4.1 Hvilke støtteprodukter har dere laget for å hjelpe virksomheter med implementering av grunnprinsippene?

I tillegg til grunnprinsipper for IKT-sikkerhet har vi utarbeidet et regneark hvor alle prinsipper og tiltak er lagt inn i et tabell. Dette har vi gjort slik det skal bli enklere for virksomheter å bruke grunnprinsippene. Vi har i tillegg lagt inn prioritering på de ulike tiltakene (prioritet 1, 2 og 3) ut ifra hva vi mener det er viktigst å fokusere på.

NSM har også laget en kobling mot kontrollene i standarden ISO/IEC 27002.

Vi vil vurdere å utarbeide og publisere flere støtteprodukter fremover, avhengig av ønsker og behov fra aktuelle målgruppe.

4.2 Hvorfor har dere delt inn sikkerhetstiltakene i ulike prioriteringsgrupper?

Vi har gjort dette for å hjelpe virksomheter i gang med etablering av tiltak og slik at de har et sted hvor vi mener de bør begynne.

4.3 Hvorfor har dere laget en kobling mellom NSMs grunnprinsipper for IKT-sikkerhet og ISO/IEC 27002?

Vi har laget en kobling til ISO/IEC 27002 slik at virksomheter enklere skal se sammenhenger mellom de to sikkerhetsrammeverkene. Grunnprinsippene har etter hvert blitt tatt i bruk av mange norske virksomheter. ISO 27002 er en anerkjent standard som beskriver relevante sikringstiltak og benyttes av virksomheter både i Norge og i utlandet. Det er som regel denne standarden de fleste andre sikkerhetsrammeverk kobles mot. Ved å koble grunnprinsippene til denne standarden vil man ha en slags «felles referanse» for knytning mellom flere ulike sikkerhetsrammeverk og standarder. Det vil bli enklere å ta i bruk grunnprinsippene dersom man allerede har tatt i bruk ISO 27002. Tilsvarende kan det bli enklere å ta i bruk ISO 20002 dersom man allerede har tatt bruk grunnprinsippene. 

Koblingen i hovedsak er ment for virksomheter som benytter enten ISO 27002 eller NSMs grunnprinsipper for IKT-sikkerhet og ønsker utfyllende informasjon relatert til sikkerhetstiltak.

4.4 Hvordan er det tenkt at koblingen mellom grunnprinsipper for IKT-sikkerhet og ISO 27002 skal benyttes?

Det vil sjelden være en en-til-en kobling mellom tiltakene i grunnprinsippene og ISO 27002. Årsaken er at de to rammeverkene er utarbeidet med ulikt utgangspunkt, av ulike personer, til ulike målgrupper og med ulik oppbygning og gruppering av tiltak.

Ved å benytte koblingstabellen kan man se hvilke tiltak i ISO 27002 som inneholder relevant eller utdypende informasjon.

4.5 Har dere laget en kobling til andre, relevante sikkerhetsrammeverk (f.eks. CIS CSC 20, NIST SP 800-53, NIST CSF)?

Vi har kun laget en kobling mot ISO 27002, men vi har pekt til relevante lenker, inkludert de nevnte rammeverkene, under kapitlet «utdypende informasjon» i hvert grunnprinsipp. CIS CSC 20 utfyller grunnprinsippene på en god måte og vi har derfor valgt å peke til relevante kapitler i dette rammeverket under hvert prinsipp i grunnprinsippene.