Veileder til internkontroll for Informasjonssikkerhet

Del denne sidenDel på e-post

Etabler beredskapsplan

En beredskapsplan beskriver hva virksomheten gjør når noe alvorlig skjer – for eksempel cyberangrep, systemfeil eller strømbrudd. Planen sikrer at virksomheten vet hvem som gjør hva, og at virksomheten kan gjenopprette driften raskt.

Nivå 1 – Få planen på plass

For å få på plass beredskapen kan man gå frem slik:

1. Kartlegg hvilke uønskede hendelser som skal håndteres med beredskap

  • Gå systematisk gjennom alle uønskede hendelser/ scenarioer i risikovurderingene, både tilsiktede handlinger og utilsiktede hendelser
  • Bestem hvilke av disse uønskede hendelsene/scenarioene dere må være forberedt på å håndtere dersom de skjer

2. Bestem roller og ansvar

  • Bestem hvilke roller som skal være en del av beredskapsorganisasjonen. Noen av funksjoner er påkrevd i regelverket, jf. KBF § 2-2.
  • Kartlegg hvilke ressurser dere har i selskapet og kan utnytte ved en beredskapshendelse.

3. Utarbeid planverk

Lag:

  • Varslingsrutiner, inkludert telefonliste for viktige aktører slik som leverandører og myndigheter. Eksempler på eksterne aktører som må varsles:
    • Myndigheter: NVE og NSM (se KBF § 2-5 om varsling)
    • Politiet (ved mistanke om kriminell handling)
    • Andre KBO-enheter: Statnett, tilstøtende nettselskaper, kraftprodusenter
    • KDS: Kraftforsyningens distriktssjefer
    • Leverandører som er involvert i hendelsen eller som kan påvirke utfallet
  • Sjekklister for umiddelbare tiltak
  • En plan for hvordan drifte videre hvis et eller flere kritiske systemer blir utilgjengelige eller skadet
  • En plan for hvordan IT (avd/leverandør) skal gjenopprette angrepet IT-system
  • Rutiner for intern og ekstern kommunikasjon

4. Sørg for nødvendige ressurser

  • Teknisk: Utstyr og verktøy som er nødvendig for å håndtere hendelsene
  • Menneskelig: Opplæring av ansatte som har beredskapsroller. Sørg for at ansatte kjenner tiltak som gjelder dem

5. Gjennomfør øvelser

  • Sørg for at alle som har beredskapsroller får nødvendig trening. Gjennomfør skrivebordsøvelser, varslingsøvelser og praktiske øvelser
  • Dokumenter funn og læringspunkter

6. Evaluer og oppdater beredskapsplanen

  • Etter øvelser eller reelle hendelser: Hva fungerte? Hva fungerte ikke?
  • Oppdater planer, kontaktlister, rutiner og opplæring
  • Bestem faste tidspunkter for revisjon, for eksempel årlig

 

Sjekkliste: Er beredskapsplanen på plass?

☐ Liste over hendelser virksomheten må håndtere

☐ Beredskapsorganisasjon med roller og ansvar

☐ Varslingsplan med telefonliste

☐ Sjekkliste for umiddelbare tiltak

☐ Kontinuitetsplan (drift ved systemutfall)

☐ Gjenopprettingsplan (IT-systemer)

☐ Kommunikasjonsplan

☐ Opplæring gjennomført for beredskapsroller

☐ Øvelser gjennomført og evaluert

☐ Fast tidspunkt for årlig revisjon satt

 

Nivå 2 – Utfyllende informasjon om beredskapsplanen

En beredskapsplan beskriver hvordan selskapet skal håndtere uønskede hendelser. Hold planverket kort og konkret.

Hva beredskapsplanen bør dekke

  • Bortfall av kritiske systemer (jfr. verdivurdering), selv om risikovurderingen viser at det er lav sannsynlighet for dette.
  • Andre hendelser som har høy risiko eller der det er usikkerhet om styrken til barrierene.

Risikovurderingene danner grunnlag for beredskapsplanen, som beskriver hvordan identifiserte hendelser skal håndteres dersom de skjer. Sammen gir disse et godt utgangspunkt for øvelser og trening. Når hendelser inntreffer – eller avverges – gir evalueringen grunnlag for å lukke avdekkede sårbarheter. Denne sammenhengen gjør at beredskapsplanleggingen må være integrert med resten av internkontrollen.

 

Lenker til utfyllende informasjon

KBF kapittel 2 om beredskapsplanlegging

KBF kapittel 3 om kraftforsyningens beredskapsorganisasjon

KBF kapittel 4 om ressurser og reparasjonsberedskap

KBF § 7-7 Håndtering av feil, sårbarheter og sikkerhetsbrudd