Analysen er selve kjernen i risikovurderingen. En vurdering av sannsynlighet og konsekvens for risikoen hjelper oss med å vurdere om dette er en risiko vi kan akseptere eller ikke. Også her er det viktig å lage gode og presise beskrivelser slik at vi oppnår god kvalitet på analysen og kan sette presise og virksomme tiltak i etterkant.
Vi har laget tabeller med forklaringer på hva de ulike nivåene i skalaen tilsvarer (fra svært lav til svært høy). Disse skal brukes for å rangere sannsynlighet og konsekvens. Dette er viktig for at vi skal kunne ha en helhetlig vurdering av risikoer på tvers av virksomhetene i kommunen.
De risikoreduserende tiltakene som allerede eksisterer må legges til grunn for risikoanalysen. Disse vil kunne påvirke vurderingene av sannsynlighet og konsekvens.
Det som gjelder spesifikt for informasjonssikkerhet og personvern vil være merket med "Informasjonssikkerhet og personvern:" og denne fargen.
Informasjonssikkerhet: For informasjonssikkerhet skal disse vurderingskriteriene legges til sannsynlighetsvurderingen:
| Svært lav | Lav | Middels | Høy | Svært høy | |
|
Letthet (hvor enkelt det er for en person å utløse en hendelse) |
Relevante og fungerende sikkerhetstiltak finnes. Kan omgås av ansatte med privilegert tilgang og god kjennskap til tiltakene. Eksterne kan ikke omgå tiltakene uten intern hjelp. | Relevante og fungerende sikkerhetstiltak finnes. Kan omgås av ansatte med normal tilgang og kjennskap til tiltakene. Eksterne behøver kompetanse og god kjennskap til tiltakene. | Noen relevante og fungerende sikkerhetstiltak finnes. Kan omgås av ansatte uten spesielle ressurser eller kunnskap, eller av eksterne med normal kjennskap til tiltakene. | Sikkerhetstiltak er ikke effektive og målrettede. Kan omgås av ansatte uten spesielle ressurser eller kunnskap, eller av eksterne med normal kjennskap til tiltakene. | Sikkerhetstiltak er ikke til stede eller er mangelfulle. Kan omgås av ansatte eller eksterne uten spesielle ressurser eller kjennskap til tiltakene. |
|
Motivasjon (Hvor sterkt motivet er for å utløse en hendelse) |
Ansatte med privilegert tilgang og spesiell kunnskap må opptre med forsett. Eksterne må ha spisskompetanse og samarbeide med ansatte. | Ansatte med kjennskap til sikkerhetstiltakene må opptre med forsett. Eksterne må ha høy kompetanse og angripe sikkerhetstiltakene planmessig. | Ansatte uten detaljert kjennskap til sikkerhetstiltakene må opptre med forsett. Eksterne må ha middels kompetanse og angripe sikkerhetstiltakene planmessig. | Ansatte kan utløse sikkerhetshendelser ved uaktsomhet (uten forsett). Eksterne må ha noe kompetanse og opptre med forsett. | Både ansatte og eksterne uten spesiell kunnskap eller kompetanse kan utløse sikkerhetshendelser ved uaktsomhet (uten forsett). |
Dersom eksisterende tiltak for å redusere risikoene ikke er tilstrekkelig må nye tiltak, eller endring av eksisterende tiltak, vurderes i håndteringen av risikoene.
Informasjonssikkerhet: For informasjonssikkerhet skal disse vurderingskriteriene legges til konsekvensvurderingen:
| Ikke alvorlig | Lav | Middels | Alvorlig | Svært alvorlig | |
|
Tilgjengelighet |
Har ubetydelige skadevirkninger for enkeltpersoner eller kommunen. Noe arbeidstid går med til opprydding. |
Har mindre skadevirkninger for enkeltpersoner eller kommunen. Betydelig arbeidstid går med til opprydding. Eks. Uklart når eller hvordan ikke-kritisk informasjon sist ble oppdatert |
Har merkbare skadevirkninger for enkeltpersoner eller kommunen. Eks. ikke-kritisk informasjon går tapt. |
Har alvorlige skadevirkninger for enkeltpersoner eller kommunen. Eks. driftsstans lengre enn systemets maksimale nedetid (kritikalitet), fører til at kommunen ikke er i stand til å drive sin kjernevirksomhet. |
Har svært alvorlige skadevirkninger for enkeltpersoner eller kommunen. Eks. uopprettelig tap av kritisk data. En til flere måneder nedetid eller uopprettelig tap av databaser. |
| Konfidensialitet (Informasjonen må være sikret mot at uvedkommende får kjennskap til opplysningene) |
Har ubetydelige skadevirkninger for enkeltpersoner eller kommunen. Eks. ingen logging av tilgang til personopplysninger. |
Har mindre skadevirkninger for enkeltpersoner eller kommunen. Eks. mangelfull logging av tilgang til personopplysninger. |
Har merkbare skadevirkninger for enkeltpersoner eller kommunen. Eks. Eksponering av enkeltindividers personopplysninger eller informasjon klassifisert intern. |
Har alvorlige skadevirkninger for enkeltpersoner eller kommunen. Eks. Eksponering av sensitive eller større mengder personopplysninger, intern/beskyttet eller fortrolig informasjon (unntatt offentlighet). |
Har svært alvorlige skadevirkninger for enkeltpersoner eller kommunen. Eks. Eksponering av større mengder sensitive personopplysninger eller enkelte opplysninger klassifisert strengt fortrolig. Mange kan få innsyn der konfidensialitet er nødvendig. |
| Integritet (Informasjonen må være sikret mot uautorisert endringer eller sletting) |
Har ubetydelige skadevirkninger for enkeltpersoner eller kommunen. Eks. Uklart når eller hvordan ikke-kritisk informasjon sist ble oppdatert. |
Har mindre skadevirkninger for enkeltpersoner eller kommunen. Eks. ukomplett eller utdatert ikke-kritisk informasjon. |
Har merkbare skadevirkninger for enkeltpersoner eller kommunen. Eks. Mindre mengder kristisk informasjon er ukomplett eller utdatert. |
Har alvorlige skadevirkninger for enkeltpersoner eller kommunen. Eks. Kritisk informasjon mangler eller er feil. |
Har svært alvorlige skadevirkninger for enkeltpersoner eller kommunen. Eks. Støre mengder kritisk informasjon mangler eller er feil. Uautorisert endring av store mengder personopplysninger, virksomhetskritisk informasjon, eller annen informasjon der integritet er nødvendig. |