Virksomhetsikkerhetsforskriften angir prinsipper for valg og utforming av sikkerhetstiltak i:

§ 15 Prinsipper ved valg og utforming av sikkerhetstiltak
 

Når en virksomhet velger ut og utformer sikkerhetstiltak, skal følgende prinsipper legges til grunn:

a) Sikkerhetstiltakene skal ikke ha en annen funksjonalitet eller større kompleksitet enn nødvendig.
b) Det skal ikke gis en mer omfattende tilgang til skjermingsverdige verdier enn nødvendig.
c) Svikt i ett enkelt tiltak skal ikke kunne føre til kompromittering av skjermingsverdige verdier.
d) Sikkerhetstiltak skal i minst mulig grad være avhengige av hverandre, og flere sikkerhetstiltak skal dermed ikke kunne svekkes eller settes ut av funksjon samtidig, for eksempel som følge av én enkelt feil eller hendelse.
e) Effekten av sikkerhetstiltakene skal være tilnærmet lik for alle skjermingsverdige verdier med samme sikkerhetsbehov.
 

Sikkerhetstiltakene skal være samordnet. Kostnadene ved et sikkerhetstiltak skal stå i et rimelig forhold til det som kan oppnås ved tiltaket.
 

En virksomhet skal ikke bruke mer inngripende sikkerhetstiltak enn nødvendig for å håndtere en aktuell risiko. Virksomheten skal her særlig ta hensyn til enkeltpersoners rettssikkerhet og personvern. Det skal ikke behandles personopplysninger i større grad enn det som er nødvendig ut fra formålet med sikkerhetstiltaket.

Formålet er etablering av sikkerhetstiltak og -prosedyrer som samlet gir et forsvarlig sikkerhetsnivå. Tiltakene må virke etter sin hensikt, og effektiv sikring handler om å få mennesker, teknologi og organisasjon til å spille sammen på en god måte. Prinsippene angitt i virksomhetsikkerhetsforskriften § 15 må forstås å omfatte krav om:

a) minimalisme – Virksomheten må påse at det ikke velges løsninger med unødig funksjonalitet og kompliserte styringsmekanismer, som i verste fall kan føre til en forringelse av sikkerheten.
b) minste privilegium – Hensikten med å styre tilgangen til en skjermingsverdig verdi, er å hindre at personer uten tjenstlig behov får tilgang. Det skal ikke gis mer omfattende tilgang enn det som strengt tatt er nødvendig for å ivareta en funksjon, eller for å gi tilgang til informasjon.
c) sikring i dybden – En skjermingsverdig verdi må beskyttes på en slik måte at verdien ikke blir kompromittert selv om det kan være svikt i ett enkelt tiltak. For å kunne sikre dette er det viktig at man etablerer sikring i dybden, ved å etablere flere lag med fysiske, elektroniske, menneskelige og organisatoriske barrierer mellom usikret område og de verdiene man ønsker å sikre.
d) motstandsdyktighet – Tiltakene som iverksettes skal i minst mulig grad være avhengige av hverandre, slik at de ikke kan svekkes eller settes ut av funksjon samtidig med samme type handling. For å kunne sikre dette er det viktig at man sikrer verdiene både med barrierer, deteksjon, verifikasjon og reaksjon.
e) balansert styrke – Virksomhetens skjermingsverdige verdier, med likt sikkerhetsbehov, kan sikres med ulike tiltak, så fremt de oppnår samme effekt.