As part of our responsibility to ensure information security and protect the rights of data subjects, it is important that we conduct and document risk assessments.
Risk assessments are fundamental to security at SDU, because they form the basis for the organization’s understanding of challenges in compliance with accountability and documentation thereof.
The requirement stipulated by the Danish Data Protection Agency, that any processing of personal data is efficient and lawful, entails the requirement of risk assessments of such processing. The Data Protection Agency regularly audits organizations where they may request documentation such as risk assessments. They only accept risk assessments conducted and documented prior to receiving the request.
The Purpose of Risk Assessments
The purpose of the risk assessment process is to collectively gain an overview of the risks associated with our tasks.
When an incident occurs, and there is a compromising event, we need to know what it might entail. In some situations, it is not very serious, while in others it is more severe.
Risk assessments help provide us with a qualified basis for quickly taking appropriate action. They allow the organization to allocate resources and efforts where needed, and they enable employees actively working with the processes to highlight issues that pose a risk to SDU.
What is a Risk Assessment?
En risikovurdering er en proces, hvor vi analyserer og evaluerer de risici, der er forbundet med vores IT-systemer og arbejdsgange. Målet er at forstå, hvor sårbare vores systemer er over for trusler som fejlsendte mails, datatab, uautoriseret adgang og andre sikkerhedsbrud. Ved at identificere og prioritere disse risici kan vi træffe informerede beslutninger om, hvordan vi bedst beskytter vores systemer og data.
Hvordan udfører vi en risikovurdering?
De overordnede trin i korte træk er:
$name
Det overordnede ansvar for risikovurderingen og valget af tiltag ligger hos systemejeren (ledelsen). Systemejeren har det overordnede ansvar for et givent IT-system, og skal sikre at det fungerer korrekt, er sikkert og opfylder organisationens behov. Dette inkluderer både hardware, software, netværk og data.
I løbet af risikovurderingen inddrager vi mange andre medarbejdere med kendskab til systemet – ikke mindst den systemforvalter som har den daglige drift af systemet.
Systemejeren er ansvarlig for prioriteringen af de mitigerende tiltag og plan for implementering indenfor rammerne af den af ledelsens overordnede besluttede risikoappetit.
Opfølgning på risikovurderingerne og rapportering af risikobillede
Nogle af konklusionerne fra risikovurderingen har betydning på tværs af SDU, og har betydning for prioriteringerne på tværs af IT-systemer. Samtidig er det samlede risikobillede en del af ledelsens overordnede beslutninger.
Samtidig er der behov for en koordineret planlægning og opfølgning, især hvis der er risici eller tiltag der går på tværs af systemerne.
Derfor bliver de samlede konklusioner fra risikovurderingerne lagt op til den øverste ledelse på SDU, og der gennemføres forskellige tiltag for at kommunikere og følge op på risikovurderingerne:
$name
Yderligere læsning: