Ved Høgskolen i Innlandet gjør vi risikovurderinger for å forebygge brudd på informasjonssikkerheten.
Det vil alltid være en viss risiko forbundet med behandling av informasjon og bruk av systemer og tjenester.
Det er et mål for oss å redusere risikoen så mye som mulig, og risikovurderinger er et verktøy for dette.
Hva er en risikovurdering?
En risikovurdering identifiserer uønskede hendelser (trusler) som vi venter kan skje. Den vurderer sannsynligheten for at truslene kan inntreffe, og konsekvensen hvis det skjer.
Summen av sannsynlighet og konsekvens gir risikonivået for den aktuelle trusselen.
Hvis nivået er tilstrekkelig høyt, skal vi iverksette tiltak for å senke risikonivået. Tiltakene kan bidra til å redusere sannsynligheten for at hendelser skal oppstå, konsekvensen hvis de oppstår, eller begge deler.
Risikoreduserende tiltak bringer ikke nødvendigvis risikoen til null. Den risikoen som gjenstår kalles "restrisiko". Denne må vi enten akseptere, eller konkludere med at risikoen forblir for høy slik at vi ikke kan fortsette som vi hadde tenkt.
Hvem skal gjøre vurderingen?
Enhetsledere og systemeiere har ansvaret for at det blir gjort risikovurderinger, men de må ikke nødvendigvis gjøre vurderingene selv.
Det er også enhetsledere og systemeiere som må akseptere risikovurderingene, tiltak for å redusere risiko, og akseptere restrisikoen etter at tiltak er gjennomført.
Risikovurderinger bør løftes i linja ved behandlinger som innebærer høy risiko eller tjenester som behandler store mengder informasjon om mange personer. Dette gjelder spesielt hvis det er snakk om konfidensiell informasjon.
I første omgang løftes slike saker til IT-direktør, og i noen tilfeller til Digitaliseringsdirektøren som har et overordnet ansvar for informasjonssikkerhet og utøver myndigheten som behandlingsansvarlig etter personopplysningsloven.
Når skal vi risikovurdere?
Ledelsessystemet for informasjonssikkerhet fastsetter at risikovurderinger skal foretas:
- når trusselbildet endres
- før oppstart av behandling av personopplysninger
- ved oppstart av forskningsprosjekter
- ved etablering eller endring av IKT-systemer
- ved organisatoriske endringer som kan påvirke informasjonssikkerheten
Risikovurderinger må jevnlig tas opp igjen for å se om tiltak fungerte etter planen, om trusselbildet har endret seg, eller om premissene for vurderingene har endret seg (ny teknologi etc.).
Hvordan gjøre en risikovurdering?
HINN har utarbeidet retningslinjer som skal sikre at det blir gjort systematiske risikovurderinger i organisasjonen.
Det er også laget maler som kan være en hjelp i arbeidet med å gjøre en risikovurdering. Dokumentene under kan lastes ned og tilpasses til ditt formål.
- Forberedelse før risikovurderingsmøte (word)
- Skjema for risikomatrise (word)
- Mal for risikourderinger (excel)
- Mal for riskovurderinger med forklaringer (excel)
Nyttige hjelpemidler og mer informasjon:
- Veileder i ROS-analyse for kunnskapssektoren (pdf)
- Uninett sin veileder for risikovurdering av skytjenester (pdf)
- Vurdering av risiko (Digitaliseringsdirektoratet)
- Risikovurdering (Arbeidstilsynet)