Foreslå håndtering av risikoer

Når det er gjennomført en risikovurdering, må det utarbeides forslag til hvordan de ulike risikoene kan håndteres. Sikkerhetstiltak for å redusere risiko er én av flere måter å håndtere risiko på.

Målgruppe

  • Prosessledere som skal lede arbeidet med å foreslå håndtering av risikoer

På denne siden

    Om metoden

    Denne framgangsmåten kan benyttes som utgangspunkt når man skal foreslå håndtering av risikoer. I praksis vil det ofte være en forlengelse av metoden for å gjennomføre risikovurderinger. Det er svært viktig at prosessleder klarer å tilpasse fremgangsmåten til det området og de risikoene som skal håndteres. Tilpasningen gjøres både med hensyn til objektet for den forutgående risikovurderingen og kompleksiteten i de enkelte risikoene. Prosessleder kan ved behov gjøre ting enklere eller gå mer detaljert til verks. Bruken av metoden bør også tilpasses ut fra hvilke lignende arbeid og vurderinger som er gjort tidligere.

    I tillegg til planlegging består metoden av åtte trinn.

    1. Etablere felles referanseramme
    2. Oppdatere analysen
    3. Identifisere aktuelle tiltak
    4. Vurdere risikoreduserende effekt, kostnad og negative sideeffekter
    5. Velge håndtering og estimere restrisiko
    6. Vurdere midlertidige tiltak
    7. Beskrive kvalitet og kunnskapsstyrke
    8. Utdype kostnadsestimat
    Internkontroll i praksis-informasjonssikkerhet: Foreslå håndtering av risiko- oversikt

    Trinn 2 til 6 gjennomføres i en gjentakende sekvens for én og én av risikoene fra risikovurderingen.

    Det kan ved komplekse risikoer være aktuelt å supplere med spesielle støttemetoder i arbeidet. Behovet må vurderes av prosessleder i dialog med deltakerne forøvrig og eventuelt oppdragsgiver. Støttemetoder er ofte standardiserte og vil normalt kreve metodisk spisskompetanse. Personer med slik kompetanse kan være fast deltaker i gruppen som gjør arbeidet, eller hentes inn ved behov.

    Forberedelser

    Forberedelser for deltakerne

    Dersom det er en stund siden den forutgående risikovurderingen ble gjennomført, eller dersom noen av deltakerne i arbeidet med å foreslå håndtering ikke deltok i risikovurderingen, bør deltakerne som en individuell forberedelse til første møte se over resultatet derfra.

    Deltakerne bør også på forhånd ha satt seg inn i sentrale begrep og tilnærminger i arbeidet med å foreslå håndtering av risikoer. Dette kan løses ved at de på forhånd får tilsendt en kort begrepsoversikt. Et eksempel som kan brukes som utgangspunkt kan lastes ned:

    Dialog med tiltaksleverandører

    Det er ofte nødvendig med dialog med tiltaksleverandører for å finne relevante tiltak i risikohåndteringen. En del kan løses gjennom rapporter og oversikter som virksomheten har fått utarbeidet i forkant om sårbarheter, fellessikring, tilleggssikring mv. Dette bør prosessleder eller andre i arbeidsgruppen ha oppdatert seg på.

    Dersom man har mulighet til å få tiltaksleverandører direkte med i hele eller deler av arbeidet med å foreslå håndtering, vil det forenkle dialogen. Prosessleder bør da først få gjort en grov analyse av de største risikoene etter risikovurderingen. Dersom enkelte tiltaksområder peker seg ut som spesielt sentrale, kan man forsøke å invitere med de mest sentrale tiltaksleverandørene i hele eller deler av arbeidet.

    Praktiske eller formelle forhold, slik som tid, kapasitet eller det at tiltaksleverandøren er ekstern, kan medføre at direkte involvering av tiltaksleverandører er vanskelig. Behov for direkte dialog må da skje skriftlig eller i egne møter underveis i arbeidet. Alternativt kan man prøve å få med andre med tilsvarende kompetanse.

    Anbefalt dokumentasjon

    Prosessleder må i dialog med oppdragsgiver avgjøre hvordan arbeidet og det samlede forslaget skal dokumenteres. Det er viktig å huske at man utarbeider et beslutningsgrunnlag som oppdragsgiver skal kunne ta stilling til og gå i dybden i ved behov. Omfanget av dokumentasjon bør som hovedregel tilpasses risikoenes størrelse og det behov oppdragsgiver kan ha for å hente frem og forstå arbeidet i etterkant, gjerne også etter lang tid. I tillegg må man følge de dokumentasjonskrav virksomheten eventuelt har etablert.

    Metoden inneholder et forslag til dokumentasjon. Forslaget innebærer at det utarbeides et kort risikohåndteringsnotat om arbeidet og anbefalingene. Notatet bør ikke være omfattende. Utdypninger bør i størst mulig grad ligge i vedlegg. Det gir både oversikt og fleksibilitet med hensyn til å gå i dybden.

    For enkelte kan det være hensiktsmessig at risikohåndteringsnotatet bare er en forlengelse av det risikonotatet man utarbeidet i den forutgående risikovurderingen.

    Metoden anbefaler bruk av et risikohåndteringsskjema og en kopi av det risikovurderingsskjemaet som ble benyttet i den forutgående risikovurderingen.

