Rolle: Fagansvarlig informasjonssikkerhet

Fagansvarlig informasjonssikkerhet har som hovedansvar å være pådriver og støtte til ledelsen og organisasjonen for øvrig i informasjonssikkerhetsarbeidet.

Ansvar og oppgaver

Hvilken stilling den fagansvarlige har i virksomheten, vil variere avhengig av virksomhetens organisering og behov. Dersom fagansvarlig har en stilling som leder i virksomheten, vil oppgavene og ansvaret komme i tillegg til oppgaver og ansvar vedkommende har som følger stillingsbeskrivelsen.

Illustrasjon av rolle fagansvarlig informasjonssikkerhet

Fagansvarlig informasjonssikkerhet skal bistå virksomhetsledelsen i utføringen av alle delaktivitetene under ledelsens styring og oppfølging.

I tillegg skal fagansvarlig informasjonssikkerhet være en nøkkelressurs i virksomhetens kontinuerlige internkontrollarbeid på informasjonssikkerhetsområdet, blant annet ved å bistå i arbeidet med risikovurdering og -håndtering, og måling, evaluering og revisjon. Fagansvarlig har ofte ansvaret for å planlegge og gjennomføre opplæring og bevisstgjøringsaktiviteter innen informasjonssikkerhet i virksomheten.

Ønsket kompetanse

Fagansvarlig informasjonssikkerhet er ikke en IKT-teknisk rolle. Den krever imidlertid god forståelse for IKT-relaterte risikoer, og andre typer informasjonssikkerhetsrisikoer. I tillegg må fagansvarlig informasjonssikkerhet ha god forståelse for

  • innholdet i og oppfølging av internkontrollsystem/styringssystem
  • risikovurderinger og kommunikasjon av risiko
  • sammenheng med andre internkontrollområder, slik som virksomhetsstyring generelt, HMS og sikkerhetsstyring etter sikkerhetsloven
  • virksomhetens mål, organisering og arbeidsmåter
  • virksomhetens leverandørkjeder og avhengigheter til andre aktører
  • digital sikkerhet/informasjonssikkerhet/samfunnssikkerhet

Fagansvarlig informasjonssikkerhet skal bistå slik at kommunikasjonen mellom toppledelsen, øvrig linjeledelse, og teknisk personell (f.eks. IT) fungerer på en effektiv måte. Dette innebærer å ha evnen til å «oversette» informasjonen fra teknisk personell slik at ledelsen kan forstå den, og omvendt.

Fagansvarlig bør ha kompetanse til å bistå hele linjen i risikovurderinger, og støtte dem ved håndtering av risiko. Det er ønskelig med kompetanse i å formidle kunnskap videre, slik at den enkelte risikoeier på sikt blir mer og mer selvgående i sine oppgaver.

Tema for intervju/medarbeidersamtale

Følgende temaer er relevante for et intervju/en medarbeidersamtale:

  • Forståelse av at informasjonssikkerhet handler om å sikre både konfidensialitet, integritet og tilgjengelighet, og at det handler om mye mer enn personopplysninger og beskyttelse i henhold til sikkerhetsloven. Informasjonssikkerhetsbrudd kan få konsekvenser for virksomhetens økonomi og tjenestenivå. Det kan få konsekvenser for innbyggere, andre virksomheter og samfunnet. Virksomhetene har behov for å jobbe helhetlig og systematisk med dette for å ivareta alle behov.
  • Forståelse av hvordan arbeidet med informasjonssikkerhet henger sammen med den øvrige virksomhetsstyringen. Formålet med informasjonssikkerhetsarbeidet er å understøtte virksomhetens primære målsetninger.
  • Forståelse av at arbeidet med internkontroll/styringssystem er et sett med aktiviteter som skal gjennomføres, ikke et sett med dokumenter. Hvordan aktivitetene skal gjennomføres i virksomheten, og hvem som er ansvarlig, bør være dokumentert og forankret i ledelsen, men for å ha styring og kontroll på informasjonssikkerheten må aktivitetene gjennomføres slik de skal i hele organisasjonen.
  • Forståelse for at risikobildet er i stadig endring.
  • Forståelse av hvordan kriterier for å akseptere risiko er førende for hvordan beslutninger skal tas i virksomheten.
  • Forståelse for skillet mellom de systematiske aktivitetene for styring og kontroll (styringsaktiviteter), og spesifikke sikkerhetstiltak, og evne til å formidle dette både til ledelse og til ansatte i ulike roller i virksomheten.
  • Forståelse for at informasjonssikkerhet er en del av alle ansattes daglige arbeid, og evne til å formidle dette til de ansatte.

Kandidaten bør i tillegg kunne snakke om hvordan han/hun ønsker å støtte ledelsen og risikoeiere i arbeidet med informasjonssikkerhet. Hvilke virkemidler kan tas i bruk, og hvilke områder er det naturlig å tilby støtte på?

«Styringsaktiviteter» er de sentrale aktivitetene som normalt inngår i styring og kontroll på informasjonssikkerhetsområdet. Jf. ISO/IEC 27001 (kapittel 4 til 10) og de systematiske aktivitetene som er beskrevet i Difi veileder «Internkontroll i praksis – informasjonssikkerhet».

«Sikkerhetstiltak» er de varige tiltakene som en virksomhet etablerer for å redusere risikoen for brudd på KIT i informasjonsbehandlingen knyttet til oppgavene de utfører. Dette er tiltak som ved en risikobasert tilnærming velges og etableres ved bruk av styringsaktivitetene «risikovurdering» og «risikohåndtering».

Send oss gjerne en e-post om du har spørsmål