Hvorfor ha opplæring innen informasjonssikkerhet?

Publisert: 15. jun 2015, Sist endret: 27. aug 2018

2.1 Ansvar for opplæring

Opplæring er et lederansvar. Det er ledelsen i en virksomhet som har ansvar for at informasjons­sikkerheten ivaretas. Dette innebærer bl.a. et ansvar for å sørge for at medarbeiderne har tilstrekkelig kunnskap om informasjonssikkerhet for å kunne utføre sine oppgaver. I praksis vil det daglige ansvaret for å utføre opplæringsaktiviteter være delegert nedover i virksomheten, og innen informasjonssikkerhet er det gjerne sikkerhetsansvarlig som får ansvaret for å sette i verk opplæringsaktiviteter. Uavhengig av hvem som utfører de daglige aktivitetene er det til syvende og sist ledelsen som er ansvarlig for at informasjonssikkerhet ivaretas i egen organisasjon.

Husk:

  • Ledelsen må forstå hvorfor det er viktig å ha opplæring innen informasjonssikkerhet, og støtte opp om opplæringstiltak.

2.2 Internkontroll (styringssystem) for informasjonssikkerhet

Alle offentlige virksomheter skal ha internkontroll for informasjonssikkerhet [2]. Internkontroll handler om å ha tilstrekkelig styring og kontroll slik at virksomheten kan nå sine mål på en kostnadseffektiv måte. Det er lederens ansvar å sørge for at dette er på plass.

Kompetanse- og kulturutvikling er en viktig brikke i internkontrollen. De ansatte må kjenne de aktivitetene i internkontrollen som er vesentlig for dem, og gis nødvendig opplæring. Hva som er vesentlig vil variere ut fra hvilken rolle man har i virksomheten. For eksempel:

  • Ledelsen vil ha behov for kompetanse på hvordan internkontrollen fungerer, og hva deres ansvar er.  
  • De med sentrale roller i internkontroll-aktivitetene, for eksempel ledere på alle nivåer, har behov for grunnopplæring i hva som er deres ansvar, hvordan de kan organisere arbeidet, og hvor de kan få hjelp og støtte.
  • De som har ansvaret for å lede gjennomføringen av risikovurderinger på ulike områder har behov for kompetanse på hvordan dette kan gjøres.
  • Alle ansatte må ha forståelse for hva informasjonssikkerhet er, og hvilket ansvar de har i forbindelse med dette. I tillegg må de ha kunnskap om retningslinjer og rutiner som angår deres arbeid, og hvor de kan finne øvrig informasjon om internkontrollen.

Tilstrekkelig kompetanse og bevissthet om informasjonssikkerhet hjelper til å underbygge virksomhetens styring og kontroll.

For mer informasjon om internkontroll, se Difis veiledningsmateriale «Internkontroll i praksis - informasjonssikkerhet».

2.3 Lovkrav og standarder

I tillegg til at opplæring er en viktig brikke i virksomhetenes internkontroll, finnes det regelverk som stiller krav til opplæring. Den enkelte virksomheten kan også gjennom avtale ha forpliktet seg til å sikre at ansatte har tilstrekkelig kompetanse.

Virksomheten må selv vurdere hvilke krav som må oppfylles, enten som følge av krav i regelverk eller forpliktelser i avtaler. Under følger eksempler på krav til opplæring man kan være forpliktet til å følge (listen er ikke uttømmende):

Lov/forskrift/standard

Virkeområde

Kravet omhandler:

Personvernforordningen artikkel 24 (personopplysningsloven § 1)Helt eller delvis automatisert behandling av personopplysninger og ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register.Den behandlingsansvarlige skal gjennomføre egnede organisatoriske tiltak for å sikre at behandlingen utføres i samsvar med forordningen.

Sikkerhetsloven § 5, andre ledd, bokstav b

Forvaltningsorganer m.m.

Sørge for at ansatte og engasjerte får tilstrekkelig opplæring i sikkerhetsspørsmål.

Forskrift om sikkerhetsadministrasjon § 3-1 (veiledning) og § 3-2 (kompetanse)

Forvaltningsorganer m.m.

 

Alle ansatte skal:

  • Før de settes til tjeneste relatert til skjermingsverdig informasjon ha tilstrekkelig kompetanse i sikkerhetstjeneste tilpasset den enkeltes oppgaver
  • ha gjennomført grunnleggende opplæring i sikkerhet

Virksomheten skal ha oversikt over den sikkerhetsfaglige kompetansen og sørge for veiledning av de ansatte.

NS-ISO/IEC 27001:2013 kapittel 7 (7.2. og 7.3.)

Kan være pålagt å følge gjennom avtale.

 

eForvaltningsforskriften § 15 pålegger forvaltningsorganer som skal kommunisere elektronisk å ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet. Internkontrollen skal være basert på anerkjente standarder. Difi anbefaler å basere seg på NS-ISO/IEC 27001:2013 (se bruksområdet «Internkontroll/styringssystem/ledelsessystem for informasjonssikkerhet» i referansekatalogen for IT-standarder i offentlig sektor)

Krav til nødvendig opplæring, herunder krav til kartlegging, dokumentasjon og evaluering av opplæringen.

For mer informasjon om de konkrete kravene, se omtalen av krav til kompetanse- og kulturutvikling i NS-ISO/IEC 27001:2013 i Difis veileder «Internkontroll i praksis - informasjonssikkerhet».

[2] Forskrift om elektronisk kommunikasjon med og i forvaltningen (eForvaltningsforskriften) § 15.

Hjelp oss å bli bedre

Fant du det du lette etter?

Tilbakemeldinger blir ikke besvart. Gå til siden med kontaktinformasjon hvis du trenger hjelp.

* Påkrevd

Hjelp oss å bli bedre
*