    Hvert trinn i metoden inneholder også en oppsummering av hva som bør dokumenteres etter trinnet. Samlet anbefales følgende:

    Et risikohåndteringsnotat med kort beskrivelse av

    • kobling til forutgående risikovurdering
    • deltakere og roller
    • eventuelle forhold ved estimat, valg og anbefalinger rundt enkelte tiltak og risikoer som beslutningstaker bør være spesielt oppmerksom på
    • metode- og tidsbruk
    • kvalitet i gjennomføringen
    • kunnskapsstyrke
    • oppsummering av kostnader ved anbefalte tiltak
    • begrunnelse for eventuelle behov for midlertidige tiltak

    Vedlegg til risikohåndteringsnotatet:

    • Et risikohåndteringsskjema med relevante tiltak for å håndtere de aktuelle risikoene, informasjon om vurderingene rundt tiltakene og en anbefaling av om tiltakene bør velges eller ikke
    • En kopi av risikovurderingsskjemaet fra den forutgående risikovurderingen der aktuelle risikoer har fått påført
      • tiltaksnumrene til de anbefalte tiltakene fra risikohåndteringsskjemaet
      • teksten «akseptere» dersom man ikke anbefaler tiltak
      • nytt estimat av konsekvens, sannsynlighet og restrisiko under forutsetning av at de anbefalte tiltakene iverksettes, eller at risikoen aksepteres uten nye tiltak
    • Utdypende analyser av risikoene der man har sett behovet for slike
    • Utdypende kost-/nyttevurderinger der man har sett behovet for slike
    • Konkrete kostnadsestimat på tiltakene der man har sett behovet for slike
    • Oversikt over forslag til eventuelle midlertidige tiltak

    Hjelp til gjennomføring

    Følgende kan benyttes som støtte i gjennomføringen:

    Visuelt skille mellom aktivitetene

    Trinn 1: Etablere felles referanseramme og begrepsforståelse

    Internkontroll i praksis-informasjonssikkerhet: Foreslå håndtering av risiko trinn 1 av 8

    1.1 Mål for trinnet

    Deltakerne i arbeidsgruppen er blitt kjent med hverandre og har fått en rimelig omforent forståelse for hva som skal gjøres, og rammene for arbeidet med å foreslå håndtering. Arbeidsgruppen har også en rimelig omforent forståelse av sentrale begrep i arbeidet med håndtering av risiko.

    1.2 Forberedelse

    Deltakerne bør i forkant av første arbeidsmøte:

    • oppdatere seg på virksomhetens policy for informasjonssikkerhet med hovedvekt på målene
    • oppdatere seg på virksomhetens føringer for håndtering av risiko
    • sette seg inn i et eget «Kunnskapsark» eller lignende, som beskriver sentrale begrep
    • ha oversikt over etablert fellessikring og tilgjengelig tilleggssikring
    • ved behov sette seg inn i resultatet av risikovurderingen som er gjennomført

    1.3 Fremgangsmåte

    Korte innlegg fra prosessleder og deltakerne kombineres med diskusjoner der det er nødvendig.

    Følgende tema bør være med:

    • Presentasjon av deltakerne
    • Rammene for arbeidet
    • Felles begrepsforståelse
    • Gjennomgang av risikovurderingen

    Omfang og tidsbruk må tilpasses erfaringsgrunnlaget til deltakerne. Målet er en rimelig omforent forståelse.

    De ulike temaene beskrives under.

    Presentasjon av deltakerne

    Dersom dette er en annen gruppe enn den som gjennomførte den forutgående risikovurderingen, bør arbeidet starte med en kort presentasjon av deltakerne, deres tilknytning til objektet i den bakenforliggende risikovurderingen og deres rolle i arbeidet som skal gjøres med å foreslå håndtering.

    Rammene for arbeidet

    Prosessleder bør orientere kort om bakgrunnen for arbeidet, hva som er gjort tidligere, og hovedtrekkene i det som skal gjøres nå.

    Felles begrepsforståelse

    Deltakerne bør avklare om de har en rimelig felles forståelse av sentrale grunnleggende begrep og tilnærminger i risikohåndteringen.

    Følgende bør gjennomgås:

    • Håndteringsalternativer
    • Formål med sikkerhetstiltak
    • Virkeområder for sikkerhetstiltak
    • Typer sikkerhetstiltak
    • Tiltaksområder
    • Effekt, kostnad og negative sideeffekter

    Eksempelet Begrep og tilnærminger i risikohåndteringen kan brukes som utgangspunkt for gjennomgangen.

    Gjennomgang av risikovurderingen

    Til sist i dette trinnet bør deltakerne raskt gå gjennom risikovurderingen som er utgangspunktet for arbeidet, og avklare overordnede ting som eventuelt er uklare. Dersom noen ikke var med på risikovurderingen, eller det er lenge siden den ble gjennomført, bør deltakerne på forhånd ha oppdatert seg på innholdet. Da kan de sammen med andre konsentrere seg om eventuelle uklarheter.

    Behovet for å avklare ting fra risikovurderingen vil variere. Avgjørende faktorer er omfanget av nye personer som involveres etter risikovurderingen, samt hvor lenge det er siden risikovurderingen ble gjennomført. Prosessleder må styre tidsbruken på avklaringen ut fra det. Forståelse eller detaljer rundt hver risiko tas ikke her. De kommer man tilbake til i neste trinn i metoden.

    1.4 Anbefalt dokumentasjon

    Risikohåndteringsnotat:

    • Kort beskrivelse av
      • kobling til forutgående risikovurdering
      • deltakere og roller
    Visuelt skille mellom aktivitetene

    Trinn 2: Oppdatere analysen

    Internkontroll i praksis-informasjonssikkerhet: Foreslå håndtering av risiko trinn 2 av 8

    2.1 Mål for trinnet

    Deltakerne i arbeidsgruppen har fått tilstrekkelig oversikt over årsaker og sammenhenger rundt den risikoen de ser nærmere på.

    2.2 Fremgangsmåte

    Før man starter med å identifisere aktuelle tiltak bør arbeidsgruppen

    • Gå igjennom risikobeskrivelsen og analysen gjort under risikovurderingen
    • Vurdere behov for grundigere analyse
    • Identifisere eventuelle nye vesentlige risikoer

    De ulike oppgavene beskrives under.

