Målet med prinsippet: Virksomheten identifiserer strukturer og prosesser for sikkerhets- og risikostyring for å styre arbeidet med sikring av IKT-systemene. Virksomheten kartlegger leveranser, informasjonssystemer og understøttende funksjoner og vurderer dette opp imot fastsatte toleransegrenser for risiko for å etablere og justere sikkerhetstiltak

Hvorfor er dette viktig?

Manglende styringsstrukturer og prosesser for risikovurdering kan føre til at ledelsen ikke får tilstrekkelig informasjon til å prioritere og styre virksomhetens sikkerhetsarbeid.

Virksomhetens informasjonssystemer skal støtte opp under virksomhetens aktiviteter og leveranser slik at disse blir gjennomført i henhold til avtalt kvalitet. Virksomheten må identifisere, prioritere og beskytte sine viktigste leveranser. Ved manglende oversikt kan enkelte, mindre viktige deler av IKTsystemet være godt sikret, mens andre vitale deler er eksponert og sårbart for angrep. Både tilgjengelighet, integritet og konfidensialitet for informasjonssystemer og data må vurderes i virksomhetens sikkerhetsarbeid.

Anbefalte tiltak: Kartlegg styringsstrukturer, leveranser og understøttende systemer
Anbefalte tiltak: Kartlegg styringsstrukturer, leveranser og understøttende systemer
IDBeskrivelse
1.1.1Identifiser virksomhetens strategi og prioriterte mål, samt regelverk, bransjenormer og avtaler som kan ha innvirkning på sikring av informasjonssystemer
1.1.2Identifiser virksomhetens strukturer og prosesser for sikkerhetsstyring. Dette inkluderer normalt a) policyer fra ledelsen,
b) ledelsesstruktur med veldefinert ansvar og ansvarslinjer, c) prosesser for risikostyring (se 1.1.3) d) fastsatte toleransegrenser for risiko (se 1.1.4), e) tilføring av tilstrekkelige ressurser og fagkompetanse for å støtte ledelsen i arbeidet. f) Etabler strukturer og prosesser for sikkerhetsstyring dersom dette mangler. Sørg for at det tilpasses virksomheten og er en inkludert del av virksomhetsstyringen. Se «Utdypende informasjon» for ytterligere informasjon.
1.1.3Identifiser virksomhetens prosesser for risikostyring knyttet til IKT. Dette inkluderer normalt a) verdivurdering, b) trusselvurdering, c) kartlegge eksisterende sikkerhetstiltak, d) risikoidentifisering, e) risikovurdering, f) risikorapportering, g) risikohåndtering, h) etablere eller justere sikkerhetstiltak for å redusere risiko g) verifisere at sikkerhetstiltakene fungerer etter hensikt. h) Etabler prosesser for risikostyring dersom dette mangler. Sørg for at prosessene tilpasses virksomheten og er en inkludert del av virksomhetsstyringen og sikkerhetsstyringen. Se «Utdypende informasjon» for ytterligere informasjon.
1.1.4Identifiser virksomhetens toleransegrenser for risiko knyttet til IKT. Ledelsen må fastsette hvilke grenser for risiko virksomheten aksepterer og hva som er uakseptabel risiko. Dette må kommuniseres på tvers i organisasjonen. Det er vanlig å fastsette risikogrenser basert på konsekvens for virksomheten ved tap av konfidensialitet, integritet og tilgjengelighet for informasjon og informasjonssystemer. Se 4.1.1, 4.1.2 og «Utdypende informasjon» for ytterligere informasjon.
1.1.5Kartlegg virksomhetens leveranser, informasjonssystemer og understøttende IKT-funksjoner. Kartlegg a) IKT-systemer, data og tjenester, inkludert eierskap, b) kritiske forretningsroller og c) interne og eksterne IKT-avhengigheter. d) Gruppér i henhold til virksomhetens risikoaksept (1.1.4) og bruk resultatet som grunnlag for etablering av en sikker IKT-arkitektur, se prinsipp 2.2 - Etabler en sikker IKT-arkitektur
1.1.6Kartlegg informasjonsbehandling og dataflyt i virksomheten. Kartlegg informasjonsflyt mellom arbeidsprosesser, brukere, enheter og tjenester og bruk resultatet som grunnlag for etablering av en sikker IKT-arkitektur, se prinsipp 2.2 - Etabler en sikker IKT-arkitektur.
Utdypende informasjon

