Hopp til hovedinnhold

Planlegge risikovurdering

For å få god kvalitet på risikovurderinger er det viktig med en god planlegging før man starter.

    Målgruppe

    • Prosessledere for risikovurderinger - den/de som er ansvarlig for planlegging/gjennomføring av risikovurderingen

    • Risikoeiere og systemeiere fellessystemer som skal bidra i planleggingen

    1. Bakgrunn

    Planleggingen bør omfatte avklaringer knyttet til mandat, formål, omfang og avgrensninger, deltagere og lignende. De fleste vurderingene kan som oftest gjennomføres rimelig raskt.

    Vurderingene kan gjøres av både den som er ansvarlig for området som skal vurderes, en egen saksforbereder eller prosessleder for risikovurderingen.

    2. Mandat og eventuelt konkurransegrunnlag

    Det bør normalt utformes et tydelig mandat for risikovurderinger. Dette behøver ikke å være omfattende. Det vil være naturlig med korte beskrivelser av de avklaringene man gjør i planleggingen.

    Dersom man i gjennomføringen av risikovurderingen har behov for støtte fra eksterne spesialister, må man ofte utforme et konkurransegrunnlag. Et mandat vil være en naturlig del av dette.

    3. Omfang og avgrensning

    Alle risikovurderinger bør ha et klart definert omfang. Ofte er det nødvendig å ta med en beskrivelse av avgrensninger mot andre arbeidsoppgaver og informasjonssystemer. Det er viktig at omfang og avgrensning er beskrevet i mandatet.

    Omfang og avgrensninger beskriver det som ofte kalles objektet i risikovurderingen – det risikovurderingen rettes mot.

    Dersom risikoeierne har vurdert muligheten for å gruppere eller dele opp ansvarsområder i aktiviteten Ha oversikt og prioritere, vil den videre beskrivelsen av omfang og avgrensning i stor grad gi seg selv. I planleggingen vil det da ofte være nok å justere formuleringer, slik at beskrivelsen er presis.

    Dersom de ansvarlige ikke har gjennomført slike vurderinger, bør det gjøres som en del av planleggingen av risikovurderingen. Vi minner her om at det er anbefalt å kombinere dette med behovsvurderinger.

    Behovsvurderingene vil være til hjelp med å avdekke hvor man har tilstrekkelig oversikt og kontroll over risikoene, og hvor det er behov for ytterligere analyse og vurdering av risiko. Dette kan gi mer målrettede og nyttige risikovurderinger.

    4. Formålet med risikovurderingen

    Formålet med den aktuelle risikovurderingen bør beskrives i mandatet. Det kan ofte gjøres kort.

    Oftest vil formålet helt generelt være å gjennomføre en risikovurdering for å avdekke vesentlige risikoer rundt objektet i risikovurderingen, opp mot virksomhetens mål for informasjonssikkerhet.

    I enkelte situasjoner kan formålet med et risikovurderingsarbeid være mer spesifisert og sammensatt. Dette kommer gjerne som en følge av vurderinger i foranalysen og ved gruppering/oppdeling.

    5. Valg av deltakere

    Hvor mange som skal være med i risikovurderingen, er avhengig av objektet og formålet for risikovurderingen.

    Generelt anbefaler vi at risikovurderingen gjennomføres av en intern arbeidsgruppe. Idédugnad og diskusjoner benyttes ofte i arbeidet, og arbeidsgruppens størrelse bør være tilpasset dette. Sammensetningen av gruppen er ofte viktigere enn antallet deltakere, men på generelt grunnlag vil fem–åtte deltakere ofte være en hensiktsmessig størrelse.

    Deltakerne bør ha god kjennskap til området som skal vurderes. Arbeidsgruppen bør dessuten ha en prosessleder og en som dokumenterer. Samme person kan dekke flere roller. Hva som er hensiktsmessig, er avhengig av metode og dokumentasjonskrav.

    Det vil være en klar fordel om en av deltakerne er leder for det området vurderingen omfatter. Dette kan være en linjeleder eller en prosjektleder, avhengig av omfang og avgrensning.

    Videre bør man prøve å sikre at både breddekunnskap og dybdekunnskap blir representert i arbeidsgruppen. Viktig breddekunnskap er kjennskap til oppgavene som inngår i, eller understøttes av, det som skal vurderes. Viktig dybdekunnskap er kunnskap om den informasjonen som kan ha høyt potensielt konsekvensnivå. Det vil normalt være behov med deltakelse fra flere personer som aktivt utfører de viktigste oppgavene.

