Veileder til internkontroll for Informasjonssikkerhet

Del denne sidenDel på e-post

Følg opp avvik og hendelser

Når noe går galt eller avvik oppdages, må dette håndteres systematisk. Dette kapitlet viser hvordan virksomheten etablerer rutiner for registrering, oppfølging og læring fra avvik og hendelser.

Nivå 1 – Etabler grunnrutiner

1. Definer hva som skal registreres

Etabler felles forståelse av hva som er avvik og hendelser:

Avvik: Gap mellom krav og praksis

  • Eksempel: "Backup er ikke testet siste 6 måneder"

Hendelser: Uønskede situasjoner som oppstår

  • Eksempel: "Phishing-e-post mottatt", "Mistenkelig pålogging"

2. Beskriv hvordan avvik registreres

For avvik: Beskriv hvordan avvik registreres. Opprett et avviksregister (regneark er tilstrekkelig):

ID Dato Beskrivelse Alvorlighet Ansvarlig Frist Status
A-2025-01 15.01 Backup ikke testet VIktig IT-ansvarlig 01.02 Åpen

 

For hendelser: Beskriv hvordan hendelser logges. Opprett en hendelseslogg:

Dato Hendelse Tiltak Varslet
10.01 Phishing-forsøk Blokkert avsender, informert ansatte Nei

 

3. Etabler rutine for oppfølging

Beskriv hvordan avvik følges opp:

  • Hvem sjekker status? (IKT-sikkerhetskoordinator)
  • Hvor ofte? (ukentlig for kritiske, månedlig for øvrige)
  • Når kan avvik lukkes? (når tiltak er verifisert)

4. Beskriv rapportering og varsling

Intern rapportering:

  • Avvik og hendelser rapporteres til ledelsen månedlig og kvartalsvis
  • Alvorlige hendelser rapporteres umiddelbart

Varsling

KBF § 2-5 og § 2-6 krever varsling av visse hendelser til NVE. Beskriv:

  • Hvilke hendelser skal varsles?
  • Hvem varsler?
  • Hvordan varsler man?

Se NVE Veileder til kraftberedskapsforskriften § 2-6 om varsling av hendelser for detaljer.

5. Dokumenter rutinene

Lagre rutinebeskrivelser og registre i internkontrollsystemet.

Sjekkliste: Grunnrutiner for avvik og hendelser

☐ Definert hva som er avvik og hendelser

☐ Avviksregister opprettet

☐ Hendelseslogg opprettet

☐ Rutine for oppfølging beskrevet

☐ Rutine for varsling til NVE beskrevet

☐ Rutiner lagret i internkontrollsystemet

Nivå 2 – Systematisk håndtering gir læring

Når grunnrutinene er på plass, kan virksomheten utvide med kategorisering, trendanalyse og systematisk læring.

Utvid avviksregisteret med kategorisering

Utvid avviksregisteret med flere kolonner for bedre analyse:

  • Kategori (teknisk/organisatorisk/dokumentasjon)
  • Årsak
  • Oppdaget av
  • Eventuelt rotårsak
ID Dato Beskrivelse Kategori Årsak Alvorlighet Ansvarlighet Frist Status

 

Etabler alvorlighetsgrader til å benytte i vurderingen av avviket:

  • Kritisk: Håndter umiddelbart
  • Viktig: Håndter innen 1 mnd
  • Middels: Håndter innen 3 mnd

Beskriv i rutinen hvordan disse feltene skal fylles ut og brukes.

Etabler rutine for trendanalyse

Beskriv hvordan trender analyseres:

  • Hvem gjør analysen? (IKT-sikkerhetskoordinator)
  • Hvor ofte? (kvartalsvis)
  • Hva analyseres?
    • Øker antall avvik?
    • Gjentar samme type seg?
    • Hvor lang tid tar lukking?

Etabler læringssløyfe

Beskriv hvordan læring føres tilbake til IK-systemet:

Funn Handling Ansvarlig
Hendelse avdekker ny risiko Oppdater risikovurdering IKT-sikkerhetskoordinator
Samme avvik gjentar seg Gjennomfør revisjon av området IKT-sikkerhetskoordinator
Hendelse skyldes manglende opplæring Gjennomfør målrettet opplæring Leder

 

Figuren under viser læringssyklusensom sikrer at hele internkontrollsystemet lærer og forbedres kontinuerlig.

 

Sikkerhetshendelser gir verdifull informasjon om svakheter i forsvaret. Hver hendelse er en mulighet til å lære og bli bedre.

Lenker til utfyllende veiledning