Hjelpeverktøy
Sjekkliste
Sjekklisten viser alle forskriftskrav til internkontroll for informasjonssikkerhet, hvor i veilederen hvert krav dekkes, og eksempler på dokumentasjon.
Hvordan bruke sjekklisten
Bruk sjekklisten aktivt når du bygger internkontrollsystemet – huk av krav etter hvert som virksomheten dokumenterer at de at de er dekket.
Ved tilsyn: Kolonnen «Eksempel på resultatdokumentasjon» viser hvilken dokumentasjon tilsynsmyndigheten vil etterspørre.
Viktig: Alle krav i sjekklisten er MÅ-krav. Prioriteringen handler om rekkefølge, ikke om å velge noe bort.
Anbefalt rekkefølge
Først (Prioritet 1)
- Etabler selve internkontrollsystemet (mappestruktur, ansvarlige etc.)
- Lag oversikt over kritiske funksjoner og kraftsensitiv informasjon
- Gjennomfør risikovurdering for AMS
- Få på plass tilgangskontroll og sikkerhet for brytefunksjon
- Etabler sikkerhet for driftskontrollsystemer (HES, SCADA)
Deretter (Prioritet 2)
- Innfør sikkerhetstiltak basert på risikovurderingen
- Etabler logging og hendelseshåndtering
- Dokumenter leverandøravtaler og tjenesteutsetting
Løpende (Prioritet 3)
- Gjennomfør risikovurderinger for andre kritiske funksjoner
- Hold risikovurderinger oppdatert
- Gjennomfør revisjoner jevnlig
- Evaluer etter hendelser og øvelser
Hver linje i sjekklisten viser hvilken del av veilederen som forklarer hvordan kravet oppfylles.
Trinn: T1=Grunnmuren, T2=Drift sikkerheten, T3= Forbedre og hold kontrollen
Gjelder: KBO = Alle KBO-enheter, AMS = Nettselskap med AMS, Elhub = Elhub-brukere, DKS = Driftskontrollsystem
Forkortelser: KBF = Kraftberedskapsforskriften, FKN = Forskrift om kraftomsetning og nettjenester
| Pri | Trinn | Gjelder | Krav | Hjemmel | Eksempel dokumentasjon | OK |
| 1 | T1 | KBO | Utpeke beredskapsleder, beredskapskoordinator og IKT-sikkerhetskoordinator | KBF § 2-2 | Rollebeskrivelser, fullmakter, organisasjonskart | ☐ |
| 1 | T1 | KBO | Identifisere og dokumentere kritiske funksjoner, systemer og brukere | KBF § 6-9 bokstav a | Systemoversikt, liste over kritiske funksjoner | ☐ |
| 1 | T1 | KBO | Identifisere kraftsensitiv informasjon, hvor den er og hvem som har tilgang | KBF § 6-1 | Oversikt over kraftsensitiv informasjon | ☐ |
| 1 | T1 | KBO | Gjennomføre risikovurdering for som inkluderer informasjonssikkerhet samt risiko ved systemendringer | KBF § 2-3, § 6-9 bokstav b | Risikovurderingsrapport, tiltaksplan | ☐ |
| 1 | T1 | KBO | Utarbeide sikkerhetsinstruks | KBF § 6-4 | Sikkerhetsinstruks | ☐ |
| 1 | T1 | KBO | Utarbeide brukerinstruks med krav om taushetserklæring | KBF § 6-4 | Brukerinstruks, signerte taushetserklæringer | ☐ |
| 1 | T1 | KBO | Etablere system for beskyttelse og tilgangskontroll for kraftsensitiv informasjon | KBF § 6-3 | Tilgangsrutine, tilgangsoversikt | ☐ |
| 1 | T2 | KBO | Etablere prosedyrer for tilgang, endring, backup og leverandørhåndtering | KBF § 6-9 bokstav c-e | Prosedyrer | ☐ |
| 1 | T2 | KBO | Etablere beredskapsplan for cyberhendelser | KBF § 1-5, § 7-8 | Beredskapsplan, kontaktlister, tiltakskort | ☐ |
| 1 | T2 | KBO | Etablere varslingsrutine til NVE | KBF § 2-5, § 2-6 | Varslingsrutine, kontaktinfo NVE | ☐ |
| 1 | T3 | KBO | Gjennomføre sikkerhetsrevisjon av sikringstiltak | KBF § 6-9 bokstav f | Revisjonsplan, revisjonsrapporter | ☐ |
| 1 | T3 | KBO | Gjennomføre årlig gjennomgang og oppdatering av IK-systemet | KBF § 2-10 | Referat ledelsesgjennomgang | ☐ |
| 2 | T1 | KBO | Dokumentere systemoversikt med nettverksdiagram | KBF § 6-9 bokstav a | Nettverksdiagram, systemdokumentasjon | ☐ |
| 2 | T1 | KBO | Dokumentere alle tilganger per system | KBF § 6-9 bokstav a | Tilgangsliste per system | ☐ |
| Pri | Trinn | Gjelder | Krav | Hjemmel | Eksempel dokumentasjon | OK |
