Internkontroll/styringssystem (Versjon 1.5)
Dette er trinn 2 i metoden for å gjennomføre risikovurderinger.
Arbeidsgruppen har en rimelig omforent forståelse av sentrale begrep i arbeidet med risikovurderinger.
Deltakerne:
Korte innlegg fra prosessleder kombineres med eventuelle spørsmål og refleksjoner fra deltakerne.
Følgende bør omtales:
Omfang og tidsbruk må tilpasses erfaringsgrunnlaget til deltakerne. Målet er en rimelig omforent forståelse. Oppmerksomheten må være på konstruktive oppklaringer. Diskusjoner om detaljer som har liten praktisk betydning, bør unngås.
De ulike temaene beskrives under.
Arbeidsgruppen bør først avklare om den har tilstrekkelig felles forståelse av begrepene uønskede hendelser og informasjonssikkerhetsbrudd. Man bør også ta hensyn til at uønskede hendelser kan beskrives både overordnet og detaljert, og at de kan utvikle seg i ulike retninger.
Det er viktig å være klar over at det er mulige informasjonssikkerhetsbrudd som skaper risikoer innen informasjonssikkerhet. Videre hvordan uønskede hendelser fører eller kan føre til informasjonssikkerhetsbrudd, og deretter til ingen, én eller flere konsekvenser. Det er disse potensielle konsekvensene, med ulik sannsynlighet, som inngår i risikoene.
Vi anbefaler at man bruker denne forståelsen av uønskede hendelser og informasjonssikkerhetsbrudd som grunnlag for å få en felles forståelse av begrepet risiko. Det er viktig å forstå at risiko er kombinasjonen av konsekvens og tilhørende sannsynlighet. Videre at sannsynligheten er knyttet til hele hendelsesforløpet, inklusiv at den aktuelle konsekvensen faktisk blir utfallet av hendelsen. Det siste er avgjørende for at hendelse, konsekvens og sannsynlighet skal bli et riktig uttrykk for risiko.
Med utgangspunkt i forannevnte bør man også klargjøre hvordan risiko uttrykkes. Innen informasjonssikkerhet anbefaler vi at man uttrykker risiko gjennom kombinasjonen av en risikobeskrivelse og en risikostørrelse.
Anbefalingen vår er at risikobeskrivelsen bør bestå av stikkord om
Man får da en risikobeskrivelse som gir en overordnet oversikt over et hendelsesforløp, uten at man må bli svært detaljert. Beskrivelsen gir et godt grunnlag for å anslå risikostørrelsen.
Risikostørrelsen bør uttrykkes gjennom
I tillegg til risikonivået, tar vi med de to sentrale elementene som danner grunnlaget for nivået. På denne måten gir risikobeskrivelsen og risikostørrelsen tilsammen et godt helhetsbilde av risikoen. Det er nyttig i kommunikasjon med beslutningstakere og andre.
Ikke noe spesielt.
─────────────────────────────────────────────────────
─────────────────────────────────────────────────────