Internkontroll/styringssystem (Versjon 1.5)
Dette er en beskrivelse av delaktivitetene under Kompetanse- og kulturutvikling. Det er vist til eksempler under aktiviteter som har slike.
Et viktig grunnlag for internkontrollen er at de ansatte på alle nivå har nødvendig kunnskap, er bevisst på hvorfor informasjonssikkerhet er viktig, og har tilstrekkelige ferdigheter til å utføre arbeidet sitt i tråd med denne kompetansen.
Både kompetanse og kultur er en avgjørende del av internkontrollen. Kompetanse er de samlede kunnskaper, ferdigheter, evner og holdninger som gjør det mulig å utføre aktuelle oppgaver i tråd med definerte krav og mål. [1] Organisasjonskultur er den uoffisielle påvirkningen som skjer mellom ansatte. Den blir ofte omtalt som «slik gjør vi det hos oss».
Ved å øke de ansattes kompetanse om informasjonssikkerhet og internkontroll, og forklare dem hvorfor informasjonssikkerhet er viktig i deres arbeidshverdag, underbygger man en god sikkerhetskultur i virksomheten. Alle ansatte må kjenne til, være bevisst og i stand til å etterleve sitt ansvar. Organisasjonskulturen må understøtte forståelse, kompetanse samt etterlevelse og forbedring av krav og sikkerhetstiltak. Det innebærer også identifisering, justering og fjerning av krav og tiltak som har liten nytte, eller som gir negative sideeffekter for alle eller deler av organisasjonen.
Kompetanse- og kulturutvikling er en kontinuerlig aktivitet og prosess der kompetanse og kultur blir utviklet i samhandling med andre. Dette må skje i hele organisasjonen. Som en del av dette vil det være behov for aktiviteter rettet mot å heve kunnskap, bevisstgjøring og forbedre ferdigheter. Å sørge for tilstrekkelig informasjon, opplæring og kulturutvikling er tiltak for å redusere risiko.
Under følger en beskrivelse av hver av de systematiske aktivitetene som inngår i kompetanse- og kulturutvikling. Ledere på alle nivå må
Fagansvarlig informasjonssikkerhet må:
*****
Ansvarlig for gjennomføring:
Det er viktig å opprettholde kompetansen og vedlikeholde en organisasjonskultur der de ansatte på alle nivå er bevisst sitt ansvar for informasjonssikkerheten og de systematiske aktivitetene i internkontrollarbeidet.
Å identifisere behov for kompetanse- og kulturutvikling er en ordinær og kontinuerlig aktivitet i lederarbeid på alle nivå. Det må også omfatte behov innen informasjonssikkerhet, dvs.:
Behovet for kompetanse- og kulturutvikling innen informasjonssikkerhet vil endre seg over tid. De første årene man arbeider systematisk med internkontroll på informasjonssikkerhetsområdet, kan det være nødvendig med hyppigere opplæringsaktiviteter for å heve kompetansen til et tilstrekkelig nivå, og for å skape en god sikkerhetskultur i virksomheten.
Behovet kan også endre seg, for eksempel fordi man får nye ansatte, de ansattes kompetanse endrer seg, eksterne krav endrer seg eller fordi risikobildet endrer seg. Man kan også ha behov for mer initiativ for å forbedre sikkerhetskulturen.
I tillegg vil det være behov for opplæring når man innfører nye systemer eller tjenester, eller gjør større endringer på systemer eller arbeidsoppgaver. Det er viktig at informasjonssikkerhet inngår som en del av denne opplæringen.
Identifisering av behov for kompetanse- og kulturutvikling bør gjøres løpende som en del av internkontrollarbeidet i virksomheten. Behovene kan identifiseres gjennom ulike aktiviteter, for eksempel:
I tillegg er formelle og uformelle medarbeidersamtaler og observasjoner i gjennomføring av arbeidet viktige kilder. Å sørge for tilstrekkelig informasjon og opplæring må anses og behandles som et tiltak for å redusere risiko.
Digitaliseringsdirektoratet har utarbeidet et sett med kompetansebeskrivelser for aktuelle roller som jobber med informasjonssikkerhet i en virksomhet. Disse kompetansebeskrivelsene kan benyttes av ulike ressurser i virksomheten når nye personer skal ansettes, eller man skal kartlegge om man har tilstrekkelig og ønsket kompetanse i virksomheten. Dette kan være virksomhetsledelsen, fagansvarlig informasjonssikkerhet, ledere i ulike posisjoner etc. Kompetansebeskrivelsene skal kunne inngå i den veiledning og støtte personalavdelingen i offentlige virksomheter gir ledelse og ansettelsesråd i ansettelsesprosesser.
Kompetansebeskrivelser - styring og kontroll av informasjonssikkerhet
*****
Ansvarlig for gjennomføring:
Når man har identifisert behov for kompetanseheving og/eller kulturutvikling, må dette behovet møtes ved å gjennomføre tiltak. Digitaliseringsdirektoratets veileder «Veileder i kompetanse- og kulturutvikling innen informasjonssikkerhet» tar for seg hvordan man kan bygge opp et helhetlig opplæringsprogram. Følgende er vesentlig når opplæringstiltak skal planlegges og gjennomføres:
Digitaliseringsdirektoratet anbefaler å ta i bruk ulike virkemidler, slik at det blir variasjon i opplæringen. Med virkemidler mener vi her for eksempel kurs, foredrag, e-læringskurs, plakater osv. Dette fordi man kan få bedre effekt ved å bruke ulike kanaler, og fordi det varierer fra person til person hvilke virkemidler som treffer. Avhengig av målgruppe, tema og forkunnskaper kan opplæringen være i form av alt fra kortfattet informasjon i brosjyrer, plakater etc. til egne kursopplegg.
I tillegg bør man alltid vurdere hva som bør gjennomføres på virksomhetsnivå, i enkelte organisatoriske enheter, for mindre grupper eller enkeltpersoner.
Ved å behandle opplæring som et tiltak blir risikoeiere sentrale målgrupper for tilbakemeldinger om effekten av opplæringen.
Vi anbefaler at virksomhetene utpeker lokale sikkerhetskoordinatorer, avhengig av virksomhetens størrelse og organisering. Disse kan bistå og bidra i arbeidet med å følge opp behovene for kompetanse- og kulturutvikling lokalt.
*****
Ansvarlig for gjennomføring:
For å sikre god effekt av lokale sikkerhetskoordinatorer, bør fagansvarlig informasjonssikkerhet ha jevnlige møter med dem slik at de kan dele erfaringer og lære av hverandre. Dette er en viktig del av denne gruppens kompetanse- og kulturutvikling. Det vil ofte ha stor indirekte betydning for både ledernes innstilling og det praktiske arbeidet med internkontroll og informasjonssikkerhet rundt om i virksomheten.
Fagansvarlig informasjonssikkerhet bør kalle de lokale sikkerhetskoordinatorene inn til jevnlige samlinger. Målet med samlingene er å
Aktuelle tema vil være
Varigheten på samlingene, og hvor mange samlinger som skal gjennomføres årlig, bør avgjøres i samråd mellom fagansvarlig informasjonssikkerhet og de lokale sikkerhetskoordinatorene. Dette vil naturlig bli påvirket av virksomhetens status og utfordringer innen informasjonssikkerhet og internkontroll på området.
────────────────────────────────────────────────────────────────────
────────────────────────────────────────────────────────────────────
[1] Linda Lai, Strategisk kompetanseledelse, 3. utgave, Fagbokforlaget, 2013