§ 72 Oversikt over personell med autorisasjon

Den autorisasjonsansvarlige skal ha en oversikt over autorisert personell. Oversikten skal opplyse om

a) den enkeltes navn, fødselsnummer eller tilsvarende nummer, statsborgerskap, tjenestested, saksfelt og stilling

b) klareringsnivå og autorisasjonsnivå

c) klareringens gyldighetstid eventuelle

d) vilkår knyttet til klareringen

e) datoen for en eventuell autorisasjonssamtale

f) eventuell tilgang uten autorisasjon etter § 71.

 

Den autorisasjonsansvarlige skal gjøre klarerings- og autorisasjonsavgjørelser kjent for personell som har et tjenstlig behov for det.

Virksomheten må vurdere om hele eller vesentlige deler av oversikten over autorisasjoner er gradert. NSM påpeker at slike oversikter kan utgjøre en sårbarhet dersom informasjonen blir kjent for uvedkommende. I tillegg til informasjon om virksomheten vil oversikten også i mange tilfeller inneholde sensitiv informasjon om enkeltpersoner som kan utnyttes av en trusselaktør. Virksomheten må også beskytte opplysningene av hensyn til personvernet.

Ved adgang til objekter og infrastruktur bør det fremgå tydelig av virksomhetens oversikt over autorisasjoner hvilke objekter eller infrastruktur autorisasjonen gjelder for. Det bør videre tydelig fremgå dersom autorisasjonen eksempelvis kun gjelder bestemte områder eller deler av objekt eller infrastruktur. Av oversikten må det også fremgå at autorisasjonen ikke gjelder tilgang til skjermingsverdig informasjon.