1. Etabler en sikkerhetspolitikk
Dokumenter og forankre ønsket sikkerhetsnivå i en overordnet politikk for hele organisasjonen.
2. Risikovurdering
Vit om eget sikkerhetsnivå, risikoer, følger av sikkerhetsepisoder, gjenopprettingsevne og tilgjengelighetskrav, og ha en oversikt over hva brudd eller følsom informasjon på avveie vil koste.
3. Organisasjon og ansvar
Etabler en sikkerhetsorganisasjon med klare ansvarslinjer.
4. Regler og retningslinjer
Ha klare regler og retningslinjer som ledelse og ansatte skal følge, inklusive reaksjoner ved regelbrudd.
5. Utdanning, bevissthet og motivasjon
Sørg for at ansatte har et forhold til og er motivert for sikkerhet gjennom bevisstgjøring og opplæring.
6. Gradering av informasjon
Ha et formelt graderingssystem for informasjon. Gradering av informasjon, identitetskontroll og tilgangskontroll forhindrer lekkasjer og bidrar til økt tillit hos eiere, ansatte, og kunder.
7. Tiltak mot angrep som innbrudd og virus
Ha klar basistiltak mot de største farene og evaluer dem regelmessig. Juster tiltak i pakt med utvikling av sikkerhetsrisiko.
8. Kryptering og elektronisk signaturer (PKI)
Kryptering av informasjon og elektroniske signaturer er en forutsetning for effektiv og sikker kommunikasjon.
9. Robuste forretningsprosesser
Ha klare planer for håndtering av kriser, inklusive for effektiv gjenoppretting av maskinvare, programvare og data.
10. Oppfølging og kontroll
Test, verifiser og oppdater planer, prosesser og rutiner for å opprettholde et tilstrekkelig sikkerhetsnivå.
