Internkontroll/styringssystem (Versjon 1.5)
Dette er trinn 1 i metoden for å gjennomføre risikovurderinger.
Arbeidsgruppen har en rimelig omforent forståelse for hva som skal gjøres, og rammene for arbeidet.
Deltakerne:
Korte innlegg fra prosessleder og deltakerne kombineres med diskusjoner der det er nødvendig.
Følgende tema bør være med:
Omfang og tidsbruk må tilpasses erfaringsgrunnlaget til deltakerne. Målet er en rimelig omforent forståelse. Søkelyset må være på konstruktive oppklaringer. Diskusjoner om detaljer som har liten praktisk betydning, bør unngås.
De ulike temaene beskrives under.
Første møte i arbeidsgruppen bør starte med en kort presentasjon av deltakerne, deres tilknytning til objektet i risikovurderingen og deres rolle i arbeidet som skal gjøres.
Man bør deretter foreta en kort gjennomgang av mandatet for arbeidet. Det er viktig å få frem formålet med risikovurderingen. Er det en generell risikovurdering, eller er det spesielle spørsmål som skal avklares og vurderes opp mot hverandre? Det siste kan kreve en egen innretning på arbeidet og en egen form på risikonotatet.
Det er viktig å få avklart om formålet kan gi spesielle utfordringer for gjennomføringen, og hvordan disse eventuelt skal løses.
Det bør videre avklares om arbeidsgruppen har en felles forståelse av omfang og avgrensinger, med utgangspunkt i mandatet. Mener noen at noe vesentlig er utelatt? Det er viktig å foreta eventuelle presiseringer her.
Virksomhetens mål for informasjonssikkerhet bør gjennomgås for å sikre tydelig forankring. Målene skal være beskrevet i virksomhetens policy for informasjonssikkerhet.
Deltakerne må ha en klar forståelse av hva målene for informasjonssikkerhet betyr for arbeidet med denne risikovurderingen.
Videre bør virksomhetens retningslinjer og føringer knyttet til risikoforståelse, risikohåndtering og risikoaksept gjennomgås. Nøkkelspørsmål er:
Gruppen bør til slutt bli avstemt på metodevalg og tidsbruk. Ut fra planleggingen bør prosessleder skissere hva man skal gjøre, og hvordan man har tenkt å gå frem. Prosessleder bør være åpen for justeringer.
Risikonotat:
────────────────────────────────────────────────────────────────────
────────────────────────────────────────────────────────────────────