Chapter

Tabell 2.1 Identifisere verdier og sårbarheter(ID)

Identifiser og dokumentere maskin- og programvare, rutiner og personell. Avgjøre hvilken verdier disse har for virksomheten

Identifisere (ID)
Kategori Underkategori Referanse

Asset Management (ID.AM)

 

Dataene, personellet, enhetene,
systemene og fasilitetene som
gjør det mulig for organisasjonen
å oppnå forretningsformål,
identifiseres og administreres i
samsvar med deres relative
betydning for organisatoriske mål
og organisasjonens risikostrategi

ID.AM-1: Fysiske enheter og
systemer i organisasjonen er
lagerført
CIS CSC 1
COBIT 5 BAI09.01, BAI09.02
ISA 62443-2-1:2009 4.2.3.4
ISA 62443-3-3:2013 SR 7.8
ISO/IEC 27001:2013 A.8.1.1, A.8.1.2
NIST SP 800-53 Rev. 4 CM-8, PM-5
ID.AM-2: Plattformer, systemer og applikasjoner er identifisert og dokumentert CIS CSC 2
COBIT 5 BAI09.01, BAI09.02, BAI09.05
ISA 62443-2-1:2009 4.2.3.4
ISA 62443-3-3:2013 SR 7.8
ISO/IEC 27001:2013 A.8.1.1, A.8.1.2, A.12.5.1
NOR SP 800-53 Rev. 4 CM-8, PM-5
ID.AM-3: Kommunikasjons og dataflyt i organisasjonen kartlegges CIS CSC 12
COBIT 5 DSS05.02
ISA 62443-2-1:2009 4.2.3.4
ISO/IEC 27001:2013 A.13.2.1, A.13.2.2
NOR SP 800-53 Rev. 4 AC-4, CA-3, CA-9, PL-8
ID.AM-4: Eksterne informasjonssystemer er katalogisert CIS CSC 12
COBIT 5 APO02.02, APO10.04, DSS01.02
ISO/IEC 27001:2013 A.11.2.6
NOR SP 800-53 Rev. 4 AC-20, SA-9
ID.AM-5: Ressurser (f.eks.
maskinvare, enheter, data, tid,
personell og programvare)
prioriteres basert på deres
klassifisering, kritikkverdighet og forretningsverdi
CIS CSC 13, 14
COBIT 5 APO03.03, APO03.04, APO12.01, BAI04.02, BAI09.02
ISA 62443-2-1:2009 4.2.3.6
ISO/IEC 27001:2013 A.8.2.1
NOR SP 800-53 Rev. 4 CP-2, RA-2, SA-14, SC-6
ID.AM-6: Cybersikkerhetsroller
og -ansvar for hele
arbeidsstyrken og
tredjepartsinteressenter (f.eks.
leverandører, kunder og
partnere) er etablert
CIS CSC 17, 19
COBIT 5 APO01.02, APO07.06, APO13.01, DSS06.03
ISA 62443-2-1:2009 4.3.2.3.3 
ISO/IEC 27001:2013 A.6.1.1
NOR SP 800-53 Rev. 4 CP-2, PS-7, PM-11
Forretningsmiljø (ID.BE):
Organisasjonens oppdrag, mål,
interessenter og aktiviteter blir
forstått og prioritert; denne
informasjonen brukes til å
informere om
cybersikkerhetsroller, ansvar og
beslutninger om risikostyring.
ID.BE-1: Organisasjonens rolle i
forsyningskjeden identifiseres og
kommuniseres
COBIT 5 APO08.01, APO08.04, APO08.05, APO10.03, APO10.04, APO10.05
ISO/IEC 27001:2013 A.15.1.1, A.15.1.2, A.15.1.3, A.15.2.1, A.15.2.2
NIST SP 800-53 Rev. 4 CP-2, SA-12
ID.BE-2: Organisasjonens plass i
kritisk infrastruktur og dens
industrisektor er identifisert og
kommunisert
COBIT 5 APO02.06, APO03.01
ISO/IEC 27001:2013 Clause 4.1
NIST SP 800-53 Rev. 4 PM-8
ID.BE-3: Prioriteringer for
organisasjonsoppdrag, mål og
aktiviteter etableres og
kommuniseres
COBIT 5 APO02.01, APO02.06, APO03.01
ISA 62443-2-1:2009 4.2.2.1, 4.2.3.6
NIST SP 800-53 Rev. 4 PM-11, SA-14
ID.BE-4: Avhengigheter og
kritiske funksjoner for levering av
kritiske tjenester etableres
COBIT 5 APO10.01, BAI04.02, BAI09.02
ISO/IEC 27001:2013 A.11.2.2, A.11.2.3, A.12.1.3
NIST SP 800-53 Rev. 4 CP-8, PE-9, PE-11, PM-8, SA-14
ID.BE-5: Krav til motstandskraft
for å støtte levering av kritiske
tjenester er etablert for alle
