Eksempel - opplæringsplan innen informasjonssikkerhet

Dette er et eksempel på en opplæringsplan innen informasjonssikkerhet på virksomhetsnivå. Planen kan brukes som utgangspunkt ved utarbeidelse av en egen plan i din virksomhet. Trenger du hjelp eller lurer på noe, så ta kontakt.

Publisert: 30. jun 2015, Sist endret: 29. okt 2018

1.     Formål

Formålet med dokumentet er å gjøre aktiviteter for sikkerhetsopplæring og bevisstgjøring mer målrettet og bedre planlagt.

2.     Mål for sikkerhetsopplæring i 2015

  • Kunnskap: Øke ansattes kunnskap om verdier av informasjon som de behandler. Mer kunnskap om sikkerhetstrusler og -tiltak som er aktuell for deres arbeid.
  • Bevissthet: Øke ansattes bevissthet om informasjonssikkerhet. Jobbe spesielt med gruppen som ikke er aktive i sikkerhetsopplæring. Implementere tiltak som endrer adferd og får fram handlinger.
  • Tilpasset: Utvikle og gjennomføre tilpasset opplæringstiltak for ulike funksjoner og grupper.

3.     Tiltak

3.1.  Stille klare krav til ansatte innen informasjonssikkerhet

  1. Vedlikeholde og kommunisere informasjonssikkerhetsinstruksen.
  2. Formulere og kommunisere 5 gode atferder
  3. Revidere og kommunisere informasjonssikkerhetspolicyen.

3.2.  Tone på toppen

  1. E-læringskurs for ledere innen informasjonssikkerhet

Sette krav til gjennomføring av e-læringskurset fra Difi for toppledere og mellomledere. Følge opp gjennomføringen. 

  1. Kommunikasjon med ledelsen om gjennomføring av opplæringstiltak

Ledelsen får statistikk over gjennomførte nanokursene på virksomhets- og avdelingsnivå. Avdelingsdirektørene får statistikk for sine seksjoner. 

3.3. Tilstrekkelig opplæring

3.3.1.  Sikkerhetsmåned

Planlegge aktiviteter til sikkerhetsmåneden før sommeren.

3.3.2.  Sikkerhetslunsj

Det skal gjennomføres ca. 4 sikkerhetslunsjer utenom sikkerhetsmåneden. Lunsjene skal ta opp nye trender og trusler som er aktuelle for våre ansatte.

3.3.3.  Nanokurs

Vurdere om videreføring av nanokurs i mai.

3.3.4.  Sikkerhetsopplæring til nyansatte

  1. Kurs om informasjonssikkerhet for nyansatte

Holdes prinsipielt en gang i måneden. Datoer kan tilpasses i henhold til hvor mange nye som starter og når de starter. Målet med kurset er både å gi kunnskap og øke bevissthet. Kursdokumentasjon skal oppdateres i henhold til endringer i informasjonssikkerhetsinstruksen.

  1. Introkurs til nytilsatte

Informasjonssikkerhet er et av temaene på introkurset til nytilsatte som foregår en til to ganger i året.

3.3.5.  e-læring for informasjonssikkerhetsinstruksen

Utvikle en e-læringsmodul for ansatte til å gå gjennom informasjons­sikkerhet­sinstruksen. Kurset er obligatorisk for alle ansatte. Første versjon skal være tilgjengelig til høsten.

3.3.6.  Sikkert og twist aksjoner

Informasjonssikkerhetsleder m.fl. utfører kontroll på etterlevelse av informasjonssikkerhetsinstruks i kontorsonene. Tema kan være synlig adgangskort, låsing av PC-skjerm, bytting av default oppstarts passord, fjerning av utskrift fra skrivere, osv. Funn fra aksjonen bør kommuniseres til ansatte på intranettet.

3.3.7.  Opplæring for spesielle grupper

Bestemme hvilke grupper som skal være i fokus og hvilke tiltak som skal gjennomføres innen april. Aktuelle grupper kan være ledelsen, systemeiere og utvikler.

3.4. Bedre oversikt over opplæringsbehov

En vernerunde med ansatte angående informasjonssikkerhet før sommer.

Finne ut:

  1. Type informasjon, særlig beskyttelsesverdige, som ansatte behandler.
  2. Hvilke utstyr og applikasjoner ansatte bruker for behandling av informasjon. Denne informasjon gir oss et mer reelt sårbarhetsbilde.
  3. Hva ansatte mener om brukervennlighet av våre løsninger.
  4. Forslag til gode atferder

3.5. Målinger

Finne ut hvordan disse kan måles:

  1. Opplæringstiltak som har god dekning
  2. Opplæringstiltak som har god effekt
  3. Bevissthetsnivået i virksomheten eller i en avdeling

3.6. Intranett som effektiv kommunikasjonskanal

Videreutvikle intranettsiden for informasjonssikkerhet

3.7. Andre tiltak

Foreslå informasjonssikkerhet som et tema i medarbeidersamtale.

Deldette