Internkontroll/styringssystem (Versjon 1.5)
Dette er trinn 3 i metoden for å gjennomføre risikovurderinger.
Arbeidsgruppen har
Prosessleder og en eller flere i arbeidsgruppen:
Deltakerne:
Korte presentasjoner kombineres med korte diskusjonsrunder, der man tar stilling til om utgangspunktet prosessleder har forberedt er hensiktsmessig.
Presentasjonene bør dekke relevante aspekter av punktene prosessleder har vurdert som forberedelse. Hvert tema er beskrevet under.
Omfang og tidsbruk på både presentasjon og diskusjon må tilpasses arbeidsgruppens forkunnskap, samt formålet med og objektet for risikovurderingen.
Man bør avgrense seg til det som kan ha relevans og nytte i arbeidet videre. Underveis noteres følgende:
Enkle kulepunktlister vil oftest være nok.
En oppdeling av objektet i ulike deler vil ofte gjøre det lettere å konsentrere seg om disse underveis i arbeidet. En oppdeling kan gjøres på mange måter, avhengig av størrelse og innretning på risikovurderingen.
Inndelingen kan f.eks. være varianter av:
Arbeidsgruppen bør avklare hva den mener er hensiktsmessig oppdeling for denne risikovurderingen. Det bør noteres. Spesielle obs-områder, eller områder man mener man kan gi ingen eller lav prioritet i denne risikovurderingen, bør også noteres.
En foranalyse har gjerne et bredere omfang enn en risikovurdering. Det er derfor viktig at man i dette trinnet får sett over, diskutert og eventuelt tilpasset inntrykket fra foranalysen. Med objektet for risikovurderingen i sentrum må man vurdere relevans og nivå på det foranalysen sier om
En slik gjennomgang gir en god ramme og et viktig bakteppe for risikovurderingsarbeidet videre. Det vil normalt ikke være nødvendig å gjennomføre en egen full foranalyse tilpasset objektet i hver risikovurdering. Spesielle obs-områder, eller områder man mener man kan gi ingen eller lav prioritet i denne risikovurderingen, bør imidlertid noteres.
Dersom man har tilgang til tidligere risikovurderinger på dette eller sammenlignbare områder, bør oppsummeringer fra disse kort diskuteres. Relevans og eventuelle obs-områder for arbeidsgruppen bør stå i sentrum.
Spesielle obs-områder for den nye risikovurderingen, eller områder man mener man kan gi ingen eller lav prioritet, noteres.
Digitaliseringsdirektoratet anbefaler at virksomheten jevnlig utarbeider statusrapporter som grunnlag for risikovurderinger. Sentrale tema kan være
Relevante tema herfra bør diskuteres i arbeidsgruppen og knyttes inn mot objektet for denne risikovurderingen. Spesielle obs-områder bør noteres.
Foranalysen av et ansvarsområde skal også gi en oversikt over regelverk og avtaler med krav til informasjonssikkerhet.
Arbeidsgruppen bør avstemme at den kjenner relevant regelverk, og vet hva det innebærer for objektet for risikovurderingen. Det bør også diskuteres om det innebærer spesielle obs-områder.
Risikonotatet bør utvides med
────────────────────────────────────────────────────────────────────
────────────────────────────────────────────────────────────────────