Veileder til internkontroll for Informasjonssikkerhet

Del denne sidenDel på e-post

Etabler en informasjonssikkerhetspolicy

En informasjonssikkerhetspolicy er et dokument som beskriver virksomhetens overordnede mål og prinsipper for å beskytte kritiske funksjoner. Den skal være enkel, kort og forståelig for alle ansatte. Kraftberedskapsforskriften § 6-4 krever at virksomheten har en sikkerhetsinstruks. Informasjonssikkerhetspolicyen er den overordnede delen av sikkerhetsinstruksen. Se «Dokumenter systemet» for hva sikkerhetsinstruksen skal inneholde.

Nivå 1 – Kom i gang med en enkel policy

1. Bestem hva policyen skal dekke

Policyen skal beskrive:

  • Hva virksomheten vil beskytte (f.eks. kritiske funksjoner, informasjon, it-utstyr og nettverk)

  • Overordnede mål for informasjonssikkerhetsarbeidet (f.eks. hindre uautorisert tilgang, sikre stabil drift, forebygge sikkerhetshendelser)

  • Roller og ansvar

  • Grunnleggende prinsipper for sikkerhetsarbeidet

 

2. Skriv policyen

Hold policyen kort og forståelig. Bruk enkelt språk som alle ansatte forstår.

Innhold:

  • Formål: Hvorfor har virksomheten denne policyen?
  • Virkeområde: Hva og hvem gjelder den for?
  • Mål: Hva vil virksomheten oppnå?
  • Roller og ansvar: Hvem gjør hva? (tilpass virksomhetens organisering)
  • Prinsipper: Hvordan skal sikkerhetsarbeidet drives? (f.eks. risikobasert prioritering)

 

3. Godkjenn og gjør tilgjengelig

  • Ledelsen godkjenner policyen
  • Lagre i internkontrollsystemet (se Dokumenter systemet)
  • Gjør tilgjengelig for alle ansatte
  • Kommuniser ved oppstart og ved endringer

 

4. Sett dato for neste gjennomgang

Policyen skal gjennomgås minst årlig. Sett en fast dato (f.eks. i november) for når policyen skal vurderes og eventuelt oppdateres.

 

Nivå 2 – Utvikle en mer moden og helhetlig policy

Når virksomheten vokser eller har mer komplekse systemer, trenger dere en mer omfattende policy som:

  • Gir systematisk styring av informasjonssikkerhet

  • Bygger på NSMs grunnprinsipper for IKT-sikkerhet (som igjen KBF § 6-9 bygger på)

  • Knytter sammen mål, tiltak og evaluering

 

Videreutvikling av policyen

1. Utvid beskrivelsen av virkeområdet

For å etablere det overordnede bildet av hva i virksomheten som må beskyttes, beskriv overordnet hvilke verdier virksomheten er avhengig av:

  • Kritiske tjenester og funksjoner

  • Systemer og infrastruktur

  • Informasjon (driftsinformasjon, personopplysninger og kraftsensitiv informasjon)

  • Ansatte og leverandører

Denne oversikten skal ikke være like detaljert som identifiseringen av virksomhetens kritiske verdier i risikovurderingen.

 

2. Definer tydelige sikkerhetsmål

Sikkerhetsmålene uttrykker hva virksomheten vil oppnå og må forankres i ledelsen.

Sikkerhetsmålene skal:

  • Forebygge uønskede hendelser og handlinger
  • Øke evnen til å håndtere ekstraordinære situasjoner
  • Begrense skadevirkninger og gjenopprette funksjon dersom skade oppstår

 

3. Etabler evalueringskriterier

Beskriv hvordan virksomheten skal måle om sikkerhetsmålene nås:

  • Hvordan vurderes risiko?
    • Eksempel: Gjennom konsekvensdimensjoner som forsyningssikkerhet, driftskontroll, økonomi, personsikkerhet og informasjonssikkerhet
  • Hvordan evalueres tiltak?
    • Eksempel: Plassering av hendelser i risikomatrise

 

4. Utvid styrende prinsipper

Beskriv hvordan virksomheten styrer informasjonssikkerhet, for eksempel:

  • Risikobasert prioritering

    Tiltak velges basert på hvilke systemer og informasjon som er kritisk. Vi prioriterer der risiko er størst.

  • Helhetlig styring

    Ha fokus på helhetlig styring, slik at styrende prinsipper dekker alle systemer, eksempelvis IT-systemer (kontorsystemer, e-post) og OT-systemer (HES, AMS, SCADA).

  • Tilgangsstyring

    Ansatte får kun tilgang til systemer og informasjon de trenger for å gjøre jobben sin.

  • Flere lag med sikring

    Vi bruker flere sikkerhetstiltak som utfyller hverandre.

  • Læring og forbedring

    Sikkerhetshendelser og avvik rapporteres og brukes til forbedring.

 

5. Tydeliggjør roller og ansvar

Utvid beskrivelsen av hva ansvaret innebærer:

  • Ledelsen fastsetter mål og sikrer ressurser.
  • IKT-sikkerhetskoordinator koordinerer arbeidet og rapporterer.
  • Systemansvarlige iverksetter tiltak.
  • Alle ansatte følger regler og melder fra om avvik.

Vurder å inkludere stedfortreder for kritiske roller.

 

6. Koble til internkontrollen

Policyen skal være overordnet og peke videre til prosedyrer for:

  • Skal gjennomgås årlig
  • Skal kontrolleres gjennom revisjoner
  • Skal oppdateres når læring fra hendelser og endringer i risikobildet gjør det nødvendig

Slik blir policyen et levende dokument.

Lenker til krav og mer detaljerte veiledere