Risikovurdering ved ein IT-anskaffing

Når du skal utarbeide krav til informasjonssikkerheit må du gjøre en risikovurdering.

Publisert: 20. jun 2019, Sist endra: 30. jun 2019

Risiko

er kombinasjonen av konsekvens og tilhørende sannsynlighet ved uønskede hendelser.

Det er ulike måter å håndtere risiko på;

(1) unngå, (2) dele, (3) redusere, og/eller (4) akseptere.

Å styre risiko på informasjonssikkerhetsområdet er å vurdere risiko for informasjonssikkerhetsbrudd og håndtere denne risikoen.

I ei IT-anskaffing vil det å stille sikkerhetskrav være en viktig måte å håndtere risiko på. Sikkerhetskravene formuleres og følges opp gjennom anskaffelsesprosessen på samme måte som andre typer krav.

Å gjennomføre en risikovurdering innebærer å

  1. identifisere relevante risikoer
  2. analysere hver enkelt av dem, og estimere størrelsen på konsekvens, tilhørende sannsynlighet og fastsette risikonivå
  3. evaluere om risikoene kan aksepteres som de er, eller om de trenger mer håndtering.

Se hvordan gjennomføre risikovurdering i Difis veileder om internkontroll og informasjonssikkerhet.

Sharethis

Hjelp oss å bli bedre

Fant du det du lette etter?

Tilbakemeldinger blir ikke besvart. Gå til siden med kontaktinformasjon hvis du trenger hjelp.

Hjelp oss å bli bedre
*