En velfungerende og åpen organisasjon, trenede, involverte og observante individer, sammen med tilstrekkelige og velfungerende verktøy og metodikk, er en forutsetning for sikker og robust drift.
----------------------------------------------------------
A well functioning and open organization, trained, involved and alert individuals, together with sufficient and well-functioning technology and methodology, are prerequisites for safe and robust operation.
Beste praksiser og læring fra forebyggende sikkerhetsarbeid i ulykkesutsatte bransjer, er et godt utgangspunkt også for å forebygge tidsaktuelle og fremtidige digitale trusler.
Risikostyring dreier seg om et velfungerende samspill mellom mennesker, teknikk og organisasjon. De mest sofistikerte sikkerhetsløsninger kan i seg selv representere en trussel dersom de ikke anvendes riktig.
Risikostyring er et fundament for de standarder, beste praksiser og prosedyrer som de store virksomheter har utviklet og benytter for å håndtere digitale trusler.
En virksomhets styringsstruktur må inkludere styring av digital risiko.
Risikolitteraturen er rik på beskrivelser og diskusjoner om hvorfor ulykker skjer (ulykkesperspektiver) og også av metoder for å identifisere, respondere og gjenopprette etter en uønsket hendelse. Erfaringer og studier viser at systematikk og metodikk som er vesentlig i risikostyringsfaget, har stor anvendelighet for styring av digital risiko. Erfaringer fra andre områder gir perspektiv, relevans og inspirasjon.
Basert på blant annet ISO sine anbefalinger, NIST rammeverk og anbefalinger, artikler og lærebøker i risikofaget, myndighetsanbefalinger og egen erfaring med sikkerhet og risikoarbeid, foreslås en fremgangsmåte for å etablere eller kvalitetssikre et styringssystem for informasjonssikkerhet (ISMS - Information Security Management System).
Risikobegrepet er generelt. Det finnes omfattende akademisk litteratur som diskuterer presise definisjoner og begrepets opprinnelse. Vår anbefaling er en pragmatisk tilnærming til praktisk bruk av risikostyring relatert til anvendelse og operering av digitale systemer.
Best practices and learnings from security improvement activities in high-risk sectors, are a good basis for managing current and future digital risks.
Effective risk management is a result of well-functioning and co-existing collaboration involving individuals, technology, and organization. Sophisticated digital security solutions can represent threats if not adequately used.
Risk management is a fundament for standards, best practices and procedures developed for managing digital risks. A company management system must include risk management.
Literature and reports analyses, describe and discuss why accident happens (disaster perspectives), and describe methods to identify, respond and recover after occurence of not wanted events. Experiences and knowledge have proven that the systematic approach and methods developed for Risk management in general, also applies to managing digital risks. Experiences from other sectors gives perspectives, relevance and inspiration.
Based on, among other, ISO recommendations, NIST framework and recommendations, articles and training literature for the risk discipline, guidance for establishing or verifying the quality of existing management system for digital risk (ISMS - Information Security Management System), is offered.
"Risk" is a general term vividly discussed in academic circles. Our recommendation is a pragmatic approach for risk management of use and operation of digital systems.
