Krav til det offentlige om styringssystem


Endringer i  eForvaltningsforskriften § 15 setter krav til at offentlige virksomheter har et styringssystem for informasjonssikkerhet. Dette betyr at det settes krav i lovverket om at de offentlige virksomhetene skal ha god intern styring og kontroll (internkontroll) med sin informasjonssikkerhet. Styringssystemet skal basere seg på anerkjente standarder for informasjonssikkerhet, og bør også være en integrert del av virksomhetens styringssystem. Det er Direktoratet for forvaltning og IKT (DIFI) som skal gi anbefalinger på området.

DIFI har besluttet at det er ISO/IEC 27001 som er den anbefalte standarden de offentlige virksomhetene skal bruke. DIFI er rådgiver på området.

NorSIS anbefaler

Alle virksomheter bør ha et styringssystem og forholde seg til god skikk og bruk på området innen informasjonssikkerhet. Dette er en god måte å sikre sin informasjon og sine verdier på.

Et styringssystem er en ryddig verktøykasse for informasjonssikkerheten til virksomheten.

Les mer

DIFI om valg av standarder

Eforvaltningsforskriftens § 15 (Kapittel 3) omhandler styring og kontroll med IKT-sikkerheten.

Informasjon fra NorSIS er hentet fra flere kilder. NorSIS vurderer informasjon før publisering, men NorSIS kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.