Internkontroll/styringssystem (Versjon 1.5)
Gjennomføre risikovurdering er en sentral delaktivitet i internkontrollarbeidet. Det er viktig å organisere arbeidet på en god måte, for å danne et godt grunnlag for risikohåndteringen og øvrige aktiviteter i internkontrollen. Denne utdypningen beskriver en praktisk metode som kan brukes som utgangspunkt når man skal gjennomføre risikovurderinger innen informasjonssikkerhet.
Det er viktig at prosessleder klarer å tilpasse metoden til det som skal vurderes. I tillegg bør man forenkle der det er hensiktsmessig, og gå i dybden der det er nødvendig.
For enkelte områder eller risikoer med stor kompleksitet kan man ha behov for å supplere med støttemetoder. Dette kan være prosesskartlegging, dataflytdiagrammer, angrepstrær, misbrukstilfeller, hendelsestreanalyse, feiltreanalyse mv.
Metoden inneholder forslag til dokumentasjon. Forslaget innebærer at det underveis utarbeides et kort risikonotat om arbeidet og resultatet. Notatet bør ikke være omfattende. Utdypninger legges i vedlegg. Det gir både oversikt og fleksibilitet med hensyn til å gå i dybden.
Et viktig vedlegg er en risikotabell. Denne skal gi en oversikt over alle risikoene. Det kan i tillegg være hensiktsmessig å presentere risikoene i en risikomatrise for å forenkle kommunikasjon. Ulike verktøy kan brukes under utforming av risikotabellen og risikomatrisen. Digitaliseringsdirektoratet har laget et enkelt støtteverktøy i Excel som kan benyttes. Verktøyet er tilgjengelig fra «Maler og eksempler» i veilederens høyremeny «Nyttig».
*****
Metoden består av 7 trinn:
Dersom mandatet for arbeidet også omfatter å foreslå håndtering av risikoer, utvides metoden med aktiviteten Foreslå håndtering av risikoer, beskrevet under hovedaktiviteten Risikohåndtering.
Når de gjennomføres i sekvens, vil de to metodene i praksis fremstå som én. Det siste trinnet over, beskrive kvalitet og kunnskapsstyrke, utføres da kun helt til slutt.
*****
Et risikonotat med kort beskrivelse av:
Vedlegg til risikonotatet:
*****
Følgende kan benyttes som støtte i gjennomføringen av risikovurderingen:
────────────────────────────────────────────────────────────────────
────────────────────────────────────────────────────────────────────