Det overordnede målet for forebyggende sikkerhetsarbeid er å oppnå forsvarlig sikkerhetsnivå for de skjermingsverdige verdiene, jf. sikkerhetsloven § 4-3 og virksomhetssikkerhetsforskriften § 5.

§ 4-3 Plikt til å gjennomføre sikkerhetstiltak og øvelser (første ledd)

Virksomheten skal gjennomføre de forebyggende sikkerhetstiltakene som må til for å gi et forsvarlig sikkerhetsnivå og redusere risikoen knyttet til sikkerhetstruende virksomhet. Slike tiltak kan gjennomføres i sammenheng med andre forebyggende sikkerhetstiltak i virksomheten, så lenge kravene i denne loven oppfylles

Begrepet «forsvarlig sikkerhet» danner grunnlaget for hvordan virksomheten må sikre sine skjermingsverdige verdier. Hva som er forsvarlig sikkerhet for virksomheten, må vurderes opp mot virksomhetens skjermingsverdige verdier og funksjonskravene sikkerhetsloven stiller til disse.

For å hele tiden ha kontroll på virksomhetens verdier samt forsvarlig sikkerhetsnivå må virksomheten kontinuerlig vurdere risiko knyttet til virksomhetens skjermingsverdige verdier og håndtering av slik risiko. Dette er risikostyring.

Risikovurdering omfatter informasjon om verdier, identifisering av trusler og avdekking av sårbarheter. Avdekking av sårbarheter og identifisering av trusler kan gjennomføres med utgangspunkt i scenarioer som beskriver relevante uønskede hendelser. Scenarioene kan konkretiseres ytterligere ved å angi mulige aktører bak hendelsene, og dennes tilhørighet til virksomheten og kapasitet og intensjon til å forårsake hendelser. Risikovurderingen definerer hva som er forsvarlig sikkerhetsnivå for virksomheten og danner grunnlag for risikohåndteringen.

Risikohåndtering omfatter etablering av sikkerhetstiltak, tilpasset de skjermingsverdige verdier virksomheten forvalter, for å redusere sårbarhetene i nødvendig omfang. Forsvarlig sikkerhetsnivå oppnås dermed gjennom beskyttelse av de skjermingsverdige verdiene ved hjelp av sikkerhetstiltak.