Risikovurdering ved IT-anskaffelser

Når du skal utarbeide krav til informasjonssikkerhet må du først gjøre en risikovurdering.

Publisert: 20. jun 2019, Sist endra: 06. nov 2019

Risiko

er kombinasjonen av konsekvens og tilhørende sannsynlighet ved uønskede hendelser.

Det er ulike måter å håndtere risiko på;

(1) unngå, (2) dele, (3) redusere, og/eller (4) akseptere.

Å styre risiko på informasjonssikkerhetsområdet er å vurdere risiko for informasjonssikkerhetsbrudd og håndtere denne risikoen.

I en IT-anskaffelse vil det å stille sikkerhetskrav være en viktig måte å håndtere risiko på. Sikkerhetskravene formuleres og følges opp gjennom anskaffelsesprosessen på samme måte som andre typer krav.

Å gjennomføre en risikovurdering innebærer å

  1. identifisere relevante risikoer
  2. analysere hver enkelt av dem, og estimere størrelsen på konsekvens, tilhørende sannsynlighet og fastsette risikonivå
  3. evaluere om risikoene kan aksepteres som de er, eller om de trenger mer håndtering.

Se hvordan gjennomføre risikovurdering i Difis veileder om internkontroll og informasjonssikkerhet.

Sharethis

Hjelp oss å bli bedre

Fant du det du lette etter?

Tilbakemeldinger blir ikke besvart. Gå til siden med kontaktinformasjon hvis du trenger hjelp.

Hjelp oss å bli bedre
*