IT-strategi for bedrifter:
Slik er en risikovurdering
Hva er egentlig en risikovurdering, og hva skal den brukes til? Her kan du lære mer.
Sikkerhet er håndtering av risiko, og en risikovurdering vil være et viktig redskap i arbeidet med sikkerhet i bedriften.
Dette arbeidet kalles ofte for en risikoanalyse, og er i noen sammenhenger det samme som en risikovurdering.
Risikobegrepet handler om:
- sannsynlighet for at noe kan skje (trusselvurdering)
- hvilke konsekvenser denne hendelsen kan få
Noen vil mene at en risikoanalyse vil være mer omfattende enn en vurdering, og det vil kunne stilles større krav til metode for hvordan analysen utføres. Ved en risikovurdering vil metoden som brukes ikke nødvendigvis være så viktig.
Før man starter arbeidet med risikovurderingen, er det viktig å ha klare svar på følgende spørsmål:
- Skal man gjøre en risikovurdering for hele virksomheten, eller bare for deler av den? Eller for enkelte typer av informasjon f.eks. personopplysninger?
- Hva er motivasjonen? Ønsker man å få en rask oversikt, eller er det nødvendig med en mer grundig gjennomgang?
- Hvilke lover og forskrifter må man ta hensyn til?
- Hvilke verdier finnes i bedriften - Hva er det man trenger å beskytte?
Slik bør risikovurderingen brukes
Risikovurderingen bør resultere i en beskrivelse av de risikofaktorene som er funnet, og en sammenligning av risikonivået med det som er definert som akseptabelt risikonivå.
Risiko over det aksepterte nivået må håndteres ved hjelp av sikkerhetstiltak, enten for å redusere konsekvensene av eller sannsynligheten for uønskede hendelser.
Det er nødvendig å avdekke eksisterende sikkerhetstiltak av både organisatorisk og teknisk karakter.
Risikovurderinger bør gjennomføres periodisk, eksempelvis en gang i året, eller oftere dersom organisasjonen krever det.
NorSIS (Norsk senter for informasjonssikring) gir deg flere råd om hvordan du gjennomfører en risikovurdering i din bedrift.