Ny funktion i Nem ISMS: Kompetencematrix og måling af kompetencegab

Informationssikkerhed handler ikke kun om politikker og tekniske foranstaltninger.

Det handler i lige så høj grad om mennesker.

Med den nye Kompetencematrix i Nem ISMS kan organisationer nu systematisk dokumentere og måle deres kompetencer – og identificere konkrete kompetencegab.

Fra mavefornemmelse til dokumenteret kompetence

ISO 27001 kræver, at organisationen:

• identificerer nødvendige kompetencer

• sikrer, at medarbejdere er kompetente

• dokumenterer dette

I praksis bliver det ofte håndteret i et Excel-ark – eller slet ikke.

Med Nem ISMS er det nu en integreret del af ledelsessystemet.

Sådan fungerer det

1. Definér kompetencer og kategorier

Organisationen opretter selv sine kompetencer i en særskilt struktur.

Krævede kompetencer kan markeres som kritisk og kobles til relevante ISO 27001 kontroller.

(Vi leverer naturligvis de basale roller hvis det ønskes 😊)

2. Definering af roller

Roller kan defineres og deres kompetencekrav kan dokumenteres.

3. Fastlæg kompetenceniveauer

Hver medarbejder vurderes ud fra deres rolle og et ensartet niveau:

• 0 – Ingen kendskab

• 1 – Grundlæggende forståelse

• 2 – Arbejder selvstændigt

• 3 – Avanceret / kan rådgive

• 4 – Ekspert / strategisk ansvar

Der registreres naturligvis både det krævede niveau og det aktuelle niveau. Herfra kan et kompetencegab opgøres og dette markeres med grøn, gul og rød.

Dette giver ledelsen et klart overblik:

• Hvor er organisationen sårbar?

• Hvor mangler vi specialistviden?

• Hvor skal vi investere i træning?

• Hvor skal vi evt. midlertidigt supplere med ekstern viden?

Ledelsesværktøj – ikke HR-øvelse

Kompetencematrixen er udviklet som et ledelsesværktøj.

Den kan anvendes til:

• Forberedelse af Management Review

• Intern audit

• Planlægning af træning og awareness-program

• NIS2-beredskab

• Dokumentation over for audit, kunder og revisor

I stedet for generelle formuleringer kan organisationen nu dokumentere:

Vi har identificeret et kompetencegab på hændelseshåndtering. Tiltag er planlagt og igangsat.

Det er konkret. Det er målbart. Og det er audit-egnet.

Roller og flere ansvarsområder

En medarbejder kan have flere roller, og hver rolle kan kræve forskellige kompetencer.

Det betyder, at man kan dokumentere:

• Hvem har strategisk ansvar?

• Hvem kan rådgive?

• Hvem arbejder operativt?

Det giver et langt mere realistisk billede af organisationens faktiske kompetenceniveau.

Hvorfor det er vigtigt

De fleste sikkerhedsbrud skyldes ikke manglende politikker. De skyldes oftest manglende kompetencer og fokus.

Når kompetencer måles struktureret, sker der noget interessant:

Organisationen begynder at se sikkerhed som en kapacitet – ikke som dokumentation.

Det er dér modenheden starter.

Klar til at arbejde systematisk med kompetencer?

Med den nye funktion i Nem ISMS kan små og mellemstore virksomheder arbejde professionelt med kompetencestyring – uden tunge HR-systemer.

Kompetencer bliver en integreret del af informationssikkerheden.

Og det er præcis sådan et ledelsessystem bør fungere.

Hvis du vil vide mere om Nem ISMS, så overvej at tilmelde dig vores kommende webinar eller tag fat i os for en uforpligtende dialog.