| 2 | T1 | KBO | Etablere sikkerhetstiltak for digitale informasjonssystemer | KBF § 6-9 bokstav c | Oversikt over implementerte tiltak | ☐ |
| 2 | T1 | KBO | Etablere overvåking slik at uønskede hendelser oppdages | KBF § 6-9 bokstav c | Loggrutine, overvåkningsløsning | ☐ |
| 2 | T2 | KBO | Etablere sikkerhetskopier som fjernlagres på sikkert sted | KBF § 6-8 | Backup-rutine, lagringssted | ☐ |
| 2 | T2 | KBO | Teste at gjenoppretting fra sikkerhetskopi fungerer | KBF § 6-9 bokstav d | Testlogg for gjenoppretting | ☐ |
| 2 | T2 | KBO | Etablere rutine for programvareoppdatering | KBF § 6-9 bokstav c | Oppdateringsrutine | ☐ |
| 2 | T2 | KBO | Etablere hendelseshåndtering og gjenoppretting | KBF § 6-9 bokstav d | Hendelsesrutine, hendelseslogg | ☐ |
| 2 | T2 | KBO | Sikre at leverandører er forpliktet til informasjonssikkerhet | KBF § 6-5 | Leverandøravtaler med sikkerhetskrav | ☐ |
| 2 | T2 | KBO | Sikre at sikkerhetsnivå opprettholdes ved tjenesteutsetting | KBF § 6-9 bokstav e | Risikovurdering ved tjenesteutsetting | ☐ |
| 2 | T2 | KBO | Gjennomføre øvelse minimum årlig | KBF § 2-7 | Øvelsesplan, øvelsesrapport | ☐ |
| 2 | T3 | KBO | Evaluere etter hendelser og øvelser | KBF § 2-9 | Evalueringsrapport, forbedringstiltak | ☐ |
| 2 | T1 | AMS | Godkjenne enheter og brukere før de får tilgang til AMS | FKN § 4-6 tredje ledd bokstav a | Godkjenningsrutine, liste over godkjente enheter | ☐ |
| 2 | T1 | AMS | Sikre sporbarhet for endringer (bruker, tidspunkt, endring) | FKN § 4-6 tredje ledd bokstav b | Endringslogg | ☐ |
| 2 | T1 | AMS | Etablere ende-til-ende-kryptering mellom måler og sentralsystem | FKN § 4-6 tredje ledd bokstav c | Dokumentasjon av krypteringsløsning | ☐ |
| 2 | T2 | AMS | Holde programvare oppdatert og kontrollere autentisitet før installasjon | FKN § 4-6 tredje ledd bokstav d | Oppdateringsrutine, verifiseringslogg | ☐ |
| 2 | T2 | AMS | Sikre at kompromittering av én måler ikke kompromitterer andre | FKN § 4-6 tredje ledd bokstav e | Dokumentasjon av sikkerhetsarkitektur | ☐ |
| 2 | T2 | AMS | Deaktivere funksjonalitet i AMS som ikke skal benyttes | FKN § 4-6 tredje ledd bokstav f | Oversikt over aktiv/deaktivert funksjonalitet | ☐ |
| 2 | T2 | AMS | Begrense tilgang til målerens grensesnitt | FKN § 4-6 tredje ledd bokstav g | Tilgangspolicy for HAN-port | ☐ |
| Pri | Trinn | Gjelder | Krav | Hjemmel | Eksempel dokumentasjon | OK |
| 2 | T2 | AMS | Sikre at sikkerhetsnivå opprettholdes ved tilkobling av andre enheter | FKN § 4-6 fjerde ledd | Risikovurdering ved tilkoblinger | ☐ |
| 2 | T3 | AMS | Dokumentere oppfyllelse av AMS-sikkerhetskrav i internkontrollsystem | FKN § 4-6 femte ledd | Samlet dokumentasjon | ☐ |
| 2 | T2 | AMS | Brytefunksjon: Kun nettselskap fjernstyrer, fra adgangskontrollert sone | KBF § 6-10 bokstav a | Prosedyre, sonebeskrivelse | ☐ |
| 2 | T2 | AMS | Brytefunksjon: Risikovurdering med landrisiko ved leverandør utenfor EFTA/EU/NATO | KBF § 6-10 bokstav b | Risikovurdering med landrisiko | ☐ |
| 2 | T2 | AMS | Brytefunksjon: Kontrollordning som hindrer masseutkobling | KBF § 6-10 bokstav c | Beskrivelse av kontrollordning | ☐ |
| 2 | T2 | AMS | Brytefunksjon: Fjernoppdatering kun fra adgangskontrollert sone | KBF § 6-10 bokstav d | Prosedyre for fjernoppdatering | ☐ |
| 2 | T2 | AMS | Brytefunksjon: Individuell sikkerhetsløsning per måler | KBF § 6-10 bokstav e | Dokumentasjon av løsning | ☐ |
| 2 | T1 | Elhub | Inngå brukeravtale med Elhub | FKN § 6-2 | Signert brukeravtale | ☐ |
| 2 | T2 | Elhub | Sikre kryptert informasjonsutveksling via Ediel | FKN § 6-21 fjerde ledd | Bekreftelse på kryptering | ☐ |
