Dette er trinn 3 i metoden for å gjennomføre risikovurderinger.

Målgruppe

• Prosessledere

Innhold

• Mål for trinnet
• Forberedelser
• Fremgangsmåte
  • Hensiktsmessig oppdeling av objektet for risikovurderingen
  • Foranalysen for ansvarsområdet
  • Tidligere risikovurderinger
  • Statusrapporter om risikoforhold
  • Regelverk og avtaler
• Anbefalt dokumentasjon

1 Mål for trinnet

Arbeidsgruppen har

• en grunnleggende oversikt over objektet i risikovurderingen
• delt objektet opp på hensiktsmessig måte
• oppdatert seg på, og kan dra nytte av, relatert kunnskap og erfaringer
• merket seg og notert eventuelle obs-områder for arbeidet videre

2 Forberedelser

Prosessleder og en eller flere i arbeidsgruppen:

• Gå gjennom relevant bakgrunnsstoff og gjøre vurderinger av
  • hensiktsmessig oppdeling av objektet for risikovurderingen
  • foranalysen for området som risikovurderingen er en større eller mindre del av
  • tidligere risikovurderinger på dette eller sammenlignbare områder
  • virksomhetens interne statusrapport om risikoforhold
  • krav i relevant regelverk
• lage en eller flere korte oppsummeringer og presentasjoner.

Deltakerne:

• Lese gjennom og reflektere over utsendt oppsummering av stoff som skal være tema.

3 Fremgangsmåte

Korte presentasjoner kombineres med korte diskusjonsrunder, der man tar stilling til om utgangspunktet prosessleder har forberedt er hensiktsmessig.

Presentasjonene bør dekke relevante aspekter av punktene prosessleder har vurdert som forberedelse. Hvert tema er beskrevet under.

Omfang og tidsbruk på både presentasjon og diskusjon må tilpasses arbeidsgruppens forkunnskap, samt formålet med og objektet for risikovurderingen.

Man bør avgrense seg til det som kan ha relevans og nytte i arbeidet videre. Underveis noteres følgende:

• hvilke hoveddeler man velger å dele objektet i under denne risikovurderingen
• obs-områder man identifiserer, og som bør vektlegges i risikovurderingen
• områder man mener bør ha ingen eller lav prioritet

Enkle kulepunktlister vil oftest være nok.

4 Hensiktsmessig oppdeling av objektet for risikovurderingen

En oppdeling av objektet i ulike deler vil ofte gjøre det lettere å konsentrere seg om disse underveis i arbeidet. En oppdeling kan gjøres på mange måter, avhengig av størrelse og innretning på risikovurderingen.

Inndelingen kan f.eks. være varianter av:

• arbeidsoppgavene som inngår i risikovurderingen
• informasjonssystemene som inngår
• deler av ett eller flere informasjonssystemer

Arbeidsgruppen bør avklare hva den mener er hensiktsmessig oppdeling for denne risikovurderingen. Det bør noteres. Spesielle obs-områder, eller områder man mener man kan gi ingen eller lav prioritet i denne risikovurderingen, bør også noteres.

5 Foranalysen for ansvarsområdet

En foranalyse har gjerne et bredere omfang enn en risikovurdering. Det er derfor viktig at man i dette trinnet får sett over, diskutert og eventuelt tilpasset inntrykket fra foranalysen. Med objektet for risikovurderingen i sentrum må man vurdere relevans og nivå på det foranalysen sier om

• arbeidsoppgaver
• informasjonstyper
• systemer
• trusselaktører
• farer
• sårbarheter

En slik gjennomgang gir en god ramme og et viktig bakteppe for risikovurderingsarbeidet videre. Det vil normalt ikke være nødvendig å gjennomføre en egen full foranalyse tilpasset objektet i hver risikovurdering. Spesielle obs-områder, eller områder man mener man kan gi ingen eller lav prioritet i denne risikovurderingen, bør imidlertid noteres.

6 Tidligere risikovurderinger

Dersom man har tilgang til tidligere risikovurderinger på dette eller sammenlignbare områder, bør oppsummeringer fra disse kort diskuteres. Relevans og eventuelle obs-områder for arbeidsgruppen bør stå i sentrum.

Spesielle obs-områder for den nye risikovurderingen, eller områder man mener man kan gi ingen eller lav prioritet, noteres.

7 Statusrapporter om risikoforhold

Digitaliseringsdirektoratet anbefaler at virksomheten jevnlig utarbeider statusrapporter som grunnlag for risikovurderinger. Sentrale tema kan være

• oppsummering og kategorisering av tidligere sikkerhetshendelser
• trender i trussel- og risikobildet i virksomheten, i lignende virksomheter, i verden generelt
• oppsummering og trender i interne revisjoner, evalueringer, undersøkelser og målinger
• tiltaksstyrke på relevante tiltaksområder
• oversikt over felles tiltaksleverandører, fellessikring og mulig tilleggssikring

Relevante tema herfra bør diskuteres i arbeidsgruppen og knyttes inn mot objektet for denne risikovurderingen. Spesielle obs-områder bør noteres.

8 Regelverk og avtaler

Foranalysen av et ansvarsområde skal også gi en oversikt over regelverk og avtaler med krav til informasjonssikkerhet.

Arbeidsgruppen bør avstemme at den kjenner relevant regelverk, og vet hva det innebærer for objektet for risikovurderingen. Det bør også diskuteres om det innebærer spesielle obs-områder.

9 Anbefalt dokumentasjon

Risikonotatet bør utvides med

• kort liste over hoveddeler i objektet for risikovurderingen
• spesielle obs-områder
• områder man ev. har gitt ingen eller lav prioritet

────────────────────────────────────────────────────────────────────

• Neste trinn i metoden
• Forrige trinn i metoden
• Hovedsiden til metoden
• Til toppen av siden

────────────────────────────────────────────────────────────────────