Hopp til innhold

Difi - Direktoratet for forvaltning og IKT

Digitaliseringsdirektoratet

Internkontroll/styringssystem (Versjon 1.5)

Søkeskjema

Tekststørrelse A+ A a For å endre tekststørrelsen, hold Ctrl-tasten nede og trykk på + for å forstørre eller - for å forminske.
  • Hjelp
  • Kontakt oss
  • Om veilederen
Meny
Hjem » Systematiske aktiviteter » Kompetanse- og kulturutvikling
  • Hjem
  • Sammendrag
  • Systematiske aktiviteter
    • Ledelsens styring og oppfølging
    • Risikovurdering
    • Risikohåndtering
    • Overvåking og hendelseshåndtering
    • Måling, evaluering og revisjon
    • Kompetanse- og kulturutvikling
    • Kommunikasjon
  • Etableringsaktiviteter
  • Utdypninger
  • Godt å vite

Kompetanse- og kulturutvikling

Dette er en beskrivelse av delaktivitetene under Kompetanse- og kulturutvikling. Det er vist til eksempler under aktiviteter som har slike.

Målgruppe

  • fagansvarlig informasjonssikkerhet
    • Hele beskrivelsen
  • personer som skal forberede eller lede enkeltaktiviteter
    • Enkeltaktiviteter avhengig av ansvarsområde  

Innhold

  • Innledning
  • Identifisere behov løpende
  • Følge opp behovene systematisk
  • Følge opp lokale sikkerhetskoordinatorer

1 Innledning

Et viktig grunnlag for internkontrollen er at de ansatte på alle nivå har nødvendig kunnskap, er bevisst på hvorfor informasjonssikkerhet er viktig, og har tilstrekkelige ferdigheter til å utføre arbeidet sitt i tråd med denne kompetansen.

1.1 En avgjørende del av internkontrollen

Både kompetanse og kultur er en avgjørende del av internkontrollen. Kompetanse er de samlede kunnskaper, ferdigheter, evner og holdninger som gjør det mulig å utføre aktuelle oppgaver i tråd med definerte krav og mål. [1] Organisasjonskultur er den uoffisielle påvirkningen som skjer mellom ansatte. Den blir ofte omtalt som «slik gjør vi det hos oss».

Ved å øke de ansattes kompetanse om informasjonssikkerhet og internkontroll, og forklare dem hvorfor informasjonssikkerhet er viktig i deres arbeidshverdag, underbygger man en god sikkerhetskultur i virksomheten. Alle ansatte må kjenne til, være bevisst og i stand til å etterleve sitt ansvar. Organisasjonskulturen må understøtte forståelse, kompetanse samt etterlevelse og forbedring av krav og sikkerhetstiltak. Det innebærer også identifisering, justering og fjerning av krav og tiltak som har liten nytte, eller som gir negative sideeffekter for alle eller deler av organisasjonen.

1.2 Kontinuerlig aktivitet for å redusere risiko

Kompetanse- og kulturutvikling er en kontinuerlig aktivitet og prosess der kompetanse og kultur blir utviklet i samhandling med andre. Dette må skje i hele organisasjonen. Som en del av dette vil det være behov for aktiviteter rettet mot å heve kunnskap, bevisstgjøring og forbedre ferdigheter. Å sørge for tilstrekkelig informasjon, opplæring og kulturutvikling er tiltak for å redusere risiko.

1.3 Aktiviteter

Under følger en beskrivelse av hver av de systematiske aktivitetene som inngår i kompetanse- og kulturutvikling. Ledere på alle nivå må

  • Identifisere behov løpende
  • Følge opp behovene systematisk

Fagansvarlig informasjonssikkerhet må:

  • Følge opp lokale sikkerhetskoordinatorer

*****

2 Identifisere behov løpende

Ansvarlig for gjennomføring:

  • Ledere på alle nivå.