    Gjennomgang av risikobeskrivelse og analyse

    Deltakerne bør starte med en kort refleksjon over risikobeskrivelsen og analysen som ble gjort av den aktuelle risikoen under risikovurderingen. Dette kan i enkle tilfeller være nok til å få tilstrekkelig oversikt over årsaker og sammenhenger. Man kan da gå videre til neste trinn i metoden.

    Prosessleder bør samtidig være oppmerksom på at analyser i risikovurderinger ofte er blitt stoppet når man har et godt nok grunnlag til å estimere nivå på konsekvens og tilhørende sannsynlighet.

    Behov for grundigere analyse

    For å foreslå og velge hensiktsmessige tiltak vil det ofte være behov for en supplerende og litt grundigere analyse. Uten tilstrekkelig innsikt i årsaker og sammenhenger risikerer man at valgene i håndteringen blir tilfeldige og ikke godt nok tilpasset risikoen.

    I en supplerende analyse bør deltakerne ha fokus på å få innsikt i de egentlige årsakene til den eller de hendelsene som inngår i risikobeskrivelsen, samt sammenhengene i hendelseskjeder frem mot konsekvensen. En supplerende analyse kan gjennomføres som uformelle diskusjoner om årsaker og sammenhenger, eller ved bruk av formelle støttemetoder.

    Aktuelle spørsmål i diskusjonen kan være:

    • Aktuelle støttespørsmål i diskusjonen kan være:

    • Hvilken informasjon påvirkes av hendelsen?

    • På hvilken måte og hvor alvorlig påvirkes de?

    • Hvorfor er informasjonen behandlet slik at den kan bli utsatt for hendelsen?

    • Hvor ofte vet eller tror vi at hendelsen har skjedd før, og hvor ofte har den eventuelt fått den konsekvenstype og det konsekvensnivå vi nå ser på?

    • Ligger det spesielle farekilder bak hendelsen, og hva er de egentlige utløsende faktorer?

    • Ligger det uønskede tilsiktede handlinger bak hendelsen, og hvor stor er eventuell intensjon og kapasitet til relevante aktører inn mot den aktuelle informasjonen?

    • Hvilke kjedereaksjoner skjer eventuelt fra de utløsende faktorene og frem til informasjonen påvirkes?

    • Hvilke forebyggende, oppdagende og reagerende sikkerhetstiltak, som har betydning her, er allerede etablert underveis i hendelseskjeden?

    Det er ofte ikke nødvendig eller tidsmessig forsvarlig at de uformelle diskusjonene dokumenteres spesielt. Unntaket kan være ved moderate til store risikoer der sammenhengene er spesielt komplekse. For å lette historiske tilbakeblikk kan da årsaker, sammenhenger og resonnement med fordel beskrives kort i vedlegg til risikohåndteringsnotatet.

    Dersom man står overfor kombinasjonen av høy risiko og svært komplekse problemstillinger, bør prosessleder vurdere behovet for mer formelle støttemetoder i den supplerende analysen.

    De samme støttemetodene som var aktuelle under analysen i risikovurderingen, kan benyttes her. Det kreves ofte spesialkompetanse for å benytte slike metoder. Personer med slik spisskompetanse må inkluderes i arbeidet ved behov.

    Det kan i en del sammenhenger være nyttig at bruken av formelle støttemetoder bestemmes i dialog med deltakerne i arbeidet. Involvering av personer med spesialkompetanse bør normalt avklares gjennom dialog med oppdragsgiver.

    Identifisering av nye vesentlige risikoer

    I arbeidet med oppdatering av analysen kan det skje at deltakerne identifiserer nye, vesentlige risikoer som ikke var oppdaget i den forutgående risikovurderingen. De bør da som hovedregel analysere og evaluere disse på samme måte som under risikovurderingen, legge dem inn i dokumentasjonen på egnet måte og behandle dem videre i risikohåndteringen på linje med de opprinnelige risikoene.

    2.3 Anbefalt dokumentasjon

    Vedlegg til risikohåndteringsnotatet som inneholder eventuelle utdypende analyser.

    • Ved bruk av uformelle diskusjoner rundt moderate til store risikoer der sammenhengene er spesielt komplekse:
      • Kort beskrivelse av årsaker, sammenhenger og resonnement.
    • Ved bruk av formelle støttemetoder:
      • Dokumentasjon i henhold til metoden som benyttes.
    Visuelt skille mellom aktivitetene

    Trinn 3: Identifisere aktuelle tiltak

    Internkontroll i praksis-informasjonssikkerhet: Foreslå håndtering av risiko trinn 3 av 8

    3.1 Mål for trinnet

    Deltakerne har identifisert tiltak som kan være relevante i håndteringen av den aktuelle risikoen. Formålet med tiltakene er synliggjort, dvs. om det enkelte tiltaket handler om å unngå risiko, dele risiko eller redusere risiko
    gjennom å forebygge, oppdage eller reagere.

    3.2 Fremgangsmåte

    Identifisering av aktuelle tiltak bør skje som en strukturert idémyldring der prosessleder systematisk stiller deltakerne noen støttespørsmål. Analysen i forrige trinn bør bevisst brukes som bakteppe og grunnlag i idémyldringen. Resultatet bør dokumenteres i et risikohåndteringsskjema eller tilsvarende.

    Deltakerne bør bruke sin egen kunnskap og kreativitet når aktuelle tiltak for å fjerne eller redusere en risiko skal identifiseres. De kan også der det er hensiktsmessig finne støtte i ulike kilder. Dette kan for eksempel være

    • ideer som dukket opp under risikovurderingen, og som man har satt på en «huskeliste»
    • forslag om tiltak for den aktuelle risikoen fra samarbeidende systemutviklere, IKT-drift, bygningsansvarlige eller andre tiltaksleverandører man har dialog med
    • generelle oversikter fra interne og eksterne tiltaksleverandører over aktuell tilleggssikring
    • tiltaksbanker som for eksempel Annex A i NS-ISO/IEC 27001 og faktaark fra Norm for informasjonssikkerhet i helsesektoren

    Prosessleder bør på forhånd ha tenkt gjennom hvordan arbeidsgruppen rent praktisk og på en effektiv måte skal benytte slike kilder. De som bruker kildene, bør kjenne dem og raskt kunne «slå opp» på riktig sted. Å lete uten kjennskap til kildene vil ofte skape en dårlig prosess under identifiseringen.

