Etablere felles referanseramme

Dette er trinn 1 i metoden for å gjennomføre risikovurderinger.

Målgruppe

  • Prosessledere

Innhold

1 Mål for trinnet

Arbeidsgruppen har en rimelig omforent forståelse for hva som skal gjøres, og rammene for arbeidet.

2 Forberedelser

Deltakerne:

  • oppdatere seg på virksomhetens policy for informasjonssikkerhet med hovedvekt på målene
  • oppdatere seg på virksomhetens retningslinjer om risikoforståelse og risikoaksept

3 Fremgangsmåte

Korte innlegg fra prosessleder og deltakerne kombineres med diskusjoner der det er nødvendig.

Følgende tema bør være med:

  • presentasjon av deltakerne
  • mandat, formål og avgrensninger
  • virksomhetens mål for informasjonssikkerhet
  • retningslinjer og føringer rundt risiko
  • metodevalg og tidsbruk

Omfang og tidsbruk må tilpasses erfaringsgrunnlaget til deltakerne. Målet er en rimelig omforent forståelse. Søkelyset må være på konstruktive oppklaringer. Diskusjoner om detaljer som har liten praktisk betydning, bør unngås.

De ulike temaene beskrives under.

4 Presentasjon av deltakerne

Første møte i arbeidsgruppen bør starte med en kort presentasjon av deltakerne, deres tilknytning til objektet i risikovurderingen og deres rolle i arbeidet som skal gjøres.

5 Mandat, formål og avgrensninger

Man bør deretter foreta en kort gjennomgang av mandatet for arbeidet. Det er viktig å få frem formålet med risikovurderingen. Er det en generell risikovurdering, eller er det spesielle spørsmål som skal avklares og vurderes opp mot hverandre? Det siste kan kreve en egen innretning på arbeidet og en egen form på risikonotatet.

Det er viktig å få avklart om formålet kan gi spesielle utfordringer for gjennomføringen, og hvordan disse eventuelt skal løses.

Det bør videre avklares om arbeidsgruppen har en felles forståelse av omfang og avgrensinger, med utgangspunkt i mandatet. Mener noen at noe vesentlig er utelatt? Det er viktig å foreta eventuelle presiseringer her.

6 Virksomhetens mål for informasjonssikkerhet

Virksomhetens mål for informasjonssikkerhet bør gjennomgås for å sikre tydelig forankring. Målene skal være beskrevet i virksomhetens policy for informasjonssikkerhet.

Deltakerne må ha en klar forståelse av hva målene for informasjonssikkerhet betyr for arbeidet med denne risikovurderingen.

7 Føringer knyttet til risiko

Videre bør virksomhetens retningslinjer og føringer knyttet til risikoforståelse, risikohåndtering og risikoaksept gjennomgås. Nøkkelspørsmål er:

  • Har gruppen en felles forståelse av de førende beskrivelsene for konsekvensnivå, sannsynlighetsnivå og risikonivå?
  • Hva betyr de for arbeidet med denne vurderingen?
  • Vet deltakerne hvordan estimeringen skal gjøres?
  • Forstår gruppen kriteriene for å akseptere risiko?

8 Metodevalg og tidsbruk

Gruppen bør til slutt bli avstemt på metodevalg og tidsbruk. Ut fra planleggingen bør prosessleder skissere hva man skal gjøre, og hvordan man har tenkt å gå frem. Prosessleder bør være åpen for justeringer.

9 Anbefalt dokumentasjon

Risikonotat:

  • formål med risikovurderingen
  • omfang og avgrensninger
  • deltakere og roller
  • overordnede styrende dokument (navn og versjonsnummer til de som benyttes direkte)
  • valgt metode (henvisning eller kort omtale, inkl. vesentlige tilpasninger)

────────────────────────────────────────────────────────────────────

────────────────────────────────────────────────────────────────────