Dette er bakgrunnsstoff («Godt å vite») til hovedaktiviteten Risikovurdering. Målgruppen er de fagansvarlige informasjonssikkerhet som ønsker å sette seg litt grundigere inn i enkelte tema og dermed øke sin bakgrunnskunnskap.

Innhold

• Minimumskrav
• Krav om risikovurderinger
• Gjennomføring av risikovurderinger

1 Minimumskrav

Sikkerhetsloven og dens forskrifter angir minimumskravene for beskyttelse av informasjon og objekter av betydning for rikets eller alliertes sikkerhet eller andre vitale nasjonale sikkerhetsinteresser. Regelverket fastsetter forebyggende tiltak mot forberedelse til, forsøk på og gjennomføring av spionasje, sabotasje eller terrorhandlinger.

2 Krav om risikovurderinger

Forskrift om sikkerhetsadministrasjon er en forskrift under sikkerhetsloven.

I denne forskriften § 4-2 Risikovurdering står det:

«Bestemmelsene om sikkerhetstiltak i sikkerhetsloven med forskrifter er minimumskrav. Disse kravene er basert på en generell risikovurdering i forhold til nivåene for sikkerhetsgradering og den generelle sikkerhetstrussel på nasjonalt nivå.

Den enkelte virksomhet skal foreta kontinuerlige risikovurderinger med utgangspunkt i grunnlagsdokumentet for sikkerhet. Det skal i risikovurderingen tas hensyn til lokale forhold av sikkerhetsmessig betydning for å

1. avdekke behov for tiltak utover minimumskravene i sikkerhetsloven med forskrifter,
2. avdekke overflødige og unødvendig overlappende sikkerhetstiltak, og
3. finne frem til mer kosteffektive tiltak som kan erstatte eksisterende tiltak.

Den enkelte ansatte og engasjerte som får befatning med skjermingsverdig informasjon skal foreta risikovurdering ved utførelse av aktivitet som kan få betydning for sikkerheten.

NSM kan pålegge en virksomhet å utarbeide skriftlig risikovurdering når særlige grunner foreligger, og bestemme hvilken vurderingsmetode som skal legges til grunn.»

3 Gjennomføring av risikovurderinger

Dersom virksomhetene behandler eller skal behandle informasjon gradert etter sikkerhetsloven, må de gjennomføre risikovurderinger også av den behandlingen.

Virksomhetene må ut fra ovennevnte vurdere hvilke metoder de skal benytte. I utgangspunktet kan de velge mellom Difis anbefalinger i dette veiledningsmateriellet, eventuelt andre metoder utarbeidet hos dem selv eller eksterne spesialister, eller spesifikke metoder som NSM anbefaler.

Nasjonal sikkerhetsmyndighet (NSM) er fagmyndighet for sikkerhetsloven. Når særlige grunner foreligger, kan NSM bestemme hvilken vurderingsmetode som skal legges til grunn (jf. forskriften foran). For informasjon om NSMs krav og anbefalinger viser vi til NSMs nettsider https://nsm.stat.no/

────────────────────────────────────────────────────────────────────

Til toppen av siden

────────────────────────────────────────────────────────────────────