Gjennomføre risikovurdering er en sentral delaktivitet i internkontrollarbeidet. Det er viktig å organisere arbeidet på en god måte, for å danne et godt grunnlag for risikohåndteringen og øvrige aktiviteter i internkontrollen. Denne utdypningen beskriver en praktisk metode som kan brukes som utgangspunkt når man skal gjennomføre risikovurderinger innen informasjonssikkerhet.

Målgruppe

• Prosessledere, de som har fått i oppdrag av en risikoeier eller en systemeier fellessystem, å lede arbeidet med en risikovurdering.

Innhold

• Bruk av metoden
• Trinn i metoden
• Anbefalt dokumentasjon
• Difis støtteverktøy

1 Bruk av metoden

Det er viktig at prosessleder klarer å tilpasse metoden til det som skal vurderes. I tillegg bør man forenkle der det er hensiktsmessig, og gå i dybden der det er nødvendig.

For enkelte områder eller risikoer med stor kompleksitet kan man ha behov for å supplere med støttemetoder. Dette kan være prosesskartlegging, dataflytdiagrammer, angrepstrær, misbrukstilfeller, hendelsestreanalyse, feiltreanalyse mv.

Metoden inneholder forslag til dokumentasjon. Forslaget innebærer at det underveis utarbeides et kort risikonotat om arbeidet og resultatet. Notatet bør ikke være omfattende. Utdypninger legges i vedlegg. Det gir både oversikt og fleksibilitet med hensyn til å gå i dybden.

Et viktig vedlegg er en risikotabell. Denne skal gi en oversikt over alle risikoene. Det kan i tillegg være hensiktsmessig å presentere risikoene i en risikomatrise for å forenkle kommunikasjon. Ulike verktøy kan brukes under utforming av risikotabellen og risikomatrisen. Difi har laget et enkelt støtteverktøy i Excel som kan benyttes. Verktøyet er tilgjengelig fra «Maler og eksempler» i veilederens høyremeny «Nyttig».

*****

2 Trinn i metoden

Metoden består av 7 trinn:

1. Etablere felles referanseramme
2. Etablere felles begrepsforståelse
3. Vurdere obs-områder
4. Identifisere risikoer
5. Analysere risikoer
6. Evaluere risikoer
7. Beskrive kvalitet og kunnskapstyrke

Dersom mandatet for arbeidet også omfatter å foreslå håndtering av risikoer, utvides metoden med aktiviteten Foreslå håndtering av risikoer, beskrevet under hovedaktiviteten Risikohåndtering.

Når de gjennomføres i sekvens, vil de to metodene i praksis fremstå som én. Det siste trinnet over, beskrive kvalitet og kunnskapsstyrke, utføres da kun helt til slutt.

*****

5 Anbefalt dokumentasjon

Et risikonotat med kort beskrivelse av:

• formål med risikovurderingen
• omfang og avgrensninger
• deltakere og roller
• relevante styrende dokument, med navn og versjonsnummer
• valgt metode (henvisning eller kort omtale, inkl. vesentlige tilpasninger)
• identifiserte obs-områder (kort liste over hoveddeler i objektet for risikovurderingen, spesielle obs-områder og områder man ev. har gitt ingen eller lav prioritet)
• utfordringer under gjennomføringen
• resultatet fra risikovurderingen (kort om det generelle risikonivået og spesielt høye risikoer, samt kort omtale av og henvisning til risikotabellen)
• kvalitet og kunnskapsstyrke (kort omtale)

Vedlegg til risikonotatet:

• en risikotabell (med risikobeskrivelse og risikostørrelse (konsekvensnivå, sannsynlighetsnivå og risikonivå) på hver risiko)
• en risikomatrise
• eventuelt en restliste (risikobeskrivelser man har identifisert, men ikke fått analysert)

*****

6 Difis støtteverktøy

Følgende kan benyttes som støtte i gjennomføringen av risikovurderingen:

• [MAL] Risikovurdering - støtteverktøy (xlsm)
• [STØTTE] Risikovurdering - støtteverktøy - brukerveiledning (pdf)

────────────────────────────────────────────────────────────────────

• Første trinn i metoden
• Til toppen av siden

────────────────────────────────────────────────────────────────────