    Idemyldring med støttespørsmål

    Her presenteres et forslag til støttespørsmål. De ulike delspørsmålene kan benyttes ved behov. Vi presiserer at delspørsmålene er utgangspunkt som prosessleder bør tilpasse til både konteksten og risikoen som skal håndteres. Delspørsmålene kan også gi prosessleder inspirasjon til å finne egne spørsmål selv.

    Det vil ofte være best å systematisk gå gjennom alle hovedspørsmålene. Dette sikrer en bred og åpen vurdering av aktuelle tiltak. Man bør likevel være pragmatisk og ikke bruke mer tid enn nødvendig. I noen tilfeller kan dessuten det ene «rette» tiltaket være rimelig innlysende.

    Samtidig må man være oppmerksom på kompliserte problemstillinger, spesielt når den aktuelle risikoen innebærer store konsekvenser. Det kan da være behov for å bruke ekstra tid på å vurdere hvilke muligheter som finnes for å håndtere risikoen. Virksomhetens kriterier for å akseptere risiko kan også gi føringer på ressurs- eller tidsbruken i arbeidet med å foreslå tiltak, for eksempel ut fra risikoenes størrelse eller konsekvensens karakter.

    Forslagene som er kommet opp i idémyldringen bør sorteres. De som virker helt urealistiske eller med stor sannsynlighet har lav effekt, kan strykes. Forslag som kan være realistiske og som anses å kunne ha moderat til høy innvirkning på risikoen, bør føres inn i et risikohåndteringsskjema. Dette er tiltak som skal vurderes nærmere i neste trinn i metoden.

    1. Har vi allerede relevante tiltaksforslag?

    Dette hovedspørsmålet kan også stilles slik:

    • Har vi allerede tiltaksforslag på andre risikoer som også virker vesentlig inn på den risikoen vi ser på nå?

    Spørsmålet er ikke aktuelt på den første risikoen som er til vurdering, men aktuelt for alle senere risikoer. Ulike tiltak kan ha vesentlig innvirkning på flere risikoer.

    1. Kan vi unngå risikoen?

    Aktuelle delspørsmål kan være:

    • Hvor viktig er oppgaven som ligger bak informasjonsbehandlingen og risikoen?

    • Kan vi la være å gjøre oppgaven?

    • Kan arbeidet som skal gjøres tilrettelegges annerledes slik at risikoen unngås?

    • Kan hele eller deler av oppgaven eller informasjonsbehandlingen gjennomføres på en annen måte eller med andre hjelpemidler for den aktuelle informasjonen?

    1. Er det mulig å dele risikoen med noen?

    Aktuelle delspørsmål kan være:

    • Kan vi kjøpe forsikring slik at risikoen forsvinner eller blir mindre?

    • Kan vi tjenesteutsette noe og inngå tjenestenivåavtaler (SLA), slik at vi kan få økonomisk erstatning som kan fjerne eller redusere risikoen?

    • Kan avtaleendring være aktuelt slik at ansvaret forskyves?

    1. Kan vi redusere risikoen?

    Her kan man med fordel ha en tredelt tilnærming videre for å dekke både det å forebygge, oppdage og reagere på uønskede hendelser. Delspørsmålene kan også ofte med fordel direkte eller indirekte knyttes til ulike steder i hendelseskjeden fra analysen i forrige trinn. Det vil være der tiltakene kan iverksettes.

    I første omgang kan aktuelle delspørsmål være:

    • Forebygge: Er det mulig å vesentlig redusere sannsynligheten for at hendelsen(e) skal skje?

    • Oppdage: Er det mulig å identifisere bedre, eller tidligere, at hendelsen(e) har skjedd, eller er i ferd med å skje, slik at konsekvensen, eller sannsynligheten for denne konsekvensen, kan reduseres?

    • Reagere: Er det mulig å iverksette tiltak etter at hendelsen(e) har skjedd, slik at konsekvensen kan unngås, eller at sannsynligheten for denne konsekvensen kan reduseres?

    For hvert av delspørsmålene til «Kan vi redusere risikoen?» kan utvalgte deler av følgende stegvise tilnærming være nyttig som supplement:

    • Hvilke tiltaksområder kan vi se ut fra analysen i forrige trinn?

    • Hvilke tiltakstyper kan være relevante?

    • Hva er eventuelt spesifikke sikkerhetstiltak innen disse områdene og tiltakstypene?

      • Kom det opp aktuelle forslag under risikovurderingen som vi har hatt liggende i en «huskeliste»?

      • Har tiltaksleverandørene forslag til tilleggssikring?

      • Kan et tiltak være å be tiltaksleverandørene redusere sårbarheten på bestemte områder?

      • Finnes det tiltak som oppgaveeier/systemeier selv kan etablere eller gjennomføre?

      • Finnes det relevante sikkerhetstiltak i kjente tiltaksbanker?

      • Har deltakerne andre ideer ut fra sin kunnskap og erfaring?

    1. Kan vi fjerne eller endre sikkerhetstiltak?

    Som et siste punkt i identifiseringen av tiltak bør deltakerne kort diskutere om det er eksisterende sikkerhetstiltak i tilknytning til denne risikoen som kan fjernes eller endres. Dette kan være sikkerhetstiltak som synes å ha liten virkning på både denne og andre risikoer, samtidig som de har vesentlige negative sideeffekter eller direkte økonomiske driftskostnader.

