Trinn 2 handler om å vurdere hvilket konsekvensnivå et eventuelt brudd på konfidensialitet, integritet og tilgjengelighet kan medføre.
Utgangspunktet for vurderingen er oppgavene og tjenestene kartlagt i Trinn 1, og/eller fellessystemer som benyttes i informasjonsbehandlingen.
Dette trinnet er delt opp i to deler, en for risikoeiere og en for systemeiere fellessystem. Delene bygger på hverandre ved at risikoeierne først vurderer informasjonen som behandles i oppgavene og tjenestene, og hvor store konsekvenser brudd på informasjonssikkerheten kan få. Deretter bruker systemeierne denne vurderingen som grunnlag for vurdering av fellessystem.
Vi anbefaler å benytte malen «MAL Foranalyse Trinn 2 - Konsekvensnivå (Risikoeier)» eller «MAL Foranalyse Trinn 2 – Konsekvensnivå (Systemeier fellessystem)» i utførelsen dette trinnet, avhengig av hvem som gjennomfører vurderingen. Malene gir støtte til å identifisere viktigheten av ulike oppgaver og tjenester, hjelpemidler og systemer med hensyn til mulige brudd på konfidensialitet, integritet og tilgjengelighet.
Vurdering av høyeste konsekvensnivå for oppgaver og tjenester
Alle organisatoriske enheter rundt om i virksomheten bør gjennomføre dette arbeidet. Det vil ofte være naturlig å velge det samme organisatoriske nivå som man valgte for foranalysen Trinn 1.
I tillegg bør systemeiere for fellessystemene i virksomheten gjennomføre en slik vurdering. Grunnlaget for deres arbeid er vurderingene risikoeierne rundt om i virksomheten har gjort av sine oppgaver og tjenester, og bruk av hjelpemidler og system. Systemeiere fellessystem må derfor ha tilgang til risikoeiernes vurderinger. I tillegg til støtte i vurdering av viktigheten av fellessystemene de er systemeiere for, vil en slik tilgang gi nyttig innsikt i hvem og hvilke oppgaver som er spesielt viktige brukere av fellessystemet.
Grunnlaget for vurderingene er informasjonsbehandlingen i oppgavene. Oppgaver, tjenester og informasjonstyper bør være kartlagt og foranalysens Trinn 1. Vurderingsskjemaet derfra bør brukes som støtte her.
Arbeidet i trinn 2 går ikke på de enkelte informasjonstypene, men på oppgavene og tjenestene som behandler informasjonen, og på system og sentrale hjelpemidler som benyttes i informasjonsbehandlingen.
Ta utgangspunkt i oppgavene og tjenestene identifisert i Trinn 1, og gjør en vurdering av hver oppgave.
Høyeste konsekvensnivå
Høyeste konsekvensnivå er det høyeste nivået på konsekvenser som man med en viss grad av sannsynlighet må regne med kan inntreffe. Urealistiske utfall holdes utenfor. Vurderingen skal skje opp mot de konsekvensnivå med tilhørende normering som virksomheten skal benytte ved risikovurderinger.
Første del – Risikoeiers vurdering av høyeste konsekvensnivå
Risikoeier bør først vurdere høyeste konsekvensnivå ved oppgaven eller tjenesten samlet. Deretter kan man vurdere de hjelpemidler/utstyr og felles IKT-systemer som benyttes i denne oppgaven. Hvorvidt høyeste konsekvensnivå er det samme som for oppgaven samlet kommer an på hvilken informasjon som faktisk behandles i disse hjelpemidlene og systemene, samt omfang (volum).
Dersom det er forskjell på høyeste konsekvensnivå samlet for oppgaven, og for enkelte hjelpemidler, bør begrunnelsen for dette dokumenteres. I en oppgave eller tjeneste der e-post benyttes kan for eksempel begrunnelsen være "Brukes ikke til taushetspliktig info". Det vil forklare et lavere konsekvensnivå på konfidensialitet på E-post, enn det som eventuell er gitt på selve oppgaven som har taushetspliktig info.
Andre del – Systemeier fellessystems vurdering av høyeste konsekvensnivå
Systemeier fellessystem skal som hovedregel basere seg på de vurderinger som er gjort av risikoeierne som benytter fellessystemene. De skal alltid selv vurdere om et stort volum fra mange risikoeiere kan medføre et høyere konsekvensnivå enn den enkelte risikoeier signaliserer. Systemeier kan også ved behov dele eget system opp i mindre deler som vurderes for seg. Ved usikkerhet knyttet til noen av vurderingene, eller andre behov for avklaringer, skal aktuelle risikoeiere og fagansvarlig involveres.
Dersom konsekvensnivået heves på grunn av stort volum fra mange risikoeiere, bør dette dokumenteres. Et eksempel kan være ID på de organisatoriske enhetene som benytter fellessystemene, samt eventuelt spesielle forhold knytte til fastsettelse av høyeste konsekvensnivå på konfidensialitet, integritet og tilgjengelighet.
Oppsummering for alle oppgavene/tjenestene
Dersom risikoeier benytter Digitaliseringsdirektoratets mal, vil den automatisk lage en oppsummering ved å vise høyeste konsekvensnivå samlet for alle oppgavene og tjenestene risikoeier er ansvarlig for. Dersom denne malen ikke benyttes, bør risikoeier selv lage en slik oppsummering.
Neste trinn
Når risikoeier og systemeier fellessystem har vurdert konsekvensnivåer for sine ansvarsområder, bør de gå videre med å vurdere trusler, farer og sårbarheter.
