Risikoanalyse og informasjonssikkerhetspolicy

Virksomheten skal ha retningslinjer for risikoanalyse og overordnet informasjonssikkerhet. Dette er grunnlaget for alle andre tiltak — uten risikostyring bygger man i blinde.

Har virksomheten en dokumentert informasjonssikkerhetspolicy?

Kritisk

Gjennomfører dere regelmessige risikovurderinger av IT-systemer og data?

Kritisk

Er det tydelig definert hvem som har ansvar for informasjonssikkerhet i virksomheten?

Kritisk

Har dere en oversikt over virksomhetens viktigste informasjonsverdier og systemer?

Viktig

Vurderer dere risikoer knyttet til nye prosjekter eller systemendringer før de gjennomføres?

Viktig

Rapporteres risikovurderinger og sikkerhetsstatus til ledelsen?

Viktig