Risk Management

Graf it-sikkerhed risk management

Risk Management er et værktøj til handling, hvor man vurderer de risici, der knytter sig til gennemførelse af organisationens arbejdsprocesser. Risikovurderingsværktøjet er med til at sikre en mere overskuelig identifikation, oprettelse og beskrivelse af risikobilledet. Derved sikrer man en langt nemmere vedligeholdelse af informationer.

Procesbeskrivelse i Risk Management

I Risk Management i enablor registreres og vurderes forretningsprocesser og deres betydning for organisationen. For at sikre, at forretningsprocesserne beskrives og vurderes korrekt understøtter enablor en opdeling af organisationens processer i 3 niveauer;

  1. procesområde (overordnet område),
  2. forretningsproces (typisk med tilhørende procesejer)
  3. behandlingsproces (den konkrete handling, der udføres).

Denne struktur er baseret på modellen for risikovurdering, som oprindeligt blev udviklet af og indført i det danske finansministerium.

Opdeling i niveauer sikrer at eventuelle organisationsforandringer (nye/opdaterede processer, nye systemer, etc.) effektivt kan registreres og indsættes i den eksisterende struktur.

For hver behandlingsproces anføres afhængigheden af andre processer, de underliggende IT-ressourcer og fysiske forhold som bygninger og rum.

Konsekvenser for forretningen, Business Impact Assessment (BIA), og den registrerede, Data Privacy Impact Assessment (DPIA), vurderes for behandlingsprocesser og konsekvensanalysen nedarves på såvel andre forretningsprocesser som de supporterende IT-aktiver.

Oversigt over Risk Management i enablor DPIA

I forbindelse med gennemgangen af behandlingsprocesser identificeres de papirer og filer, som bliver behandlet med fokus på dem, der indeholder persondata og følsomheden ift. karakteren af data karakteriseres.

Dataflow og ressourceregistrering

Dataflow og ressourceregistrering er et nyt krav som følge af EU’s persondataforordning (EU GDPR). Der er påkrævet konsekvensanalyser i tilfælde af en systematisk og omfattende vurdering af personlige forhold vedrørende fysiske personer, behandling i stort omfang af særlige kategorier af oplysninger af personoplysninger vedrørende straffedomme og lovovertrædelser eller af systematisk overvågning af et offentligt tilgængeligt område i stort omfang.

Ønsker organisationen at være ISO27001-compliant er det første skridt på vejen at registrere og vedligeholde dataflow samt lave en ressourceregistrering af de systemer og aktiver, der er involveret i databehandlingen. Dette er med til at give et overblik over organisationen og organiserer et ledelsessystem for informationssikkerhed.

Dataflow og ressourceregistrering er en oversigt over alle de mulige steder et dokument kan findes og giver derfor et billede af, hvor der potentielt kan være et brud på persondatasikkerheden. Man dokumenterer placering og kvalificering af data i en organisationskortlægning.

Konsekvensvurdering

Konsekvensvurderingen danner grundlag for konsekvensanalyser for processer såvel som for data og ressourcer. I denne vurdering indgår konsekvenser ved hændelser for både den registrerede og for forretning. Dette danner grundlag for, at organisationen kan danne og vedligeholde en Data Privacy Impact Assessment (DPIA) og en Business Impact Assessment, der dynamisk opdateres, når processer og systemer ændres.