Dette inkluderer normalt:
-
a) policyer fra ledelsen,
-
b) ledelsesstruktur med veldefinert ansvar og ansvarslinjer,
-
c) prosesser for risikostyring (se 1.1.3),
-
d) fastsatte toleransegrenser for risiko (se 1.1.4),
-
e) tilføring av tilstrekkelige ressurser og fagkompetanse for å støtte ledelsen i arbeidet.
-
f) Etabler strukturer og prosesser for sikkerhetsstyring dersom dette mangler. Sørg for at det tilpasses virksomheten og er en inkludert del av virksomhetsstyringen. Se Utdypende informasjon for ytterligere informasjon.
Implementering
Hvis etablert:
a) Innhent dokumentasjon og informasjon:
- Samle eksisterende policyer fra ledelsen som omhandler sikkerhetsstyring. Dette kan være “Acceptable Use Policy” (AUP), policy for nettverksikkerhet, policy for passord, adgangskontroll etc.
b) Analyser ledelsesstruktur:
- Gjennomgå organisasjonskartet for å identifisere ledelsesstruktur og roller. Vurder om det er veldefinerte ansvarsområder og ansvarslinjer knyttet til sikkerhetsstyring.
c) Gjennomgå risikostyringsprosesser:
- Analyser eksisterende prosesser for risikostyring knyttet til IKT, (se 1.1.3).
d) Vurder fastsatte toleransegrenser for risiko:
- Undersøk om det er fastsatt toleransegrenser for risiko knyttet til IKT. Gjennomfør punkt 1.1.4 .
e) Evaluere tilføring av ressurser og kompetanse:
- Vurder om det er tilstrekkelige ressurser og fagkompetanse tilgjengelig for å støtte ledelsen i arbeidet med sikkerhetsstyring. Dette kan omfatte både menneskelige ressurser og teknologiske ressurser som er nødvendige for å opprettholde et tilstrekkelig sikkerhetsnivå.
Hvis ikke etablert:
f) Etabler dokumentasjon som mangler for å sikre strukturer og prosesser for sikkerhetsstyring. Gå over punkt a til e og etabler dokumentasjonen som trengs.