Hopp til innhold

Difi - Direktoratet for forvaltning og IKT

Digitaliseringsdirektoratet

Internkontroll/styringssystem (Versjon 1.5)

Søkeskjema

Tekststørrelse A+ A a For å endre tekststørrelsen, hold Ctrl-tasten nede og trykk på + for å forstørre eller - for å forminske.
  • Hjelp
  • Kontakt oss
  • Om veilederen
Meny
Hjem » Systematiske aktiviteter » Risikohåndtering
  • Hjem
  • Sammendrag
  • Systematiske aktiviteter
    • Ledelsens styring og oppfølging
    • Risikovurdering
    • Risikohåndtering
    • Overvåking og hendelseshåndtering
    • Måling, evaluering og revisjon
    • Kompetanse- og kulturutvikling
    • Kommunikasjon
  • Etableringsaktiviteter
  • Utdypninger
  • Godt å vite

Risikohåndtering

Dette er en beskrivelse av delaktivitetene under Risikohåndtering. Det er vist til maler, eksempler og støttedokument samt utdypende beskrivelser under aktiviteter som har slike.

Målgruppe

  • fagansvarlig informasjonssikkerhet
    • Hele beskrivelsen
  • Personer som skal forberede, lede eller gjennomføre enkeltaktiviteter
    • Enkeltaktiviteter avhengig av ansvarsområde

Innhold

  • Innledning
  • Foreslå håndtering av risikoer
  • Godkjenne forslag til risikohåndtering
  • Iverksette godkjente tiltak
  • Utforme og implementere tiltakene
  • Oppdatere fellessikring og tilleggssikring

1 Innledning

Når risikoer skal håndteres, har man grovt sett fire hovedalternativ

  • unngå
  • dele
  • redusere
  • akseptere

1.1 Varige tiltak og engangstiltak

Tiltakene som eventuelt iverksettes, kan være noe man gjør én gang, eller noe man etablerer permanent og som skal virke over tid. De varige tiltakene skal forebygge, oppdage eller reagere på uønskede hendelser som kan gi uønskede konsekvenser. Ofte vil det være hensiktsmessig å kombinere engangstiltak og varige tiltak når man skal håndtere en risiko. Man kan også som et bevisst valg akseptere risikoen uten nye tiltak.

Ved valg og utforming av tiltak må man ofte finne pragmatiske kompromiss. De ulike risikoeiere og systemeiere av fellessystemer må få en tilfredsstillende balanse mellom restrisiko på den ene siden og sikkerhetsmessig effekt, direkte kostnad og eventuelle negative sideeffekter ved de enkelte tiltakene på den andre siden.

1.2 Kostnadseffektivitet og sideeffekter

Samtidig må virksomheten samlet få en kostnadseffektiv helhet og drift av sikkerhetsarbeidet. Utfordringen her er å unngå å pålegge alle i virksomheten sikkerhetstiltak de har liten nytte av, og som gir negative sideeffekter. Da kan sideeffektene i for stor grad gi negativ innvirkning på måloppnåelsen og effektiviteten i det virksomheten primært skal drive med.

De pragmatiske kompromissene må uansett etableres innenfor virksomhetsledelsens kriterier for å akseptere risiko. Kriteriene bør være tydeliggjort som er en del av virksomhetens overordnede styrende dokumenter. Utarbeidingen av disse er beskrevet under hovedaktiviteten Ledelsens styring og oppfølging.

1.3 Aktiviteter

Under følger en beskrivelse av hver av de systematiske aktivitetene. Risikoeiere og systemeiere fellessystem må systematisk få gjennomført følgende aktiviteter:

  • Foreslå håndtering av risikoer
  • Godkjenne forslag til risikohåndtering
  • Iverksette godkjente tiltak

Tiltaksleverandørene må gjennomføre følgende aktiviteter som oppfølging av dette:

  • Utforme og implementere tiltakene
  • Oppdatere fellessikring og tilleggssikring

*****

2 Foreslå håndtering av risikoer

Ansvarlig for gjennomføring:

  • Risikoeiere og systemeiere for fellessystem samt de prosessledere disse engasjerer for å lede gjennomføringen av arbeidet.

