Det er en mengde lover, forskrifter og instrukser som pålegger virksomheter, private og offentlige, å ivareta informasjonssikkerheten. Disse regelverkene har forskjellige formål, opphav og tilnærminger. Både begrepsbruk og måten informasjonssikkerhet reguleres på varierer i stor grad. Sågar begrepet informasjonssikkerhet i seg selv er definert på forskjellige måter i forskjellige regelverk. Dette gjør at regelverkene oppleves som vanskelige å etterleve. I tillegg er det flere offentlige organer og tilsynsmyndigheter som arbeider med, gir råd og veiledning innen eller fører kontroll med informasjonssikkerheten. For en virksomhet, spesielt statlig virksomhet som kan falle inn under svært mange regelverk, skaper dette utfordringer med etterlevelsen. Denne undersøkelsen ser på hvordan noen av de mest sentrale regelverkene som offentlige virksomheter er underlag, personopplysningsloven, sikkerhetsloven og eforvaltningsforskriften regulerer informasjonssikkerhet. Spesielt vil det sees på i hvilken grad de pålegger virksomheter å etablere styringssystemer, bruke anerkjente standarder i arbeidet og samordne arbeidet med informasjonssikkerhet med andre aktiviteter i virksomheten. Dersom det finnes likehetstrekk i hvordan dette reguleres, vil det kanskje gjøre det enklere å etterleve regelverkene? Sett i sammenheng med resultater fra tilsyn og revisjoner på informasjonssikkerhetsområdet forsøker denne oppgaven å gi noen svar som kan belyse dette.