Risikostyring
Innhold
Om risikostyring
Hva er risikostyring
Risikostyring handler om å fastsette akseptabel risiko, foreta risikovurdering og prioritere sikkerhetstiltak. Dette er øverste leders ansvar.
Hva bør vurderes?
Leder må avgjøre hvilke systemer og virksomhetsområder det skal gjennomføres vurderinger av. Mange virksomheter er underlagt krav i lov eller forskrift om å gjennomføre risikovurdering. Kunder eller andre eksterne aktører kan også stille slike krav.
Om prosessen
En arbeidsgruppe med spredt kompetanse bør gjennomføre selve vurderingen. Resultatene må så dokumenteres og rapporteres til leder. Akseptabel risiko brukes deretter som basis for å avgjøre tiltak.
Risikovurdering
Risiko er produktet av konsekvensen av og sannsynligheten for at noe går galt. Sannsynlighet og konsekvens kan fastsettes med skalaen liten – middels – stor, eller med en tallskala. For eksempel kan konsekvensen av brann settes lik stor, eller 3 om man benytter en skala fra 1 til 3.
Identifisere trusler
En risikovurdering eller risikoanalyse skal avdekke trusler og hendelser som kan berøre driften. Truslene innen informasjonssikkerhet er noe som kan føre til brudd på konfidensialitet, integritet og/eller tilgjengelighet. Eksempel på slike hendelser er brann, svikt i utstyr og feil i data.
Etter identifiseringen må årsakene til hendelsene vurderes; hvorfor kan de skje, hvor kan det skje og hvem er involvert.
Konsekvens
Konsekvensen av hendelser er en viktig faktor i forhold til å vurdere hvilke hendelser som kan aksepteres, og hvilke det må settes inn tiltak mot.
Sannsynlighet
Det kan være vanskelig å vurdere sannsynlighet for at en hendelse kan skje. Sannsynlighets-reduserende tiltak som allerede er iverksatt skal tas inn i vurderingen.
Spørsmål som er relevante å stille:
- Hvem har motiv for å forårsake hendelsen?
- Hvor lett er det å forårsake hendelsen?
- Fungerer de tiltak som er satt inn allerede?
For mange hendelser, for eksempel brann, er det uviktig hvor høy sannsynligheten er dersom konsekvensen er tilstrekkelig høy.
Tiltak
Resultatet av risikovurderingen skal kommunisere hva det er viktig for virksomheten å gjøre noe med. Der risikoen er større enn akseptert nivå må det vurderes om det skal settes inn tiltak for å redusere sannsynligheten og/eller konsekvensen.
Valg av tiltak
Tiltak må vurderes etter hva slags type risiko det er snakk om:
- Tekniske tiltak
- Opplæring
- Organisering
- Forsikring
I dette arbeidet kan den norske standarden NS-ISO/IEC 17799, eller NorSIS’ sikkerhetshåndbok være til god hjelp.
Gjennomgang
Etter at de valgte tiltakene er på plass må man igjen vurdere om risikoen er akseptabel. Dersom den ikke er det, må man vurdere flere tiltak.
For å vurdere effekten av de tiltakene man har valgt å implementere er det viktig å ha en plan for hvordan man skal registrere, håndtere og rapportere uønskede hendelser. En hendelsesstatistikk kan indikere om tiltakene faktisk virker.
Risikostyring - ingen engangsjobb
En vurdering av risikobildet bør rapporteres til, og behandles av ledelsen årlig. Dette synliggjør endringer, og man tvinges til å vurdere om det er endringer i omgivelsene som krever spesiell behandling.
Det er viktig å følge med på om iverksatte tiltak virker, og om noe har endret risikoen for uønskede hendelser. Ved større endringer i organisasjonen bør man alltid starte ny en risikovurdering. Slike endringer kan være:
- Omorganiseringer
- Nye krav fra kunder
- Endring i lovverk
- Utkontraktering av IKT-drift
- Behandling av mer sensitiv informasjon
Les mer
Datatilsynet
Risikovurdering av informasjonssystem med utgangspunkt i forskrift til personopplysningsloven
Standarder
Norsk Standard NS 5814 – Krav til risikoanalyser, som kan kjøpes hos Pronorm.
