Rolle: Systemeier
Med systemeier mener vi i denne forbindelsen ansatte som har et særskilt ansvar for et gitt IKT-system. Dette kan variere fra en virksomhet til en annen.
Ansvar og oppgaver
Systemeiere vil ha ansvaret for risiko knyttet til systemet de er ansvarlige for, og vil derfor også være risikoeiere. De har derfor også ansvar og oppgaver som beskrevet under «Risikoeier». Dersom et system benyttes i kun én arbeidsoppgave/prosess, bør vurdering og håndtering av risiko for arbeidsoppgaven og systemet sees i sammenheng.
Noen systemeiere er imidlertid ansvarlig for systemer som også benyttes av andre risikoeiere – vi kaller dem systemeier fellessystem. I slike tilfeller er det systemeiers ansvar å ivareta interessene til de som benytter systemene i sin oppgaveløsning og tjenesteutføring. Systemeierne må derfor involvere risikoeierne i risikovurderingsarbeid og andre internkontrollaktiviteter som utføres på fellessystemene.
Ønsket kompetanse
Systemeiere bør ha grunnleggende kunnskap om informasjonssikkerhet, og hvordan sikkerhetshendelser kan påvirke systemet de er ansvarlig for.
Systemeier bør ha grunnleggende kunnskap arbeidsoppgaven(e)/prosessen(e) systemet inngår i.
Systemeier fellessystemer bør ha evnen til å kommunisere og koordinere med ulike risikoeiere, og vurdere deres behov. De bør kunne inkludere dem i gjennomføring av risikovurdering og - håndtering, og hensynta deres vurdering av hvilke konsekvenser som kan oppstå dersom ulike hendelser inntreffer.
Tema for intervju/medarbeidersamtale
Systemeier må ha forståelse for at man må se sammenhengen mellom system og arbeidsoppgave når man gjennomfører risikovurderinger. Det er ikke tilstrekkelig å gjøre en teknisk risikovurdering av systemet, det må også sees i sammenheng med hvordan arbeidsoppgaven(e) gjennomføres.
Systemeier fellessystem må ha forståelse for at det er de ulike risikoeierne som best kan si hvilke konsekvenser ulike hendelser kan få for virksomhetens måloppnåelse. Disse må derfor involveres i gjennomføringen av risikovurderinger.