2. Vurdering

Udfør risikovurderinger og beskriv anbefalinger, som kan danne grundlag for beslutning.

En vurdering skal kunne føre til en beslutning

Billedet illustrerer Fase 2: Vurdering

Formålet med vurderingsaktiviteten i risikostyringen er at tilvejebringe et beslutningsgrundlag for risikohåndtering og risikoaccept. Når man vælger værktøjer til vurderingen, bør man have dette i fokus. En risikovurdering relateret til informationssikkerhed består grundlæggende af tre elementer:

  • En beskrivelse af et scenarie, der indebærer skade for aktiver
  • En afledt konsekvens (for virksomhed, de registrerede etc.)
  • En anslået sandsynlighed for at konsekvensen bliver til virkelighed.

Eksempel på risikoforståelsesmodel

Billedet illustrerer Fase 2: Vurdering

Vurderingsmetode

Man bør i sit valg af vurderingsmetode og værktøjer tage højde for:

  • At det er særdeles vanskeligt at vurdere sandsynligheden for hændelser, når erfaringsgrundlaget er lille, hvilket det typisk er. Det er lettere at forholde sig til trusler og sårbarheder end til sandsynlighed.
  • At der kan være vidt forskellige opfattelser af alvorligheden af de afledte konsekvenser af et risikoscenarie. Man bør derfor sikre konsensus om vurderingskriterierne, før man udfører vurderingerne. 
  • At en risikovurdering typisk vil have en stor usikkerhed på inputparametrene og en endnu større usikkerhed på resultatet. Anvend derfor fortrinsvis simple og gennemskuelige metoder og undgå komplicerede regnemodeller.

Udarbejdelse af konkrete anbefalinger til risikohåndtering og de dermed  forbundne omkostninger giver et bedre grundlag for beslutningstagerne at tage stilling ud fra. Man kan derfor med fordel lade indhentning af forslag til risikohåndtering indgå som et led i vurderingsprocessen. Der kan være behov for forskellige behandlingsveje og forskellige risikovurderingsmetoder i risikostyringsprocessen.