Mer om sikkerhetsvurderingene

Ved å gjennomføre sikkerhetsvurderingen, får din bedrift en oversikt over hvor godt virksomheten er beskyttet mot digitale trusler og anbefalte tiltak som kan bidra til å redusere risikoen for digitale angrep.

Gjennomføring av sikkerhetsvurderingen

Vurderingen bør gjennomføres av den som har ansvaret for informasjonssikkerhet og datasystemer i virksomheten.

For større virksomheter vil dette normalt innbefatte flere innen IT ledelse og drift. Det kan også være nødvendig å involvere andre i organisasjonen eller eksterne der IT-drift er satt ut.

Tidsforbruket for de enkelte nivåene av vurderingene vil være avhengig av kunnskapsnivå og -spredning til de som skal delta, men generelt bør det gjennomføres som følger for å få et godt grunnlag for vurdering og forbedring:

• Grunnleggende sikkerhetsvurdering: omtrent 1 time av den som har ansvaret for informasjonssikkerhet og datasystemer i virksomheten. Dette gir et bilde av hvordan grunnleggende tiltak er ivaretatt.
• Utvidet sikkerhetsvurdering: 3-4 timer, fortrinnsvis i et arbeidsmøte hvor både teknisk personell og representanter fra ledelsen deltar. Dette danner grunnlaget for videre arbeid med forbedringstiltak.
• Komplett sikkerhetsvurdering: Dette er egnet for å planlegge og følge opp forbedringsarbeid over tid. Gjennomføringen vil kreve 2-3 halvdags arbeidsmøter og sannsynligvis oppfølging hos spesielle funksjoner i virksomheten for å få et godt grunnlag.

Den grunnleggende vurderingen krever ikke innlogging, og er en vurdering av 15 grunnleggende tekniske sikkerhetstiltak som NSM mener haster mest og som alle virksomheter bør ha på plass. Disse tiltakene kan forhindre opptil 80 % av dataangrep.  

Dersom du er en virksomhet med få ansatte så kan det være nyttig å starte med den grunnleggende vurderingen. 

Rapporten du får etter vurdering er ikke en «løsning» i seg selv, men den kan brukes som et verktøy som gir grunnlag for å kunne gjøre tiltak og øke bevisstheten om cyberrisiko i din virksomhet.

Selv om din virksomhet har outsourcet IT-tjenestene til en ekstern leverandør, så har virksomheten fortsatt et selvstendig ansvar for informasjonssikkerhet. Husk at virksomheten alltid har ansvar for sikkerheten i egne tjenester, selv om man benytter leverandører for disse.

Sikker lagring av dine data

Vi vet hvor viktig det er å behandle dataene dine med høy sikkerhetsstandard. Derfor er det krav om sikker lagring av resultater fra alle nivåer av sikkerhetsvurderingen. All informasjon lagres trygt hos vår samarbeidspartner, DNV, som sørger for at dataene dine oppbevares i henhold anerkjente sikkerhetsstandarder. Med DNV som driftsleverandør kan du ha full tillit til at resultatene fra vurderingen blir håndtert på en pålitelig og forsvarlig måte.

Bakgrunnen for sikkerhetsvurderingene

Verktøyet for cybersikkerhetsvurdering ble opprinnelig utviklet av Gjensidige og DNV. Sikkerhetsvurderingens innhold eies og forvaltes nå av Finans Norge Forsikringsdrift. Forsikringsdrift er ikke en kommersiell aktør, og sikkerhetsvurderingen tilbys gratis til alle som ønsker å benytte vurderingen.

Sikkerhetsvurderingen er basert på grunnleggende prinsipper for IKT-sikkerhet utarbeidet av Nasjonal Sikkerhetsmyndighet (NSM).

Nasjonal Sikkerhetsmyndighet (NSM) er en norsk myndighet som har ansvar for å beskytte nasjonal sikkerhet mot trusler som kan påvirke samfunnet vårt. De gir råd, veiledning og krav innen digital sikkerhet til både private og offentlige aktører. NSM spiller en sentral rolle i utviklingen av nasjonale sikkerhetsstandarder, og deres anbefalinger legger grunnlaget for mange av tiltakene vi tilbyr i vår cybersikkerhetsvurdering.

Finans Norge Forsikringsdrift (FNF) er en organisasjon som utvikler og forvalter digitale løsninger, tjenester, infrastruktur, retningslinjer og standarder for bransjen. 

DNVs formål er å sikre liv, verdier og miljø. Siden 1864 har DNV vært bindeleddet mellom næringsliv, forsikring og eierskap. DNV jobber også tungt med å sikre liv, verdier og miljø fra cybertrusler.