Dette grunnprinsippet handler om å være forberedt på at innsideaktivitet og andre uønskede hendelser kan komme til å skje. Virksomheten bør ha en plan for hvordan den skal håndtere det menneskelige aspektet ved en potensiell hendelse.

Hvorfor er dette viktig: Utarbeidelse av egne rutiner er vesentlig for å være i stand til å håndtere uønskede og sikkerhetstruende hendelser, og dermed kunne gjenopprette og ivareta sikkerhetstilstanden i virksomheten.

Anbefalte tiltak:

  • Utarbeid rutiner som beskriver når og hvordan hendelser skal undersøkes.
  • Ha en tydelig rollefordeling som fastslår hvem i virksomheten som bistår med hva i håndteringsprosessen, for eksempel personer i IT, nærmeste leder, juridisk avdeling og HR.
  • Sørg for at ansatte med utpekte roller gis nødvendig opplæring og trening.
  • Utarbeid egne rutiner og retningslinjer for involvering av ekstern bistand. Beskriv hvilke hendelser som skal anmeldes til politiet og/eller varsles om til PST.
  • Planlegg når og hvordan virksomheten skal formidle informasjon om sikkerhetsrelaterte hendelser til personer innenfor og utenfor virksomheten. Personer utenfor virksomheten kan for eksempel være representanter fra media eller andre eksterne aktører.
  • Påse at kontinuitetsplanen (hvordan sikre videre drift) beskriver tiltak overfor personell.
  • Sikre at alle sikkerhetsrelaterte hendelser loggføres og dokumenteres.