Risikovurdering for informasjonssikkerhet

Steg 1

Kontekst og scope

Det første steget i en risikovurdering er å definere scope og kontekst. Beskriv hva risikovurderingen omhandler, relevante roller og hvilke rammer som gjelder.

Tips: Et godt scope gjør resten av vurderingen enklere. Start spisset: ett forretningsområde, én tjeneste, eller ett sett med IT-systemer/data.

Scope for vurderingen Dato / versjon Deltakende rolle(r) Tidsperiode / gyldighet

Beskriv kontekst Avgrensninger

Steg 2

Verdivurdering

Det neste steget i en risikovurdering, er verdivurderingen. Dette innebærer å definere informasjonen som skal beskyttes og vurdere skadepotensialet ved at informasjonen kommer på avveie (konfidensialitet), blir urettmessig endret (integritet) eller blir utilgjengelig.

Steg 3

Sårbarhetsvurdering

Det tredje steget i risikovurderingen innebærer å identifisere sårbarheter. En sårbarhet er en teknologisk, menneskelig eller organisatorisk svakhet som kan utnyttes for at tjenesteleveransen forstyrres. For eksempel at en angriper får urettmessig tilgang til data eller at tjenesten stopper opp.

Hovedkategori Sårbarhetsområde Spesifiser sårbarhetsområde Konkret sårbarhet Spesifiser konkret sårbarhet Knytt til verdi/system

Steg 4

Risikoscenarier

Visualisering av risikomatrise

Scoringslogikk: Sannsynlighet beregnes fra eksponering/angrepsvektor, hvor enkel sårbarheten er å utnytte, om den faktisk finnes, og kompenserende tiltak. Konsekvens beregnes fra skadepotensialet til dataene (K, I, T), mulighet til å lese/endre/slette data og skadeområder som liv/helse, økonomi og produksjon.

Steg 5

Risikoreduserende tiltak

Velg relevante tiltak per scenario, sett ansvarlig og frist, og sett ny sannsynlighet og konsekvens manuelt etter tiltak.

Etter tiltak: Matrisen viser opprinnelig risiko og ny risiko etter tiltak når brukeren har satt ny sannsynlighet og konsekvens.

Steg 6

Oppsummering

Generer risikorapport