Risikovurderinger

Ledelsessystemet for informasjonssikkerhet fastsetter at risikovurderinger skal foretas:

  • når trusselbildet endres
  • før oppstart av behandling av personopplysninger
  • ved oppstart av forskningsprosjekter
  • ved etablering eller endring av IKT-systemer
  • ved organisatoriske endringer som kan påvirke informasjonssikkerheten

Risikonivå og risikoreduserende tiltak

Gjennom risikovurderingene ser vi på mulige, uønskede hendelser (trusler) , sannsynligheten for at disse inntreffer, og konsekvensen hvis det skjer.

Summen av sannsynlighet og konsekvens gir risikonivået for den aktuelle trusselen.

Hvis dette nivået er tilstrekkelig høyt, må man iverksette tiltak for å senke risikonivået - enten for å senke sannsynligheten, konsekvensen eller begge). Dette skal skje før behandlingen, systemet, tjenesten mv settes i gang eller tas i bruk.

Det vil alltid være en viss risiko forbundet med behandling av informasjon, bruker av tjenester mv. Målet er at denne skal reduseres så mye som mulig.

Den "restrisikoen" man står igjen med må enten aksepteres, eller så må man konkludere med at risikoen forblir for høy slik at den planlagte behandlingen ikke kan iverksettes, tjenesten ikke kan tas i bruk etc. Det er viktig at denne beslutningen tas på rett nivå (se nedenfor).

Vurdering av sannsynlighet og konsekvens foretas på en skala fra 1 - 4, hvor 1 er lavest. Kriteriene for disse vurderingene fremgår av de ulike skalaene for risiko (krever pålogging).

Veiledning

HINN benytter veiledninger som er utarbeidet av Unit - direktoratet for IKT og fellestjenester i høyere utdanning og forskning. Disse bygger på anerkjente standarder.

Se mer informasjon om risikovurdering av informasjonssikkerhet finner her: https://www.unit.no/risikovurderinger-informasjonssikkerhet

Unit har også laget egne veiledere for skytjenester og administrative systemer: https://www.unit.no/risikovurderinger-informasjonssikkerhet

Enhetsledere og systemeiere har ansvaret

Enhetsledere og systemeiere har ansvaret for at det blir gjort risikovurderinger, selv om de ikke må gjøre vurderingene selv. Det er også enhetsledere og systemeiere som må akseptere risikovurderingene, tiltak for å redusere risiko, og akseptere restrisikoen etter at tiltak er gjennomført.

Risikovurderinger bør løftes i linja ved behandlinger som innebærer høy risiko eller tjenester som behandler store mengder informasjon om mange personer, spesielt hvis det er snakk om konfidensiell informasjon.

I første omgang løftes slike saker til IT-direktør, og i noen tilfeller til Digitaliseringsdirektøren som har et overordnet ansvar for informasjonssikkerhet og utøver myndigheten som behandlingsansvarlig etter personopplysningsloven.

Revisjon av risikovurderinger

Risikovurderinger må jevnlig tas opp igjen for å se om tiltak fungerte etter planen, om trusselbildet har endret seg, eller om premissene for vurderingene har endret seg (ny teknologi etc.).