Rolle: Fagansvarlig informasjonssikkerhet

Ansvar og oppgaver

Hvilken stilling den fagansvarlige har i virksomheten, vil variere avhengig av virksomhetens organisering og behov. Dersom fagansvarlig har en stilling som leder i virksomheten, vil oppgavene og ansvaret komme i tillegg til oppgaver og ansvar vedkommende har som følger stillingsbeskrivelsen.

Fagansvarlig informasjonssikkerhet skal bistå virksomhetsledelsen i utføringen av alle delaktivitetene under ledelsens styring og oppfølging.

I tillegg skal fagansvarlig informasjonssikkerhet være en nøkkelressurs i virksomhetens kontinuerlige internkontrollarbeid på informasjonssikkerhetsområdet, blant annet ved å bistå i arbeidet med risikovurdering og -håndtering, og måling, evaluering og revisjon. Fagansvarlig har ofte ansvaret for å planlegge og gjennomføre opplæring og bevisstgjøringsaktiviteter innen informasjonssikkerhet i virksomheten.

Ønsket kompetanse

Fagansvarlig informasjonssikkerhet er ikke en IKT-teknisk rolle. Den krever imidlertid god forståelse for IKT-relaterte risikoer, og andre typer informasjonssikkerhetsrisikoer. I tillegg må fagansvarlig informasjonssikkerhet ha god forståelse for

• innholdet i og oppfølging av internkontrollsystem/styringssystem
• risikovurderinger og kommunikasjon av risiko
• sammenheng med andre internkontrollområder, slik som virksomhetsstyring generelt, HMS og sikkerhetsstyring etter sikkerhetsloven
• virksomhetens mål, organisering og arbeidsmåter
• virksomhetens leverandørkjeder og avhengigheter til andre aktører
• digital sikkerhet/informasjonssikkerhet/samfunnssikkerhet

Fagansvarlig informasjonssikkerhet skal bistå slik at kommunikasjonen mellom toppledelsen, øvrig linjeledelse, og teknisk personell (f.eks. IT) fungerer på en effektiv måte. Dette innebærer å ha evnen til å «oversette» informasjonen fra teknisk personell slik at ledelsen kan forstå den, og omvendt.

Fagansvarlig bør ha kompetanse til å bistå hele linjen i risikovurderinger, og støtte dem ved håndtering av risiko. Det er ønskelig med kompetanse i å formidle kunnskap videre, slik at den enkelte risikoeier på sikt blir mer og mer selvgående i sine oppgaver.

Tema for intervju/medarbeidersamtale

Følgende temaer er relevante for et intervju/en medarbeidersamtale:

• Forståelse av at informasjonssikkerhet handler om å sikre både konfidensialitet, integritet og tilgjengelighet, og at det handler om mye mer enn personopplysninger og beskyttelse i henhold til sikkerhetsloven. Informasjonssikkerhetsbrudd kan få konsekvenser for virksomhetens økonomi og tjenestenivå. Det kan få konsekvenser for innbyggere, andre virksomheter og samfunnet. Virksomhetene har behov for å jobbe helhetlig og systematisk med dette for å ivareta alle behov.
• Forståelse av hvordan arbeidet med informasjonssikkerhet henger sammen med den øvrige virksomhetsstyringen. Formålet med informasjonssikkerhetsarbeidet er å understøtte virksomhetens primære målsetninger.
• Forståelse av at arbeidet med internkontroll/styringssystem er et sett med aktiviteter som skal gjennomføres, ikke et sett med dokumenter. Hvordan aktivitetene skal gjennomføres i virksomheten, og hvem som er ansvarlig, bør være dokumentert og forankret i ledelsen, men for å ha styring og kontroll på informasjonssikkerheten må aktivitetene gjennomføres slik de skal i hele organisasjonen.
• Forståelse for at risikobildet er i stadig endring.
• Forståelse av hvordan kriterier for å akseptere risiko er førende for hvordan beslutninger skal tas i virksomheten.
• Forståelse for skillet mellom de systematiske aktivitetene for styring og kontroll (styringsaktiviteter), og spesifikke sikkerhetstiltak, og evne til å formidle dette både til ledelse og til ansatte i ulike roller i virksomheten.
• Forståelse for at informasjonssikkerhet er en del av alle ansattes daglige arbeid, og evne til å formidle dette til de ansatte.

Kandidaten bør i tillegg kunne snakke om hvordan han/hun ønsker å støtte ledelsen og risikoeiere i arbeidet med informasjonssikkerhet. Hvilke virkemidler kan tas i bruk, og hvilke områder er det naturlig å tilby støtte på?