For å hele tiden ha kontroll på virksomhetens verdier samt forsvarlig sikkerhetsnivå må virksomheten kontinuerlig vurdere risiko knyttet til virksomhetens skjermingsverdige verdier og håndtering av slik risiko. Dette er kjernen i sikkerhetsstyring.

Risikovurdering omfatter informasjon om verdier, identifisering av trusler og avdekking av sårbarheter. Avdekking av sårbarheter og identifisering av trusler kan gjennomføres med utgangspunkt i scenarioer som beskriver relevante uønskede hendelser. Scenarioene kan konkretiseres ytterligere ved å angi mulige aktører bak hendelsene, og dennes tilhørighet til virksomheten, og kapasitet og intensjon. Risikovurderingen definerer hva som er forsvarlig sikkerhetsnivå for virksomheten og danner grunnlag for risikohåndteringen.

Risikohåndtering omfatter etablering og oppfølging av sikkerhetstiltak som er tilpasset de skjermingsverdige verdier virksomheten forvalter, og skal redusere sårbarheter. Forsvarlig sikkerhetsnivå oppnås dermed gjennom beskyttelse av de skjermingsverdige verdiene ved hjelp av sikkerhetstiltak.

Forsvarlig sikkerhet oppnås når både organisatoriske, elektroniske, fysiske og menneskelige tiltak er kombinert og virker sammen, dvs. at det forebyggende sikkerhetsarbeidet er helhetlig.

Lenker