    3.3 Dokumentasjon i risikohåndteringsskjema

    Vi har laget en mal for et risikohåndteringsskjema som kan benyttes i arbeidet med å foreslå håndtering av risiko. Hvert forslag beskrives kort. Ved eventuelt behov for mer utfyllende beskrivelser kan man legge dette i et vedlegg.

    Vi anbefaler at man for hvert forslag også angir formålet. Dette er nyttig for forståelsen i det videre arbeidet. Man kan for eksempel benytte kodene

    • U for unngå risiko
    • D for dele risiko
    • F for forebygge, for å redusere risiko
    • O for oppdage, for å redusere risiko
    • R for å reagere, for å redusere risiko
    • E for endre eller fjerne sikkerhetstiltak som trolig ikke er nødvendig

    I tillegg anbefaler vi at man for hvert tiltak har en henvisning til den aktuelle risikoen fra risikovurderingen, med risikonivå. På den måten dokumenteres sammenhengen mellom den enkelte risiko og de tiltak som vurderes. I tillegg beholder man enkelt oversikt over den aktuelle risikoens størrelse og dermed viktigheten av tiltak.

    Dersom et aktuelt tiltak allerede er ført inn i risikohåndteringsskjemaet med utgangspunkt i en annen risiko, foreslår vi at man registrere øvrige risikoer og risikonivåer på samme sted. Slik synliggjør man at tiltaket også virker inn på flere risikoer.

    3.4 Anbefalt dokumentasjon

    Vedlegg til risikohåndteringsnotatet:

    • Oppdatert risikohåndteringsskjema med relevante tiltak for denne risikoen. For hvert tiltak bør følgende fremgå:
      • navn / kort beskrivelse
      • formål
      • henvisning til risiko og risikonivå fra risikovurderingen
    Visuelt skille mellom aktivitetene

    Trinn 4: Vurdere risikoreduserende effekt, kostnad og negative sideeffekter

    Internkontroll i praksis-informasjonssikkerhet: Foreslå håndtering av risiko trinn 4 av 8

    4.1 Mål for trinnet

    Deltakerne har fått en grov oversikt over

    • hvor stor risikoreduserende effekt de tiltakene man har identifisert kan ha på den aktuelle risikoen
    • nivået på direkte økonomiske kostnader på hvert tiltak
    • nivået på eventuelle negative sideeffekter av hvert tiltak

    4.2 Fremgangsmåte

    For hvert av tiltakene for en risiko skal man nå vurdere og anslå et nivå for

    • risikoreduserende effekt
    • direkte økonomisk kostnad
    • negative sideeffekter

    Man bør ta for seg tiltakene fortløpende. I dette trinnet kan man nøye seg med en grovvurdering i nivåene høy, moderat og lav for hvert av elementene. Støtte til vurderingen er beskrevet under.

    Deltakerne bør forsøke å diskutere seg frem til enighet på nivåene. Diskusjonen er i seg selv ofte viktig for å forstå hvordan tiltakene virker. Man må samtidig huske at dette er grovvurderinger, og tilpasse diskusjonsomfanget til det.

    Nivåene man konkluderer med føres inn i risikohåndteringsskjemaet på det relevante tiltaket.

    Når man vurderer negative sideeffekter, anbefaler vi at man ved behov noterer noen stikkord for å forklare valgt nivå. Dette er spesielt aktuelt dersom nivået er høyt uten at årsaken er umiddelbart forståelig for de fleste. Det kan som minimum være nyttig å nevne hvilke områder som blir påvirket negativt.

    Vurder risikoreduserende effekt

    Man bør først vurdere forventet risikoreduserende effekt av tiltaket, det vil si i hvilken grad tiltaket påvirker den aktuelle risikoen. Vi anbefaler å bruke

    • H for høy effekt dersom tiltaket alene vil medføre at nivået på konsekvens eller sannsynlighet går minst ett nivå ned på en av skalaene
    • M for moderat effekt dersom tiltaket alene vil ha vesentlig innvirkning på risikoens konsekvens eller sannsynlighet, men ikke alene medføre en endring på minst ett nivå på en av skalaene
    • L for lav effekt dersom tiltaket etter en nærmere vurdering ikke anses å ha vesentlig innvirkning på risikoens konsekvens eller sannsynlighet

    Vurder direkte økonomisk kostnad

    Man bør deretter vurdere direkte økonomisk kostnad ved tiltaket, både i investering og årlig drift. På dette tidspunktet er det tilstrekkelig med kategoriene høy, moderat og lav. Kostnadene kan ved behov konkretiseres i tall i trinn 8 – Utdype kostnadsestimat.

    Oppdragsgiver kan her ha gitt føringer for når de ulike kategoriene skal benyttes. Dersom slike føringer ikke er gitt, anbefaler vi at man bruker

    • H for høy kostnad dersom det er forventet at tiltaket krever egen budsjettmessig behandling og prioritering på et ledernivå over oppdragsgiver eller tiltaksansvarlig
    • M for moderat kostnad dersom det er forventet at tiltaket krever egen budsjettmessig behandling og prioritering innenfor oppdragsgivers eller tiltaksansvarliges ordinære budsjettramme
    • L for lav kostnad dersom det er forventet at tiltaket ikke krever egen budsjettmessig behandling og prioritering, men kan gjennomføres som et ordinært forbedringstiltak innenfor tildelte rammer

    Vurder negative sideeffekter

    Til sist bør deltakerne kort diskutere om og i hvilken grad tiltaket får sideeffekter i form av negativ innvirkning på områdene

    • primær måloppnåelse
    • virksomhetens effektivitet
    • arbeidssituasjonen til de ansatte
    • etterlevelse av lover og regler
    • andre risikoer

