2. Vurdering

Udfør risikovurderinger og beskriv anbefalinger, som kan danne grundlag for beslutning.

En vurdering skal kunne føre til en beslutning

Billedet illustrerer Fase 2: Vurdering

Formålet med vurderingsaktiviteten i risikostyringen er at tilvejebringe et beslutningsgrundlag for risikohåndtering og risikoaccept. Når man vælger værktøjer til vurderingen, bør man have dette i fokus. En risikovurdering relateret til informationssikkerhed består grundlæggende af tre elementer:

  • En beskrivelse af et scenarie, der indebærer skade for aktiver
  • En afledt konsekvens (for virksomhed, de registrerede etc.)
  • En anslået sandsynlighed for at konsekvensen bliver til virkelighed.

Eksempel på risikoforståelsesmodel

Billedet illustrerer Fase 2: Vurdering

Vurderingsmetode

Man bør i sit valg af vurderingsmetode og værktøjer tage højde for:

  • At det er særdeles vanskeligt at vurdere sandsynligheden for hændelser, når erfaringsgrundlaget er lille, hvilket det typisk er. Det er lettere at forholde sig til trusler og sårbarheder end til sandsynlighed.
  • At der kan være vidt forskellige opfattelser af alvorligheden af de afledte konsekvenser af et risikoscenarie. Man bør derfor sikre konsensus om vurderingskriterierne, før man udfører vurderingerne. 
  • At en risikovurdering typisk vil have en stor usikkerhed på inputparametrene og en endnu større usikkerhed på resultatet. Anvend derfor fortrinsvis simple og gennemskuelige metoder og undgå komplicerede regnemodeller.

Udarbejdelse af konkrete anbefalinger til risikohåndtering og de dermed  forbundne omkostninger giver et bedre grundlag for beslutningstagerne at tage stilling ud fra. Man kan derfor med fordel lade indhentning af forslag til risikohåndtering indgå som et led i vurderingsprocessen. Der kan være behov for forskellige behandlingsveje og forskellige risikovurderingsmetoder i risikostyringsprocessen.

Eksempel, konkret anbefaling

Det anbefales, at risikoen for at medarbejdere klikker på phishing mails reduceres ved at uddanne medarbejderne i at identificere en phishing mail. Uddannelsen kan foretages i forbindelse med den årlige uddannelsesdag i informationssikkerhed. Hermed gennemføres aktiviteten indenfor det nuværende budget.

Casebeskrivelse:

Et eksempel på en sådan differentieret risikovurderingsproces finder man i ét ministeriums risikostyringsproces, hvor risici for informationssystemer vurderes med forskellige metoder baseret på systemets kritikalitet, og hvorvidt systemet indeholder persondata eller ej.

Case: Risikostyring i et departement

Organisation og governance

Departementet har valgt at supplere informationssikkerhedsudvalget med en risikostyregruppe, som er mere operationelt orienteret og mødes oftere end informationssikkerhedsudvalget. Risikostyregruppen, som har et vist personsammenfald med informationssikkerhedsudvalget gennemfører opfølgning på departementets risikoregister, på risikovurderinger og på besluttede handlingsplaner for risikohåndtering. Risikostyregruppen tager også stilling til nye og ændrede risici og rapporterer på disse til informationssikkerhedsudvalget samt udarbejder indstillinger til nye handlingsplaner for risikohåndtering.

Da risikostyregruppen har en højere mødefrekvens (månedligt) end informationssikkerhedsudvalget (kvartalsvist) giver dette en mere effektiv risikostyring og en hurtigere reaktion på udfordringer.

Risikoscreeningsmodel og differentierede vurderingsmetoder

Departementet anvender en risikovurderingsmetode hvor man på baggrund af et trusselskatalog vurderer de risici, de enkelte trusler udgør for departementets systemer.

Departementet har valgt at anvende en differentieret vurderingsmodel, så alle systemer bliver vurderet, men ikke ud fra de samme kriterier. Der gennemføres en screening af systemerne, som medfører at kritiske systemer eller systemer, der behandler kritiske informationer, gennemgår en mere udførlig vurdering med flere vurderingsparameter end mindre kritiske systemer.

På den måde fokuserer man risikovurderingsindsatsen på de systemer, hvor konsekvenserne kan være størst.