driftstilstander (f.eks. under
tvang/angrep, under utvinning,
normal drift)
COBIT 5 BAI03.02, DSS04.02
ISO/IEC 27001:2013 A.11.1.4, A.17.1.1, A.17.1.2, A.17.2.1
NIST SP 800-53 Rev. 4 CP-2, CP-11, SA-13, SA-14
Governance (ID.GV):
Retningslinjene, prosedyrene og
prosessene for å administrere og
overvåke organisasjonens
regulatoriske, juridiske, risiko-,
miljø- og operasjonelle krav er
forstått og informerer ledelsen om
cybersikkerhetsrisiko
ID.GV-1: Organisatorisk
cybersikkerhetspolicy er etablert
og kommunisert
CIS CSC 19
COBIT 5 APO01.03, APO13.01, EDM01.01, EDM01.02
ISA 62443-2-1:2009 4.3.2.6
ISO/IEC 27001:2013 A.5.1.1
NOR SP 800-53 Rev. 1-1. Kontroller fra alle sikkerhetskontrollfamilier 
ID.GV-2: Cybersikkerhetsroller og -ansvar er koordinert og på linje med interne roller og eksterne partnere CIS CSC 19
COBIT 5 APO01.02, APO10.03, APO13.02, DSS05.04
ISA 62443-2-1:2009 4.3.2.3.3
ISO/IEC 27001:2013 A.6.1.1, A.7.2.1, A.15.1.1
NOR SP 800-53 Rev. 4 PS-7, PM-1, PM-2
ID.GV-3: Juridiske og
regulatoriske krav angående
nettsikkerhet, inkludert
forpliktelser om personvern og
sivile friheter, er forstått og
administrert
CIS CSC 19
COBIT 5 BAI02.01, MEA03.01, MEA03.04
ISA 62443-2-1:2009 4.4.3.7
ISO/IEC 27001:2013 A.18.1.1, A.18.1.2, A.18.1.3, A.18.1.4, A.18.1.5
NIST SP 800-53 Rev. 4 -1 controls from all security control families
ID.GV-4: Styrings- og
risikostyringsprosesser
adresserer cybersikkerhetsrisikoer
COBIT 5 EDM03.02, APO12.02, APO12.05, DSS04.02
ISA 62443-2-1:2009 4.2.3.1, 4.2.3.3, 4.2.3.8, 4.2.3.9, 4.2.3.11, 4.3.2.4.3, 4.3.2.6.3
ISO/IEC 27001:2013 Clause 6
NOR SP 800-53 Rev. 4 SA-2, PM-3, PM-7, PM-9, PM-10, PM-11
Risikostyring (ID.RA): Organisasjonen forstår
cybersikkerhetsrisikoen for
organisasjonsdrift (inkludert
oppdrag, funksjoner, image eller
omdømme), organisatoriske
eiendeler og enkeltpersoner
ID.RA-1: Verdi- / eiendelssårbarheter er identifisert og dokumentert CIS CSC 4
COBIT 5 APO12.01, APO12.02, APO12.03, APO12.04, DSS05.01, DSS05.02
ISA 62443-2-1:2009 4.2.3, 4.2.3.7, 4.2.3.9, 4.2.3.12
ISO/IEC 27001:2013 A.12.6.1, A.18.2.3
NOR SP 800-53 Rev. 4 CA-2, CA-7, CA-8, RA-3, RA-5, SA-5, SA-11, SI-2, SI-4, SI-5
ID.RA-2: Etterretning om
cybertrusler mottas fra fora og
kilder for informasjonsdeling
CIS CSC 4
COBIT 5 BAI08.01
ISA 62443-2-1:2009 4.2.3, 4.2.3.9, 4.2.3.12
ISO/IEC 27001:2013 A.6.1.4
NOR SP 800-53 Rev. 4 SI-5, PM-15, PM-16
ID.RA-3: Trusler, både interne og
eksterne, identifiseres og
dokumenteres
CIS CSC 4
COBIT 5 APO12.01, APO12.02, APO12.03, APO12.04
ISA 62443-2-1:2009 4.2.3, 4.2.3.9, 4.2.3.12
ISO/IEC 27001:2013 Clause 6.1.2
NOR SP 800-53 Rev. 4 RA-3, SI-5, PM-12, PM-16
ID.RA-4: Potensielle
forretningspåvirkninger og
sannsynligheter er identifisert
CIS CSC 4
COBIT 5 DSS04.02
ISA 62443-2-1:2009 4.2.3, 4.2.3.9, 4.2.3.12
ISO/IEC 27001:2013 A.16.1.6, Clause 6.1.2
NOR SP 800-53 Rev. 4 RA-2, RA-3, SA-14, PM-9, PM-11
ID.RA-5: Trusler, sårbarheter,
sannsynligheter og påvirkninger
brukes til å bestemme risiko
CIS CSC 4
COBIT 5 APO12.02
ISO/IEC 27001:2013 A.12.6.1
NOR SP 800-53 Rev. 4 RA-2, RA-3, PM-16
ID.RA-6: Risikoreaksjoner
identifiseres og prioriteres
CIS CSC 4
COBIT 5 APO12.05, APO13.02
ISO/IEC 27001:2013 Clause 6.1.3
NOR SP 800-53 Rev. 4 PM-4, PM-9

