Dokumenter systemet
Hva er en sikkerhetsinstruks?
Sikkerhetsinstruks er forskriftens begrep for virksomhetens dokumentasjon av informasjonssikkerhet. Den omfatter alt fra overordnet policy til praktiske rutiner og risikovurderinger.
Hva er forskjellen på instruks, prosedyre og rutine?
-
Brukerinstruks sier hva ansatte skal gjøre og ikke gjøre (regler)
-
Prosedyre beskriver hvordan en oppgave utføres (fremgangsmåte)
-
Rutine beskriver når og hvor ofte noe skal gjøres (fast praksis)
Dette kapitlet viser hvordan man bygger opp et dokumentasjonssystem som oppfyller kravet til sikkerhetsinstruks.
Nivå 1 – Kom i gang med strukturen
Sikkerhetsinstruksen består av:
1. Informasjonssikkerhetspolicy
- Ledelsens ambisjon for informasjonssikkerhet
- Roller og ansvar
- Overordnede prinsipper
Se «Etabler informasjonssikkerhetspolicy» for veiledning.
2. Brukerinstruks
Brukerinstruksen er rettet mot ansatte og beskriver hvordan de skal forholde seg til informasjonssikkerhet i det daglige.
Obligatorisk innhold jf. Kraftberedskapsforskriften § 6-4:
-
Informasjon om taushetsplikt
-
Krav til undertegning av taushetserklæring
-
Informasjon om at kraftsensitiv informasjon ikke skal offentliggjøres
Se NVEs veiledning for KBF § 6-4 for fullstendig liste. Se også NVEs nettsider for mal for taushetserklæring.
3. Systemoversikt
- Hvilke funksjoner og systemer er kritiske for drift?
- Hvor lagres kraftsensitiv informasjon?
- Hvem har tilgang til hva?
4. Risikovurderinger
- Hva kan gå galt?
- Hva gjør vi med det?
- Hvem følger opp?
5. Beredskapsplan
- Hva gjør vi dersom noe går galt?
- Kortfattet plan for håndtering av hendelsen
Hvor lagre dokumentasjonen?
Bruk eksisterende lagringsløsning i virksomheten. Det viktige er at:
- Alle som trenger det, har tilgang
- Alle som trenger det, vet hvor dokumentasjonen er tilgjengelig
-
Det er en fast struktur
-
Lagringsmediet oppfyller krav til sikkerhet og tilgangskontroll
Eksempel på en enkel mappestruktur
Uavhengig av hvilket verktøy brukes, kan følgende struktur benyttes:
| Mappe | Hva lagres her |
| 01_Styring | Informasjonssikkerhetspolicy, rollebeskrivelser, ansvarsmatrise og prosedyrer |
| 02_ Brukerinstruks | Brukerinstruks for ansatte, taushetserklæringer |
| 03_Systemoversikt | Oversikt over kritiske funksjoner, kraftsensitiv informasjon, oversikt tilgangskontroll |
| 04_Risikovurderinger | Risikovurderinger, sikkerhetsvurderinger AMS, endringsvurderinger |
| 05_Oppfølging | Tiltaksplan, avviksregister, hendelseslogg og revisjonsplan |
| 06_Beredskap | Beredskapsplan, kontaktlister, varslingsrutiner |
Denne strukturen gjør det enkelt å finne dokumentasjon ved tilsyn og ved oppdatering av vurderinger.
Tilgangsstyring på dokumentasjon
Tilgangsstyring skal sikre at informasjon kun er tilgjengelig for de med legitimt behov.
Anbefalte tilgangsnivåer:
Generell tilgang (alle ansatte):
- Informasjonssikkerhetspolicy, brukerinstruks og relevante prosedyrer
Begrenset tilgang (ledelse og fagansvarlige):
- Risikovurderinger, systemoversikter, revisjonsrapporter
Strengt begrenset:
- Kraftsensitiv informasjon
Bruk tilgangsstyring i dokumentsystemet for å kontrollere dette.
Sjekkliste: Er det grunnleggende på plass?
☐ En fast plass for all dokumentasjon
☐ Sikkerhetsinstruks etablert (policy + brukerinstruks)
☐ Taushetserklæring utarbeidet og signert av ansatte
Nivå 2 – Fra enkelt til systematisk
Når grunnlaget er på plass, kan virksomheten bygge ut dokumentasjonen for bedre oversikt og mer effektiv oppfølging.
