Dette er trinn 2 i metoden for å gjennomføre risikovurderinger.

Målgruppe

• Prosessledere

Innhold

• Mål for trinnet
• Forberedelser
• Fremgangsmåte
• Uønskede hendelser og informasjonssikkerhetsbrudd
• Hva er risiko?
• Hvordan uttrykke risiko?
  • Risikobeskrivelse
  • Risikostørrelse
• Anbefalt dokumentasjon

1 Mål for trinnet

Arbeidsgruppen har en rimelig omforent forståelse av sentrale begrep i arbeidet med risikovurderinger.

2 Forberedelser

Deltakerne:

• Sette seg inn i et eget «Kunnskapsark» eller lignende, som beskriver sentrale begrep.

3 Fremgangsmåte

Korte innlegg fra prosessleder kombineres med eventuelle spørsmål og refleksjoner fra deltakerne.

Følgende bør omtales:

• Uønskede hendelser og informasjonssikkerhetsbrudd
• Hva er risiko?
• Hvordan uttrykke risiko?
  • Risikobeskrivelse
  • Risikostørrelse

Omfang og tidsbruk må tilpasses erfaringsgrunnlaget til deltakerne. Målet er en rimelig omforent forståelse. Oppmerksomheten må være på konstruktive oppklaringer. Diskusjoner om detaljer som har liten praktisk betydning, bør unngås.

De ulike temaene beskrives under.

4 Uønskede hendelser og informasjonssikkerhetsbrudd

Arbeidsgruppen bør først avklare om den har tilstrekkelig felles forståelse av begrepene uønskede hendelser og informasjonssikkerhetsbrudd. Man bør også ta hensyn til at uønskede hendelser kan beskrives både overordnet og detaljert, og at de kan utvikle seg i ulike retninger.

Det er viktig å være klar over at det er mulige informasjonssikkerhetsbrudd som skaper risikoer innen informasjonssikkerhet. Videre hvordan uønskede hendelser fører eller kan føre til informasjonssikkerhetsbrudd, og deretter til ingen, én eller flere konsekvenser. Det er disse potensielle konsekvensene, med ulik sannsynlighet, som inngår i risikoene.

5 Hva er risiko?

Vi anbefaler at man bruker denne forståelsen av uønskede hendelser og informasjonssikkerhetsbrudd som grunnlag for å få en felles forståelse av begrepet risiko. Det er viktig å forstå at risiko er kombinasjonen av konsekvens og tilhørende sannsynlighet. Videre at sannsynligheten er knyttet til hele hendelsesforløpet, inklusiv at den aktuelle konsekvensen faktisk blir utfallet av hendelsen. Det siste er avgjørende for at hendelse, konsekvens og sannsynlighet skal bli et riktig uttrykk for risiko.

6 Hvordan uttrykke risiko?

Med utgangspunkt i forannevnte bør man også klargjøre hvordan risiko uttrykkes. Innen informasjonssikkerhet anbefaler vi at man uttrykker risiko gjennom kombinasjonen av en risikobeskrivelse og en risikostørrelse.

6.1 Risikobeskrivelse

Anbefalingen vår er at risikobeskrivelsen bør bestå av stikkord om

• (1) innledende hendelse(r)
• (2) informasjonssikkerhetsbruddet
• (3) de uønskede konsekvensene som kan oppstå

Man får da en risikobeskrivelse som gir en overordnet oversikt over et hendelsesforløp, uten at man må bli svært detaljert. Beskrivelsen gir et godt grunnlag for å anslå risikostørrelsen.

6.2 Risikostørrelse

Risikostørrelsen bør uttrykkes gjennom

• (1) konsekvensnivå
• (2) tilhørende sannsynlighetsnivå
• (3) risikonivå

I tillegg til risikonivået, tar vi med de to sentrale elementene som danner grunnlaget for nivået. På denne måten gir risikobeskrivelsen og risikostørrelsen tilsammen et godt helhetsbilde av risikoen. Det er nyttig i kommunikasjon med beslutningstakere og andre.

7 Anbefalt dokumentasjon

Ikke noe spesielt.

─────────────────────────────────────────────────────

• Neste trinn i metoden
• Forrige trinn i metoden
• Hovedsiden til metoden
• Til toppen av siden

─────────────────────────────────────────────────────