Tilpass sikkerhetsstyringen til din virksomhet 
Prosesser for sikkerhets- og risikostyring må tilpasses virksomheten. Større virksomheter med mange ansatte kan ha en omfattende styringsstruktur med en rekke definerte prosesser på ulike nivåer og mange personer som jobber spesifikt med dette. Mindre virksomheter har ofte en enklere styringsstruktur og mindre omfattende prosesser. NSM gir ut grunnprinsipper for sikkerhetsstyring i 2020. De vil være til hjelp i arbeidet med å få på plass sikkerhetsstyring i virksomheter.

Velg riktig metode for risikovurdering i din virksomhet 
Det finnes en rekke ulike teknikker for å identifisere og vurdere risiko for en virksomhet. Det er viktig at din virksomhet velger en metode som gjør risikovurderingen overkommelig slik at de viktigste risikoene blir identifisert, diskutert og håndtert. Eksempler på ulike metoder/rammeverk er ISO/IEC 27005, NIST SP 800-30, Octave Allegro og COBIT 5 for Risk.

Kartlegg nødvendig leveranser, informasjonssystemer og funksjoner
Kartlegging av leveranser og tjenester vil bidra til at viktige verdikjeder, informasjon og avhengigheter blir identifisert og vurdert. Dette benyttes som utgangspunkt ved beskyttelse og vedlikehold av IKTsystemet, eksempelvis i forbindelse med sikkerhetsarkitektur, soneinndeling, tilgangsstyring, sikker konfigurasjon, logging og sikkerhetsovervåkning.

Velg riktige tiltak basert på identifisert risiko
Resultatet av risikovurderinger er ofte en rekke sikkerhetstiltak som må tilpasses eller etableres. Det er viktig å identifisere eksisterende sikkerhetstiltak og vurdere effekt og effektivitet av disse opp imot verdiene de skal beskytte. Det er samtidig viktig å se ulike typer sikkerhetstiltak i sammenheng når man justerer eller etablerer sikkerhetstiltak. Ulike standarder og rammeverk har noe ulik inndeling av typer sikkerhetstiltak. Grunnprinsipper for IKT-sikkerhet fokuserer hovedsakelig på organisatoriske og teknologiske tiltak. NSM gir ut grunnprinsipper for fysisk sikkerhet og personellsikkerhet i 2020. Disse vil være til hjelp ved valg av ytterligere ikke-teknologiske sikkerhetstiltak.

Det finnes mange eksempler på sikkerhetstiltak som er implementert rundt mindre viktige verdier i en virksomhet. Viktige verdier er samtidig utelatt eller glemt fordi det ikke er lagt til grunn en helhetstankegang ved valg av tiltak. I verste fall kan sikkerhetstiltakene virke mot sin hensikt.

«Sikkerhetstiltakene er riktig implementert, men er de riktige tiltakene implementert på rett sted?»

Lenker

NSMs veileder i sikkerhetsstyring:

NSMs håndbok: Risikovurdering for sikring

Digitaliseringsdirektoratets internkontrollveileder

DSB (Olav Lysne) - Risikostyring i digitale verdikjeder

NCSC UK Cyber Assessment Framework - A.1 Governance

NCSC UK Cyber Assessment Framework - A.2 Risk Management

UK GOV – Supply Chain security

NCSC UK Cyber Assessment Framework – A4.Supply Chain

ISO/IEC 27001- Information security management systems

ISO/IEC 27005 – Information security risk management

NIST SP 800-30 - Guide for Conducting Risk Assessments

Octave Allegro – Operationally Critical Threat, Asset, and Vulnerability Evaluation methodology

ISACA COBIT 5 for Risk