2.1 Om aktiviteten

Det er viktig å opprettholde kompetansen og vedlikeholde en organisasjonskultur der de ansatte på alle nivå er bevisst sitt ansvar for informasjonssikkerheten og de systematiske aktivitetene i internkontrollarbeidet.

Å identifisere behov for kompetanse- og kulturutvikling er en ordinær og kontinuerlig aktivitet i lederarbeid på alle nivå. Det må også omfatte behov innen informasjonssikkerhet, dvs.:

  • Forståelse av hva informasjonssikkerhet handler om
  • Forståelse og gjennomføring av internkontrollaktivitetene
  • Forståelse og etterlevelse av krav, prosedyrer, rutiner og andre sikkerhetstiltak

2.2 Behovet endrer seg

Behovet for kompetanse- og kulturutvikling innen informasjonssikkerhet vil endre seg over tid. De første årene man arbeider systematisk med internkontroll på informasjonssikkerhetsområdet, kan det være nødvendig med hyppigere opplæringsaktiviteter for å heve kompetansen til et tilstrekkelig nivå, og for å skape en god sikkerhetskultur i virksomheten.

Behovet kan også endre seg, for eksempel fordi man får nye ansatte, de ansattes kompetanse endrer seg, eksterne krav endrer seg eller fordi risikobildet endrer seg. Man kan også ha behov for mer initiativ for å forbedre sikkerhetskulturen.

I tillegg vil det være behov for opplæring når man innfører nye systemer eller tjenester, eller gjør større endringer på systemer eller arbeidsoppgaver. Det er viktig at informasjonssikkerhet inngår som en del av denne opplæringen.

2.3 Identifisering av behov

Identifisering av behov for kompetanse- og kulturutvikling bør gjøres løpende som en del av internkontrollarbeidet i virksomheten. Behovene kan identifiseres gjennom ulike aktiviteter, for eksempel:

  • risikovurderinger
  • revisjoner, evalueringer og kartlegginger
  • virksomhetsledelsens gjennomgang

I tillegg er formelle og uformelle medarbeidersamtaler og observasjoner i gjennomføring av arbeidet viktige kilder. Å sørge for tilstrekkelig informasjon og opplæring må anses og behandles som et tiltak for å redusere risiko.

Utfyllende informasjon og støtte

Digitaliseringsdirektoratet har utarbeidet et sett med kompetansebeskrivelser for aktuelle roller som jobber med informasjonssikkerhet i en virksomhet. Disse kompetansebeskrivelsene kan benyttes av ulike ressurser i virksomheten når nye personer skal ansettes, eller man skal kartlegge om man har tilstrekkelig og ønsket kompetanse i virksomheten. Dette kan være virksomhetsledelsen, fagansvarlig informasjonssikkerhet, ledere i ulike posisjoner etc. Kompetansebeskrivelsene skal kunne inngå i den veiledning og støtte personalavdelingen i offentlige virksomheter gir ledelse og ansettelsesråd i ansettelsesprosesser.

Kompetansebeskrivelser - styring og kontroll av informasjonssikkerhet

*****

3 Følge opp behovene systematisk

Ansvarlig for gjennomføring:

  • Ledere på alle nivå.

3.1 Om aktiviteten

Når man har identifisert behov for kompetanseheving og/eller kulturutvikling, må dette behovet møtes ved å gjennomføre tiltak. Digitaliseringsdirektoratets veileder «Veileder i kompetanse- og kulturutvikling innen informasjonssikkerhet» tar for seg hvordan man kan bygge opp et helhetlig opplæringsprogram. Følgende er vesentlig når opplæringstiltak skal planlegges og gjennomføres:

  • Tilpasse tiltak til riktig målgruppe
  • Ta i bruk hensiktsmessig virkemiddel
  • Se tiltak i sammenheng (både opplæring innen informasjonssikkerhet og annen opplæring i virksomheten)
  • Måle effekten av tiltak

3.2 Variasjon i virkemidler

Digitaliseringsdirektoratet anbefaler å ta i bruk ulike virkemidler, slik at det blir variasjon i opplæringen. Med virkemidler mener vi her for eksempel kurs, foredrag, e-læringskurs, plakater osv. Dette fordi man kan få bedre effekt ved å bruke ulike kanaler, og fordi det varierer fra person til person hvilke virkemidler som treffer. Avhengig av målgruppe, tema og forkunnskaper kan opplæringen være i form av alt fra kortfattet informasjon i brosjyrer, plakater etc. til egne kursopplegg.