2.1 Om aktiviteten

Til slutt i risikovurderinger, under trinnet evaluering, skal man avklare hvilke risikoer som kan aksepteres, og hvilke som krever mer håndtering. Det siste innebærer at flere risikoreduserende tiltak må vurderes. Evalueringen skjer ut fra de kriterier virksomhetsledelsen har bestemt, og som er nedfelt i de overordnede styrende dokumentene.

Dersom evalueringen viser et behov for mer risikohåndtering, bør aktiviteten Foreslå håndtering av risikoer iverksettes. Aktiviteten må gjennomføres på oppdrag fra den samme risikoeier eller systemeier av fellessystem som hadde ansvaret for risikovurderingen. Arbeidet bør ledes av en utpekt prosessleder. Det kan med fordel ledes og gjennomføres av de samme som utførte risikovurderingen, eventuelt styrket med representanter fra sentrale tiltaksleverandører.

2.2 Risikovurdering og foreslå håndtering i sammenheng

Oppdraget eller mandatet som ble gitt for risikovurderingen, vil i mange sammenhenger omfatte både Planlegge risikovurdering, Gjennomføre risikovurdering og Foreslå håndtering av risikoer. De tre aktivitetene gjennomføres da sammenhengende i en sekvens. At de strukturmessig tilhører to forskjellige hovedaktiviteter, har ingen betydning.

På samme måte som for Gjennomføre risikovurdering har vi utarbeidet en systematisk fremgangsmåte som kan brukes som utgangspunkt når man skal foreslå håndtering av risikoer. I praksis vil dette være en forlengelse av metoden vi foreslår for å gjennomføre risikovurderinger, og vi kaller dette metoden for å foreslå håndtering av risikoer.

Metoden er en fleksibel «standardvariant». Det er også her svært viktig at prosessleder tilpasser bruken til de risikoer som konkret skal behandles. Tilpasningen gjelder både fokus, prosessteg, detaljeringsnivå, tidsbruk mv.

2.3 Oppfølging av eksterne krav

Arbeidet bør inkludere forslag til konkrete tiltak som følger av eksterne krav i regler og avtaler. Disse skal være identifisert i aktiviteten Analysere eksterne krav under Risikovurdering. De bør også være hensyntatt under selve risikovurderingen.

2.4 Systematisk gjennomgang av identifiserte risikoer

Arbeidet med å foreslå håndtering av risikoer er ellers en systematisk gjennomgang av identifiserte risikoer som ikke kan aksepteres uten nærmere vurdering. Man bør starte med de største og arbeide seg nedover i listen. Grunnlaget er analysen fra risikovurderingen. Der det er nødvendig, bør man foreta en grundigere analyse.

For hver risiko må man vurdere om det finnes aktuelle tiltak for å unngå, dele eller redusere risikoen. Kost/nytte av de aktuelle tiltakene bør deretter vurderes ut fra faktorene

  • risikoreduserende effekt
  • direkte økonomisk kostnad
  • negative sideeffekter

Så må de beste tiltakene eller den beste kombinasjonen velges. Virksomhetens kriterier for å akseptere risiko bør være førende. For å vise effekten av forslagene bør man for hver risiko synliggjøre estimert restrisiko. Der det er behov, bør man i tillegg vurdere midlertidige tiltak inntil endelig løsning er på plass.

Når alle risikoer er behandlet, bør man til slutt si noe overordnet om kvaliteten på arbeidet og kunnskapsstyrken bak de nye estimatene på restrisiko. Kunnskapsstyrken ved spesielle risikoer kan ved behov kommenteres spesielt.

Maler, eksempler og støtteverktøy

  • [MAL] Risikohåndteringsskjema (docx)

Utdypning

  • Metoden Digitaliseringsdirektoratet foreslår for å Foreslå håndtering av risikoer er beskrevet mer detaljert i veiledningsmateriellets samling av utdypninger

*****

3 Godkjenne forslag til risikohåndtering

Ansvarlig for gjennomføring:

  • Risikoeiere og systemeiere for fellessystem.

3.1 Om aktiviteten

En fremlagt analyse av eksterne krav, en risikovurdering og et tilhørende forslag til håndtering av risikoer må godkjennes av den risikoeier som har fått delegert det operative ansvaret. Det er hun som er beslutningstaker. Det nevnte grunnarbeidet er kun et beslutningsgrunnlag som skal støtte beslutningstaker i sine vurderinger.