Risikostyringsstrategi (ID.RM):
Organisasjonens prioriteringer, begrensninger, 

risikotoleranser og forutsetninger er etablert 

og brukt til å støtte beslutninger 

om operasjonellrisiko

ID.RM-1: Risikostyringsprosesser
er etablert, administrert og
godkjent av
organisasjonsinteressenter
CIS CSC 4
COBIT 5 APO12.04, APO12.05, APO13.02, BAI02.03, BAI04.02 
ISA 62443-2-1:2009 4.3.4.2
ISO/IEC 27001:2013 Clause 6.1.3, Clause 8.3, Clause 9.3
NIST SP 800-53 Rev. 4 PM-9
ID.RM-2: Organisatorisk
risikotoleranse er bestemt og
tydelig uttrykt
COBIT 5 APO12.06
ISA 62443-2-1:2009 4.3.2.6.5
ISO/IEC 27001:2013 Clause 6.1.3, Clause 8.3
NIST SP 800-53 Rev. 4 PM-9
ID.RM-3: Organisasjonens
bestemmelse av risikotoleranse
er informert om dens rolle i kritisk
infrastruktur og sektorspesifikk
risikoanalyse
COBIT 5 APO12.02
ISO/IEC 27001:2013 Clause 6.1.3, Clause 8.3
NIST SP 800-53 Rev. 4 SA-14, PM-8, PM-9, PM-11

Risikostyring i
forsyningskjeden (ID.SC):


Organisasjonens prioriteringer,
begrensninger, risikotoleranser og
forutsetninger er etablert og brukt
til å støtte risikobeslutninger
knyttet til styring av
forsyningskjederisiko.
Organisasjonen har etablert og
implementert prosessene for å
identifisere, vurdere og
administrere
forsyningskjederisikoer

ID.SC-1: Risikostyringsprosesser
for cyberforsyningskjeden
identifiseres, etableres, vurderes,
administreres og godkjennes av
organisasjonens interessenter
CIS CSC 4
COBIT 5 APO10.01, APO10.04, APO12.04, APO12.05, APO13.02, BAI01.03, BAI02.03, BAI04.02
ISA 62443-2-1:2009 4.3.4.2
ISO/IEC 27001:2013 A.15.1.1, A.15.1.2, A.15.1.3, A.15.2.1, A.15.2.2
NIST SP 800-53 Rev. 4 SA-9, SA-12, PM-9
ID.SC-2: Leverandører og
tredjepartspartnere av
informasjonssystemer,
komponenter og tjenester blir
identifisert, prioritert og vurdert
ved hjelp av en
risikovurderingsprosess for
cyberforsyningskjeden
COBIT 5 APO10.01, APO10.02, APO10.04, APO10.05, APO12.01, APO12.02, APO12.03, APO12.04, APO12.05, APO12.06, APO13.02, BAI02.03
ISA 62443-2-1:2009 4.2.3.1, 4.2.3.2, 4.2.3.3, 4.2.3.4, 4.2.3.6, 4.2.3.8, 4.2.3.9, 4.2.3.10, 4.2.3.12, 4.2.3.13, 4.2.3.14
ISO/IEC 27001:2013 A.15.2.1, A.15.2.2

Risikostyring i
forsyningskjeden (ID.SC):


Organisasjonens prioriteringer, begrensninger, risikotoleranser og forutsetninger er etablert og brukt til å støtte risikobeslutninger
knyttet til styring av forsyningskjederisiko.
Organisasjonen har etablert og implementert prosessene for å identifisere, vurdere og
administrere forsyningskjederisikoer.

