Grunnprinsipper for IKT-sikkerhet
Målgruppe
Hvilke virksomheter er grunnprinsippene relevante for?
NSMs grunnprinsipper for IKT-sikkerhet er utarbeidet i samarbeid med virksomheter som forvalter kritiske samfunnsfunksjoner og/eller kritisk infrastruktur. Dette er også hovedmålgruppen for prinsippene, men de er relevant for alle offentlige og private virksomheter. Dette gjelder både for virksomheter som selv forvalter informasjonssystemer og for virksomheter der en eller flere IKT-tjenester forvaltes av en tredjepart. Grunnprinsippene er relevante uavhengig av om virksomheten er underlagt sikkerhetsloven eller ikke.
Hvilke roller i virksomheten er grunnprinsippene laget for?
I den enkelte virksomhet er forretnings- og IT-ledelsen ofte bindeleddet mellom toppledelse og implementasjons- og driftsnivå, som vist i Figur 1. De er hovedmålgruppen for NSMs grunnprinsipper. Det inkluderer systemeiere, sikkerhetsledere og forretnings- og prosesseiere. Under forklares de ulike nivåene og hvordan grunnprinsippene kan bidra til bedret informasjonsflyt om sikkerhetstilstanden i virksomheten.
Figur 1 - Informasjonsflyt i en virksomhet
Toppledelsen har fokus på organisatorisk risiko. De fastsetter forretningsprioritet, kommuniserer virksomhetens risikotoleranse og tildeler budsjettmidler til forretnings- og IT-ledelse. Det er avgjørende at toppledelsen tar eierskap til og involverer seg i sikkerhetsarbeidet i egen virksomhet. De ulike kategoriene og prinsippene i NSMs grunnprinsipper for IKT-sikkerhet kan benyttes som styringsparameter i dette arbeidet.
Forretnings- og IT-ledelsen fastsetter retningslinjer for informasjonssikkerhet og fordeler budsjettmidler basert på ledelsens prioriteringer. Forretnings- og prosesseiere kjenner virksomhetens leveranser best og bør bidra i fastsettelsen av krav og retningslinjer. Hvert prinsipp i grunnprinsippene inneholder tiltak som beskriver hva en virksomhet bør gjøre for å sikre informasjonssystemer og verdier.
Forretnings- og IT-ledelsen må samtidig kommunisere et oppdatert status- og risikobilde til toppledelsen og forklare hvorfor tiltakene er nødvendige. Grunnprinsippene vil være til støtte i denne arbeidet fordi det beskrives hvorfor de ulike prinsippene er viktige.
Implementasjons- og driftsnivå etablerer og vedlikeholder sikkerhetstiltakene basert på ledelsens retningslinjer og valg. Denne gruppen kan benytte tiltakene i grunnprinsippene for å vurdere hva som kan og bør implementeres. Status og endringer for implementasjonen rapporteres oppover til ledelsen.