Endringer i eForvaltningsforskriften § 15 setter krav til at offentlige virksomheter har et styringssystem for informasjonssikkerhet. Dette betyr at det settes krav i lovverket om at de offentlige virksomhetene skal ha god intern styring og kontroll (internkontroll) med sin informasjonssikkerhet. Styringssystemet skal basere seg på anerkjente standarder for informasjonssikkerhet, og bør også være en integrert del av virksomhetens styringssystem. Det er Direktoratet for forvaltning og IKT (DIFI) som skal gi anbefalinger på området.
DIFI har besluttet at det er ISO/IEC 27001 som er den anbefalte standarden de offentlige virksomhetene skal bruke. DIFI er rådgiver på området.
NorSIS anbefaler
Alle virksomheter bør ha et styringssystem og forholde seg til god skikk og bruk på området innen informasjonssikkerhet. Dette er en god måte å sikre sin informasjon og sine verdier på.
Et styringssystem er en ryddig verktøykasse for informasjonssikkerheten til virksomheten.
Les mer
Eforvaltningsforskriftens § 15 (Kapittel 3) omhandler styring og kontroll med IKT-sikkerheten.