Risikovurdering med Risk Management i enablor

I-Trust Model for risikostyring

Som en del af enablor-platformen tilbyder I-Trust også risikovurdering med værktøjet Risk Management. En mulighed som kan tilkøbes, uanset om man har valgt at benytte pro-versionen af enablor eller er fortsat med basisversionen. På den måde er det muligt at have alting samlet samme sted og hos samme udbyder.
Risk Management er et værktøj som bruges af ledelsen til at vurdere de risici, der knytter sig til gennemførelse af organisationens arbejdsprocesser. Et værktøj som gør det muligt at danne sig et overblik over udefra- og indefrakommende faktorer, som vil kunne påvirke virksomheden. Det kan blandt andet være ved måden hvorpå persondata behandles.
Værktøjet er med til at sikre et mere overskueligt risikobillede gennem:

  • identifikation
  • oprettelse
  • beskrivelse

Først indentificeres de forskellige processer, hvorefter konsekvens og sårbarheden vurderes og her ud fra afgøres risikoen.

I enablors Risk Management registreres og vurderes forretningsprocesser og deres betydning for organisationen. For at sikre, at forretningsprocesserne beskrives og vurderes korrekt understøtter enablor en opdeling af organisationens processer i 3 niveauer;

  • procesområde (overordnet område)
  • forretningsproces (typisk med tilhørende procesejer)
  • behandlingsproces (den konkrete handling, der udføres)

Denne struktur er baseret på modellen for risikovurdering, som oprindeligt blev udviklet af og indført i det danske finansministerium.

I værktøjet kortlægges de vigtigste forretningsprocesser og det er muligt at beskrive de kritiske sammenhænge med andre processer og IT-ressourcer og vurdere deres betydning. Her får man også overblikket over nedarvede risici blandt sammenhængende processer.

Opdeling i niveauer sikrer at forandringer i organisationen (nye/opdaterede processer, nye systemer, etc.) effektivt kan registreres og indsættes i den eksisterende struktur. For hver behandlingsproces anføres afhængigheden af andre processer, de underliggende IT-ressourcer og fysiske forhold, som bygninger og rum.

Risikovurdering: Dataflow og ressourceregistrering

Et nyt krav som følge af EU’s persondataforordning (EU GDPR). Ønsker organisationen at være ISO27001-compliant, er det første skridt på vejen at registrere og vedligeholde dataflow samt lave en ressourceregistrering af de systemer og aktiver, der er involveret i databehandlingen.

Ønsker organisationen at være ISO27001-compliant er det første skridt på vejen at registrere og vedligeholde dataflow samt lave en ressourceregistrering af de systemer og aktiver, der er involveret i databehandlingen. Dette er med til at give et overblik over organisationen og organiserer et ledelsessystem for informationssikkerhed. Dataflow og ressourceregistrering er en oversigt over alle de mulige steder et dokument kan findes og giver derfor et billede af, hvor der potentielt kan være et brud på persondatasikkerheden. Man dokumenterer placering og kvalificering af data i en organisationskortlægning.

Risikovurdering i Risk Management enablor

Konsekvensvurdering inkl. DPIA

Konsekvensvurderingen danner grundlag for konsekvensanalyser for processer såvel som for data og ressourcer ved hændelser for både den registrerede og for forretningen. Dette udgør basis for, at organisationen kan danne og vedligeholde en Data Privacy Impact Assessment (DPIA) og en Business Impact Assessment, der dynamisk opdateres, når processer og systemer ændres.

Konsekvenser for forretningen, Business Impact Assessment (BIA), og den registrerede, Data Privacy Impact Assessment (DPIA), vurderes for behandlingsprocesser og konsekvensanalysen nedarves på såvel andre forretningsprocesser som de supporterende IT-aktiver. I forbindelse med gennemgangen af behandlingsprocesser identificeres de papirer og filer, som bliver behandlet med fokus på dem, der indeholder persondata og følsomheden ift. karakteren af data karakteriseres.

Værktøjet Risk Management ligger i enablors toolbox.