    Vi anbefaler at man bruker

    • H for høy på negative sideeffekter dersom tiltaket
      • skaper vesentlige ulemper for måloppnåelse, effektivitet eller ansattes arbeidssituasjon
      • medfører klare brudd på lover og regler
      • medfører at andre risikoer øker til store eller svært store
    • M for moderat på negative sideeffekter dersom tiltaket
      • skaper merkbare ulemper for måloppnåelse, effektivitet eller ansattes arbeidssituasjon
      • medfører stor sannsynlighet for brudd på lover og regler
      • medfører at andre risikoer øker fra lavt til moderat nivå
    • L for lav på negative sideeffekter dersom tiltaket
      • ikke skaper vesentlige ulemper for måloppnåelse, effektivitet eller ansattes arbeidssituasjon
      • ikke gir økt fare for brudd på lover og regler
      • ikke gir vesentlig endring av andre risikoer

    4.3 Anbefalt dokumentasjon

    Vedlegg til risikohåndteringsnotatet:

    • Oppdatert risikohåndteringsskjema med vurderingsresultat for hvert av tiltakene som er aktuelle for denne risikoen. For hvert tiltak bør nivåene på følgende fremgå:
      • risikoreduserende effekt
      • direkte økonomisk kostnad
      • negative sideeffekter (kan gjerne utdypes med stikkordsmessig beskrivelse)
    Visuelt skille mellom aktivitetene

    Trinn 5: Velge håndtering og estimere restrisiko

    Internkontroll i praksis-informasjonssikkerhet: Foreslå håndtering av risiko trinn 5 av 8

    5.1 Mål for trinnet

    Deltakerne skal ha

    • valgt de beste tiltakene eller den beste kombinasjonen av tiltak, alternativt anbefale at risikoen aksepteres uten ytterligere tiltak
    • synliggjort estimert restrisiko dersom forslaget blir fulgt
    • synliggjort eventuelle forhold ved valg og anbefalinger som beslutningstaker bør være spesielt oppmerksom på

    5.2 Fremgangsmåte

    De tiltakene man har identifisert og vurdert, må nå ses i sammenheng. De beste tiltakene eller den beste kombinasjonen skal velges. De kriterier virksomhetsledelsen har besluttet for å akseptere risiko, er førende for valgene og for hvor omfattende prosessen må være.

    Arbeidsgruppen skal i dette trinnet velge eller avvise tiltak, og dokumentere konklusjonene som tas. Grunnlaget for valg av tiltak er normalt kost/nytte-vurderinger av tiltakene. Kost/nytte-vurderinger og sentrale førende beslutningsprinsipp, er kort utdypet nedenfor.

    Velge eller avvise tiltak

    Deltakerne bør i dette trinnet velge eller avvise tiltak ved å se på ulike kombinasjoner av nivåene man har estimert for risikoreduserende effekt, direkte økonomisk kostnad og negative sideeffekter. Ved behov må grundigere kost/nytte-vurderinger gjennomføres. Ulike tiltak kan supplere hverandre eller være alternativ til hverandre. Dette må man være spesielt oppmerksom på i vurdering og valg.

    Vurderingsprosess

    Følgende prosess kan benyttes som utgangspunkt eller støtte i vurderingen av hvilke tiltak som skal velges, og dermed foreslås. Valgene i prosessen er tilpasset positiv kost/nytte som beslutningsprinsipp. Dersom andre prinsipp skal legges til grunn for valget vil dette påvirke hvordan vurderingene gjøres. Dette bør være dokumentert i virksomhetens føringer for arbeidet med informasjonssikkerhet.

    Høy/moderat effekt, lave kostnader og lite sideeffekter

    For hver risiko vurderes først tiltak med høy eller moderat risikoreduserende effekt, lav direkte økonomisk kostnad og lavt nivå på negative sideeffekter. Dersom alle disse supplerer hverandre, velges alle. Dersom noen er alternative tiltak, velges de med lavest kostnad eller sideeffekt. Alternativene anses da ikke lenger som aktuelle.

    Foreta deretter en vurdering av hvordan de valgte tiltakene samlet påvirker konsekvens, sannsynlighet og restrisiko på den aktuelle risikoen. Juster eventuelt hvilke tiltak som velges, dersom ikke alle er nødvendig for å nå virksomhetens kriterier for å akseptere risiko. Det vil normalt ikke være nødvendig med egne kost/nytte-vurderinger for denne gruppen tiltak. En positiv kost/nytte ligger implisitt i utvalget.

    Høy/moderat effekt, moderate kostnader og/eller moderate sideeffekter

    Dersom det er nødvendig for å nå virksomhetens kriterier for å akseptere risiko, vurderes neste gruppe av tiltak. Vurder da tiltak med høy eller moderat risikoreduserende effekt og moderat direkte økonomisk kostnad eller moderate negative sideeffekter.

    Dersom den risikoreduserende effekten av disse, i tillegg til effekten av dem man allerede har valgt, overstiger direkte økonomisk kostnad eller negative sideeffekter, velges også disse tiltakene. Man må her skjønnsmessig vurdere behovet for mer detaljerte kost/nytte-vurderinger.

    Foreta på nytt en vurdering av hvordan alle tiltakene man til nå har valgt påvirker konsekvens, sannsynlighet og restrisiko på den aktuelle risikoen. Juster eventuelt også her hvilke av de siste tiltakene som velges, dersom ikke alle er nødvendig for å nå virksomhetens kriterier for å akseptere risiko.

    Høy/moderat effekt, høy kostnad og/eller store sideeffekter

    Dersom det fremdeles er nødvendig for å nå virksomhetens kriterier for å akseptere risiko, vurderes neste gruppe. Vurder da tiltak med høy eller moderat effekt og høy økonomisk kostnad eller sideeffekter. Følg samme prosedyre som på gruppen foran. Her vil det ofte være behov for egne kost/nytte-vurderinger for de enkelte tiltakene. Detaljeringsnivå må avgjøres skjønnsmessig.

