Risikovurderinger

Ledelsessystemet fastsetter at risikovurderinger skal foretas

  • når trusselbildet endres
  • før oppstart av behandling av personopplysninger
  • ved oppstart av forskningsprosjekter
  • ved etablering eller endring av IKT-systemer
  • ved organisatoriske endringer som kan påvirke informasjonssikkerheten

Gjennom risikovurderingene ser vi på mulige, uønskede hendelser (trusler) og sannsynligheten for at disse kan inntreffe, samt konsekvensen hvis så skjer. Summen av sannsynlighet og konsekvens gir risikonivået for den aktuelle trusselen. Hvis dette nivået er tilstrekkelig høyt, må man iverksette tiltak for å senke risikonivået (enten senke sannsynligheten, konsekvensen eller begge), før behandlingen, systemet, tjenesten mv settes i gang/tas i bruk. Det vil alltid være en viss risiko forbundet med behandling av informasjon, bruker av tjenester mv. Målet er at denne skal reduseres så mye som mulig. Den "restrisiko" man står igjen med må enten aksepteres, eller så må man konkludere med at risikoen forblir for høy og den planlagte behandlingen kan ikke iverksettes, tjenesten kan ikke tas i bruk etc. Det er viktig at denne beslutningen tas på rett nivå (se nedenfor).

Vurdering av sannsynlighet og konsekvens foretas på en skala fra 1 - 4 (hvor 1 er lavest), og kriteriene for disse vurderingene fremgår av de ulike skalaene for risiko (krever pålogging).

HINN benytter de veiledninger som er utarbeidet av Unit - direktoratet for IKT og fellestjenester i høyere utdanning og forskning. Disse bygger på anerkjente standarder. Nærmere informasjon om risikovurdering av informasjonssikkerhet finner du her: https://www.unit.no/risikovurderinger-informasjonssikkerhet

Unit har laget også laget egne veiledere som går spesifikt på skytjenester og på administrative systemer. Dere finner disse, samt flere, nederst på denne siden: https://www.unit.no/risikovurderinger-informasjonssikkerhet

I følge ledelsessystemet så er det enhetsledere og systemeiere som har ansvaret for at risikovurderinger gjennomføres. Dette innebærer ikke at de personlig må gjennomføre vurderingene, men de har ansvaret for at risikovurderingene gjennomføres. Det er også disse som må akseptere risikovurderingene, hvilke tiltak som er nødvendige/skal gjennomføres samt akseptere evt. restrisiko.

Hvis det er tale om behandlinger som innebærer høy risiko, tjenester som behandler store mengder informasjon om mange personer (i sær hvis det er tale om konfidensiell informasjon) bør risikovurderingen løftes opp i linja. Først til IT-direktør, og i noen tilfeller til Digitaliseringsdirektøren (som har et overordnet ansvar for informasjonssikkerhet og utøver myndigheten som behandlingsansvarlig etter personopplysningsloven).

Risikovurderinger kan ikke bare gjennomføres en gang, og så er det gjort. Man må jevnlig ta disse opp igjen og se om tiltakene fungerte etter planen, om trusselbildet har endret seg mv. Har noen av premissene for vurderingene endret seg (ny teknologi etc)?