NIST SP 800-53 Rev. 4 RA-2, RA-3, SA-12, SA-14, SA-15, PM-9
ID.SC-3: Kontrakter med
leverandører og
tredjepartspartnere brukes til å
implementere passende tiltak
utformet for å oppfylle målene til
en organisasjons
cybersikkerhetsprogram og
Cyber Supply Chain
COBIT 5 APO10.01, APO10.02, APO10.03, APO10.04, APO10.05
ISA 62443-2-1:2009 4.3.2.6.4, 4.3.2.6.7
ISO/IEC 27001:2013 A.15.1.1, A.15.1.2, A.15.1.3
NIST SP 800-53 Rev. 4 SA-9, SA-11, SA-12, PM-9
ID.SC-4: Leverandører og
tredjepartspartnere vurderes
rutinemessig ved å bruke
revisjoner, testresultater eller
andre former for evalueringer for
å bekrefte at de oppfyller sine
kontraktsmessige forpliktelser.
COBIT 5 APO10.01, APO10.03, APO10.04, APO10.05, MEA01.01, MEA01.02, MEA01.03, MEA01.04, MEA01.05 
ISA 62443-2-1:2009 4.3.2.6.7
ISA 62443-3-3:2013 SR 6.1
ISO/IEC 27001:2013 A.15.2.1, A.15.2.2
NIST SP 800-53 Rev. 4 AU-2, AU-6, AU-12, AU-16, PS-7, SA-9, SA-12
ID.SC-5: Planlegging og testing
av respons og gjenoppretting
utføres med leverandører og
tredjepartsleverandører
CIS CSC 19, 20
COBIT 5 DSS04.04
ISA 62443-2-1:2009 4.3.2.5.7, 4.3.4.5.11 
ISA 62443-3-3:2013 SR 2.8, SR 3.3, SR.6.1, SR 7.3, SR 7.4
ISO/IEC 27001:2013 A.17.1.3 
NIST SP 800-53 Rev. 4 CP-2, CP-4, IR-3, IR-4, IR-6, IR-8, IR-9

Oppdatert: 8. juni 2023

Kontakt

Gi oss tilbakemelding!

Har du spørsmål eller tilbakemeldinger? Ta kontakt med oss!

E-post: markedsplassen [at] dfo.no (markedsplassen[at]dfo[dot]no)

NISTs grunnleggende rammeverk for styrking av digital sikkerhet i kritisk infrastruktur

Skriv ut / lag PDF

Publikasjonsrettigheter

Denne publikasjonen

Original publikasjonen

Anerkjennelse og norsk oversettelse

Anerkjennelser

Norsk utgave

Sammendrag

1. Innføring

1.1. Oversikt over rammeverket

1.2 Risikostyring og rammeverket for cybersikkerhet

1.3 Dokumentoversikt

2.0 Rammeverket

2.1 Grunnleggende rammeverk

2.2 Implementeringsnivå

2.3 Rammeprofiler

2.4 Koordinering og implementering av rammeverket

3.0 Hvordan bruke rammeverket

3.1 Grunnleggende gjennomgang av cybersikkerhetspraksis

3.2 Etablere eller forbedre cybersikkerhetsprogram

3.3 Kommunisere cyberskkerhetskrav

3.4 Anskaffelsesprosess

3.5 Identifisere muligheter for nye eller reviderte informative referanser

3.6 Metodikk for å beskytte personvern og sivile rettigheter

4.0 Internrevisjon

Vedlegg A Grunnleggende rammeverk 

Tabell 1: Unike identifikatorer for funksjoner og kategorier

Tabell 2.1 Identifisere verdier og sårbarheter(ID)

Tabell 2.2 Beskytte (PR)

Tabell 2.3 Oppdage (DE)

Tabell 2.4 Respondere (RS)

Tabell 2.5 Gjenopprette (RC)

Referanser i tabellene

Vedlegg B Begrepsfastsettelse

Vedlegg C Akronymer

Vedlegg D Vurdering av mulige tilleggstiltak fra NIST CSF

Fant du det du lette etter?

Nei

Det beklager vi!

Tilbakemeldingen din er anonym og vil ikke bli besvart. Vi bruker den til å forbedre nettsidene. Hvis du vil ha svar fra oss, ta kontakt på telefon, e-post eller kundesenter på nett.