Selv om risikoeier har deltatt i hele eller deler av grunnarbeidet, er det likevel ryddig og ofte nødvendig at hun i etterkant foretar en selvstendig sluttvurdering i en egen godkjenningsaktivitet. Det sikrer nødvendig refleksjon rundt beslutningene.

Beslutningstaker bør først ta stilling til kvaliteten på arbeidet. Behovet for grundighet i resten av godkjenningsaktiviteten vil naturlig påvirkes av denne kvalitetsvurderingen.

Beslutningstaker bør videre foreta en vurdering av om de ulike restrisikoene er akseptable. Her bør hun spesielt være oppmerksom på kunnskapsstyrken bak. Ved lav kunnskapsstyrke eller annen usikkerhet rundt det som foreslås, bør beslutningstaker kanskje se nærmere på de vurderingene som ligger bak. Hun bør også vurdere kost/nytte på foreslåtte tiltak og ved behov hente inn synspunkt fra andre om eventuelle negative sideeffekter. Beslutningstaker må også sikre finansieringen av det som godkjennes.

3.2 Involvering av andre beslutningstakere

En systemeier for et fellessystem i virksomheten må avstemme sin vurdering med andre oppgaveeiere som benytter systemet. Ved uenighet mellom oppgaveeiere må aktuelle problemstillinger eskaleres og løftes til et høyere beslutningsnivå.

Det samme vil være tilfelle dersom beslutningstaker ikke har myndighet til å akseptere risikoer på et høyt nivå, om hun ikke klarer å finansiere tiltak i henhold til virksomhetsledelsens kriterier for håndtering av risikoer, mv. Også slike problemstillinger må løftes gjennom linjen og håndteres som en del av Ledelsens styring og oppfølging.

3.3 Håndteringsansvarlig

Beslutningstaker må ved behov sørge for at det blir gjort nye vurderinger i grunnarbeidet. Når forslagene er godkjent og finansiert, bør hun peke ut en håndteringsansvarlig som skal planlegge og følge opp den samlede gjennomføringen eller etableringen av tiltakene. Vi kaller det å iverksette godkjente tiltak.

Utdypning:

  • Delaktiviteten Godkjenne forslag til risikohåndtering er beskrevet mer detaljert i veiledningsmateriellets samling av utdypninger

*****

4 Iverksette godkjente tiltak

Ansvarlig for gjennomføring:

  • Den person risikoeier eller systemeier fellessystem har pekt ut som håndteringsansvarlig, det vil si de som har fått i oppdrag å planlegge og følge opp den samlede gjennomføringen eller etableringen av et sett av godkjente tiltak. Ved enkle tiltak kan risikoeier selv være håndteringsansvarlig.

4.1 Om aktiviteten

Aktiviteten Iverksette godkjente tiltak utføres av en håndteringsansvarlig. Før oppstart skal tiltakene være godkjent av den risikoeieren som har ansvaret for risikovurderingene, og som har pekt ut håndteringsansvarlig.

Håndteringsansvarlig må først utforme en konkret handlingsplan for gjennomføring eller etablering av de godkjente tiltakene. Planen må oftest utformes i dialog med dem som skal gjennomføre aktivitetene. Planleggingen bør følge god praksis for prosjekt- og aktivitetsplanlegging generelt, og vektlegge tid, kost og forventet effekt av tiltakene.

Håndteringsansvarlig må avtale frister og hva som konkret skal gjøres, med dem som faktisk skal gjennomføre aktivitetene i handlingsplanen. Vi kaller dem tiltaksleverandører. Formalisering og detaljeringsnivå bør tilpasses

  • tiltakenes viktighet
  • omfang og kompleksitet på det som skal gjøres
  • hvem som skal være ansvarlig
  • hvordan virksomheten har organisert seg internt

Håndteringsansvarliges handlingsplan bør godkjennes av risikoeier før den iverksettes. Håndteringsansvarlig bør systematisk følge opp fremdriften, og rapportere til risikoeier eller systemeier fellessystem som avtalt.

