Kategori 6 av 10 · Art. 21(2)(f)

Vurdering av sikkerhetstiltakenes effektivitet

Virksomheten skal ha prosesser for å evaluere om sikkerhetstiltakene faktisk virker. Det handler om å måle, teste og forbedre — ikke bare "sett og glem."

6.1

Evaluerer dere regelmessig om sikkerhetstiltakene fungerer som tiltenkt?

Kritisk

Sikkerhetstiltak som ikke testes, kan gi falsk trygghet. Evaluering kan være alt fra årlige gjennomganger og interne revisjoner til automatiserte skanninger. Poenget er å ha en bevisst praksis for å vurdere om det dere gjør faktisk fungerer.

6.2

Har dere definert sikkerhetsmål eller KPI-er som dere følger opp?

Viktig

Eksempler: tid til patching, andel ansatte som har gjennomført sikkerhetsopplæring, antall hendelser per kvartal. Enkle målinger gir oversikt og viser utvikling over tid.

6.3

Gjennomfører dere interne eller eksterne revisjoner av informasjonssikkerheten?

Viktig

En revisjon (intern eller ekstern) gir en uavhengig vurdering av sikkerhetspraksis. For SMBer kan dette være en enkel årlig gjennomgang — det trenger ikke være en fullskala ISO-audit.

6.4

Oppdaterer dere sikkerhetstiltak basert på nye trusler, hendelser, eller endringer i virksomheten?

Viktig

Trusselbildet endrer seg. Det som var godt nok i fjor, er kanskje ikke godt nok nå. Har dere en mekanisme for å fange opp endringer og justere tiltakene?

6.5

Er det tydelig hvem som har ansvar for å følge opp at tiltak gjennomføres?

Standard

Mange organisasjoner vedtar tiltak i møter, men ingen sjekker at de faktisk blir gjennomført. Tydelig ansvar med frist og oppfølging er nødvendig.