Grunnprinsipper for sikkerhetsstyring
Gjennomfør konsekvensvurdering
Konsekvensvurderingen skal fastsette hvilke skadefølger eller konsekvenser det kan få for virksomheten om verdiene blir utsatt for skadeverk eller ødeleggelse, og dermed faller helt eller delvis bort.
For å vurdere konsekvensene av bortfall kan man i første omgang vurdere konsekvensene ved totalt bortfall av verdien: Hva betyr det for virksomhetens funksjon i forhold til hva som svekkes, hvordan den svekkes, og hvorfor den svekkes? I neste omgang vurderes konsekvensene ved delvis bortfall av verdien. Her må det først vurderes om graden av bortfall kan variere. Dersom det er tilfelle bør man identifisere grenseverdien for hvor svekkelse i verdiens funksjonalitet gir konsekvenser for virksomheten.
Konsekvensvurderingen bør oppdateres ved endringer i grunnlaget for vurderingen.
Er virksomheten underlagt sikkerhetsloven viser vi til NSMs Håndbok i skadevurdering og Veileder i verdivurdering av informasjon.
Hvorfor er dette viktig: For å kunne beskytte verdiene riktig og effektivt, er det viktig å forstå hvilke konsekvenser det kan få for virksomheten hvis verdiene utsettes for en sikkerhetstruende virksomhet. Når virksomheten har gjennomført en konsekvensvurdering har den etablert en oversikt over hva som kan bli resultatet for virksomheten om den enkelte verdi faller helt eller delvis bort. Konsekvensvurderingen er en inngangsverdi til virksomhetens vurdering av risiko, der virksomheten vurderer om risikoen er akseptabel eller om verdien trenger ekstra beskyttelse.
Anbefalte tiltak:
- I konsekvensvurderingen bør virksomheten vurdere:
- Konsekvensene av at verdien, helt eller delvis, faller bort
- Hvor lenge kan verdien være helt eller delvis borte før det får konsekvenser for virksomheten?
- Har virksomheten mulighet til å erstatte eller gjenopprette verdien (ved helt eller delvis bortfall) før det får konsekvenser for virksomheten, eksempelvis gjennom redundans eller substitusjon?
- Hvordan kan verdien erstattes eller gjenopprettes innen akseptabel varighet? For eksempel:
- Erstatte verdien med en tilsvarende verdi, eller som understøtter virksomhetens funksjon på samme måte
- Reparere verdien, og således bringe det tilbake til den normaltilstand, eller til en tilstand som er tilstrekkelig for at virksomheten ivaretar sin funksjon
- Hvordan kan verdien erstattes eller gjenopprettes innen akseptabel varighet? For eksempel:
- Om det kan få andre konsekvenser for virksomheten om verdien blir stjålet, fjernet eller at virksomheten på annen måte mister råderetten over verdien
- Eksempelvis, tap av omdømme, utpressing, tap av markedsandeler, økonomisk tap, etc.
- Konsekvensvurderingen bør dokumenteres, og også inneholde:
- Usikkerhet i vurderingene, bl.a. i forhold knyttet til kunnskapsstyrke
- Antagelser gjort på vurderingstidspunktet
- Andre relevante forhold som har hatt betydning for gjennomføringen og resultatet av arbeidet