Utvidet dokumentstruktur
I tillegg til grunnleggende dokumenter fra nivå 1 bør følgende dokumentasjon etableres:
Styrende dokumenter
- Prosedyrer (hvordan oppgaver gjøres)
- Tiltakskort og handlingsplaner
Resultatdokumentasjon
- Gjennomførte vurderinger (risiko, endring og landrisiko)
- Revisjonsrapporter
- Hendelseslogger
- Oppfølging av avvik
Oppfølgingsdokumenter
- Årshjul for planlagte aktiviteter
- Tiltaksoversikt med status
- Møtereferater fra sikkerhetsgjennomganger
Forslag til utvidet mappestruktur:
| Mappe | Undermappe | Eksempel på dokumentasjon |
| 01_Styring | Policy | Informasjonssikkerhetspolicy |
| Rollebeskrivelser |
IKT- sikkerhetskoordinator rollebeskrivelse Ansvarsmatrise |
|
| Prosedyrer | Prosedyre for tilgangskontroll Prosedyre sikkerhetsvurdering ved endringer Prosedyre backup og gjenoppretting Prosedyre leverandørhåndtering |
|
| 02_Brukerinstruks | Brukerinstruks for ansatte | Brukerinstruks for ansatte |
| Taushetserklæringer | Signerte taushetserklæringer | |
| 03_Systemoversikt | Anlegg og systemer |
Oversikt kritiske funksjoner Systemdokumentasjon |
| Tilgangskontroll |
Tilgangsmatrise HES Brukeroversikt Rollebeskrivelser tilganger |
|
| Kraftsensitiv informasjon | Register kraftsensitiv info | |
| 04_Risiko-vurderinger | Risikovurderinger |
Risikovurderinger AMS sikkerhetsvurdering før innkjøp AMS sikkerhetsvurdering før oppstart |
| Endringsvurderinger | HES oppgradering sikkerhetsvurdering | |
| Leverandørvurderinger |
Leverandørvurderinger Landrisikovurdering |
|
| 05_Oppfølging | Revisjoner |
Sikkerhetsrevisjon Revisjonsplan |
| Avvik |
Avvikslogg Korrektive tiltak plan |
|
| Hendelser |
Hendelseslogg Hendelsesrapporter |
|
|
Tiltaksoversikter/ handlingsplaner |
Handlingsplan sikkerhetstiltak Status sikkerhetstiltak |
|
| Årshjul | Årshjul informasjonssikkerhet | |
| Ledelsesgjennomgang | Møtereferat ledelsens gjennomgang Oppfølgingspunkter fra ledelsen |
|
| Kompetanse | Opplæringsplan Kursbevis |
|
| Sikkerhetstesting | Sårbarhetsscanning rapporter Penetrasjonstestrapporter |
|
| 06_Beredskap | Øvelser og evalueringer | Øvelsesrapporter Evalueringsrapporter |
| Beredskapsplan | Beredskapsplan Varslingsinstruks |
Hvilke prosedyrer trengs?
Prosedyrer beskriver hvordan spesifikke arbeidsoppgaver skal gjennomføres.
Prosedyrer virksomheten bør ha:
| Prosedyre | Beskriver | Hjemmel |
| Tilgangskontroll | Hvem får tilgang til hva, hvordan tildeles og fjernes tilgang | KBF § 6-3 KBF § 7-4 |
| Endringshåndtering | Hvordan vurdere og dokumentere endringer i systemer | KBF § 6-9 bokstav b |
| Backup og gjenoppretting | Hvordan backup tas, oppbevares og testes | KBF § 6-9 bokstav d |
| Oppdatering av programvare | Hvordan sikkerhetsoppdateringer vurderes og installeres | KBF § 6-9 bokstav c |
| Hendelseshåndtering | Hvordan sikkerhetshendelser oppdages, håndteres og rapporteres | KBF § 6-9 bokstav d |
| Leverandørhåndtering | Hvordan leverandører vurderes og følges opp | KBF § 6-5, § 6-9 bokstav e |
Merk at beredskapsplan er beskrevet i eget kapittel.
Eksempel på en prosedyre
Sjekkliste: Er systemet på plass?
☐ Strukturert mappestruktur med undermapper
☐ Prosedyrer utarbeidet
☐ Alle risikovurderinger lagret systematisk
☐ Tiltaksoversikt med status
☐ Årshjul for planlagte aktiviteter (se eksempel i «Hjelpeverktøy»)
☐ Avvikslogg og hendelseslogg etablert
Lenker til krav og mer detaljerte veiledere
Forskrifter
- Kraftberedskapsforskriften § 2-10: Internkontrollsystem som dokumenterer systematikk for etterlevelse, holdes oppdatert og er tilrettelagt for tilsyn
- Kraftberedskapsforskriften § 6-1: Oversikt over kraftsensitiv informasjon, lagringssted og tilganger
- Kraftberedskapsforskriften § 6-4: Sikkerhetsinstruks
- Kraftberedskapsforskriften § 6-8: Sikkerhetskopier og dokumentasjon av driftskontrollsystemet og energisystemet
- Kraftberedskapsforskriften § 6-9: Risikovurdering skal holdes oppdatert
- Forskrift om kraftomsetning og nettjenester §4-6: Dokumentere oppfyllelse av AMS-krav i internkontrollsystem
NVE’s veiledning og maler
- Veiledning til KBF § 6-4 Sikkerhetsinstruks (inneholder fullstendig liste over hva brukerinstruks bør dekke)
- Mal for taushetserklæring
- Mal for informasjonssikkerhetsavtale med leverandører
Andre veiledere