Bruk grunnprinsippene til å løfte sikkerhetsnivået i din virksomhet – og den enkeltes sikkerhetskompetanse. Grunnprinsippene er relevante for alle norske virksomheter, både i offentlig og privat sektor. Virksomheter som er ansvarlige for samfunnskritiske funksjoner bør benytte prinsippene. 

Grunnprinsippene består av 21 prinsipper, fordelt på fire kategorier. I web utgaven kan du enkelt velge å gå inn på de ulike prinsippene via menyen på venstre side (se kapitler øverst i mobilversjon). 

Støtteressurser

NSM tilbyr en rekke ressurser som støtte i arbeidet med å iverksette grunnprinsippene for IKT-sikkerhet. Vi har samlet alle ressursene under. 

Alle sikkerhetstiltakene i grunnprinsippene er samlet i et eget regneark fra NSM. Dette regnearket inneholder blant annet en prioritering av alle sikkerhetstiltak og kobling til ISO/IEC 27002 på tiltaksnivå. (Koblingen ble desember 2023 oppdatert til også å dekke ISO 27002:2022.)

Regnearket kan benyttes av virksomheter som ønsker å bruke prinsippene aktivt i eget sikkerhetsarbeid. Dere kan benytte det slik det måtte passe dere best. Det er også mulig å legge til egne tiltak. 

Risikovurdering 

NSM har utarbeidet en egen beskrivelse for risikovurdering av (ugraderte) IKT-systemer. Dette verktøyet kan benyttes enten det gjelder informasjonssystem (IKT), industrielle kontrollsystemer (OT) eller andre støttesystemer som inngår i porteføljen for IKT-systemer. Det er også utarbeidet et eget regneark som kan brukes som mal til å gjennomføre risikovurderinger. 

Ofte stilte spørsmål

NSM har samlet en rekke spørsmål til grunnprinsippene på en egen side. Se om spørsmålene du sitter med, allerede er besvart der. 

Grunnprinsippene for IKT-sikkerhet ble utgitt først i august 2017 (versjon 1.0). Prinsippene videreutvikles med jevne mellomrom. Nyeste versjon er navngitt grunnprinsippene for IKT—sikkerhet 2.0. Denne versjonen kom i april 2020. Tidligere versjoner er fortsatt tilgjengelig for de virksomhetene som har innført disse. 

Kurs

NSM tilbyr digitalt e-læringskurs i grunnprinsippene for IKT-sikkerhet. Kurset er tilgjengelig via NSMs kurssenter. 

E-læringskurset er på til sammen tre timer, og det er mulig å pause underveis. Kurset inneholder både tekst og korte videoer. Alle som fullfører kurset, får kursbevis. Kurset er relevant for en bred målgruppe, fra ledere og sikkerhetsansvarlige til ansatte.

Andre virksomheters støtteverktøy for grunnprinsippene

NSM setter pris på at andre virksomheter også har publisert støtteressurser til NSMs grunnprinsipper. NSM har dessverre ikke anledning til å gjennomgå og kvalitetssikre alle detaljer i de refererte støtteressursene. Spørsmål om innhold og bruk av det enkelte produkt kan derfor rettes direkte til utstedende virksomhet. Siste øverst: 

  • Det norske sikkerhetsselskapet Mnemonic har publisert en kobling mellom grunnprinsippene og NIST CSF. De har også laget en engelsk utgave av denne koblingen. 
  • Direktoratet for e-helse har publisert en kobling mellom grunnprinsippene og «Normen»
  • DNV (Det Norske Veritas) og forsikringsselskapet Gjensidige har publisert et verktøy «Cyber Modenhetsvurdering» for at virksomheter kan måle sin sikkerhet opp mot NSMs grunnprinsipper. 
  • Noregs vassdrags- og energidirektorat (NVE) har gitt en veiledning i sikring av AMS, med referanser til NSMs grunnprinsipper. 
  • SINTEF og petroleumstilsynet laget en rapport om i hvilken grad grunnprinsippene passer for behovene til industrielle IKT-systemer.