Chapter

4.0 Internrevisjon

Grunnleggende rammeverk for styrking av den digitale sikkerheten i kritisk infrastruktur er utformet for å redusere risiko ved å forbedre styringen av cybersikkerhetsrisiko sett i forhold til organisasjonens forretnings- og virksomhets mål. Ideelt sett vil organisasjoner som bruker rammeverket være i stand til å måle og tilordne verdier til risikoen deres sammen med kostnadene og fordelene ved tiltak som er tatt for å redusere risikoen til akseptable nivåer. Jo bedre en organisasjon er i stand til å måle risikoen, kostnadene og fordelene ved cybersikkerhetsstrategier, jo mer verdifull vil dens cybersikkerhetstilnærming være.

Over tid bør selvevaluering og måling forbedre beslutningstaking om investeringsprioriteringer. For eksempel, måling – eller i det minste robust karakterisering – av aspekter ved en organisasjons cybersikkerhetstilstand og trender over tid kan gjøre det mulig for organisasjonen å forstå og formidle meningsfull risikoinformasjon til leverandører, kunder, brukere og andre. En organisasjon kan oppnå dette internt eller ved å søke en tredjeparts verifikasjon og revisjon. Hvis de gjøres riktig og med en forståelse av begrensninger, kan disse målingene gi grunnlag for sterke pålitelige relasjoner, både i og utenfor en organisasjon gjennom forbedret tillit.

For å undersøke effektiviteten til investeringer, må en organisasjon først ha en klar forståelse av sine organisatoriske, forretningsmessige-, og virksomhets mål, forholdet mellom disse målene og de understøttende cybersikkerhetsprogrammene, og hvordan disse diskrete
cybersikkerhetsresultatene implementeres og administreres. Selv om målinger av alle disse
elementene er utenfor rammeverkets omfang, støtter cybersikkerhetsresultatene til kjernen
egenevaluering av investeringseffektivitet og cybersikkerhetsaktiviteter på følgende måter:

Ta valg om hvordan ulike deler av cybersikkerhetsoperasjonen skal påvirke valget av målimplementerings nivåer,

• Evaluere organisasjonens tilnærming til risikostyring og cyber- informasjonssikkerhet og
personopplysningsvern ved å bestemme de gjeldende implementeringsnivåene,

• Prioritering av cybersikkerhetsresultater ved å utvikle mål-profiler,

• Bestemme i hvilken grad spesifikke cybersikkerhetstrinn oppnås og ønsket
cybersikkerhetsresultater ved å vurdere gjeldende profiler, og

• Måle graden av implementering for kontrollkataloger eller teknisk veiledning som er
definert og valgt som informative referanser.

Organisasjoner bør være gjennomtenkte, kreative men også forsiktige med måtene de bruker målinger på for å optimalisere bruken, samtidig som de unngår å stole på kunstige indikatorer for nåværende tilstand og fremgang i å forbedre risikostyringen for cybersikkerhet. Å bedømme cyberrisiko krever disiplin basert på kunnskap og erfaring, og bør revurderes med jevne mellomrom. Hver gang målinger brukes som en del av rammeprosessen, oppfordres organisasjoner til å tydelig identifisere og vite hvorfor disse målingene er viktige og hvordan de vil bidra til den generelle styringen av cybersikkerhetsrisiko. De bør også være tydelige om begrensningene for målinger som brukes.

For eksempel kan sporing av sikkerhetstiltak og forretningsresultater gi meningsfull innsikt i hvordan endringer i detaljerte sikkerhetskontroller påvirker fullføringen av organisasjonens mål. For å verifisere oppnåelse av noen organisatoriske mål krever at man analyserer dataene først etter at målet skulle ha blitt oppnådd. Denne typen etterslep er mer absolutt. Imidlertid er det ofte mer verdifullt å forutsi om en cybersikkerhetsrisiko kan oppstå, og virkningen det kan ha, ved å bruke et ledende mål. Organisasjoner oppfordres til å innovere og tilpasse hvordan de inkorporerer målinger i deres anvendelse av rammeverket med full forståelse for deres nytte og begrensninger.

Oppdatert: 8. juni 2023

Kontakt

Gi oss tilbakemelding!

Har du spørsmål eller tilbakemeldinger? Ta kontakt med oss!

E-post: markedsplassen [at] dfo.no (markedsplassen[at]dfo[dot]no)

NISTs grunnleggende rammeverk for styrking av digital sikkerhet i kritisk infrastruktur

Skriv ut / lag PDF

Publikasjonsrettigheter

Denne publikasjonen

Original publikasjonen

Anerkjennelse og norsk oversettelse

Anerkjennelser

Norsk utgave

Sammendrag

1. Innføring

1.1. Oversikt over rammeverket

1.2 Risikostyring og rammeverket for cybersikkerhet

1.3 Dokumentoversikt

2.0 Rammeverket

2.1 Grunnleggende rammeverk

2.2 Implementeringsnivå

2.3 Rammeprofiler

2.4 Koordinering og implementering av rammeverket

3.0 Hvordan bruke rammeverket

3.1 Grunnleggende gjennomgang av cybersikkerhetspraksis

3.2 Etablere eller forbedre cybersikkerhetsprogram

3.3 Kommunisere cyberskkerhetskrav

3.4 Anskaffelsesprosess

3.5 Identifisere muligheter for nye eller reviderte informative referanser

3.6 Metodikk for å beskytte personvern og sivile rettigheter

4.0 Internrevisjon

Vedlegg A Grunnleggende rammeverk 

Tabell 1: Unike identifikatorer for funksjoner og kategorier

Tabell 2.1 Identifisere verdier og sårbarheter(ID)

Tabell 2.2 Beskytte (PR)

Tabell 2.3 Oppdage (DE)

Tabell 2.4 Respondere (RS)

Tabell 2.5 Gjenopprette (RC)

Referanser i tabellene

Vedlegg B Begrepsfastsettelse

Vedlegg C Akronymer

Vedlegg D Vurdering av mulige tilleggstiltak fra NIST CSF

Fant du det du lette etter?

Nei

Det beklager vi!

Tilbakemeldingen din er anonym og vil ikke bli besvart. Vi bruker den til å forbedre nettsidene. Hvis du vil ha svar fra oss, ta kontakt på telefon, e-post eller kundesenter på nett.