    Lav effekt

    Det man sitter igjen med, er tiltak med lav risikoreduserende effekt. Dette er tiltak man i nivåvurderingen kom frem til ikke hadde vesentlig innvirkning på risikoens konsekvens eller sannsynlighet. Det vil derfor normalt ikke være aktuelt å anbefale disse.

    Oppdatering av risikohåndteringsskjemaet

    Etter hvert som man konkluderer på et tiltak, må man oppdatere risikohåndteringsskjemaet med informasjon om tiltaket blir anbefalt eller ikke. For å være tydelig i kommunikasjonen til beslutningstaker kan man ved behov supplere med en kort begrunnelse for anbefalingen. Dette kan for eksempel være «kost/nytte», «ALARP» («as low as reasonably practicable» – så lavt som praktisk mulig) eller andre stikkord.

    Dersom det er tydelig hvem som bør være ansvarlig for utforming av et anbefalt tiltak, kan dette med fordel føres på risikohåndteringsskjemaet.

    Dersom man etter å ha fulgt denne metoden ikke er kommet frem til aktuelle tiltak, må oppdragsgiver, eller den beslutningstaker som har myndighet til det, vurdere om risikoen skal aksepteres uten flere tiltak.

    Oppdatering av risikovurderingsskjemaet

    Når man har tatt stilling til alle tiltakene for en risiko og avgjort om de skal foreslås eller ikke, bør man legge inn i risikovurderingsskjemaet hvilke tiltak som foreslås for den aktuelle risikoen.

    Deltakerne må deretter estimere ny konsekvens, sannsynlighet og restrisiko på den aktuelle risikoen. Dette gjøres på samme måte som under analysen i risikovurderinger. De nye estimatene skal imidlertid baseres på forutsetningen om at de foreslåtte tiltakene blir iverksatt.

    Eventuelle spesielle forhold?

    Til sist i dette trinnet bør man vurdere om det er forhold ved estimat, valg og anbefalinger rundt tiltakene og denne risikoen som beslutningstaker bør være spesielt oppmerksom på. Slike forhold bør eventuelt kommenteres kort i selve risikohåndteringsnotatet.

    5.3 Kost/nytte-vurderinger og beslutningsprinsipp

    Kost/nytte-vurderinger kan gjennomføres overordnet og enkelt på oversiktlige problemstillinger med lav til moderat kostnad og sideeffekter. De bør i større grad gjennomføres systematisk og faglig ved store risikoer, kompliserte sammenhenger og større kostnader eller sideeffekter.

    Behovet for systematikk, detaljeringsnivå og dokumentasjon må avgjøres skjønnsmessig. Det er avhengig av hvor enkelt beslutningstaker kan se svaret, hvor store kostnader som er involvert, og hvilke prinsipp som skal følges i valget.

    De konkrete valgene av om tiltak skal foreslås eller ikke, skal gjøres ut fra et rent kost/nytte-prinsipp, et ALARP-prinsipp eller lignende, avhengig av hva virksomhetsledelsen har besluttet for den type risiko som er til vurdering. Dette bør være nedfelt i virksomhetens overordnede styrende dokumenter.

    5.4 Anbefalt dokumentasjon

    Oppdatert risikohåndteringsnotat

    • Eventuelle forhold ved estimat, valg og anbefalinger rundt enkelte tiltak og den aktuelle risikoen som beslutningstaker bør være spesielt oppmerksom på

    Vedlegg til risikohåndteringsnotatet:

    • Oppdatert risikohåndteringsskjema
      • med anbefaling (ja eller nei) for hvert av tiltakene som var aktuelle for den risikoen som vurderes. Anbefalingen kan ved behov suppleres med en kort stikkordsmessig begrunnelse
      • forslag til tiltaksansvarlig dersom det er klart hvem dette er
    • Oppdatert kopi av risikovurderingsskjemaet der den aktuelle risikoen får påført
      • tiltaksnumrene til de anbefalte tiltakene i risikohåndteringsskjemaet
      • teksten «akseptere» dersom man ikke anbefaler tiltak
      • nytt estimat av konsekvens, sannsynlighet og restrisiko
    • Utdypende kost/nytte-vurderinger der man har sett behovet for å utarbeide slike
    Visuelt skille mellom aktivitetene

    Trinn 6: Vurdere midlertidige tiltak

    Internkontroll i praksis-informasjonssikkerhet: Foreslå håndtering av risiko trinn 6 av 8

    6.1 Mål for trinnet

    Deltakerne har vurdert behov og muligheter for eventuelle midlertidige tiltak.

    6.2 Fremgangsmåte

    Dersom området som vurderes ikke er i drift, men kun planlegges, kan man hoppe over dette trinnet.

    Dersom området derimot er i drift bør deltakerne vurdere om det er behov og muligheter for midlertidige tiltak. Dette bør vurderes dersom det trolig vil ta vesentlig tid før de foreslåtte tiltakene kan være på plass.

    De mest aktuelle midlertidige tiltakene vil ofte være tiltak man tidligere har identifisert med moderat til stor risikoreduserende effekt, men som man har avvist fordi de gir store uheldige sidevirkninger.

    Som midlertidige tiltak for en avgrenset periode kan vurderingen og konklusjonen være en annen. Sideeffektene kan i større grad aksepteres når tidsperioden er midlertidig og forholdsvis kort. Også andre tiltak som har vært fremme i diskusjonen, men blitt avvist, kan peke seg ut som akseptable midlertidige tiltak.

    Foreslår man midlertidige tiltak, bør man også si noe om hvor lenge midlertidigheten maksimalt bør vare. Glir slike tiltak over til å bli permanente, vil det ofte representere et brudd på kriteriene ledelsen har gitt for å akseptere risiko.