I tillegg bør man alltid vurdere hva som bør gjennomføres på virksomhetsnivå, i enkelte organisatoriske enheter, for mindre grupper eller enkeltpersoner.

Ved å behandle opplæring som et tiltak blir risikoeiere sentrale målgrupper for tilbakemeldinger om effekten av opplæringen.

3.3 Lokal oppfølging

Vi anbefaler at virksomhetene utpeker lokale sikkerhetskoordinatorer, avhengig av virksomhetens størrelse og organisering. Disse kan bistå og bidra i arbeidet med å følge opp behovene for kompetanse- og kulturutvikling lokalt.

Eksempler og støtte

  • Eksempel på opplæringstema for ulike målgrupper
  • Digitaliseringsdirektoratets Veileder i kompetanse- og kulturutvikling innen informasjonssikkerhet handler om hvordan man arbeider med å utforme et helhetlig opplæringsprogram innen informasjonssikkerhet i virksomheten. Vi anbefaler at man baserer seg på denne veilederen når man arbeider med kompetanse- og kulturutvikling i virksomheten. 

*****

4 Følge opp lokale sikkerhetskoordinatorer

Ansvarlig for gjennomføring:

  • Fagansvarlig informasjonssikkerhet.

4.1 Om aktiviteten

For å sikre god effekt av lokale sikkerhetskoordinatorer, bør fagansvarlig informasjonssikkerhet ha jevnlige møter med dem slik at de kan dele erfaringer og lære av hverandre. Dette er en viktig del av denne gruppens kompetanse- og kulturutvikling. Det vil ofte ha stor indirekte betydning for både ledernes innstilling og det praktiske arbeidet med internkontroll og informasjonssikkerhet rundt om i virksomheten.

4.2 Samarbeid og koordinering av arbeidet

Fagansvarlig informasjonssikkerhet bør kalle de lokale sikkerhetskoordinatorene inn til jevnlige samlinger. Målet med samlingene er å

  • formidle kunnskap
  • dele erfaringer
  • få bedre innsikt i virksomhetens utfordringer
  • lære av hverandre.

Aktuelle tema vil være

  • de lokale pådrivernes egen kompetanseheving innen informasjonssikkerhet og internkontroll
  • kompetanse- og kulturutfordringer rundt om i virksomheten
  • innspill og råd til virksomhetsledelsens gjennomgang
  • innspill og råd til fellestiltak i virksomheten
  • innspill og råd til sentralstyrte tiltak inn mot organisatoriske enheter eller grupper

Varigheten på samlingene, og hvor mange samlinger som skal gjennomføres årlig, bør avgjøres i samråd mellom fagansvarlig informasjonssikkerhet og de lokale sikkerhetskoordinatorene. Dette vil naturlig bli påvirket av virksomhetens status og utfordringer innen informasjonssikkerhet og internkontroll på området.

────────────────────────────────────────────────────────────────────

Til toppen av siden

────────────────────────────────────────────────────────────────────

[1] Linda Lai, Strategisk kompetanseledelse, 3. utgave, Fagbokforlaget, 2013

Aktiviteter

Nyttig

  • Maler og eksempler
  • Begrepsliste
  • Regelverkskrav
  • Hva sier ISO/IEC 27001?
  • Virksomhetskontekst
  • Hva sier andre?
  • Endringslogg
  • Kilder
  • Kontakt: redaksjonen@digdir.no
  • Telefon: +47 22 45 10 00
  • E-post: postmottak@digdir.no
  • Org.nr: 991 825 827