Styringssystem ()
Evne til å evaluere, forbedre, fornye styringssystem for informasjonssikkerhet. ### Begrunnelse (Hvorfor) Kapabiliteten sikrer at virksomheten systematisk vurderer hvordan det nåværende sikkerhetsstyringssystemet fungerer, identifiserer forbedringsområder og tilpasser eller oppdaterer systemet for å møte nye trusler, sårbarheter og endringer i virksomhetens behov eller omgivelser. Den løser behovet for kontinuerlig forbedring av informasjonssikkerheten, slik at sikkerhetstiltak ikke blir statiske, utdaterte eller utilstrekkelige i møte med endringer i risiko, teknologi, regelverk og tjenestekjeder. ### Hva det innebærer (Omfang) - **Juridisk (Høy vekt):** Sikre at styringssystemet understøtter etterlevelse av krav til informasjonssikkerhet, personvern, internkontroll, risikostyring, dokumentasjon og ansvar. - **Organisatorisk (Svært høy vekt):** Gjennomføre regelmessige risikovurderinger, kontrollere om sikkerhetstiltak er effektive og implementere tiltak for å lukke identifiserte sikkerhetsgap. - **Semantisk (Middels vekt):** Sikre felles forståelse av risiko, trusler, sårbarheter, sikkerhetstiltak, avvik, kontrollmål og modenhetsnivå, slik at vurderinger og rapportering kan sammenlignes på tvers. - **Teknisk (Høy vekt):** Bruke verktøy og mekanismer for risikoregistrering, avvikshåndtering, kontrolloppfølging, måling av sikkerhetstilstand, dokumentasjon og overvåking av tekniske sikkerhetstiltak. ### Bidrag til sammenhengende tjenester og felles økosystem Et velfungerende styringssystem for informasjonssikkerhet gir virksomheter bedre kontroll på risiko og sikkerhetstiltak når de inngår i felles tjenestekjeder. Når sikkerhet vurderes, forbedres og dokumenteres systematisk, blir det tryggere å dele data, bruke fellesløsninger og koble tjenester sammen på tvers av virksomheter. Kapabiliteten styrker det felles økosystemet ved å øke tilliten til at aktørene håndterer informasjonssikkerhet på en strukturert og etterprøvbar måte. For sluttbrukeren betyr dette tryggere og mer stabile digitale tjenester, der informasjon beskyttes også når den flyter mellom flere aktører.