Hvorfor ha internkontroll?
Hva er forholdet mellom informasjonssikkerhet og cybersikkerhet?
Det finnes en rekke ulike uttrykk og benevnelser som brukes om sikkerhetsarbeid knyttet til informasjon og digitale verdier. Særlig begrepet cybersikkerhet har fått stor utbredelse de siste årene, både i Norge og internasjonalt, og brukes ofte i lovverk, standarder og media. Andre ord og varianter som digital sikkerhet, IT-sikkerhet og informasjonssikkerhet benyttes også, og det er ikke alltid tydelige skillelinjer mellom dem i dagligtale.
Informasjonssikkerhet handler om å beskytte informasjonens konfidensialitet, integritet og tilgjengelighet – uavhengig av om informasjonen lagres digitalt, fysisk eller formidles muntlig. Arbeidet innen informasjonssikkerhet omfatter flere områder, som digital sikkerhet, fysisk sikkerhet og personellsikkerhet, og har som mål å sikre både systemer og mennesker mot uautoriserte handlinger, feil og tilsiktede angrep.
Cybersikkerhet er i hovedsak en underkategori av informasjonssikkerhet, og fokuserer spesielt på beskyttelse mot digitale trusler som hacking, skadevare, phishing og tjenestenektangrep. Cybersikkerhet er særlig omtalt i nyere standarder og regelverk, og dekker det digitale aspektet av sikkerhetsarbeidet.
Samlet sett kan man si at all cybersikkerhet inngår i informasjonssikkerhet, men informasjonssikkerhet rommer mer enn bare det digitale. For å være tydelige og helhetlige i denne veilederen, velger vi derfor å bruke begrepet informasjonssikkerhet som det overordnede ordet om virksomhetens sikkerhetsarbeid.
Hva er internkontroll for informasjonssikkerhet?
Internkontroll for informasjonssikkerhet betyr å styre og følge opp hvordan virksomheten beskytter sine IT- og OT-systemer, data, kommunikasjon og digitale tjenester på en systematisk og dokumentert måte.
- Kraftberedskapsforskriften (KBF) § 2-10 krever at KBO-enheter har et internkontrollsystem som dokumenterer etterlevelse av krav.
- Forskrift om kraftomsetning og nettjenester (FKN) § 4-6, femte ledd, krever at nettselskap skal dokumentere oppfyllelse av krav til et internkontrollsystem.
- Digitalsikkerhetsforskriften § 6 stiller krav om at tilbydere av samfunnsviktige tjenester skal etablere, dokumentere og vedlikeholde et styringssystem for sikkerhet som omfatter digital sikkerhet.
Internkontroll for informasjonssikkerhet handler om å ha oversikt over risiko, gjennomføre nødvendige vurderinger, iverksette tiltak og sikre at tiltakene fungerer etter hensikten i praksis. Systematikken er den samme som i virksomhetens arbeid med HMS og kvalitet, og bygger blant annet på anerkjente rammeverk som NSMs grunnprinsipper for IKT-sikkerhet.
God internkontroll innebærer at virksomheten:
-
Har oversikt over kritiske funksjoner, systemer (IT og OT), programvare, informasjonsverdier og leverandører
-
Gjennomfører systematiske risikovurderinger
-
Etablerer og iverksetter nødvendige og risikobaserte sikkerhetstiltak
-
Følger opp endringer, oppdateringer og vedlikehold av systemer og løsninger
-
Kontrollerer og verifiserer at sikkerhetstiltak fungerer etter hensikten
-
Avdekker, håndterer og lærer av avvik og hendelser
-
Har tydelig definerte roller, ansvar og myndighet
-
Dokumenterer styringsprosesser, beslutninger og gjennomførte tiltak
-
Arbeider med kontinuerlig forbedring av sikkerhetsarbeidet
Internkontroll skal være et praktisk verktøy. Dokumentasjonen bør derfor være så enkel, relevant og brukervennlig som mulig
Integrasjon med annen internkontroll
Alle virksomheter har etablert internkontroll innen ulike områder.
Informasjonssikkerhet kan integreres i disse kontrollsystemene for å oppnå stordriftsfordeler, redusere risikoen for dobbeltarbeid og sikre en mer helhetlig styring av virksomhetens prosesser.
| Område | Relevant regelverk | Overlappende aktiviteter | Integrasjonsmuligheter |
| HMS | Internkontroll-forskriften | Risikovurdering, avvikshåndtering, opplæring og ledelsesgjennomgang | Bruk samme avvikssystem, rapporteringsrutiner og årshjul |
| Personvern | Personopplysningsloven, GDPR | Tilgangskontroll, logging, sletting, leverandøravtaler og konsekvensvurdering (DPIA) | Felles tilgangsmatrise, databehandleravtaler kan inkludere informasjonssikkerhetskrav |
| Kvalitet | ISO 9001, egne kvalitetskrav | Dokumentstyring, prosedyrer, revisjoner og kontinuerlig forbedring | Bruk samme dokumentstruktur og revisjonsprogram |
| Elmålere | Forskrift om krav til elmålere | Krav til AMS-utstyr, sporbarhet og dataintegritet | Koordiner med AMS-sikkerhetsvurderinger |
| Kraftberedskap | Kraftberedskaps-forskriften | Beredskapsplanlegging, øvelser, varsling og klassifisering | Integrert beredskapsplan som dekker både fysisk og digital sikkerhet |
Praktiske råd for integrasjon:
-
Bruk én felles løsning (for eksempel en mappestruktur) for all internkontroll
-
Samkjør årshjul slik at revisjoner og gjennomganger koordineres
-
Bruk samme avviksregister for alle områder
-
Kombiner opplæring der temaene overlapper
-
La én risikovurdering dekke flere regelverksområder der det er naturlig
Ved å integrere informasjonssikkerhet med eksisterende systemer reduseres arbeidsmengden, og sikkerhetsarbeidet blir en naturlig del av virksomhetens drift.
