Risiko- og sårbarhetsvurdering
Myndighetene har gjennom regelverket bestemt at AMS-systemet er et kritisk system. Derfor skal det gjennomføres risikovurderinger av dette systemet.
Forutsetning: Oppdatert trusselbilde
Før risikovurderingen starter, må virksomheten ha oversikt over relevante trusselaktører. Eksempler på trusselaktører og åpne trusselvurderinger finnes under «Risikovurdering og prioritering av tiltak» i Veileder til internkontroll for informasjonssikkerhet.
Det er krav til å gjennomføre risikovurderinger i følgende situasjoner:
- I drift: Risikobildet skal holdes oppdatert. Risikovurderinger må derfor gjennomgås jevnlig, med særlig fokus på:
- Bryterfunksjonen – sikre at en trusselaktør ikke kan åpne bryteren eller få tilgang til bryterfunksjonen
- Avregningssystemet – sikre korrekt avregning og måling
- Ved endringer i AMS-systemet, inkludert oppgraderinger, ny funksjonalitet eller endret arkitektur og før anskaffelse av nytt AMS-system
- Ved behov for å gi leverandører utenfor EFTA, EU eller NATO tilgang til AMS (landrisikovurdering)
Metode og eksempler
Risikovurderingsmetoden er beskrevet i Veileder til internkontroll for informasjonssikkerhet. Eksemplene nedenfor viser hvordan metoden kan anvendes på AMS.