Virksomheten bør etablere en plan for implementering av sikkerhetstiltak. Det er viktig at sikkerhetsarbeidet organiseres på egnet måte. Dette er uavhengig av om det skal foretas en revisjon av eksisterende sikkerhetstiltak, eller om virksomheten skal etablere tiltak for første gang.

På grunnlag av risikovurderingen som er utført bør virksomheten kartlegge de interne og eksterne krav som stilles til sikkerheten, og definere hvilke sikringsbehov virksomheten har. Disse kravene gir føringer for hvordan virksomheten skal oppnå sine sikringsmål. På bakgrunn av verdivurderingen vil virksomheten være i stand til å kunne definere trusler som er aktuelle og dermed definere beskyttelsesbehovet. Om verdiene er avhengig av at informasjonens konfidensialitet ikke blir kompromittert, kan virksomheten ha et større behov for tiltak som hindrer avlytting og innsyn enn tiltak mot terroranslag.

Virksomheter med ulik størrelse og ulike beskyttelsesbehov vil ha forskjellige tilnærminger til planlegging og prosjektering av sikkerhetstiltak.

Dette kan med fordel gjøres med grunnlag fra anerkjente standarder innen sikkerhet i byggeprosjekter som for eksempel NS 5834:2016 – Samfunnssikkerhet – beskyttelse mot tilsiktede uønskede handlinger – Planlegging av sikringstiltak i bygg, anlegg og eiendom.

Hvorfor er dette viktig: Virksomheter bør definere beskyttelsesbehovet for at implementeringen av planlagte sikkerhetstiltak skal fungere etter sin hensikt.

Anbefalte tiltak:

  • Kartlegg interne og eksterne krav til sikkerhet
  • Inkluder fagpersoner tidlig i planleggingsfasen
  • Sørg for at virksomhetens beskyttelsesbehov setter føringer for valg som blir tatt
  • Kartlegg lokasjon og omkringliggende områder som kan forringe sikkerheten
  • Sørg for å ivareta konfidensialitetsbehov om nødvendig, også hos leverandører og eksterne samarbeidspartnere
  • Sørge for at sikkerheten blir ivaretatt under anskaffelse av utstyr (se NSM grunnprinsipper for IKT-sikkerhet for mer informasjon)