Risk Management og konsekvensvurdering

Risk Management er et værktøj, hvor I vurderer de risici, der er forbundet med gennemførelsen af jeres arbejdsprocesser. Risk Management-værktøjet gør det mere overskueligt for jer at identificere, oprette og beskrive jeres samlede risikobillede. Dermed bliver det også nemmere for jer at vedligeholde informationerne bagefter.

Procesbeskrivelse i Risk Management

I Risk Management i enablor registrerer og vurderer I jeres forretningsprocesser og deres betydning for organisationen. For at være sikker på, at forretningsprocesserne bliver beskrevet og vurderet korrekt, opdeler enablor organisationens processer i 3 niveauer.

Strukturen med opdeling i niveauer, som i øvrigt er baseret på Finansministeriets model for risikovurdering, sikrer også, at eventuelle organisationsforandringer (nye/opdaterede processer, nye systemer, etc.) effektivt kan registreres og indsættes i den eksisterende struktur.

De 3 niveauer:

  1. Procesområde (overordnet område)
  2. Forretningsproces (typisk med tilhørende procesejer)
  3. Behandlingsproces (den konkrete handling, der udføres).

For hver behandlingsproces anføres afhængigheden af andre processer, de underliggende it-ressourcer og fysiske forhold som bygninger og rum.

Ved gennemgangen af behandlingsprocesser identificeres de papirer og filer som bliver behandlet. Der er fokus på de papirer og filer som indeholder persondata, og følsomheden ift. karakteren af data karakteriseres.

For behandlingsprocesserne vurderes konsekvenser for forretningen, Business Impact Assessment (BIA), og den registrerede, Data Privacy Impact Assessment (DPIA). Konsekvensanalysen nedarves på andre forretningsprocesser og de supporterende it-aktiver.

Konsekvensvurdering

Konsekvensvurderingen danner grundlag for konsekvensanalyser for processer, data og ressourcer. I denne vurdering indgår konsekvenser ved hændelser for både den registrerede og for forretning. Dette danner grundlag for, at organisationen kan danne og vedligeholde en Data Privacy Impact Assessment (DPIA) og en Business Impact Assessment (BIA), der dynamisk opdateres, når processer og systemer ændres.

Delegering med personlig portal

Opgaver, kontroller og risikovurdering kan delegeres til de personer, der har det direkte ansvar.

Den ansvarlige for opgaven modtager en invitation med link til en portal, hvor alle personens opgaver er samlet. En såkaldt mini-enablor, som kun indeholder personens egne opgaver, og hvor vedkommende kan skrive kommentarer og løbende opdatere udviklingen, indtil opgaven er løst.  På denne måde kan man tildele opgaver til relevante personer i de forskellige afdelinger uden at give dem adgang til hele informationssikkerhedssystemet.

Samarbejde og videndeling

enablor understøtter videndeling som et vigtigt element i udviklingen af organisationens

sikkerhedsforanstaltninger og -processer. I kan involvere, delegere og videndele i organisationen og med andre organisationer på en række forskellige måder.

Med enablors chat-funktion kan I at holde dialogen om sikkerhedsforhold mellem de involverede aktører, frem for at sprede den ud på mail og/eller andre kanaler. Chatten opsættes, så den dækker forskellige niveauer: internt i organisationen og blandt eventuelle fællesskaber og eksterne partnere.

Med biblioteksfunktionen kan I dele filer – anvisninger, guidelines, skabeloner m.v. – internt i organisationen og med andre organisationer.

I enablor kan der opsættes koncernstrukturer for organisationer med underliggende datterselskaber eller institutioner, så I kan dele fælles indsatser mellem hovedorganisationer og døtre. Benchmark kan udføres for koncernen generelt eller mellem datterselskaberne.

Der kan laves fællesskaber og samarbejder på forskellige niveauer mellem organisationer, der samarbejder om sikkerhed, hvor man kan følge hinandens udvikling, udveksle informationer m.v.

Samarbejde med eksterne rådgivere, fx

enablor gør det også nemt og ligetil at samarbejde med eksterne rådgivere. Har I fx en ekstern Data Protection Officer (DPO), kan vedkommende nemt få adgang til enablor, fordi løsningen kører i skyen.

Det kan også være, at I arbejder med projekter, hvor en central organisation eller projektejer understøtter en række organisationer. Med enablors business intelligence-værktøjer kan projektejeren følge udviklingen i projektet og se, om de opstillede mål realiseres. Projektejeren har også adgang til vidensdelingsværktøjer for chat og distribution af filer og kan målrettet vejlede de deltagende organisationer.

En anden måde at videndele på er via enablors surveyværktøj. Her får deltagerne adgang til et eller flere spørgeskemaer. Man kan følge sin egen besvarelse i enablors dashboard samtidig med, at man kan se udviklingen ift. andre deltagende organisationer. Surveyen danner grundlag for den enkelte organisations statusvurdering og videre arbejde med informationssikkerhed. Surveyen danner også grundlag for de analyser og vejledninger, som centralorganisationen kan støtte branchen med og samarbejde om.