Kompetanse- og kulturutvikling

Dette er en beskrivelse av delaktivitetene under Kompetanse- og kulturutvikling. Det er vist til eksempler under aktiviteter som har slike.

Målgruppe

  • fagansvarlig informasjonssikkerhet
    • Hele beskrivelsen
  • personer som skal forberede eller lede enkeltaktiviteter
    • Enkeltaktiviteter avhengig av ansvarsområde  

Innhold

1 Innledning

Et viktig grunnlag for internkontrollen er at de ansatte på alle nivå har nødvendig kunnskap, er bevisst på hvorfor informasjonssikkerhet er viktig, og har tilstrekkelige ferdigheter til å utføre arbeidet sitt i tråd med denne kompetansen.

1.1 En avgjørende del av internkontrollen

Både kompetanse og kultur er en avgjørende del av internkontrollen. Organisasjonskultur er den uoffisielle påvirkningen som skjer mellom ansatte. Den blir ofte omtalt som «slik gjør vi det hos oss».

Ved å øke de ansattes kompetanse om informasjonssikkerhet og internkontroll, og forklare dem hvorfor informasjonssikkerhet er viktig i deres arbeidshverdag, underbygger man en god sikkerhetskultur i virksomheten. Alle ansatte må kjenne til, være bevisst og i stand til å etterleve sitt ansvar. Organisasjonskulturen må understøtte forståelse, kompetanse samt etterlevelse og forbedring av krav og sikkerhetstiltak. Det innebærer også identifisering, justering og fjerning av krav og tiltak som har liten nytte, eller som gir negative sideeffekter for alle eller deler av organisasjonen.

1.2 Kontinuerlig aktivitet for å redusere risiko

Kompetanse- og kulturutvikling er en kontinuerlig aktivitet og prosess der kompetanse og kultur blir utviklet i samhandling med andre. Dette må skje i hele organisasjonen. Som en del av dette vil det være behov for aktiviteter rettet mot å heve kunnskap, bevisstgjøring og forbedre ferdigheter. Å sørge for tilstrekkelig informasjon, opplæring og kulturutvikling er tiltak for å redusere risiko.

1.3 Difis veileder i kompetanse- og kulturutvikling

Difi har utarbeidet en veileder i hvordan man arbeider med å utforme et helhetlig opplæringsprogram innen informasjonssikkerhet i virksomheten. Vi anbefaler at man baserer seg på denne veilederen når man arbeider med kompetanse- og kulturutvikling i virksomheten. Se relatert innhold nederst i denne artikkelen for en lenke til denne veilederen.

1.4 Aktiviteter

Under følger en beskrivelse av hver av de systematiske aktivitetene som inngår i kompetanse- og kulturutvikling. Ledere på alle nivå må

  • Identifisere behov løpende
  • Følge opp behovene systematisk

Fagansvarlig informasjonssikkerhet må:

  • Følge opp lokale sikkerhetskoordinatorer

*****

Identifisere behov løpende

Ansvarlig for gjennomføring:

  • Ledere på alle nivå.

2.1 Om aktiviteten

Det er viktig å opprettholde kompetansen og vedlikeholde en organisasjonskultur der de ansatte på alle nivå er bevisst sitt ansvar for informasjonssikkerheten og de systematiske aktivitetene i internkontrollarbeidet.

Å identifisere behov for kompetanse- og kulturutvikling er en ordinær og kontinuerlig aktivitet i lederarbeid på alle nivå. Det må også omfatte behov innen informasjonssikkerhet, dvs.:

  • Forståelse av hva informasjonssikkerhet handler om
  • Forståelse og gjennomføring av internkontrollaktivitetene
  • Forståelse og etterlevelse av krav, prosedyrer, rutiner og andre sikkerhetstiltak

2.2 Behovet endrer seg

Behovet for kompetanse- og kulturutvikling innen informasjonssikkerhet vil endre seg over tid. De første årene man arbeider systematisk med internkontroll på informasjonssikkerhetsområdet, kan det være nødvendig med hyppigere opplæringsaktiviteter for å heve kompetansen til et tilstrekkelig nivå, og for å skape en god sikkerhetskultur i virksomheten.

Behovet kan også endre seg, for eksempel fordi man får nye ansatte, de ansattes kompetanse endrer seg, eksterne krav endrer seg eller fordi risikobildet endrer seg. Man kan også ha behov for mer initiativ for å forbedre sikkerhetskulturen.

I tillegg vil det være behov for opplæring når man innfører nye systemer eller tjenester, eller gjør større endringer på systemer eller arbeidsoppgaver. Det er viktig at informasjonssikkerhet inngår som en del av denne opplæringen.