    Dersom virksomheten har lokale sikkerhetskoordinatorer eller tilsvarende, vil det ofte være nyttig at disse deltar i risikovurderingen. Det kan sikre forståelsen for informasjonssikkerhet i arbeidsgruppen, og hjelpe for å se ulike vurderinger i samme avdeling i sammenheng.

    6. Valg av fremgangsmåte (metode)

    Det finnes flere ulike metoder og støttemetoder som kan brukes ved gjennomføring av risikovurderinger. Dette veiledningsmateriellet inneholder et forslag til en fleksibel «standardvariant». Det omtales i veiledningsmateriellet som «metoden».

    Den ansvarlige for en enkelt risikovurdering bør ta stilling til hvilken fremgangsmåte som skal benyttes som metode. Denne bør alltid tilpasses det som skal vurderes, og er en viktig oppgave for prosessleder.

    Vi anbefaler i tillegg at man tidlig vurderer om det kan være behov for å ta i bruk andre støttemetoder. Dette kan være vanskelig å avgjøre under planleggingen. En tidlig vurdering av dette kan imidlertid lette tilgangen på nødvendig spisskompetanse ved behov. Kompleksiteten og antatt potensielt konsekvensnivå er viktige indikasjoner på om det kan være behov for slike støttemetoder. Dette indikerer også om det vil være behov for spesialister.

    7. Behov for spesialister

    Vi fraråder at man anskaffer spesialister for å gjennomføre risikovurderinger på egenhånd, uten at virksomheten er involvert i prosessen. Det er egne ansatte som kjenner objektet som skal vurderes, og de må derfor være involvert i, og ha oversikt over gjennomføringen av all vurdering av risiko innen informasjonssikkerhet.

    Spesialister kan hentes inn som støtte ved behov. Behovet vil være avhengig av kompleksitet i objektet for risikovurderingen, kompleksitet i valgt metode og tilgjengelig kompetanse og ressurser internt. Bruken av spesialister og deres rolle i vurderingen bør vurderes grundig i planleggingen.

    7.1 Nøkkelpersonen "prosessleder"

    Prosessleder er en nøkkelperson i gjennomføringen. Vedkommende bør ha gode kommunikasjonsegenskaper og kunne tilrettelegge for og lede bruk av støtteteknikker som idédugnad og «lapper på vegg»-diskusjoner.

    Prosessleder bør også ha gjort seg kjent med denne veilederen e.l. for gjennomføring av risikovurderinger innen informasjonssikkerhet. Det er ikke nødvendig med tung kompetanse på informasjonssikkerhet. Har man tilgang til slik prosesslederkompetanse internt, bør det ikke være nødvendig å anskaffe spesialister til den grunnleggende gjennomføringen av risikovurderinger. Det vil det være lurt å bygge opp interne personer til å være prosessledere.

    7.2 Bruk av støttemetoder

    Det finnes flere støttemetoder som kan benyttes, f.eks. ved vurderinger av komplekse og kritiske informasjonssystemer. Disse støttemetodene krever ofte spisskompetanse om både metoden og informasjonssikkerhet.

    Den ansvarlige for risikovurderingen bør allerede ved planleggingen vurdere om man tror det vil være behov for å supplere arbeidsgruppen med spisskompetanse innen slike støttemetoder. I tillegg bør dette vurderes underveis i arbeidet. Dette kan være som faste deltakere eller som spesialister som kommer inn ved behov. Det avgjørende er hvor stor usikkerhet lederne og arbeidsgruppen har rundt omfang og størrelse på risikoene, og i hvilken grad de har behov for å redusere denne usikkerheten ved å gå mer i dybden.

    8. Krav til dokumentasjon

    Hvilke krav eller anbefalinger virksomheten har til dokumentasjon av risikovurderinger, bør fremgå av virksomhetens føringer for arbeidet.

    Prosessleder må i dialog med oppdragsgiver avgjøre hvordan arbeidet og resultatet skal dokumenteres. Det er viktig å huske at man utarbeider et beslutningsgrunnlag som oppdragsgiver skal kunne ta stilling til, og gå i dybden i ved behov.

    Digitaliseringsdirektoratet anbefaler at det i hovedsak blir utarbeidet en enkel og rimelig lik type dokumentasjon for virksomhetens risikovurderinger innen informasjonssikkerhet. Vi anbefaler at det underveis i arbeidet blir skrevet et risikonotat som oppsummerer og dokumenterer hovedelementene i organisering, gjennomføring og vurderinger. Vi kaller det «risikonotat» for å signalisere at en enkel og oversiktlig fremstilling ofte er tilstrekkelig, og kan lages uten bruk av mye ressurser.