Utdypning:

  • Delaktiviteten Iverksette godkjente tiltak er beskrevet mer detaljert i veiledningsmateriellets samling av utdypninger

*****

5 Utforme og implementere tiltakene

Ansvarlig for gjennomføring:

  • Tiltaksleverandører

5.1 Om aktiviteten

Konkrete tiltak utformes, settes i verk og vedlikeholdes av tiltaksleverandører. En virksomhet kan ha både interne og eksterne tiltaksleverandører med ansvar for tiltak innen ulike tiltaksområder. Dette kan være ulike sider ved organisatoriske, menneskelige, teknologiske og fysiske tiltak.

Den som eier en arbeidsoppgave eller som er systemeier for et fellessystem, kan også selv være tiltaksleverandør. Slike tiltak vil ofte være retningslinjer for gjennomføring av oppgaven, bruken av systemet eller lignende. Det kan også være veiledninger, kurs og andre tiltak under kompetanse- og kulturutvikling.

5.2 Avtaler med tiltaksleverandører

Tiltaksleverandører skal utforme og implementere tiltak i samsvar med avtaler gjort med ulike håndteringsansvarlige under aktiviteten Iverksette godkjente tiltak. Det samme skal de gjøre som følge av etableringsaktiviteten Etablere fellessikring og synliggjøre tilleggssikring, eller når disse blir oppdatert i aktiviteten Oppdatere fellessikring og tilleggssikring.

5.3 Testing og justering

Tiltakene må testes slik det er avtalt. Det bør ut fra behov skje under både utforming, implementering, gjennomføring og i kontinuerlig bruk.

Dersom målinger under etablering eller senere drift viser at tiltakene ikke fungerer som avtalt, må de justeres. Dette bør inngå i avtalt vedlikehold. Utstyrskomponenter o.l. må også jevnlig testes og oppgraderes slik at de fungerer som avtalt.

*****

6 Oppdatere fellessikring og tilleggssikring

Ansvarlig for gjennomføring:

  • Tiltaksleverandører og fagansvarlig informasjonssikkerhet.

6.1 Om aktiviteten

De ulike tiltakene en håndteringsansvarlig ber om, kan i utgangspunktet etableres som del av virksomhetens fellessikring eller som tilleggssikring som risikoeierne kan velge ut fra behov.

De interne tiltaksleverandørene bør underveis i dialogen med håndteringsansvarlig systematisk vurdere hva virksomheten samlet er best tjent med. De bør i første omgang vurdere om innplasseringen som fellessikring eller tilleggssikring gir vesentlige forskjeller med hensyn til kostnadseffektiv drift av sikkerhetsarbeidet. De bør også gjøre en enkel vurdering av potensielle negative sideeffekter for andre oppgave- og systemeiere dersom tiltaket blir en del av fellessikringen.

Dersom sideeffektene i utgangspunktet anses små, eller kostnadsvurderingen klart taler for en endring i fellessikringen, bør spørsmålet om en slik endring oversendes til virksomhetens fagansvarlig informasjonssikkerhet.

Dersom fagansvarlig informasjonssikkerhet er enig, bør han initiere og lede en litt grundigere vurderingsprosess. Vurderingen bør i hovedtrekk tilsvare de siste fasene i delaktiveten Etablere fellessikring og synliggjøre tilleggssikring. Det sentrale er at negative sideeffekter for andre arbeidsoppgaver og informasjonssystemer blir ordentlig identifisert. Videre at de som blir berørt av sideeffekter, får uttale seg før endelig beslutning tas om hva som skal være fellessikring og tilleggssikring. Slike beslutninger bør tas av virksomhetsleder eller den hun har pekt ut.

For at beslutningstaker skal få et godt nok beslutningsgrunnlag, bør også kostnadene ved de foreslåtte tiltakene estimeres.

────────────────────────────────────────────────────────────────────

Til toppen av siden

────────────────────────────────────────────────────────────────────

Aktiviteter

Nyttig

  • Maler og eksempler
  • Begrepsliste
  • Regelverkskrav
  • Hva sier ISO/IEC 27001?
  • Virksomhetskontekst
  • Hva sier andre?
  • Endringslogg
  • Kilder
  • Kontakt: redaksjonen@digdir.no
  • Telefon: +47 22 45 10 00
  • E-post: postmottak@digdir.no
  • Org.nr: 991 825 827