Lovkrav
Kraftbransjen har krav til internkontroll i flere lover og forskrifter:
- Kraftberedskapsforskriften § 2-10: KBO-enheter skal ha internkontrollsystem som dokumenterer etterlevelse av krav
- Kraftberedskapsforskriften kapittel 6: Krav til informasjonssikkerhet og digitale informasjonssystemer
- Digitalsikkerhetsforskriften § 6: Krav om at tilbydere av samfunnsviktige tjenester skal etablere, dokumentere og vedlikeholde et styringssystem for sikkerhet som omfatter digital sikkerhet.
- Forskrift om kraftomsetning og nettjenester § 4-6: Nettselskap skal dokumentere oppfyllelse av sikkerhetskrav til AMS i et internkontrollsystem
- Forskrift om kraftomsetning og nettjenester § 6-21: Sikkerhet i Elhub
Internkontrollsystemet skal sikre oversikt over hvilke krav som gjelder for virksomheten og dokumentere at kravene er oppfylt.
Relevante standarder
Standarder er ikke juridisk bindende, men de gir anerkjent beste praksis for å bygge opp et effektivt og etterprøvbart internkontrollsystem.
Standarder for cybersikkerhet og informasjonssikkerhet
-
ISO/IEC 27032:2023 – Cybersikkerhet. Gir definisjoner, begreper og anbefalinger for beskyttelse mot cyberrisiko. Denne standarden brukes som definisjonsgrunnlag i veilederen.
-
ISO/IEC 27001 – Ledelsessystem for informasjonssikkerhet (ISMS). Rammeverk for styringssystem, roller, ansvar og kontinuerlig forbedring.
- ISO/IEC 27002 – Kontrolltiltak for informasjonssikkerhet. Praktiske kontroller som kan brukes i både IT- og OT-miljøer.
Standard for risikovurdering
NS 5814 – Krav til risikovurderinger. Norsk standard som beskriver hvordan virksomheter skal gjennomføre risikovurderinger. Denne standarden kan brukes som støtte for virksomheter som ønsker et mer modent, systematisk og revisjonsvennlig internkontrollsystem.
Slik bruker man veilederen
Om dette veilederen
Denne veilederen er utviklet for KBO-enheter som skal etablere eller forbedre internkontroll for informasjonssikkerhet.
To veiledere som henger sammen
Dette er én av to veiledere:
| Veileder | Innhold |
| Veileder til internkontroll for informasjonssikkerhet (denne) | Hvordan etablere og drifte internkontroll for informasjonssikkerhet |
| Veileder til sikkerhetsvurdering for AMS | Hvordan gjennomføre sikkerhetsvurderinger av AMS |
Resultatene fra sikkerhetsvurderingene dokumenteres i internkontrollsystemet. Har du ansvar for AMS, bør du bruke begge veilederne.
Veilederen gir
- Praktiske forklaringer
- Maler og eksempler man kan bruke direkte
- Sjekklister som kobler krav til dokumentasjon
- Forslag til mappestruktur, årshjul og verktøy
Man trenger ikke være cybersikkerhetsekspert for å bruke veilederen. Den er skrevet for deg som har ansvar for sikkerhet, IT-drift eller kvalitet i virksomheten.
Arbeidsprosessen i veilederen – tre trinn uansett nivå
Uansett hvilket nivå virksomheten velger, følger veilederen samme arbeidsprosess i tre trinn:
Trinn 1 - Grunnmuren
Etabler grunnlaget: oversikt, roller og ansvar, policy.
Trinn 2 - Daglig drift
Iverksett og følg opp tiltak: risikovurderinger, tilgangsstyring og hendelseshåndtering.
Trinn 3 - Forbedre
Evaluer, kontroller og forbedre systemet over tid.
Hvert trinn inneholder veiledning, maler og eksempler.
Hjelpeverktøy - det virksomheten trenger for å komme i gang
I kapitelet Hjelpeverktøy finner man:
Sjekkliste
- Med alle lovkrav som må oppfylles og eksempel på dokumentasjon
- Kobling til trinn og kapitler i veilederen
Verktøy for internkontroll
- Råd om valg av verktøy for dokumentasjon og oppfølging
- Fra enkle kontorverktøy til fagsystemer for større virksomheter
Årshjul
- Forslag til oversikt over aktiviteter gjennom året
- Planlegging av oppfølging og forbedring
Velg nivå basert på hvor virksomheten er i dag
Denne veilederen er bygget opp med to nivåer som passer ulike modenhetsgrader. Nivå 1 gir en enkel og rask måte å komme i gang på, med minimumskrav for å etablere grunnleggende internkontroll. Nivå 2 utvider dette med mer systematisk styring, mer dokumentasjon og flere prosesser for kontinuerlig forbedring.
Nivå 1 - Ikke etablert
Ingen eller lite internkontroll for informasjonssikkerhet.
→ Følg nivå 1 i veilederen som har enklest mulig tilnærming til grunnleggende dokumentasjon.
Nivå 2 - Noe på plass
Deler av internkontrollen er etablert, men innhold og struktur kan forbedres.
→ Se over nivå 1 i veilederen og gå så videre til nivå 2 for utvidet veiledning til innhold og struktur i internkontrollen.
God styring og kontroll
Virksomheten har internkontrollsystem på plass og jobber med forbedring.
→ Bruk referansene i hvert trinn for utdyping ved behov.