Hopp til hovedinnhold (trykk enter)
Arkivplan.no
Opp ett nivå
Printer-ikon Utskriftsvennlig versjon

Risikovurderinger

Kommunens overordnede prosedyre for gjennomføring av risikovurderinger.

Formål og omfang

Kommunen skal basere valg av sikkerhetstiltak på risikovurdering, det vil si på avdekket sannsynlighet for og konsekvens av sikkerhetsbrudd.

Formålet med risikovurdering er å sikre at den risiko som avdekkes ved behandling av personopplysninger er innenfor de akseptkriterier kommunen har fastlagt.

Risikovurderingen danner grunnlag for iverksetting av nødvendige sikkerhetstiltak, og inngår i underlaget for ledelsens gjennomgang av informasjonssystemet og informasjonssikkerheten.

Risikovurdering skal gi følgende resultat:

  • oversikt over identifiserte trusler
  • angivelse av sannsynlighet for at en uønsket hendelse kan inntreffe
  • angivelse av konsekvenser av en uønsket hendelse
  • oversikt og kontroll med restrisiko og grunnlag for håndtering av uakseptabel risiko
  • planer for videre håndtering av uakseptabel risiko

Ansvarlig

Den som er daglig ansvarlig etter personopplysningsloven, har på vegne av rådmann i kommunen ansvar for å iverksette risikovurdering.

Sikkerhetsansvarlig, IT-ansvarlig og daglig leder plikter å melde fra om behov for, og også initiere gjennomføring av risikovurdering.

Tidspunkt

Risikovurderinger skal gjennomføres årlig (før nye behandlinger av personopplysninger igangsettes, og ved større endringer som kan berøre informasjonssikkerheten, eksempelvis endringer i informasjonssystemet, flytting eller det generelle risikobildet).

Eksempler på endringer som ofte vil kreve ny risikovurdering:

  • organisasjonsendringer
  • ekstern overføring av nye typer opplysninger eller til nye partnere

Aktiviteter

Elementer som inngår i risikovurdering:

  • planlegging og oppstart av behandling av personopplysninger
  • beskrivelse og avgrensing av risikovurderingen
  • identifisering av hvor personopplysningene befinner seg i informasjonssystemet
  • identifisering av tiltak for sikring av personopplysningene
  • vurdering av trusler mot informasjonssikkerheten når det gjelder:
    1. Konfidensialitet
    2. Tilgjengelighet
    3. Integritet/kvalitet
  • vurdering av årsak og sannsynlighet til at en uønsket hendelse kan inntreffe
  • vurdering av konsekvens og følger en uønsket hendelse kan medføre
  • beskrivelse av risiko og ansvarsfordeling i risikohåndteringen
  • vurdering av hvorvidt den avdekkede risiko er innenfor akseptkriteriene
  • vurdering av sikkerhetstiltak

Restrisiko skal vurderes, håndteres og dokumenteres.

Rapportering

Resultat fra vurderingen rapporteres til IT-ansvarlig, sikkerhetsansvarlig og i årlige ledelsesgjennomganger.

Endring og godkjenning av prosedyren

Hovedregelen er at endring av prosedyrer gjøres årlig i tilknytning til Ledelsens gjennomgang.

Laster...