    8.1 Vedlegg til risikonotatet

    Resultat fra ulike faser i gjennomføringen kan legges som vedlegg til risikonotatet. Et viktig vedlegg vil være oversikt over risikoene og resultatet av vurderingene, gjerne i tabellform. Det er en fordel om risikotabellen er tilpasset informasjonssikkerhet. Dette er likevel ikke avgjørende for et tilfredsstillende resultat. Det må avveies mot gjenkjenningseffekten på tvers av fagområder.

    Digitaliseringsdirektoratet har laget en arbeidsbok i Excel for å tilby et støtteverktøy i arbeidet med risikotabellen. Virksomheter som ønsker andre tilnærminger, kan bruke andre tabeller eller støtteverktøy.

    Det er en tett kobling mellom en risikovurdering og aktiviteten Foreslå håndtering av risikoer, under hovedaktiviteten Håndtering av risiko. Risikonotatet og risikotabellen kan derfor med fordel være tilrettelagt for en samlet dokumentasjon av risikovurderingen og forslag til tiltak.

    9. Overgang til håndtering av risiko etter vurderingen

    I mange sammenhenger vil den ansvarlige finne det hensiktsmessig at arbeidsgruppen ikke bare gjennomfører en risikovurdering, men at den også identifiserer og foreslår hvordan risikoene skal håndteres. Dette bør i tilfelle skrives tydelig i mandatet.

    9.1 Håndtering av forslag til tiltak i risikovurderingen

    Tilrettelegging for å håndtere forslag til tiltak som dukker opp underveis i risikovurderingen bør være en del av planleggingen.

    Resultatet fra risikovurderingen vil avgjøre hvilke risikoer som må håndteres, og dermed hvilke risikoreduserende tiltak som er relevante. Identifisering av tiltak er første del av neste hovedaktivitet – Håndtering av risiko. Idéer til aktuelle tiltak vil likevel dukke opp underveis i vurderingen. Man bør ha planlagt for hvordan slike innspill skal håndteres underveis, slik at man kan beholde konsentrasjonen på risikovurderingen.

    En måte å håndtere dette på, er at slike idéer noteres og «parkeres» på en liste uten nærmere diskusjon eller arbeid. Da sikrer man god flyt i vurderingen, og gode idéer blir dokumentert for videre arbeid senere. Listen over tiltaksforslag bør inngå som et vedlegg i dokumentasjonen av risikovurderingen, og senere benyttes i risikohåndteringsaktiviteten. Dersom mandatet inkluderer identifisering av tiltak, tas listen frem igjen når denne delen av arbeidet starter.

    9.2 Behov for å gå tilbake til risikovurderingen

    Selv om det er lurt å vente med identifisering og analyse av tiltak til man er ferdig med risikovurderingen, bør man være oppmerksom på at det i enkelte tilfeller kan være behov for å gå litt frem og tilbake mellom risikovurdering og første del av risikohåndteringen.

    Underveis i arbeidet med risikohåndtering kan man oppdage at det er vesentlige risikoer man har oversett, eller at man under risikoanalysen har gjort feilvurderinger. Det kan da være behov for å gå tilbake til risikovurderingen og korrigere dette før man fortsetter med å identifisere tiltak.

    Allerede i planleggingen bør man legge til rette for fleksibilitet rundt dette.

    10. Estimere ressursbruk

    Det bør lages en møteplan for arbeidet. Sammen med antall deltakere og eventuelt behov for ekstern spesialistkompetanse danner denne planen grunnlaget for estimering av ressursbruk.

    Et utgangspunkt kan være ett–tre møter, hvert på to–tre timer. Kompleksiteten i det som skal vurderes, samt deltakernes kunnskap om eventuelle tidligere risikovurderinger på området, vil påvirke dette estimatet. Det samme vil deltakernes og prosessleders erfaring fra denne typen arbeid.

    11. Deltakernes forberedelse

    Før første møte i arbeidsgruppen bør alle deltakerne forberede seg. Dette kan både gjøres individuelt og i grupper. Prosessleder bør i god tid informere om hva som er forventet forberedelse.

    Det kan være hensiktsmessig å sende ut eller henvise til:

    • mandatet, med spesiell henvisning til omfang, avgrensninger og formål
    • oversikt over deltakere
    • kort beskrivelse av fremgangsmåten som skal benyttes
    • utkast til møteplan
    • statusrapport om forhold relatert til informasjonssikkerhet i virksomheten, med ev. spesifikk henvisning til relevante kapitler
    • virksomhetens føringer for å forstå, vurdere og håndtere risiko

    Innholdet i det siste punktet uttrykker virksomhetens risikoforståelse og risikovilje. Dette er føringer fra ledelsen og er nærmere beskrevet under etableringsaktiviteten Utforme føringer.