styringssystem (informasjonssikkerhet)

Styringssystem for informasjonssikkerhet er de kontinuerlige prosessene og aktivitetene som skal sikre oversikt samt et systematisk og helhetlig arbeid med informasjonssikkerheten. Styringssystemet er en av de elementene som skille fagområdet informasjonssikkerhet fra fagområdet datasikkerhet. Å ha et styringssystem kan også være lovpålagt, for eksempel gjennom aktiviteter som følger sikkerhetsloven eller personopplysningsloven.

Styringsystem omtales også ofte som internkontroll eller ledelsessystem. I utgangspunktet er begrepene overlappende, men prosesser kan vektlegges noe ulikt.

Hensikten og gevinsten med et styringssystem er blant annet:

• Tiltak som gjøres er veloverveide og uten ukjente sideeffekter
• Tiltak kan prioriteres, og velges ut i fra hvilke som best mulig utnytter begrensede ressurser innenfor gitte rammer
• Systemet fanger opp tiltak som ikke gir ønsket effekt
• Dokumentasjon og enkel informasjonsutveksling om status og planer for informasjonssikkerheten.

De vanligste aktivitetene er etablering og planlegging, risikovurdering, risikohåndtering, måling og evaluering samt revisjon. I tillegg er ofte overvåking, deteksjon og hendelseshåndtering samt kompetanseutvikling og utvikling av god sikkerhetskultur viktige komponenter i styringssystemet. Støtteaktivitetene dokumentasjon og kommunikasjon er også sentrale.

Det finnes en rekke standarder og anbefalinger å bygge et styringssystem på. Blant annet er ISO 27001 og NIST vanlige fundament. Digitaliseringsdirektoratet har også laget veilederen internkontroll i praksis.

Mørketallsundersøkelsen 2022 viser at 51 prosent av bedriftene i undersøkelsen benytter et styringssystem (37 prosent nei, 12 prosent vet ikke). Blant de som hadde et styringssystem oppdaget 35 prosent hendelser ved en tilfeldighet, mot 53 prosent for de som ikke hadde et styringssystem. 47 prosent av de med et styringssystem oppdaget hendelser ved rutinemessig intern sikkerhetsmonitorering, mot 28 prosent for de uten styringssystem.