2.3 Identifisering av behov

Identifisering av behov for kompetanse- og kulturutvikling bør gjøres løpende som en del av internkontrollarbeidet i virksomheten. Behovene kan identifiseres gjennom ulike delaktiviteter, for eksempel:

  • risikovurderinger
  • revisjoner og evalueringer
  • virksomhetsledelsens gjennomgang

I tillegg er formelle og uformelle medarbeidersamtaler og observasjoner i gjennomføring av arbeidet viktige kilder. Å sørge for tilstrekkelig informasjon og opplæring må anses og behandles som et tiltak for å redusere risiko.

*****

Følge opp behovene systematisk

Ansvarlig for gjennomføring:

  • Ledere på alle nivå.

3.1 Om aktiviteten

Når man har identifisert behov for kompetanseheving og/eller kulturutvikling, må dette behovet møtes ved å gjennomføre tiltak. Difis veileder «Hvordan bygge opp et helhetlig opplæringsprogram» sier blant annet at følgende er vesentlig når opplæringstiltak skal planlegges og gjennomføres:

  • tilpasse tiltak til riktig målgruppe
  • ta i bruk hensiktsmessig virkemiddel
  • se tiltak i sammenheng (både opplæring innen informasjonssikkerhet og annen opplæring i virksomheten)
  • måle effekten av tiltak

3.2 Variasjon i virkemidler

Difi anbefaler å ta i bruk ulike virkemidler, slik at det blir variasjon i opplæringen. Med virkemidler mener vi her for eksempel kurs, foredrag, e-læringskurs, plakater osv. Dette fordi man kan få bedre effekt ved å bruke ulike kanaler, og fordi det varierer fra person til person hvilke virkemidler som treffer. Avhengig av målgruppe, tema og forkunnskaper kan opplæringen være i form av alt fra kortfattet informasjon i brosjyrer, plakater etc. til egne kursopplegg.

I tillegg bør man alltid vurdere hva som bør gjennomføres på virksomhetsnivå, i enkelte organisatoriske enheter, for mindre grupper eller enkeltpersoner.

Ved å behandle opplæring som et tiltak blir risikoeiere sentrale målgrupper for tilbakemeldinger om effekten av opplæringen.

3.3 Lokale sikkerhetskooridnatorer

Vi anbefaler at virksomhetene utpeker en lokal sikkerhetskoordinator i hver avdeling eller på tilsvarende organisatorisk nivå, avhengig av virksomhetens størrelse og organisering. Dette vil oftest være en funksjon som kan legges til en ordinær fagstilling.

Maler, eksempler og støtteverktøy

*****

Følge opp lokale sikkerhetskoordinatorer

Ansvarlig for gjennomføring:

  • Fagansvarlig informasjonssikkerhet.

4.1 Om aktiviteten

For å sikre god effekt av lokale sikkerhetskoordinatorer, bør fagansvarlig informasjonssikkerhet ha jevnlige møter med dem slik at de kan dele erfaringer og lære av hverandre. Dette er en viktig del av denne gruppens kompetanse- og kulturutvikling. Det vil ofte ha stor indirekte betydning for både ledernes innstilling og det praktiske arbeidet med internkontroll og informasjonssikkerhet rundt om i virksomheten.

4.2 Samarbeid og koordinering av arbeidet

Fagansvarlig informasjonssikkerhet bør kalle de lokale sikkerhetskoordinatorene inn til jevnlige samlinger. Målet med samlingene er å

  • formidle kunnskap
  • dele erfaringer
  • få bedre innsikt i virksomhetens utfordringer
  • lære av hverandre.

Aktuelle tema vil være

  • de lokale pådrivernes egen kompetanseheving innen informasjonssikkerhet og internkontroll
  • kompetanse- og kulturutfordringer rundt om i virksomheten
  • innspill og råd til virksomhetsledelsens gjennomgang
  • innspill og råd til fellestiltak i virksomheten
  • innspill og råd til sentralstyrte tiltak inn mot organisatoriske enheter eller grupper

Varigheten på samlingene, og hvor mange samlinger som skal gjennomføres årlig, bør avgjøres i samråd mellom fagansvarlig informasjonssikkerhet og de lokale sikkerhetskoordinatorene. Dette vil naturlig bli påvirket av virksomhetens status og utfordringer innen informasjonssikkerhet og internkontroll på området.

────────────────────────────────────────────────────────────────────

Til toppen av siden

────────────────────────────────────────────────────────────────────