Som en del af vores ansvar for at sikre informationssikkerhed og beskytte de registreredes rettigheder, er det vigtigt at vi foretager og dokumenterer risikovurderinger.
Risikovurderinger er grundlæggende i SDU’s sikkerhed, fordi de er udgangspunkt for organisationens kendskab til udfordringer i overholdelse af ansvarlighed og dokumentation heraf.
Datatilsynets krav om dokumentation for, at der sker en effektiv og lovlig behandling af personoplysninger, indebærer et krav om at der udarbejdes risikovurderinger af behandling af personoplysninger. Datatilsynet fører jævnligt tilsyn med organisationer hvor Datatilsynet blandt andet kan efterspørge dokumentation såsom risikovurderinger. De godtager kun risikovurderinger foretaget inden modtagelse af forespørgslen.
Formålet med risikovurderinger
Formålet med risikovurderingsprocessen er, at vi sammen opnår et overblik over de risici, der er forbundet med vores arbejdsopgaver.
Når skaden sker, og der er en kompromitterende hændelse, skal vi vide hvad det kan betyde. I nogle situationer er det ikke så farligt, i andre er det mere alvorligt
Risikovurderingerne er med til at give os et kvalificeret grundlag til hurtigt at handle på rette måde. Her giver risikovurderinger organisationen mulighed for at sørge for ressourcer og indsats hvor der er behov for det, og det giver de medarbejdere, der aktivt arbejder med processerne mulighed for at gøre opmærksom på uhensigtsmæssigheder, der udgør en risiko for SDU.
Hvad er en risikovurdering?
En risikovurdering er en proces, hvor vi analyserer og evaluerer de risici, der er forbundet med vores IT-systemer og arbejdsgange. Målet er at forstå, hvor sårbare vores systemer er over for trusler som fejlsendte mails, datatab, uautoriseret adgang og andre sikkerhedsbrud. Ved at identificere og prioritere disse risici kan vi træffe informerede beslutninger om, hvordan vi bedst beskytter vores systemer og data.
Hvordan udfører vi en risikovurdering?
De overordnede trin i korte træk er:
Det overordnede ansvar for risikovurderingen og valget af tiltag ligger hos systemejeren (ledelsen). Systemejeren har det overordnede ansvar for et givent IT-system, og skal sikre at det fungerer korrekt, er sikkert og opfylder organisationens behov. Dette inkluderer både hardware, software, netværk og data.
I løbet af risikovurderingen inddrager vi mange andre medarbejdere med kendskab til systemet – ikke mindst den systemforvalter som har den daglige drift af systemet.
Systemejeren er ansvarlig for prioriteringen af de mitigerende tiltag og plan for implementering indenfor rammerne af den af ledelsens overordnede besluttede risikoappetit.
Opfølgning på risikovurderingerne og rapportering af risikobillede
Nogle af konklusionerne fra risikovurderingen har betydning på tværs af SDU, og har betydning for prioriteringerne på tværs af IT-systemer. Samtidig er det samlede risikobillede en del af ledelsens overordnede beslutninger.
Samtidig er der behov for en koordineret planlægning og opfølgning, især hvis der er risici eller tiltag der går på tværs af systemerne.
Derfor bliver de samlede konklusioner fra risikovurderingerne lagt op til den øverste ledelse på SDU, og der gennemføres forskellige tiltag for at kommunikere og følge op på risikovurderingerne:
SDU Digital, Compliance koordinerer og konsoliderer information fra forskellige systemejere og risikovurderinger.
Ved at have en samlet oversigt kan ledelsen overordnet prioritere ressourcer og strategien for SDU’s risikoprofil.
Det sker gennem rapporter, præsentationer og møder, hvor de vigtigste risici og mulige konsekvenser løftes/diskuteres.
Der skal fastlægges en plan for opfølgning og implementering af de nødvendige foranstaltninger. Nogle tages mellem systemforvalter og systemejer, andre tages fra centralt hold.
Efter at have modtaget informationen skal den øverste ledelse kommunikere med systemejere og andre relevante interessenter.
Yderligere læsning: