Vurdering av sikkerhetstiltakenes effektivitet

Virksomheten skal ha prosesser for å evaluere om sikkerhetstiltakene faktisk virker. Det handler om å måle, teste og forbedre — ikke bare "sett og glem."

Evaluerer dere regelmessig om sikkerhetstiltakene fungerer som tiltenkt?

Kritisk

Har dere definert sikkerhetsmål eller KPI-er som dere følger opp?

Viktig

Gjennomfører dere interne eller eksterne revisjoner av informasjonssikkerheten?

Viktig

Oppdaterer dere sikkerhetstiltak basert på nye trusler, hendelser, eller endringer i virksomheten?

Viktig

Er det tydelig hvem som har ansvar for å følge opp at tiltak gjennomføres?