Grunnprinsipper for sikkerhetsstyring
Håndter identifisert risiko
Sikkerhetstiltak etableres basert på vurdering av risiko for sikkerhetstruende virksomhet, slik at risiko reduseres og sikkerhetsnivået blir akseptabelt. Risikoreduksjon oppnås gjennom at det etableres hensiktsmessige balanserte kombinasjoner av fysiske, elektroniske, organisatoriske og menneskelige sikkerhetstiltak. Med dette oppnår man helhetlig sikkerhet.
Sikkerhetstiltak etableres som balansert sikring i form av barrierer, deteksjon, verifikasjon og reaksjon. Sikringen må etableres slik at det tar lenger tid å gjennomføre en uønsket hendelse (eks. innbruddstid) enn det tar å håndtere den. Dette betegnes "positivt tidsregnskap".
Virksomheten bør vurdere flere forhold i sin håndtering av risiko:
- Hvilke tiltak kan redusere sårbarheter til verdiene?
- Hvilke tiltak er egnet til reduksjon av konsekvenser av uønskede hendelser, eksempelvis gjennom redundans eller effektiv hendelseshåndtering?
- Hvordan kan avhengigheter reduseres eller kontrolleres for å redusere risikoen?
- Finnes andre, egnede former for risikoreduksjon?
- Hva er kostnadene og effekten til ulike alternative løsninger for å håndtere risikoen?
Kostnadene ved et sikkerhetstiltak bør stå i et rimelig forhold til det som kan oppnås ved tiltaket, men tiltak må etableres når dette er nødvendig for å oppnå et akseptabelt sikkerhetsnivå. Kostnadseffektivitet bør ikke gå på bekostning av sikkerheten.
Nødvendig risikohåndtering kan oppnås gjennom reduksjon av avhengigheter til eksterne ressurser eller andre virksomheter, eksempelvis ved at virksomheten selv skaffer til veie de aktuelle ressursene eller ved hjelp av reserveløsninger. For å redusere avhengigheter kan det være nødvendig å sørge for redundans av kritiske tjenester som understøtter virksomhetens verdier.
En grunnsikring bør etableres basert på vurdering av risiko for sikkerhetstruende virksomhet i normaltilstanden. Grunnsikringstiltakene skal fungere slik at frafallet av ett tiltak ikke påvirker den totale sikringsevnen. Virksomheten velger selv den mest hensiktsmessige kombinasjon av tiltak basert på vurdering av risiko. Dette gjelder både hvorvidt tiltakene er fysisk, elektronisk, menneskelig eller organisatorisk og hvilken funksjon de har (forhindre, detektere, verifisere og reagere).
Tiltak for påbygging, gjenoppretting og skadebegrensning bør forberedes som beredskap i tilfelle risikoen for sikkerhetstruende virksomhet øker i forhold til normaltilstanden. Disse tiltakene bør etableres som en del av helhetlig sikkerhet, på lik linje som grunnsikringstiltakene. Når påbygningstiltak har vært etablert over tid overfor en vedvarende forhøyet risiko, bør det vurderes å forsterke grunnsikringen. I så fall må nye påbygningstiltak forberedes for ytterligere økt risiko.
Hvorfor er dette viktig: Med utgangspunkt i risikovurderingen etableres sikkerhetstiltak, der dette er nødvendig, for å redusere risiko slik at sikkerhetsnivået blir akseptabelt. Sikkerhetstiltakene implementeres slik at
- sårbarheten til verdiene reduseres, dvs. gjennom forsterket sikkerhet
- konsekvensen av uønskede hendelser reduseres, eksempelvis gjennom redundans eller effektiv hendelseshåndtering
- avhengigheter reduseres
Anbefalte tiltak:
- Identifiser aktuelle tiltak (organisatoriske, menneskelige, fysiske og elektroniske)
- Prioriter og beslutt aktuelle tiltak basert på kost/nytte-vurdering
- Implementer sikkerhetstiltak