§ 6-5. Inntrengingstesting av skjermingsverdige informasjonssystemer
§ 6-5. Inntrengingstesting av skjermingsverdige informasjonssystemer
Virksomheten kan be sikkerhetsmyndigheten om å forsøke å trenge inn i virksomhetens skjermingsverdige informasjonssystemer. Formålet skal være å kontrollere om sikkerhetstiltakene er tilstrekkelige. Virksomhetens ansatte skal orienteres om at slike kontroller kan forekomme.Dersom kontrollen innebærer behandling av personopplysninger, skal den ikke være mer omfattende enn det som formålet krever.Informasjon som kontrollen gir tilgang til, kan bare benyttes til det som formålet med kontrollen krever. Når det ikke lenger er behov for informasjonen, skal den slettes. Kunnskap og erfaringer som sikkerhetsmyndigheten tilegner seg gjennom inntrengingstestingen, kan brukes til videreutvikling av sikkerhetsmyndighetens generelle sikkerhetsarbeid.Sikkerhetsmyndigheten skal gi virksomheten en rapport om resultatet av kontrollen. Rapporten skal bare inneholde informasjon som kan bidra til å bedre virksomhetens sikkerhet.Kongen kan gi forskrift om inntrenging i skjermingsverdige informasjonssystemer, og om at slik kontroll kan utføres av andre enn sikkerhetsmyndigheten.
