Risikostyringsprosess - Identifikasjon - Informasjonssikkerhet og personvern v. 1.0

RisikohåndteringRisiko-evalueringRisiko-analyseRisiko-identifikasjonPlanleggingRisikovurderingHMSInformasjonssikkerhetog personvern

 

Identifisere risikoer

Når vi skal identifisere risikoer lister vi opp alle hendelser som kan tenkes å inntreffe som har en negativ konsekvens (eller flere). Dette vil være en blanding av trusler og potensielle uønskede hendelser. Deretter går vi gjennom årsak og konsekvens én hendelse (risiko) om gangen. Ta utgangspunkt i dagens praksis og situasjon slik at beskrivelsen blir mest mulig realistisk.

Det som gjelder spesifikt for informasjonssikkerhet og personvern vil være merket med "Informasjonssikkerhet og personvern:" og denne fargen.

 

Hendelser - Hva kan gå galt?

  • Diskuter og noter hvilke farekildereller trusler som finnes
    • Husk å se til informasjonen som ble forberedt under planlegging
  • Skriv deretter opp de uønskede hendelsene som kan tenkes å inntreffe
    • Det er viktig at alle får slippe til med sine innspill
  • Velg ut de mest vesentlige risikoene for analyse​
    • Noen ganger blir listen for lang og da må man prioritere hvilke risikoer som skal analyseres 

 

Årsak - Hva er årsaken til at det skjer?

  • Hva er årsaken til at den uønskede hendelsen inntreffer?
    • Her kan det være flere årsaker som sammentreffer - beskriv de viktigste årsakene og om det er sammenhenger mellom disse.
    • En god beskrivelse av årsakssammenheng vil gjøre oss i stand til å finne gode tiltak for å redusere risikoen senere i prosessen.
  • Parallelt med at årsakssammenheng kartlegges, kan det være hensiktsmessig å notere ned eksisterende tiltak.

 

Konsekvens - Hvor galt kan det gå?

  • Beskriv helt konkret hvilke konsekvenser det får dersom den uønskede hendelsen inntreffer
  • Dersom risikoen har konsekvenser for andre deler av organisasjonen enn der hvor risikovurderingen gjøres - informer aktuell leder

 

Tips til praktisk gjennomføring

  • La deltakerne få noen minutter på egenhånd hvor de noterer hver for seg hvilke farekilder/potensielle hendelser som finnes (eks. gule lapper)
  • Gå deretter gjennom nøkkelordene og typiske uønskede hendelser for å sjekke om alle farekilder er vurdert
  • Når risikoene er identifisert, se gjennom listen for å finne ut om det finnes fellestrekk mellom risikoene - om flere av risikoene i realiteten springer ut fra den samme hendelsen og således kan behandles som en risiko med flere konsekvenser.

 

Vedlegg og referanser

Lenke til risikomodulen i Styringsportalen

Risikoidentifikasjon i risikovurderingsveilederen

E-læring: Opprette ny risiko