| 3 | T1 | DKS | Ha oppdatert dokumentasjon av driftskontrollsystemet | KBF § 7-3 | Systemdokumentasjon, nettverksdiagram, utstyrsliste og sikkerhetstiltak | ☐ |
| 3 | T1 | DKS | Fastsette interne sikkerhetsregler for DKS | KBF § 7-2 | Sikkerhetsregler for DKS | ☐ |
| 3 | T2 | DKS | Kontrollere at kun rettmessige brukere har tilgang (årlig gjennomgang) | KBF § 7-4 | Tilgangsrutine, årlig gjennomgang | ☐ |
| 3 | T2 | DKS | Kontrollordning for vurdering, testing og godkjenning av endringer | KBF § 7-5 | Endringsprosedyre | ☐ |
| 3 | T2 | DKS | Kontroll med utstyr (ikke brukt utenfor DKS, sletting, ingen personlig utstyr) | KBF § 7-6 | Utstyrsrutine | ☐ |
| 3 | T2 | DKS | Håndtere feil, sårbarheter og sikkerhetsbrudd, registrere alle hendelser | KBF § 7-7 | Hendelseslogg, håndteringsrutine | ☐ |
| 3 | T2 | DKS | Beredskap og forberedte tiltak for fortsatt drift ved svikt i DKS | KBF § 7-8 | Beredskapsplan for DKS-svikt | ☐ |
| Pri | Trinn | Gjelder | Krav | Hjemmel | Eksempel dokumentasjon | OK |
| 3 | T2 | DKS | Tilstrekkelig og tilgjengelig autorisert personell for driftskontroll | KBF § 7-9 | Bemanningsplan, vaktordning | ☐ |
| 3 | T2 | DKS | Kontroll med ekstern tilkobling (godkjente brukere, prosedyre og logging) | KBF § 7-10 | Prosedyre, brukerliste, logg | ☐ |
| 3 | T2 | DKS | Vurdere behov for redundans i driftskontrollsystemet | KBF § 7-11 | Redundansvurdering | ☐ |
| 3 | T3 | DKS kl.2 | Oppfylle tilleggskrav for driftskontrollsystem klasse 2 | KBF § 7-14 | Dokumentasjon per krav a-k | ☐ |
| 3 | T3 | DKS kl.3 | Oppfylle tilleggskrav for driftskontrollsystem klasse 3 | KBF § 7-15 | Dokumentasjon per krav a-f | ☐ |
Verktøy for internkontroll
Valg av verktøy avhenger av virksomhetens størrelse, kompleksitet og ressurser.
Enkle kontorverktøy
De fleste virksomheter har allerede verktøy som fungerer godt: tekstbehandling for prosedyrer, regneark for risikovurderinger og lister, oppgavestyring for tiltak og frister, og en ryddig mappestruktur med tilgangsstyring.
Fagsystemer for internkontroll
For virksomheter med omfattende behov finnes løsninger som håndterer styring, risiko og regeletterlevelse. Disse tilbyr integrert risikostyring, automatisert rapportering, prosesstøtte for godkjenninger, sammenstilling på tvers av regelområder, og revisjonshistorikk.
Slike verktøy er aktuelle for virksomheter med mange regelverk, behov for automatisering, eller ønske om integrasjon med eksisterende systemer.
Det viktigste er å velge verktøy som faktisk blir brukt.
Årshjul for drift og kontinuerlig forbedring
Internkontroll er ikke en engangsaktivitet. Systemet må driftes og forbedres kontinuerlig. Et årshjul gir struktur og forutsigbarhet.
Eksempel på et årshjul for informasjonssikkerhet
| Måned | Aktivitet | Ansvarlig |
| Januar | Gjennomgang av fjorårets hendelser og evalueringer | IKT-sikkerhetskoordinator |
| Februar | Oppdatering av risikovurderinger | Fagansvarlige/systemeier |
| Mars | Revisjon: Tilgangskontroll | Internrevisor |
| April | Oppdatering av systemdokumentasjon | Systemeier |
| Mai | Gjennomgang av leverandøravtaler | Innkjøp + IKT-sikkerhet |
| Juni | Internrevisjon: Logging og overvåking | Internrevisor |
| Juli | Backup og beredskap | Drift |
| August | Testing av beredskapsplaner | Beredskapskoordinator |
| September | Internrevisjon: Sikkerhetsvurdering AMS | Internrevisor |
| Oktober | Sikkerhetsmåned: Opplæring, fokus på rutiner for sikkerhet | IKT-sikkerhetskoordinator + HR |
| November | Årlig gjennomgang av internkontrollsystemet | IKT-sikkerhetskoordinator |
| Desember | Ledelsens gjennomgang. Planlegging neste år. | Ledelsen + IKT-sikkerhetskoordinator |
Tilpass årshjulet til virksomhetens størrelse og andre planlagte aktiviteter. Mindre virksomheter kan samle flere aktiviteter i samme måned.