Skip to main content
SDUnet - Syddansk Universitets medarbejderportal

Søg

English
Menu

Databeskyttelse og informationssikkerhed

Risikovurderinger af it-systemer

Her finder du en formålsbeskrivelse og introduktion til risikovurderinger på SDU samt links til relevante vejledninger fra Datatilsynet og Sikkerdigital.

Sådan laver vi risikovurderinger

  • Først kortlægger vi systemer, data og/eller andet, der skal risikovurderes og identificerer de mest kritiske områder. Dette kan inkludere både hardware, software, netværk og data.

  • Vi skal vide, hvilke trusler vores systemer står over for, fx menneskelige fejl, phishing, datatab og identificere eventuelle sårbarheder.

  • Vi skal evaluere, hvor sandsynligt det er, at en trussel vil materialisere sig, og hvilken konsekvens det vil have for organisationen og/eller de personer, der får behandlet deres personoplysninger i systemet.

  • Baseret på risikoniveauet skal vi tage stilling til, hvilke tiltag vi skal iværksætte for at reducere sandsynligheden for sikkerhedsbrud. Det kan fx være at sikre systemet bedre mod hacking eller at begrænse konsekvenserne, hvis et brud skulle ske – fx ved at have færre data i systemet, som kan blive lækket.

  • Vi skal dokumentere hele processen, herunder vores fund, beslutninger og de trufne foranstaltninger, så vi og andre kan se, hvad der er tænkt og besluttet.

Risikovurderinger på SDU

Som en del af vores ansvar for at sikre informationssikkerhed og beskytte de registreredes rettigheder, er det vigtigt at vi foretager og dokumenterer risikovurderinger.

Risikovurderinger er grundlæggende i SDU’s sikkerhed, fordi de er udgangspunkt for organisationens kendskab til udfordringer i overholdelse af ansvarlighed og dokumentation heraf.

Datatilsynets krav om dokumentation for, at der sker en effektiv og lovlig behandling af personoplysninger, indebærer et krav om udarbejdelse af risikovurderinger vedr. personligoplysninger. Datatilsynet fører jævnligt tilsyn med organisationer, hvor de bl.a. kan efterspørge dokumentation såsom risikovurderinger. De godtager kun risikovurderinger foretaget inden modtagelse af forespørgslen.

En risikovurdering er en proces, hvor vi analyserer og evaluerer de risici, der er forbundet med vores it-systemer og arbejdsgange. Målet er at forstå, hvor sårbare vores systemer er over for trusler som fejlsendte mails, datatab, uautoriseret adgang og andre sikkerhedsbrud. Ved at identificere og prioritere disse risici kan vi træffe informerede beslutninger om, hvordan vi bedst beskytter vores systemer og data.

Formålet med risikovurderingsprocessen er, at vi sammen opnår et overblik over de risici, der er forbundet med vores arbejdsopgaver.

Når skaden sker, og der er en kompromitterende hændelse, skal vi vide, hvad det kan betyde. I nogle situationer er det ikke så farligt, i andre er det mere alvorligt.

Risikovurderingerne er med til at give os et kvalificeret grundlag til hurtigt at handle på rette måde. Her giver risikovurderinger organisationen mulighed for at sørge for ressourcer og indsats, hvor der er behov for det, og det giver de medarbejdere, der aktivt arbejder med processerne mulighed for at gøre opmærksom på uhensigtsmæssigheder, der udgør en risiko for SDU.

Det overordnede ansvar for risikovurderingen og valget af tiltag ligger hos systemejeren (ledelsen). Systemejeren har det overordnede ansvar for et givent it-system, og skal sikre, at det fungerer korrekt, er sikkert og opfylder organisationens behov. Det inkluderer både hardware, software, netværk og data.

I løbet af risikovurderingen inddrager vi mange andre medarbejdere med kendskab til systemet – ikke mindst den systemforvalter, som har den daglige drift af systemet.

Systemejeren er ansvarlig for prioriteringen af de mitigerende tiltag og plan for implementering indenfor rammerne af den af ledelsens overordnede besluttede risikoappetit.

Nogle af konklusionerne fra risikovurderingen har betydning på tværs af SDU, og har betydning for prioriteringerne på tværs af it-systemer. Samtidig er det samlede risikobillede en del af ledelsens overordnede beslutninger.

Samtidig er der behov for en koordineret planlægning og opfølgning, især hvis der er risici eller tiltag der går på tværs af systemerne. Derfor bliver de samlede konklusioner fra risikovurderingerne lagt op til den øverste ledelse på SDU, og der gennemføres forskellige tiltag for at kommunikere og følge op på risikovurderingerne. Se herunder hvordan. 

  • SDU IT, Governance, Risk & Compliance er ansvarlig for den proces, hvor alle risikovurderinger samles og relevante informationer tages videre.

    SDU IT, Governance, Risk & Compliance koordinerer og konsoliderer information fra forskellige systemejere og risikovurderinger.

  • Den øverste ledelse skal forstå risikobilledet og de potentielle trusler, der påvirker organisationen.

    Ved at have en samlet oversigt kan ledelsen overordnet prioritere ressourcer og strategien for SDU’s risikoprofil.

  • SDU IT, Governance, Risk & Compliance skal regelmæssigt videregive risikobilledet til den øverste ledelse. Dette sker en gang årligt ved at UID (Udvalget for informationssikkerhed og databeskyttelse) informeres om det samlede risikobillede på alle SDU’s systemer og tager stilling til SDU’s overordnede risikoappetit, hvorefter de indstiller den til endelig godkendelse i Direktionen/Rektoratet.

    Det sker gennem rapporter, præsentationer og møder, hvor de vigtigste risici og mulige konsekvenser drøftes.

  • Der skal fastlægges en plan for opfølgning og implementering af de nødvendige foranstaltninger. Nogle tages mellem systemforvalter og systemejer, andre tages fra centralt hold.

    Efter at have modtaget informationen skal den øverste ledelse kommunikere med systemejere og andre relevante interessenter.

  • Risikobilledet ændrer sig over tid. Derfor skal der løbende registreres afvigelser, nye trusler eller sårbarheder i forbindelse med en risikovurdering.

Har du spørgsmål?

GDPR- og informationssikkerhedskoordinatorerne er din lokale kontakt og rådgiver i dagligdagen om databeskyttelse og informationssikkerhed på SDU.

Se også