påpeker at ledere i stor grad vil prioritere de aktivitetene de blir målt på. For å få den nødvendige ledelsesprioriteringen for arbeid med styring av informasjonssikkerhet, er det klare signaler fra både revisjons- og tilsynsmyndigheter og virksomheter om at toppledere bør måles på dette. Som et sentralt virkemiddel trekker flere frem at styring av informasjonssikkerhet systematisk bør inngå i styringsdialogen med overordnet departement. Da får området ledelsens interesse og engasjement. Et korrekt bilde av status krever at blikket rettes mot innhold og virkemåte i styringssystemet Tall fra Statistisk sentralbyrå (SSB) etter en kartlegging 57 om bruken av IKT i 260 statlige virksomheter av ulik størrelse, indikerer rimelig stor oppmerksomhet rundt informasjonssikkerhet i virksomhetene, både når det gjelder IKT-strategi og styringssystem. Dette er synliggjort ved noen nøkkeltall fra undersøkelsen: 95,6 % sier at deres IKT-strategi også omfatter informasjonssikkerhet. 57,2 % har en ajourført IKT-strategi for ,5 % sier at virksomheten har etablert et styringssystem for informasjonssikkerhet. 63,7 % sier at dette er basert på ISO ,8 % sier de har en sikkerhetspolicy. 73,3 % sier at de har rutiner for håndtering av sikkerhetshendelser. Ved å se disse tallene for seg, kan det synes som om de fleste statlige virksomheter har kommet langt på vei med etablering av et styringssystem for informasjonssikkerhet med tilhørende aktiviteter. Som vist over gir revisjonsog tilsynsmyndighetene i våre intervjuer en noe annerledes virkelighetsbeskrivelse enn den som fremkommer av SSB-undersøkelsen. Også våre intervjuer med virksomheter som skulle ha vært kommet langt, indikerer et annet bilde enn det SSB-undersøkelsen viser. Mange virksomheter 57 Bruk av informasjons- og kommunikasjonsteknologi i staten