Internkontroll/styringssystem (Versjon 1.5)
Dette er trinn 5 i metoden for å gjennomføre risikovurderinger.
Arbeidsgruppen har
Arbeidsgruppen skal nå ta for seg hver av risikobeskrivelsene fra forrige trinn. De tas én for én i prioritert rekkefølge.
For hver risikobeskrivelse skal man gå igjennom deloppgavene:
Prosessleder leder arbeidsgruppen gjennom deloppgavene.
Behovet for å gå i dybden vil variere mellom de ulike risikoene. Gode refleksjoner og diskusjoner vil ofte være både nyttige og viktige. Man bør likevel ikke gå mer i dybden eller bli mer omfattende enn det som er nødvendig. Målet er å få nok forståelse til å estimere rimelig riktig nivå.
For potensielt høye risikoer med stor kompleksitet bør prosessleder vurdere om arbeidsgruppen trenger hjelp fra formelle støttemetoder. Dette kan kreve bistand fra interne eller eksterne metodeeksperter.
I dette trinnet brukes en risikotabell som støtte i og dokumentasjon av arbeidet. Digitaliseringsdirektoratets støtteverktøy kan benyttes. Risikotabellen fylles ut underveis i arbeidet for én og én risikobeskrivelse.
Noen ganger vil man ha behov for å vurdere flere alternative konsekvenser for en og samme risikobeskrivelse.
De fire deloppgavene er utdypet under. Ved behov kan man gå litt frem og tilbake mellom deloppgavene. Eventuelle utfordringer under gjennomføringen bør kort noteres i et vedlegg til risikonotatet.
Første deloppgave er å avstemme at risikobeskrivelsen er rimelig klar, og at alle i arbeidsgruppen forstår hva den innebærer. Ofte vil dette bare være en oppdatering fra forrige metodetrinn.
Man ser på og avstemmer beskrivelsene av
Arbeidsgruppen bør spesielt etablere en forståelse av hva informasjonssikkerhetsbruddet (2) betyr i praksis. Følgende støttespørsmål kan være nyttige:
Man kan endre på risikobeskrivelsen dersom det er behov for det. Man bør imidlertid ikke bruke tid på å utdype detaljer. Refleksjonen er det viktigste.
Dersom de ulike konsekvensene som kan oppstå berører mer enn én av de konsekvenskategoriene som er beskrevet i virksomhetens føringer, bør man håndtere disse som ulike risikobeskrivelser. Dette gjør det lettere å estimere konsekvens og tilhørende sannsynlighet, og også forslag til hvordan risikoen skal håndteres senere i arbeidet.
I andre deloppgave skal arbeidsgruppen estimere konsekvens.
Konsekvensen uttrykkes ved bruk av et konsekvensnivå knyttet til en konsekvenskategori. Referansen som skal brukes, er virksomhetens førende beskrivelser for hva disse betyr.
Det er viktig å huske at et informasjonssikkerhetsbrudd (2) forårsaket av en uønsket hendelse (1) kan få mange forskjellige utfall, resultater eller konsekvenser (3), av ulik alvorlighetsgrad. Hver av disse vil kunne ha forskjellig sannsynlighet.
Vi forenkler gjerne ved å uttrykke risikoen kun som én kombinasjon av konsekvens og sannsynlighet.
Størrelsen på konsekvens estimeres oftest ved å velge det mest forventede konsekvensnivået som følge av den aktuelle risikobeskrivelsen. Det kan også være hensiktsmessig å vurdere hva som er det mest fryktede konsekvensnivået, og om man antar at dette, sammen med tilhørende sannsynlighet, vil resultere i en større risiko. Da kan det være mer nyttig å jobbe videre med det konsekvensnivået, eventuelt arbeide videre med begge som separate risikoer.
Arbeidsgruppen må vurdere hva som skjer, kan skje, hindres osv. Man tilpasser tidsbruken til risikoens kompleksitet.
Følgende støttespørsmål kan være til hjelp i diskusjonen:
Spørsmålene 3 og 4 kan suppleres med:
Temaene skal også være vurdert i foranalysen av ansvarsområdet man er innenfor, så denne kan gjerne hentes frem som støtte ved behov.
Maler, eksempler og støtteverktøy
I tredje deloppgave skal arbeidsgruppen estimere tilhørende sannsynlighet til det eller de konsekvensnivåene de er kommet frem til.
Sannsynligheten uttrykkes gjennom et sannsynlighetsnivå. Referansen som skal brukes, er virksomhetens førende beskrivelser for hva disse betyr.
Sannsynlighet kan angis for ulike deler av hendelsesforløpet, for eksempel:
Sannsynligheten i punkt 2 er alltid på samme eller lavere nivå enn sannsynligheten i punkt 1. Sannsynligheten i punkt 2 vil bl.a. kunne bli lavere enn i punkt 1 avhengig av hvilke konsekvensreduserende tiltak som er iverksatt.
Det er viktig å huske at vi i denne sammenhengen er ute etter estimat av sannsynlighet som dekker hele hendelsesforløpet, inklusiv at den aktuelle konsekvensen faktisk blir utfallet av hendelsen. Det er altså sannsynligheten som nevnt i punkt 2 vi er ute etter. Det er da størrelsen på risikoen blir uttrykt riktig.
For å estimere sannsynlighetsnivå bør man vurdere
Det er viktig at de tre faktorene ikke brukes individuelt og isolert ved estimatet av sannsynlighet, men ses i sammenheng.
Arbeidsgruppen fortsetter refleksjonen og diskusjonen fra estimeringen av konsekvensnivå, og kan bruke følgende fremgangsmåte for estimeringen:
Maler, eksempler og støtteverktøy
I den fjerde deloppgaven skal arbeidsgruppen finne siste del av risikostørrelsen, risikonivået.
Referansen for risikonivået er virksomhetens førende beskrivelser for hvilke kombinasjoner av konsekvens og sannsynlighet som gir hvilke risikonivå. Disse er oftest fremstilt i en matrise
Å finne risikonivået innebærer å bruke estimatene av konsekvens og sannsynlighet og slå opp i den normerende matrisen.
Man har nå uttrykt hele risikostørrelsen bestående av
Det er viktig å huske at vi har gjort noen valg og forenklinger i løpet av analysen.
Etter deloppgave 1, Forstå risikobeskrivelsen, valgte man én konsekvenskategori man gikk videre med. Dersom det var flere relevante konsekvenskategorier, må deloppgave 2 – 4 gjennomføres også for de øvrige konsekvenskategoriene. Dette vil bli ulike risikoer i risikotabellen.
Når man estimerte konsekvens, valgte man også ett konsekvensnivå – som oftest det mest forventede.
Til slutt bør man vurdere om det er andre kombinasjoner av konsekvensnivå og tilhørende sannsynlighetsnivå som vil gi et høyere risikonivå enn det man har arbeidet med. Vær spesielt oppmerksom på muligheten for dette når foreløpig risikostørrelse er på laveste nivå, samtidig som det finnes mulige konsekvenser med høyere konsekvensnivå.
Dersom man mener andre kombinasjoner gir et høyere risikonivå, bør man velge det aktuelle konsekvensnivået og estimere tilhørende sannsynlighet og risikonivå på nytt.
Maler, eksempler og støtteverktøy
Risikonotatet bør utvides med
Vedlegg til risikonotatet:
─────────────────────────────────────────────────────
────────────────────────────────────────────────────