Veiledning til kraftberedskapsforskriften

Publisert 11.01.24Sist endret 11.01.24

Del denne sidenDel på e-post

§ 6.4 Sikkerhetsinstruks

Sikkerhetsinstruks er et internt dokument i virksomheten som dokumenterer de viktigste interne prosedyrene for informasjonssikkerhet og beskyttelse av kraftsensitiv informasjon. Sikkerhetsinstruksen inngår i virksomhetens internkontrollsystem. Sikkerhetsinstruksen viser krav til hvordan man skal handle og opptre.

Virksomheter som har eller behandler kraftsensitiv informasjon skal utarbeide og praktisere en sikkerhetsinstruks som sikrer at kravene til informasjonssikkerhet ivaretas. Sikkerhetsinstruksen skal beskrive hvilke system, rutiner og tiltak som er iverksatt for å etterleve kravene til informasjonssikkerhet, herunder krav til beskyttelse, avskjerming og tilgangskontroll.

Sikkerhetsinstruksen skal omfatte informasjon til ansatte og andre rettmessige brukere om taushetsplikten etter energilovens § 9-3 annet ledd og stille krav til undertegning av taushetserklæring. Sikkerhetsinstruksen skal også omfatte informasjon om at taushetsplikten medfører at kraftsensitiv informasjon ikke skal offentliggjøres.

Ordforklaring

Sikkerhetsinstruks Internt dokument i virksomheten som dokumenterer de viktigste interneprosedyrene for informasjonssikkerhet og beskyttelse av kraftsensitiv informasjon. Sikkerhetsinstruksen inngår i virksomhetens internkontrollsystem. Sikkerhetsinstruksen viser krav til hvordan manskal handle og opptre.

Virksomheten skal lage en sikkerhetsinstruks

Den må inngå i internkontrollsystemet.


Første ledd omhandler krav til å utarbeide sikkerhetsinstruks.
Sikkerhetsinstruksen bør angi ledelsens uttalte ambisjon eller målsetting for informasjonssikkerhet

  • Sikkerhetsinstruksen må inneholde informasjon om hvilke system, rutiner og tiltak som er iverksatt for å etterleve kravene til informasjonssikkerhet, herunder krav til beskyttelse, avskjerming og tilgangskontroll
  • Innholdet vil bero på hvilke tiltak virksomheten har iverksatt etter risikovurdering.
  • Sikkerhetsinstruksen må stadfeste at leverandørers behandling av kraftsensitiv informasjon reguleres i sikkerhetsavtale med leverandøren

Andre ledd retter seg mot ansatte, der ansatte må ha en brukerinstruks for bruk av virksomhetens IT-systemer. Dokumentet må

  • inneholde informasjon til ansatte og andre rettmessige brukere om taushetsplikten etter energilovens § 9-3 annet ledd
  • stille krav til undertegning av taushetserklæring
  • inneholde informasjon om at kraftsensitiv informasjon ikke skal offentliggjøres

Sikkerhetsinstruksen kan bestå av ett eller flere dokumenter.

En brukerinstruks bør dekke                                                                                         

  • hvem instruksen gjelder for (eksempelvis ansatte og innleide konsulenter)
  • hvilken verdi informasjon kan ha og krav til beskyttelse (eksempelvis offentlig, bedriftsintern, kraftsensitiv, personopplysninger)
  • e-postbruk
  • internettbruk
  • sikkerhet på eget kontor, herunder passord, låsing av skjerm og ryddig pult
  • lagring av informasjon administrert av virksomheten og sikkerhetskopiering
  • utskrift, oppbevaring, kopiering og makulering av kraftsensitiv informasjon
  • rutiner ved besøk og service
  • rutine for låsing av kontor og aktivering av alarm
  • fjerntilgang til virksomhetens systemer og IKT-tjenester
  • sikkerhet ved bruk av mobile enheter
  • sikkerhet på reise
  • varsling av avvik og uønskede IKT-hendelser
  • ansvarlig for dokumentet og siste revisjon