5. Opfølgning

Følg regelmæssigt op på risikoregister og risikohåndteringsplan og rapportér på fremdrift og udfordringer til ledelsen.

Der bør følges regelmæssigt op på risikoregisteret og på den vedtagne risikohåndteringsplan. Da ikke alle risici og initiativer kræver samme grad af opfølgning, kan man med fordel angive en opfølgningsdato og føre en opfølgningslog for hver risiko i risikoregisteret.

Billede der demonstrerer opfølgning

Hvor ofte skal man følge op?

Hvor aktiv man bør være i sin opfølgning på risici og risikohåndteringsplan afhænger af mange faktorer:

  • Hvor mange ændringer sker der i myndigheden? Er man i en stabil driftssituation eller midt i en omlægning af organisation, opgaver, aftaler, systemer eller infrastruktur?
  • Hvilken udvikling sker der i trusselsbilledet? Er der opstået nye trusler på
    grund af ændrede informationsbehandlingsaktiviteter eller sker der ændringer i kendte trusselsaktørers adfærdsmønstre?
  • Er risici, der er identificeret, meget alvorlige og kræver håndteringen derfor tæt opfølgning?
  • Sker der sikkerhedshændelser, der indikerer at risici bør revurderes?

Hvad menes med ordet regelmæssigt?

Hvor ofte, man skal foretage noget, der bør gøres "regelmæssigt" i forhold til informationssikkerhed, beror på en risikovurdering. Det vil dog oftest tolkes som mindst en gang årligt.

Casebeskrivelse:

I et departement er gennemgangen af risikoregisteret og de tilknyttede handlingsplaner et fast agendapunkt på månedlige møder i risikostyregruppen. På baggrund af gennemgangen rapporterer man status og opmærksomhedspunkter til Datasikkerhedsudvalgets kvartalsmøder eller tager aktion på nye og ændrede risici eller udfordringer med handlingsplanerne.

Læs mere om en risikostyringsmodel i et departement på siden om vurdering af ricisi