Risikostyringsprosess - Planlegging - Informasjonssikkerhet og personvern v. 1.1

RisikohåndteringRisiko-evalueringRisiko-analyseRisiko-identifikasjonPlanleggingRisikovurderingHMSInformasjonssikkerhetog personvern

 

Planlegging

Det er leder som har ansvar for å planlegge risikovurderingen. Planlegging er viktig for å få en effektiv gjennomføring av risikovurderingen og for sikre god kvalitet i prosessen. Når vi skal planlegge risikovurderinger må vi vurdere de følgende punktene.

Det som gjelder spesifikt for informasjonssikkerhet og personvern vil være merket med "Informasjonssikkerhet og personvern:" og denne fargen.

 

Hva skal risikovurderes?

  • Definer hva som skal risikovurderes og hvorfor dette skal risikovurderes
    • Eks. Gjelder ririkovurderingen hele virksomheten eller kun deler av den, en bestemt lokasjon, en bestemt aktivitet osv.
    • Hvilke opplysninger skal behandles?
      • ​​Hvem skal behandle dem?
      • Hva er formålet med behandlingen/oppbevaringen av opplysningene?
  • ​​Se oversikten for lovpålagte risikovurderinger her.
  • ​Informasjonssikkerhet: Her skal vi risikovurdere uønskede hendelser som kan føre til at
    • ​informasjonen kan leses av uvedkommende (Konfidensialitet)
    • informasjonen kan endres eller slettes av uvedkommende (Integritet)
    • informasjonen ikke er tilgjengelig for rette vedkommende til rett tid (Tilgjengelighet)​

Informasjonssikkerhet: I Kristiansand kommune skal vi oppbevare og behandle informasjon og personopplysninger på en slik måte at overnevnte prinsipper ivaretas, i tillegg til overordnede sikkerhetsmål og strategi for informasjonssikkerhet i Kristiansand kommune.

  • I de tilfeller hvor det skal behandles personopplysninger må det også vurderes om det er nødvendig å gjennomføre en Data Protection Impact Assessment (DPIA).

 

Hvem skal delta i risikovurderingen?

  • Deltakerne bør enten ha eierskap til virksomheten/fagfeltet, kunnskap om praktisk gjennomføring av den aktiviteten som skal risikovurderes, eller være ledere/ansatte som blir påvirket av konsekvensene dersom risikoen inntreffer 
    • For at listen ikke skal bli for lang må leder gjøre en vurdering av hvem som er hensiktsmessig å invitere med - noen må antagelig velges bort
    • Enkelte roller er obligatoriske
  • Det kan være aktuelt å involvere enkelte nøkkelpersoner allerede i planleggingen
  • Informasjonssikkerhet: Forslag til ressurser som bør delta i gjennomføring av ROS analyse for IT;
    • Fagsystemansvarlig
    • Systemeier
    • IT sikkerhetsansvarlig, eller kontaktperson ved IT, den som er ansvarlig for tjenesten (leder)
    • Kontakt informasjonssikkerhetsansvarlig i kommunen dersom du behøver bistand fra sikkerhetsgruppen for gjennomføring
    • personvernombud bør kontaktes på et tidlig tidspunkt for rådgivning i prosessen når det skal behandles personopplysninger.

 

Hvilken informasjon skal vi ta med oss inn i risikovurderingen?

  • Informasjonen må innhentes eller klargjøres før risikovurderingen
  • God informasjon som danner et godt kunnskapsgrunnlag vil minske usikkerheten knyttet til de ulike risikoene​
    • Det blir enklere å prioritere hvilke tiltak som skal etableres, og risikoen kan i noen tilfeller reduseres, dersom usikkerheten reduseres
  • Finn ut hvilken informasjon som kan være til hjelp for deltakerne i risikovurderingen, og som kan anvendes til å gjøre en god analyse
    • Eks. meldinger om avvik og uønskede hendelser fra Kvalitetssystemet, statistikk fra Styringsportalen, rapporter, kartlegginger, brukerundersøkelser eller forskning relatert til det som skal risikovurderes
  • Vurder om det skal forberedes en liste over nøkkelord (temaer, aktiviteter eller andre ord som gir nyttige assosiasjoner og et bredere perspektiv) eller typiske hendelser for den virksomheten det gjelder
    • Noen av stabene i områdene har laget slike oversikter. Ta kontakt med administrator for ditt områdefor å finne ut om det finnes en slik liste for din virksomhet.
  • Informasjonssikkerhet: følgende informasjon er aktuelt å ta med
    • Informasjon om systemet, og konteksten de skal benyttes i
    • oversikt over avvik og uønskede hendelser som gjelder personvern og informasjonssikkerhet (og relevante meldinger om kvalitet) for siste periode
    • kjente hendelser i andre kommuner knyttet til brudd på konfidensialitet, hacking o.l.

 

Hvilke verktøy og metode skal vi bruke?

  • Som hovedregel skal alle  risikovurderinger og ROS-analyser registreres i risikomodulen i Styringsportalen. Unntakene er beskrevet i denne listen.

 

Tips til praktisk gjennomføring

  • Det kan være lurt å ha en referent slik at lederen kan fokusere på å lede risikovurderingen - dette bør avtales med referenten i forkant
  • Avklare hvordan den skal dokumenteres og forberede dette slik at dette er klart til møtet/gjennomgangen
  • Sjekk at den som skal være referent, eller registrere risikoene i risikomodulen, har riktige tilganger
  • Sende innkalling til deltakerne (fysisk møte eller digitalt?)

Vedlegg

Risikovurderingsveileder

E-læring: Opprette ROS-analyser i risikomodulen