    6.3 Anbefalt dokumentasjon

    Oppdatert risikohåndteringsnotat

    • Sentral begrunnelse for eventuelt behov for midlertidige tiltak

    Vedlegg til risikohåndteringsnotatet:

    • Oversikt over konkrete forslag til eventuelle midlertidige tiltak
    Visuelt skille mellom aktivitetene

    Trinn 7: Beskrive kvalitet og kunnskapsstyrke

    Internkontroll i praksis-informasjonssikkerhet: Foreslå håndtering av risiko trinn 7 av 8

    7.1 Mål for trinnet

    Deltakerne har sagt noe til beslutningstaker om kvaliteten på arbeidet og kunnskapsstyrken bak de nye estimatene på restrisiko.

    7.2 Fremgangsmåte

    Når alle risikoer er behandlet, bør man til slutt si noe overordnet om

    • kvaliteten på arbeidet
    • kunnskapsstyrken bak estimatene på restrisiko

    Kvalitet

    Kvaliteten kan beskrives ved å kort gjøre rede for

    • hvilke metoder man har brukt
    • tidsbruk
    • en skjønnsmessig vurdering av hva som var bra med gjennomføringen, og hva som med fordel kunne vært gjort bedre eller grundigere.

    Kunnskapsstyrke

    Kunnskapsstyrke er et uttrykk for hvor god bakgrunnskunnskap man har når man vurderer en risiko og estimerer potensiell konsekvens og tilhørende sannsynlighet.

    Sentrale element i kunnskapsstyrken er kompetansen til deltakerne og grundigheten i analysene som er gjort. Kompetansen omfatter blant annet deltakernes samlede

    • kjennskap til objektet som vurderingen gjelder
    • fagkompetanse om håndtering av de typer uønskede hendelser som inngår i risikoen
    • analysekompetanse
    • forståelse for estimering av konsekvens og tilhørende sannsynlighet

    Det kan være hensiktsmessig å gradere kunnskapsstyrken i kategoriene svak, middels og sterk. Nivået man setter på kunnskapsstyrken, bør samsvare med den usikkerhet man har rundt sannsynlighetsestimatet.

    Det vil i mange sammenhenger være hensiktsmessig at man først estimerer kunnskapsstyrken med et fellesnivå for alle eller de fleste restrisikoer. I tillegg bør man alltid vurdere om kunnskapsstyrken bak enkelte risikoer skal estimeres og kommuniseres spesielt. Dette vil være aktuelt dersom de avviker vesentlig fra kunnskapsstyrken generelt.

    7.3 Anbefalt dokumentasjon

    Oppdatert risikohåndteringsnotat

    • Metode- og tidsbruk
    • Kvalitet i gjennomføringen
    • Kunnskapsstyrke
    Visuelt skille mellom aktivitetene

    Trinn 8: Utdype kostnadsestimat

    Internkontroll i praksis-informasjonssikkerhet: Foreslå håndtering av risiko trinn 8 av 8

    8.1 Mål for trinnet

    De direkte kostnadene ved investering og drift av de foreslåtte tiltakene er estimert i tallstørrelser og ikke kun i kategorier som i trinn 4.

    8.2 Forberedelser

    Prosessleder, eventuelt i samråd med deltakerne og oppdragsgiver, må ta stilling til hvem som skal utføre de konkrete kostnadsestimatene. Det kan være hensiktsmessig at de gjennomføres av noen færre enn de som har deltatt i arbeidet for øvrig. Alternativt kan man engasjere noen eksterne for å gjennomføre dem. Estimatene kan ved behov gjennomføres av flere aktører.

    8.3 Fremgangsmåte

    Beslutningstaker har som oftest behov for konkrete kostnadsestimater for å kunne ta sin beslutning. I dette trinnet skal man estimere de direkte kostnadene til de foreslåtte tiltakene. Det kan være hensiktsmessig å basere arbeidet på kostnadskategoriene fra trinn 4: lav, høy og moderat. Noen av tiltakene vil allerede ha kostnadsestimat fra egne kost/nytte-vurderinger i trinn 4. Disse gjenbrukes da her.

    Kostnadskategorien Lav

    Det kan være hensiktsmessig å estimere kostnadene samlet for tiltak i kostnadskategorien lav. Man får da to samlesummer for denne gruppen: investering og drift. Oppdragsgiver kan imidlertid ha gitt andre føringer.

    Kostnadskategorien Høy

    Tiltak i kostnadskategorien høy bør normalt få estimert kostnader for henholdsvis investering og drift for hvert enkelt tiltak. Resultatet av slike kostnadsestimat bør legges inn i risikohåndteringsskjemaet tilknyttet de aktuelle tiltakene. Man kan benytte en ekstra linje under det tidligere estimerte kostnadsnivået.

    Kostnadskategorien Moderat

    For tiltak i kostnadskategorien moderat bør man skjønnsmessig vurdere om disse skal estimeres samlet som for tiltak med lave kostnader, eller individuelt som for dem med høye kostnader. Oppdragsgivers eventuelle føringer vil også her ha betydning.

    Til slutt må man vurdere hvordan kostnadene samlet skal presenteres på en oversiktlig måte i risikohåndteringsnotatet. Fordelingen på investeringskostnader og driftskostnader bør som minimum synligjøres.

    Når estimatene er ferdige bør alle deltakerne i det samlede arbeidet få se dem og eventuelt komme med synspunkt, før det endelige notatet går til beslutningstaker.

    8.4 Anbefalt dokumentasjon

    Oppdatert risikohåndteringsnotat

    • Oppsummering av investeringskostnader og driftskostnader ved anbefalte tiltak

    Vedlegg til risikohåndteringsnotatet:

    • Oppdatert risikohåndteringsskjema med investerings- og driftskostnader på de tiltak der dette er estimert individuelt
    • Konkrete kostnadsestimat der disse er utført

    På denne siden