Kompetansebeskrivelser - styring og kontroll av informasjonssikkerhet

Mange virksomheter får ikke møtt sitt kompetansebehov innenfor informasjonssikkerhet. Vi beskriver her hvilken kompetanse som vi anser for relevant for de ulike rollene i arbeidet med styring og kontroll av informasjonssikkerhet.

Publisert: 06. des 2019, Sist endret: 10. des 2019

I Difis kartlegging av arbeidet med informasjonssikkerhet i statsforvaltningen fra 2018 sa 27% av respondentene at de ikke klarte å dekke opp sitt behov for fagkompetanse på informasjonssikkerhets-området. Oppgavene i informasjonssikkerhetsarbeidet krever ulik fagkompetanse, og spisskompetanse kan ofte være nødvendig. 

For å hjelpe virksomhetene til å få oversikt over hvilken kompetanse de har behov for i tilknytning til sitt arbeid med styring og kontroll på informasjonssikkerhetsområdet, har vi beskrevet hvilken sikkerhetskompetanse som vi anser for relevant for de ulike rollene i informasjonssikkerhetsarbeidet. 

Tittel inn her

Merk! Dette er ingen fasit! Hver virksomhet må til enhver tid kartlegge sine egne kompetansebehov når det skal ansettes nye ressurser, eller når man arbeider med kompetanseutvikling. 

Omfang og avgrensninger

Vi avgrenser denne veiledningen til å gjelde roller knyttet til styring og kontroll (internkontroll) på informasjonssikkerhetsområdet, internt i en virksomhet.

Tekniske (IKT-nære) roller, for eksempel systemforvalter, utvikler, etc., har vi ikke beskrevet her. Det er imidlertid viktig at virksomheten også har et bilde av hvilken sikkerhetskompetanse disse rollene har behov for, og arbeider for å videreutvikle denne kompetansen.

Vi beskriver heller ikke her hvordan en sikkerhetsorganisasjon bør bygges opp og være organisert. Dette kan løses på mange måter, avhengig av virksomhetens egenart, kultur og størrelse. 

Målgruppe

Kompetansebeskrivelsene skal kunne benyttes av ulike ressurser i virksomheten når nye personer skal ansettes, eller man skal kartlegge om man har tilstrekkelig og ønsket kompetanse i virksomheten. Dette kan være virksomhetsledelsen, fagansvarlig informasjonssikkerhet, ledere i ulike posisjoner etc.

Kompetansebeskrivelsene skal kunne inngå i den veiledning og støtte personalavdelingen i offentlige virksomheter gir ledelse og ansettelsesråd i ansettelsesprosesser.

Hva er kompetanse?

Vi tar i dette notatet utgangspunkt i definisjonen av begrepet kompetanse hentet fra boken Strategisk kompetanseledelse:

Kompetanse er de samlede kunnskaper, ferdigheter, evner og holdninger som gjør det mulig å utføre aktuelle oppgaver i tråd med definerte krav og mål.

Linda Lai, Strategisk kompetanseledelse

Det er den enkelte medarbeider som skal ha en eller flere av de rollene som er beskrevet i Difis veileder «Internkontroll i praksis – informasjonssikkerhet» som i hovedsak omtales her. Dette avgrenser også definisjoner, beskrivelser og diskusjoner om begreper knyttet til kompetanse.

Realkompetanse = formell + uformell kompetanse

Når man skal ansette noen er det viktig å vurdere realkompetansen, ikke bare den formelle kompetansen. Det kan ha vel så høy verdi at en person har jobbet aktivt innenfor et fagfelt i mange år, uten den formelle kompetansen i bunn, enn som at en person har formell kompetanse, men ikke har jobbet med faget.

I denne sammenhengen brukes begrepet formell kompetanse om den kompetansen en medarbeider kan dokumentere basert på utdanning, kurs eller systematisk opplæring i regi av godkjente tilbydere, utdanningsinstitusjoner og kursarrangører. Uformell kompetanse er noe en medarbeider har utviklet på annen måte, det vil si gjennom erfaring i arbeidsliv, organisasjonsdeltagelse eller på andre arenaer. Formell kompetanse alene er ikke tilstrekkelig for å utføre mange oppgaver og funksjoner.

Strategisk kompetanseledelse

Strategisk kompetanseledelse innebærer planlegging, gjennomføring og evaluering av tiltak for å sikre at organisasjonen og den enkelte medarbeider har og bruker nødvendig kompetanse for å nå definerte mål.

Linda Lai, Strategisk kompetanseledelse

Virksomheten bør ha en kontinuerlig prosess for å sikre tilstrekkelig kompetanse i virksomheten. For informasjonssikkerhetsområdet er det viktig at fagansvarlig informasjonssikkerhet, og dennes fagmiljø, dersom virksomheten har det, bidrar i dette arbeidet.

Det vil være naturlig at fagansvarlig informasjonssikkerhet bidrar til virksomhetens strategiske kompetanseledelse på to områder. Det ene er å beskrive hva som er en hensiktsmessig grunnkompetanse på området informasjonssikkerhet for samtlige ansatte i virksomheten. Det andre er å beskrive hvilken grunnkompetanse medarbeidere i fagmiljøet for informasjonssikkerhet bør ha, og beskrive kompetansebehovet for alle roller i fagmiljøet.

Dersom en virksomhet ikke har etablert strategisk kompetanseledelse som en egen aktivitet er det fremdeles viktig at fagmiljøet for informasjonssikkerhet følger opp kompetanseutvikling på området som en løpende aktivitet. Det overordnede målet er å bidra til en kontinuerlig forbedring av informasjonssikkerheten.

En kartlegging av eventuelle kompetansegap på området informasjonssikkerhet vil være en vesentlig opplysning i virksomhetens risikovurdering og være et viktig grunnlag i en vurdering om virksomheten har tilstrekkelig kompetanse eller må etablere kompetansetiltak for å redusere risiko.

 

Deldette