Sikkerhetshendelse? Ring nødnummer 21 62 79 79!

Hendelse?
MENY

Risk Assessment (ROS)

Avdekke sårbarheter og konsekvens i forhold til relevante trusler og eksisterende sikkerhetstiltak

Risiko- og sårbarhetsanalyse (ROS) handler om å definere og vurdere de mest relevante truslene mot virksomheten for så å gjøre kvalifiserte vurderinger av sannsynlighet og konsekvens av at uønskede hendelser oppstår. Oversikt over risiko og sårbarhet gjør at hendelser kan håndteres mer fornuftig, og at man gjør klokere vurderinger av hvilke tiltak virksomheten skal investere i. Ved gjennomføring av ROS er det nødvendig å basere seg på en fast metode for å sikre et kvalifisert resultat.

Fence benytter i hovedsak NIST 800-30, men også elementer fra NSMs veiledning til ROS og OCTAVE. Risiko- og sårbarhetsanalysen består i hovedsak av intervju av nøkkelpersonell, resultat fra sikkerhetstesting, vurdering av kritiske tjenester og prosesser i virksomheten, og gjennomgang av dokumentasjon og policyer.

Ved å identifisere uønskede hendelser og vurdere risiko og sårbarhet for disse, vil man avdekke behov for nye tiltak eller utbedring av eksisterende tiltak som reduserer sannsynligheten for, eller konsekvensene av, uønskede hendelser.

Hvorfor og hvor ofte bør man gjennomføre Risiko- og sårbarhetsanalyse?


  • Finansielle selskaper som må følge «IKT forskriften» er pålagt å kontinuerlig jobbe med risiko styring og må minst gjennomføre en årlig Risiko- og Sårbarhetsanalyse.
  • Virksomheter som lagrer sensitive personopplysninger er pålagt av personopplysningsloven å sikre informasjonen tilstrekkelig, med planlagte og systematiske tiltak.
  • Alle virksomheter er pålagt å kjenne kravene som stilles i forhold til informasjonen man behandler. Og på generelt grunnlag bør man gjennomfører ROS årlig, samt jobbe kontinuerlig med risiko- vurdering og styring.


Hvem bør gjennomføre Risiko- og sårbarhetsanalyse?

  • Alle som behandler sensitiv informasjon, og som er lovpålagt gjennomføring av ROS. f.eks. alle virksomheter som behandler sensitive personopplysninger og/eller må følge «IKT forskriften»
  • Alle som ønsker å etterleve ISO 27000 må gjennomføre kontinuerlig risikovurdering
  • Virksomheter som ønsker en kvalifisert vurdering av eksisterende sikkerhetstiltak, og forslag til nye tiltak basert på en grundig ROS.