Veileder i kompetanse- og kulturutvikling innen informasjonssikkerhet

Innhold

Hvorfor ha opplæring innen informasjonssikkerhet?

2.1. Ansvar for opplæring

Opplæring er et lederansvar. Det er ledelsen i en virksomhet som har ansvar for at informasjons­sikkerheten ivaretas. Dette innebærer bl.a. et ansvar for å sørge for at medarbeiderne har tilstrekkelig kunnskap om informasjonssikkerhet for å kunne utføre sine oppgaver. I praksis vil det daglige ansvaret for å utføre opplæringsaktiviteter være delegert nedover i virksomheten, og innen informasjonssikkerhet er det gjerne sikkerhetsansvarlig som får ansvaret for å sette i verk opplæringsaktiviteter. Uavhengig av hvem som utfører de daglige aktivitetene er det til syvende og sist ledelsen som er ansvarlig for at informasjonssikkerhet ivaretas i egen organisasjon.

Husk:

  • Ledelsen må forstå hvorfor det er viktig å ha opplæring innen informasjonssikkerhet, og støtte opp om opplæringstiltak.

2.2. Internkontroll (styringssystem) for informasjonssikkerhet

Alle offentlige virksomheter skal ha internkontroll for informasjonssikkerhet. Internkontroll handler om å ha tilstrekkelig styring og kontroll slik at virksomheten kan nå sine mål på en kostnadseffektiv måte. Det er leders ansvar å sørge for at dette er på plass.

Opplæring er en viktig brikke i internkontrollen. De ansatte må vite hvordan internkontrollen fungerer og hvordan de påvirker effektiviteten av internkontrollen. Tilstrekkelig kompetanse og bevissthet om informasjonssikkerhet hjelper til å underbygge virksomhetens styring og kontroll.

For mer informasjon om internkontroll, se Difis veiledningsmateriale «Internkontroll i praksis».

2.3. Lovkrav og standarder

I tillegg til at opplæring er en viktig brikke i virksomhetenes internkontroll, finnes det regelverk som stiller krav til opplæring. Den enkelte virksomheten kan også gjennom avtale ha forpliktet seg til å sikre at ansatte har tilstrekkelig kompetanse.

Virksomheten må selv vurdere hvilke krav som må oppfylles, enten som følge av krav i regelverk eller forpliktelser i avtaler. Under følger eksempler på krav til opplæring man kan være forpliktet til å følge (listen er ikke uttømmende):

Lov/forskrift/standard

Virkeområde

Kravet omhandler:

Personopplysningsforskriften § 2-8, andre ledd

All elektronisk behandling av personopplysninger

Medarbeiderne skal ha nødvendig kunnskap for å bruke informasjonssystemer i samsvar med de rutiner som er fastlagt.

Sikkerhetsloven § 5, andre ledd, bokstav b

Forvaltningsorganer m.m.

Sørge for at ansatte og engasjerte får tilstrekkelig opplæring i sikkerhetsspørsmål.

Forskrift om sikkerhetsadministrasjon § 3-1 (veiledning) og § 3-2 (kompetanse)

Forvaltningsorganer m.m.

 

Alle ansatte skal:

  • Før de settes til tjeneste relatert til skjermingsverdig informasjon ha tilstrekkelig kompetanse i sikkerhetstjeneste tilpasset den enkeltes oppgaver
  • ha gjennomført grunnleggende opplæring i sikkerhet

 

Virksomheten skal ha oversikt over den sikkerhetsfaglige kompetansen og sørge for veiledning av de ansatte.

NS-ISO/IEC 27001:2013 kapittel 7 (7.2. og 7.3.)

Kan være pålagt å følge gjennom avtale.

 

eForvaltningsforskriften § 15 pålegger forvaltningsorganer som skal kommunisere elektronisk å ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet. Internkontrollen skal være basert på anerkjente standarder. Difi anbefaler å basere seg på NS-ISO/IEC 27001:2013 (se Referansekatalogen for IT-standarder i offentlig sektor versjon 4.1, kapittel 2.16)

Krav til nødvendig opplæring, herunder krav til kartlegging, dokumentasjon og evaluering av opplæringen.

Internkontroll i praksis: Hva sier ISO/IEC 27001? - Kompetanse- og kulturutvikling.

Fortsett veilederen
Kapittel 3

 

Sist endret: 
11. mar 2016

Fant du det du lette etter?

* er obligatoriske felter som du må fylle ut for å sende skjemaet. Hvis du har et spørsmål du ønsker svar på, vennligst se www.difi.no/om-difi/kontakt-oss

Fant du det du lette etter?
*