Rolle: Rådgiver informasjonssikkerhet
Rådgivere informasjonssikkerhet er støtteressurser i fagansvarlig informasjonssikkerhets arbeide i organisasjonen. Dette trenger ikke være fulltidsressurser.
Ansvar og oppgaver
Hovedansvaret til vedkommende er å støtte fagansvarlig i det arbeidet vedkommende gjør – bistå i tilknytning til ledelsens styring og oppfølging, gi råd og delta som informasjonssikkerhetsressurs i prosjekter og oppgaver i virksomheten, bistå i gjennomføring av risikovurderinger og -håndtering, planlegge og gjennomføre opplæring og bevisstgjøring, og ellers bidra til virksomhetens arbeid med informasjonssikkerhet.
Ansvar og oppgaver vil i stor grad variere fra virksomhet til virksomhet.
Ønsket kompetanse
Kompetansebehovet for en støtteressurs innen informasjonssikkerhet vil variere basert på hvilke arbeidsoppgaver vedkommende har.
Ofte vil det være hensiktsmessig at en slik ressurs har mye av den samme kompetansen som fagansvarlig, men vedkommende kan ha mindre erfaring.
Avhengig av virksomhetens evne og mulighet til å lære opp en person, kan personer med relativt liten erfaring ha denne rollen. Det er da viktig at de har interesse for informasjonssikkerhet, risikostyring og internkontroll, og at de gjerne har grunnleggende kunnskap om og forståelse av fagområdene.
I noen virksomheter vil støtteressursene arbeide med mer konkrete oppgaver, og det kan da være hensiktsmessig om de har mer spisskompetanse – for eksempel innen gjennomføring av risikovurderinger/-håndtering, revisjon, hendelseshåndtering etc.
Tema for intervju/medarbeidersamtaler
Når man skal vurdere kompetansen til personer i denne rollen (eksisterende eller ved nyansettelser), er det viktig at man tar utgangspunkt i hva virksomheten har behov for. Det vil variere hvilken kompetanse som er vesentlig.
Noen aspekter kan man imidlertid trekke frem som generelle:
- Forståelse for at informasjonssikkerhet handler om å sikre både konfidensialitet, integritet og tilgjengelighet, og at det handler om mye mer enn personopplysninger og beskyttelse i henhold til sikkerhetsloven.
- Forståelse for at risikobildet er i stadig endring.
- Forståelse av de aktivitetene vedkommende skal bistå i, og for hvordan arbeidet med informasjonssikkerhet understøtter virksomhetens måloppnåelse.
- Forståelse for at informasjonssikkerhet er en del av alle ansattes daglige arbeid, og evne til å formidle dette til de ansatte.