Rolle: Øvrig ledergruppe
Ledere på alle nivåer er ansvarlig for å følge opp arbeidet med informasjonssikkerhet på sine ansvarsområder, på samme måte som de følger opp annet arbeid de er ansvarlige for.
Ansvar og oppgaver
Toppledergruppen bør ha forståelse for at de må være involvert i å gi føringer for hvordan internkontrollen på informasjonssikkerhetsområdet skal være: hvilke aktiviteter som skal gjennomføres, hvem som skal være ansvarlig, beskrivelse av nivåer for konsekvens og sannsynlighet, kriterier for å akseptere risiko etc.
Ledere på alle nivåer er ansvarlig for å følge opp arbeidet med informasjonssikkerhet på sine ansvarsområder, på samme måte som de følger opp annet arbeid de er ansvarlige for.
I tillegg er de ansvarlig for at det blir gjennomført tilstrekkelige risikovurderinger og håndtering av risiko på sine ansvarsområder.
På samme måte som risikoeiere må også ledere på alle nivå minst en gang årlig systematisk vurdere status på informasjonssikkerhetsarbeidet innenfor sine ansvarsområder. De har også ansvar for at deres medarbeidere har tilstrekkelig kompetanse innen informasjonssikkerhet til å utføre sine oppgaver på en god måte.
Ønsket kompetanse
På samme måte som toppleder bør øvrig ledergruppe ha grunnleggende kunnskap om hva informasjonssikkerhet er, hva internkontroll handler om, og hva som er sammenhengen mellom de to. De må vite hva som er ledelsens ansvar, kjenne til hvilke aktiviteter som skal gjennomføres, og hvem som har ansvaret for de ulike aktivitetene.
Alle ledere må også forstå hvordan informasjonssikkerhet, gjennom å understøtte den informasjonsbehandlingen som gjennomføres i virksomheten, bidrar til at virksomheten når sine mål. For å forstå dette, må vedkommende også ha forståelse for at informasjonssikkerhet handler om å sikre både konfidensialitet, integritet og tilgjengelighet på informasjonen, og at det gjelder mye mer enn personopplysninger og beskyttelse i henhold til sikkerhetsloven. Informasjonssikkerhetsbrudd kan få konsekvenser får virksomhetens økonomi og tjenestenivå. Det kan få konsekvenser for innbyggere, andre virksomheter og samfunnet.
Det er nyttig med forståelse for at styring av informasjonssikkerhetsarbeidet ikke skiller seg vesentlig fra annen virksomhetsstyring og internkontroll på andre områder (f.eks. HMS og personvern). I dette ligger det også å forstå at styringssystem/internkontroll (generelt) er et sett av systematiske aktiviteter, ikke en samling dokumenter.
Alle ledere må også ha forståelse for at de er ansvarlig for å akseptere risiko på noen nivåer, basert på definerte kriterier for å akseptere risiko, mens annen risiko enten må helt opp til toppleder, eller kan aksepteres på operativt nivå.
De må også forstå at risikobildet endrer seg når man tar ulike strategiske valg, for eksempel dersom man velger å tjenesteutsette oppgaver, eller ta i bruk skytjenester.
Tema for intervju/medarbeidersamtale
Det vil variere mye hvor naturlig det er å snakke om informasjonssikkerhet i en intervjusituasjon eller en medarbeidersamtale, avhengig av hva slags lederstilling det er snakk om. Det kan imidlertid være nyttig å snakke med kandidaten om hvilken informasjon som behandles i arbeidsoppgavene vedkommende skal ha ansvar for, hvordan vedkommende ser på informasjonssikkerhet og annen internkontroll, og vedkommendes tanker om punktene under «ønsket kompetanse».