Hopp til innhold Hopp til navigasjon

Risikovurdering

Kategori: Obligatoriske

Publisert: 26.01.2010

Sist endret: 14.05.2010

Informasjonssikkerhet er et sentralt tema i både lovgivning og Difis arkitekturprinsipper. God informasjonssikkerhet forutsetter imidlertid kunnskap om risiko- og mulighetsbildet. For å kunne prioritere riktig og begrunne sine valg, eventuelt manglende valg, av sikkerhetstiltak, må virksomheten først ha oversikt over egne oppgaver og verdier, hvilke regler som gjelder og hvilken trussel og risiko de står overfor. Sikkerhetstiltak kan avverge og forebygge trusler, men også gjøre løsninger mulig som ikke ellers ville vært mulig.

Risikovurdering innen et område skal gi svar på:

  • Hva kan gå galt? (identifisere fare)
  • Hva er sannsynligheten for at det går galt? (sannsynlighetsanalyse)
  • Hva er de mulige konsekvenser? (konsekvensanalyse)
  • Ved å identifisere risiko og sette i verk tiltak kan problemer synliggjøres og unngås før de oppstår

Det er viktig å få fastlagt et nivå for risikovurderingen som passer til den enkelte organisasjon og få definert hva den skal anvendes til. Ellers er det sannsynlig at risikovurderingen ikke skaper verdi, men kun blir administrativt ekstraarbeid. Håndtering av risiko skal foregå gjennom hele prosjektets løpetid, og en risikoanalyse er ikke et statisk dokument. Det er viktig at dokumentet blir oppdatert løpende.

Gjennomført risikovurdering kan benyttes som dokumentasjon på at virksomheten oppfyller lovkrav.