Grunnprinsipper for IKT-sikkerhet
Grunnprinsippene for IKT-sikkerhet gir råd for å beskytte informasjonssystemer, data og tjenester mot uautorisert tilgang, skade eller misbruk.
Bruk grunnprinsippene til å løfte sikkerhetsnivået i din virksomhet – og den enkeltes sikkerhetskompetanse. Grunnprinsippene er relevante for alle norske virksomheter, både i offentlig og privat sektor. Virksomheter som er ansvarlige for samfunnskritiske funksjoner bør benytte prinsippene.
Grunnprinsippene består av 21 prinsipper, fordelt på fire kategorier. I web utgaven kan du enkelt velge å gå inn på de ulike prinsippene via menyen på venstre side (se kapitler øverst i mobilversjon).
- Gå til webutgaven av grunnprinsippene: Grunnprinsipper for IKT-sikkerhet versjon 2.0
- Alternativt last ned: Grunnprinsipper for IKT-sikkerhet versjon 2.0 (pdf)
Støtteressurser
NSM tilbyr en rekke ressurser som støtte i arbeidet med å iverksette grunnprinsippene for IKT-sikkerhet. Vi har samlet alle ressursene under.
Alle sikkerhetstiltakene i grunnprinsippene er samlet i et eget regneark fra NSM. Dette regnearket inneholder blant annet en prioritering av alle sikkerhetstiltak og kobling til ISO/IEC 27002 på tiltaksnivå. (Koblingen ble desember 2023 oppdatert til også å dekke ISO 27002:2022.)
- Last ned regnearket: Regneark med sikkerhetstiltak (.xlsx)
Regnearket kan benyttes av virksomheter som ønsker å bruke prinsippene aktivt i eget sikkerhetsarbeid. Dere kan benytte det slik det måtte passe dere best. Det er også mulig å legge til egne tiltak.
Risikovurdering
NSM har utarbeidet en egen beskrivelse for risikovurdering av (ugraderte) IKT-systemer. Dette verktøyet kan benyttes enten det gjelder informasjonssystem (IKT), industrielle kontrollsystemer (OT) eller andre støttesystemer som inngår i porteføljen for IKT-systemer. Det er også utarbeidet et eget regneark som kan brukes som mal til å gjennomføre risikovurderinger.
- Les mer: Risikovurdering av IKT-systemer (PDF, 488KB) (pdf)
- Last ned: Mal for risikovurdering av IKT-systemer (XLSX, 112KB) (excel)
Ofte stilte spørsmål
NSM har samlet en rekke spørsmål til grunnprinsippene på en egen side. Se om spørsmålene du sitter med, allerede er besvart der.
- Gå til: Ofte stilte spørsmål
Grunnprinsippene for IKT-sikkerhet ble utgitt først i august 2017 (versjon 1.0). Prinsippene videreutvikles med jevne mellomrom. Nyeste versjon er navngitt grunnprinsippene for IKT—sikkerhet 2.0. Denne versjonen kom i april 2020. Tidligere versjoner er fortsatt tilgjengelig for de virksomhetene som har innført disse.
- Versjon 1.1 er fra desember 2018: Grunnprinsipper for IKT-sikkerhet (v.1.1) (pdf)
-
Versjon 1.0 er fra august 2017: Grunnprinsipper for IKT-sikkerhet (v1.0) (pdf)
Kurs
NSM tilbyr digitalt e-læringskurs i grunnprinsippene for IKT-sikkerhet. Kurset er tilgjengelig via NSMs kurssenter.
E-læringskurset er på til sammen tre timer, og det er mulig å pause underveis. Kurset inneholder både tekst og korte videoer. Alle som fullfører kurset, får kursbevis. Kurset er relevant for en bred målgruppe, fra ledere og sikkerhetsansvarlige til ansatte.
- Bestill kurset via NSMs læringsplattform (Munio): E-læringskurs i NSMs grunnprinsipper for IKT-sikkerhet
Andre virksomheters støtteverktøy for grunnprinsippene
NSM setter pris på at andre virksomheter også har publisert støtteressurser til NSMs grunnprinsipper. NSM har dessverre ikke anledning til å gjennomgå og kvalitetssikre alle detaljer i de refererte støtteressursene. Spørsmål om innhold og bruk av det enkelte produkt kan derfor rettes direkte til utstedende virksomhet. Siste øverst:
- Det norske sikkerhetsselskapet Mnemonic har publisert en kobling mellom grunnprinsippene og NIST CSF. De har også laget en engelsk utgave av denne koblingen.
- Direktoratet for e-helse har publisert en kobling mellom grunnprinsippene og «Normen».
- DNV (Det Norske Veritas) og forsikringsselskapet Gjensidige har publisert et verktøy «Cyber Modenhetsvurdering» for at virksomheter kan måle sin sikkerhet opp mot NSMs grunnprinsipper.
- Noregs vassdrags- og energidirektorat (NVE) har gitt en veiledning i sikring av AMS, med referanser til NSMs grunnprinsipper.
- SINTEF og petroleumstilsynet laget en rapport om i hvilken grad grunnprinsippene passer for behovene til industrielle IKT-systemer.