Risikovurdering ved IT-anskaffelser

Når du skal utarbeide krav til informasjonssikkerhet må du først gjøre en risikovurdering.

Publisert: 20. jun 2019, Sist endra: 04. Mai 2020

Risiko

er kombinasjonen av konsekvens og tilhørende sannsynlighet ved uønskede hendelser.

Det er ulike måter å håndtere risiko på;

(1) unngå, (2) dele, (3) redusere, og/eller (4) akseptere.

Å styre risiko på informasjonssikkerhetsområdet er å vurdere risiko for informasjonssikkerhetsbrudd og håndtere denne risikoen.

I en IT-anskaffelse vil det å stille sikkerhetskrav være en viktig måte å håndtere risiko på. Sikkerhetskravene formuleres og følges opp gjennom anskaffelsesprosessen på samme måte som andre typer krav.

Å gjennomføre en risikovurdering innebærer å

  1. identifisere relevante risikoer
  2. analysere hver enkelt av dem, og estimere størrelsen på konsekvens, tilhørende sannsynlighet og fastsette risikonivå
  3. evaluere om risikoene kan aksepteres som de er, eller om de trenger mer håndtering.

Se hvordan du kan gjennomføre risikovurdering i Digitaliseringsdirektoratets veileder om internkontroll og informasjonssikkerhet.

Sharethis

Hjelp oss å lage bedre nettsider

Fant du det du lette etter?

Hjelp oss å lage bedre nettsider
*