Handläggare, tfn Bengt Rydstedt, 08-555 520 28 E-post bengt.rydstedt@sis.se Ledningssystem för informationssäkerhet - Kompetensprofil Detta dokument har utarbetats av AG 8 inom projekt LIS, Ledningssystem för informationssäkerhet: Elisabeth Antonsson, WM-Data Security Lars Gunnerholm, Guardian IT Sweden Gunnar Lindström, SWEDAC Per Lundin, Svensk Brand- och Säkerhetscertifiering AB Patrik Meynert, IBM Svenska AB Thomas Osvald, Svenska Stöldskyddsföreningen, SSF SIS, Swedish Standards Institute SIS is the Swedish member of ISO and CEN Postadress: 118 80 STOCKHOLM Besöksadress: Sankt Paulsgatan 6, Stockholm Organisationsnr: 8024100151 Telefon: 08-555 520 00 Telefax: 08-555 520 01 E-post: info@sis.se Postal address: SE-118 80 STOCKHOLM, Sweden Office address: Sankt Paulsgatan 6, Stockholm V.A.T. No. SE802410015101 Phone: +46 8 555 520 00 Telefax: +46 8 555 520 01 E-mail: info@sis.se www.sis.se
2(5) Inledning Detta dokument syftar till vägledning i fråga om de kriterier som bör beaktas vid val av personer som avses arbeta inom området Ledningssystem för informationssäkerhet, LIS. Dokumentet kan användas i följande situationer: av företag och andra organisationer vid urval av personer som skall kunna uppfylla företagets/organisationens särskilda behov och mål i fråga om LIS, av personer för vägledning i frågor om utveckling av önskvärd kompetens för arbete med LIS, av företag som arbetar med kompetensutveckling för anställda, av konsultföretag vid urval av personal, av certifieringsföretag som stöd vid eventuell framtida certifiering av personer. 1. Mål och omfattning Kompetensprofilen används som ett hjälpmedel vid val av person som skall kunna förstå och erbjuda strategisk och/eller operationell vägledning för att möta företagets/organisationens krav på att, identifiera LIS-arbetets mål och omfattning och utveckla, implementera, utvärdera, kontinuerligt underhålla och vidareutveckla ett LIS. 2. er Senaste utgåva av följande dokument, SS-ISO/IEC 17799 Ledningssystem för informationssäkerhet Riktlinjer för ledning av informationssäkerhet. SS 627799-2 Ledningssystem för informationssäkerhet Del 2: Specifikation för ledningssystem för informationssäkerhet. SS-EN ISO 9001 Ledningssystem för kvalitet Krav (ISO 9001:2000) SS-EN ISO 14001 Miljöledningssystem Kravspecifikation med vägledning för användning (ISO 14001:1996) AFS 2001:1 Systematiskt arbetsmiljöarbete ISO/IEC 15408 Evaluation Criteria for IT Security (Common Criteria) Myndighetsföreskrifter och normer avseende informationssäkerhet inom särskilda branscher EA 7/03 European co-operation for Accreditation, Guidelines for the Accreditation of bodies operating certification/registration of Information Security Management Systems. 3. Kompetenskriterier Följande kompetenskrav skall beaktas: personliga egenskaper och yrkesetik formell kompetens annan kunskap/kännedom arbetslivserfarenhet.
3(5) 3.1 Personliga egenskaper och yrkesetik Personen skall ha, kommunikationsförmåga att kunna lyssna till, argumentera och ta till sig argument samt att kommunicera med personer på alla nivåer i företaget praktisk, resultatinriktad inställning ledarförmåga i sitt arbete visat prov på integritet och lojalitet. 3.2 Formell kompetens Personen skall ha, akademisk utbildning eller motsvarande informationssäkerhetsutbildning. Personen skall besitta kännedom om och kunna vara verksam inom följande områden, projektledning personsäkerhet/arbetsmiljö riskhantering och riskanalys IT-säkerhet fysisk säkerhet. Kompetensen skall kunna styrkas. 3.3 Annan kunskap/kännedom Personen skall ha kunskap om de normativa standarderna SS ISO/IEC 17799 SS 627799 Kompetensen skall kunna styrkas. Personen skall ha kännedom om övriga standarder och dokument nämnda under 2. er ovan. Personen skall ha kännedom om följande lagar, - Sekretesslagen - Aktiebolagslagen - Bokföringslagen - Personuppgiftslagen - Upphovsrättslagen - Arbetsmiljölagen - Medbestämmandelagen - Lagen om skydd för företagshemligheter. metodik och system för nationell och internationell standardisering, ackreditering och certifiering, - ackrediteringens och certifieringens system och regelverk enligt internationella, erkända standarder, - rutiner för nationell certifiering av produkter, system och personal.
4(5) 3.4 Arbetslivserfarenhet Personen skall ha relevant arbetslivserfarenhet som omfattar analys, problemlösning och kommunikation med berörda parter i en organisation. Personen skall ha tillräckligt bred och djup erfarenhet för att ge råd som möjliggör för organisationen att fatta egna beslut om informationssäkerheten. Arbetslivserfarenheten skall omfatta en tidsperiod om minst tre år och skall styrkas med arbetsintyg eller betyg.
5(5) Informativ bilaga 1 Välrenommerad och väldokumenterad erfarenhet av informationssäkerhetsarbete under lång tid skall kunna kompensera brister i fråga om formell kompetens. 2 Arbetslivserfarenheten skall omfatta sådana arbetsuppgifter som är relevanta för tillämpningen av LIS. Erfarenheterna kan omfatta t ex verksamhetsanalys, riskanalys, IS/ IT-revision eller annat arbete inom ITsäkerhetsområdet. 3 Av betydelse för bedömning av en person är även erfarenhet av arbete i ledande funktion, t ex som projektledare. 4 Vid urval av person bör i många fall branscherfarenhet beaktas. Arbete t ex inom sjukvården eller banker ställer särskilda krav och erfarenhet från sådana miljöer kan vara avgörande för framgångsrik verksamhet. 5 Relevanta certifieringar och utbildningar bör beaktas, t ex CISA, CISSP, HAS, Svenskt Näringslivs kurser. 6 Person som avses arbeta i verksamhet för vilken annat lands lagregler helt eller delvis gäller skall ha kännedom även om detta lands relevanta lagar motsvarande vad som nämns under avsnitt 3.3 ovan. 7 Med begreppen kunskap och kännedom i kompetensprofilens avsnitt 3 avses att kunskap skall kunna tillämpas utan omedelbar tillgång till relevant sakinformation medan kännedom enbart avser vetskap om existensen av sådan information och var den är att finna.