ISMS Guiden 1.0

Search

SearchSearch

1.1 - Kartlegg styringsstrukturer, leveranser og understøttende systemer

May 03, 20244 min read

Målet med prinsippet: Virksomheten identifiserer strukturer og prosesser for sikkerhets- og risikostyring for å styre arbeidet med sikring av IKT-systemene. Virksomheten kartlegger leveranser, informasjonssystemer og understøttende funksjoner og vurderer dette opp imot fastsatte toleransegrenser for risiko for å etablere og justere sikkerhetstiltak.

Hvorfor er dette viktig?

Manglende styringsstrukturer og prosesser for risikovurdering kan føre til at ledelsen ikke får tilstrekkelig informasjon til å prioritere og styre virksomhetens sikkerhetsarbeid. Virksomhetens informasjonssystemer skal støtte opp under virksomhetens aktiviteter og leveranser slik at disse blir gjennomført i henhold til avtalt kvalitet. Virksomheten må identifisere, prioritere og beskytte sine viktigste leveranser. Ved manglende oversikt kan enkelte, mindre viktige deler av IKT-systemet være godt sikret, mens andre vitale deler er eksponert og sårbart for angrep. Både tilgjengelighet, integritet og konfidensialitet for informasjonssystemer og data må vurderes i virksomhetens sikkerhetsarbeid.

Tilhørende tiltak

TiltakISO 27002
1.1.1 - Identifiser virksomhetens strategi og prioriterte mål5.31
5.32
5.34
1.1.2 - Identifiser virksomhetens strukturer og prosesser for sikkerhetsstyring5.1
5.2
5.3
5.4
1.1.3 - Identifiser virksomhetens prosesser for risikostyring knyttet til IKT5.1
5.29
5.36
8.8
1.1.4 - Identifiser virksomhetens toleransegrenser for risiko knyttet til IKT
1.1.5 - Kartlegg virksomhetens leveranser, informasjonssystemer og understøttende IKT-funksjoner5.9
1.1.6 - Kartlegg informasjonsbehandling og dataflyt i virksomheten5.9

Utdypende informasjon

Tilpass sikkerhetsstyringen til din virksomhet.

Prosesser for sikkerhets- og risikostyring må tilpasses virksomheten. Større virksomheter med mange ansatte kan ha en omfattende styringsstruktur med en rekke definerte prosesser på ulike nivåer og mange personer som jobber spesifikt med dette. Mindre virksomheter har ofte en enklere styringsstruktur og mindre omfattende prosesser. NSM gir ut grunnprinsipper for sikkerhetsstyring i 2020. De vil være til hjelp i arbeidet med å få på plass sikkerhetsstyring i virksomheter.

Velg riktig metode for risikovurdering i din virksomhet.

Det finnes en rekke ulike teknikker for å identifisere og vurdere risiko for en virksomhet. Det er viktig at din virksomhet velger en metode som gjør risikovurderingen overkommelig slik at de viktigste risikoene blir identifisert, diskutert og håndtert. Eksempler på ulike metoder/rammeverk er ISO/IEC 27005, NIST SP 800-30, Octave Allegro og COBIT 5 for Risk.

Kartlegg nødvendig leveranser, informasjonssystemer og funksjoner.

Kartlegging av leveranser og tjenester vil bidra til at viktige verdikjeder, informasjon og avhengigheter blir identifisert og vurdert. Dette benyttes som utgangspunkt ved beskyttelse og vedlikehold av IKT-systemet, eksempelvis i forbindelse med sikkerhetsarkitektur, soneinndeling, tilgangstyring, sikker konfigurasjon, logging og sikkerhetsovervåkning.

Velg riktige tiltak basert på identifisert risiko.

Resultatet av risikovurderinger er ofte en rekke sikkerhetstiltak som må tilpasses eller etableres. Det er viktig å identifisere eksisterende sikkerhetstiltak og vurdere effekt og effektivitet av disse opp imot verdiene de skal beskytte. Det er samtidig viktig å se ulike typer sikkerhetstiltak i sammenheng når man justerer eller etablerer sikkerhetstiltak. Ulike standarder og rammeverk har noe ulik inndeling av typer sikkerhetstiltak. Grunnprinsipper for IKT-sikkerhet fokuserer hovedsakelig på organisatoriske og teknologiske tiltak. NSM gir ut grunnprinsipper for fysisk sikkerhet og personellsikkerhet i 2020. Disse vil være til hjelp ved valg av ytterligere ikke-teknologiske sikkerhetstiltak. Det finnes mange eksempler på sikkerhetstiltak som er implementert rundt mindre viktige verdier i en virksomhet. Viktige verdier er samtidig utelatt eller glemt fordi det ikke er lagt til grunn en helhetstankegang ved valg av tiltak. I verste fall kan sikkerhetstiltakene virke mot sin hensikt. «Sikkerhetstiltakene er riktig implementert, men er de riktige tiltakene implementert på rett sted?»

Lenker

  1. NSMs veileder i sikkerhetsstyring
  2. DSB (Olav Lysne) - Risikostyring i digitale verdikjeder
  3. NCSC UK Cyber Assessment Framework - A.1 Governance
  4. NCSC UK Cyber Assessment Framework - A.2 Risk Management
  5. UK GOV – Supply Chain security
  6. NCSC UK Cyber Assessment Framework – A4.Supply Chain
  7. ISO/IEC 27001- Information security management systems
  8. ISO/IEC 27005 – Information security risk management
  9. NIST SP 800-30 - Guide for Conducting Risk Assessments
  10. Octave Allegro – Operationally Critical Threat, Asset, and Vulnerability Evaluation methodology
  11. ISACA COBIT 5 for Risk

Graph View

Backlinks