Veileder til internkontroll for Informasjonssikkerhet

Del denne sidenDel på e-post

Sikkerhetsrevisjon og testing av tiltak

Det holder ikke å ha tiltak på papiret – virksomheten må sjekke at de faktisk fungerer. Dette kapitlet viser hvordan virksomheten etablerer rutiner for revisjon og testing av sikkerhetstiltak. Kraftberedskapsforskriften § 6-9 f, krever at virksomheten jevnlig gjennomfører revisjoner av sikringstiltak for digitale informasjonssystemer. Revisjonene skal påse at tiltakene faktisk er etablert og fungerer etter sin hensikt. De konkrete sikkerhetskravene i forskrift om kraftomsetning og nettjenester § 4-6 og § 6-21 bør forstås implisitt som at tiltakene må fungere i praksis og ikke bare beskrives i en prosedyre.

Nivå 1 – Etabler rutine for sikkerhetsrevisjon

1. Bestem hva som skal revideres

Identifiser hvilke sikkerhetstiltak som skal sjekkes. Start med de viktigste:

  • Tilgangskontroll til HES/SCADA
  • Backup og gjenoppretting
  • Logging av pålogginger
  • Oppdatering av programvare

2. Lag en enkel revisjonsplan

Fordel temaene over tid. Dere trenger ikke revidere alt på én gang.

År Tema Ansvarlig
2025 Tilgangskontroll og logging  IKT-sikkerhetskoordinator
2025 Back-up og oppdateringer IKT-sikkerhetskoordinator
2027 Fysisk sikring og kryptering IKT-sikkerhetskoordinator

 

3. Beskriv hvordan revisjon gjennomføres

Rutinen skal beskrive:

  • Hvem som gjennomfører revisjonen
  • Hvordan funn dokumenteres
  • Hvor revisjonsrapporten lagres

4. Beskriv hvordan funn følges opp

Koble til virksomhetens avvikssystem:

  • Avvik fra revisjon registreres som øvrige avvik
  • Ansvarlig og frist settes for hvert avvik
  • Oppfølging skjer gjennom ordinær avviksbehandling

Se kapittel "Følg opp avvik og hendelser".

5. Dokumenter rutinen

Revisjonsplanen lagres i internkontrollsystemet. Sett tidspunkt for årlig gjennomgang av planen.

Eksempel på enkel revisjonsrapport

Felt Innhold
Dato 15.03.2025
Tema Tilgangskontroll HES
Gjennomført av IKT-sikkerhetskoordinator
Hva ble sjekket Brukerliste, to-faktor, gamle kontoer
Funn 2 gamle brukerkontoer var fortsatt aktive
Tiltak Kontoer slettet, rutine for off-boarding oppdatert
Neste revisjon Mars 2026

 

Sjekkliste: Etabler rutine for sikkerhetsrevisjon

☐ Identifisert hvilke tiltak som skal revideres

☐ Laget revisjonsplan som fordeler temaer over tid

☐ Beskrevet hvem som gjennomfører og hvordan

☐ Koblet funn til avvikssystemet

☐ Lagret revisjonsplan i internkontrollsystemet

Nivå 2 – Systematisk revisjon som er koblet til risikovurdering

Når grunnleggende revisjonsrutiner er på plass, kan virksomheten koble revisjonen tettere til risikovurderinger og lovkrav.

Koble revisjon til risikovurdering

Sikkerhetstiltakene kommer fra risikovurderingene og gap-analyser. Revisjonen bekrefter at tiltakene er på plass og virker. Sammenhengen ser slik ut:

Eksempler på sammenheng

Problemstillinger avdekket i risikovurderinger Tiltak som ble iverksatt Revisjon sjekker
Uautorisert tilgang til HES To-faktor autentisering Fungerer to-faktor? Er det kun autoriserte som har tilgang?
Tap av data Daglig back-up Tas back-up? Kan den gjenopprettes?
Utdatert programvare Månedlig oppdateringsrutine Er systemer oppdatert? Følges rutinen?

 

Bygg et strukturert revisjonsprogram

1. Hent tiltakene fra risikovurderingene

2. Legg til tiltak som kommer fra lovkrav

3. Fordel tiltakene over tid (2-3 år)

4. Bestem metode for hver revisjon (intervju, test, sjekk av konfigurasjon)

Eksempel på revisjonsprogram

År Havår Tiltak Lovkrav Hva sjekkes Metode
2025 1 To-faktor autentisering HES KBF § 6-9 a Er to-faktor aktivert? Fungerer det? Systemsjekk + test
2025 1 Tilgangsstyring HES KBF § 6-9 a Kun autoriserte med tilgang? Gamle kontoer slettet? Brukerlistekontroll
2025 2 Logging av pålogginger KBF § 6-9 c Logges hendelser? Gjennomgås logger? Loggsjekk
2025 2 Daglig backup KBF § 6-9 d Tas backup? Test gjenoppretting
2026 1 Segmentering AMS-nett KBF § 6-9 c Er AMS adskilt fra kontornett? Nettverkssjekk
2026 1 Kryptering måler-HES Forskrift om kraftomsetning og nettjenester § 4-6 tredje ledd c Er kommunikasjon kryptert? Systemsjekk
2026 2 Oppdateringsrutine KBF § 6-9 c Er systemer oppdatert? Følges rutinen? Versjonskontroll
2026 2 Fysisk sikring serverrom KBF § 6-9 c Låst inn? Adgangskontroll? Befaring
2027 1 Tilgangskontroll brytefunksjon KBF § 6-10 a Kun autoriserte? Logges bruk? Systemsjekk + logg
2027 1 Leverandørtilgang KBF § 6-10 b Er fjerntilgang sikret? Lokasjonskrav oppfylt? Avtalegjennomgang

 

Teknisk sikkerhetstesting av AMS

For AMS-systemer med bryterfunksjonalitet stiller KBF § 6-10 særskilte krav. Teknisk sikkerhetstesting som sårbarhetsscanning og penetrasjonstesting kan være aktuelt for å verifisere at disse kravene er oppfylt. Se "Veileder til sikkerhetsvurdering for AMS" for beskrivelse av teknisk sikkerhetstesting.

Lenker til mer detaljerte veiledere