Kilden forklarer at forsvarlig sikkerhetsnivå oppnås når risikoen overfor skjermingsverdige verdier er håndtert til et akseptabelt nivå. Det skjer ved systematiske risikovurderinger og valg av sikkerhetstiltak. Veilederen beskriver også at risiko må forstås gjennom sammenhengen mellom verdi, sårbarhet og trussel. Praktisk betyr dette at virksomheten må arbeide strukturert med omfang, kontekst, kriterier, risikovurdering, risikohåndtering og løpende overvåking og gjennomgang.
FOA-vurdering
Forsvarlig sikkerhetsnivå gjennom systematisk risikostyring
Kilden forklarer at forsvarlig sikkerhetsnivå oppnås når risikoen overfor skjermingsverdige verdier er håndtert til et akseptabelt nivå. Det skjer ved systematiske risikovurderinger og valg av sikkerhetstiltak. Veilederen beskriver også at risiko må forstås gjennom sammenhengen mellom verdi, sårbarhet og trussel. Praktisk betyr dette at virksomheten må arbeide strukturert med omfang, kontekst, kriterier, risikovurdering, risikohåndtering og løpende overvåking og gjennomgang.
Betydning for anskaffelser
Kilden brukes når spørsmålet er hvordan en virksomhet skal begrunne at sikkerhetsnivået er forsvarlig. Den er relevant ved vurdering av om risiko er identifisert, vurdert og håndtert på en systematisk måte, og ved spørsmål om valg av tiltak står i forhold til verdienes betydning og de sårbarhetene og truslene som foreligger.
Sentrale kildepunkter
- Forsvarlig sikkerhetsnivå er nådd når risiko overfor skjermingsverdige verdier er håndtert til akseptabelt nivå.
- Nivået fastsettes gjennom systematiske risikovurderinger og valg av sikkerhetstiltak.
- Risikostyring beskrives som en prosess med omfang, kontekst og kriterier, risikovurdering, risikohåndtering og overvåking/gjennomgang.
- Tilsiktede hendelser vurderes ut fra verdi, sårbarhet og trussel.
- Sårbarhet er bare relevant når den kan utnyttes mot en verdi.
- Virksomheten skal vurdere og håndtere risiko for verdiene sine på en systematisk måte.
- Utgangspunktet er at verdier som krever særlig beskyttelse må kartlegges, vurderes og rangeres.
Berørte bestemmelser
- VIRKSOMHETSIKKERHETSFORSKRIFTEN § § 13 a – Kilden knytter forsvarlig sikkerhetsnivå til at risiko er håndtert til akseptabelt nivå.
- VIRKSOMHETSIKKERHETSFORSKRIFTEN § § 5 – Kilden sier at nivået fastsettes gjennom systematiske risikovurderinger og valg av sikkerhetstiltak.
- SIKKERHETSLOVEN § kapittel 5 – Kilden viser til reglene om kartlegging, vurdering og rangering av verdier.
- SIKKERHETSLOVEN § kapittel 6 – Kilden viser til reglene om kartlegging, vurdering og rangering av verdier.
- SIKKERHETSLOVEN § kapittel 7 – Kilden viser til reglene om kartlegging, vurdering og rangering av verdier.
Fulltekst
3. Risikostyring
Prosess for risikostyring Risikostyring handler om hvordan virksomheter styrer risiko for å håndtere balansen mellom verdi, trussel og sårbarhet. 2 For å ha et forsvarlig sikkerhetsnivå må virksomheten vurdere og håndtere risikoen for verdiene sine på en systematisk måte. Prosessen for risikostyring i denne veilederen består av følgende aktiviteter:
1. omfang, kontekst og kriterier
2. risikovurdering
3. risikohåndtering
4. overvåking og gjennomgang.
Prosessen er en systematisk tilnærming hvor vurderinger bør gjøres i en bestemt rekkefølge, men hvor en hele tiden ser tilbake for å revurdere tidligere steg i prosessen. Utgangspunktet for å drive med risikostyring er rettlede og kontrollere en virksomhet med hensyn at man har noen verdier som krever særlig til risiko. beskyttelse. I henhold til sikkerhetsloven er det fire typer verdier – informasjon, informasjonssystem, objekt og infrastruktur. Kapittel 5, 6 og 7 i sikkerhetsloven beskriver de ulike typene verdiene. Disse bestemmelsene i loven beskriver hvordan virksomheten skal kartlegge, vurdere og rangere sine verdier. Dette gir