Sjekklisten på 23 punkter er laget basert på NSM sine grunnprinsipper for IT sikkerhet.

Bruk sjekklisten som kommunikasjonsgrunnlag for å vurdere og planlegge IT sikkerhet sammen med nøkkelressursene i deres virksomhet. Sjekklisten er et godt kommunikasjonsgrunnlag for viktige roller i organisasjonen og den kan fungere som et kart å følge uavhengig av forståelse for detaljene i teknologien.

Toppledelse/styre

Hvordan sikres virksomhetenes verdier teknisk? 

Ledelsen og styret er naturligvis opptatt av verdiene som skal beskyttes og kan enkelt identifisere hvilke verdier det dreier seg om. Det er dessuten øverste leder som er ansvarlig for informasjonssikkerheten i norske virksomheter.
Ledelsen vil derfor være sentrale i å definere verdikjedene og leveransene som må beskyttes og mot hva. De vil også kunne vurdere hvilke konsekvenser et sikkerhetsbrudd vil få.

IT-sjef/IT-ansvarlig

Hvordan kan man sikre noe om man ikke vet hva som skal sikres, hvor dette befinner seg og hva som er kravene til sikkerhet?

IT-sjefen forteller ved hjelp av sine ressurser status på IT-sikkerhet i dag og hva som eventuelt må gjøres for å levere tilstrekkelig sikkerhet. Dette gjøres i henhold til virksomhetsforståelsen, kjennskap til verdiene som skal beskyttes og bestillingen fra sikkerhetsansvarlig og ledelsen.

Sikkerhetsansvarlig

Hvordan oversette sikkerhetskravene til IT sikkerhet?

Sikkerhetsansvarlig kan oversette kravene fra ledelsen i hvordan det må beskyttes. Sikkerhetstiltakene må gjøres i en kombinasjon av rutiner og prosesser sammen med understøttende IT sikkerhet. IT sikkerheten må bestilles av IT.