Risk Assessment (ROS)

Risiko- og sårbarhetsanalyse (ROS) handler om å definere og vurdere de mest relevante truslene mot virksomheten for så å gjøre kvalifiserte vurderinger av sannsynlighet og konsekvens av at uønskede hendelser oppstår. Oversikt over risiko og sårbarhet gjør at hendelser kan håndteres mer fornuftig, og at man gjør klokere vurderinger av hvilke tiltak virksomheten skal investere i. Ved gjennomføring av ROS er det nødvendig å basere seg på en fast metode for å sikre et kvalifisert resultat.

Fence benytter i hovedsak NIST 800-30, men også elementer fra NSMs veiledning til ROS og OCTAVE. Risiko- og sårbarhetsanalysen består i hovedsak av intervju av nøkkelpersonell, resultat fra sikkerhetstesting, vurdering av kritiske tjenester og prosesser i virksomheten, og gjennomgang av dokumentasjon og policyer.

Ved å identifisere uønskede hendelser og vurdere risiko og sårbarhet for disse, vil man avdekke behov for nye tiltak eller utbedring av eksisterende tiltak som reduserer sannsynligheten for, eller konsekvensene av, uønskede hendelser.

• Finansielle selskaper som må følge «IKT forskriften» er pålagt å kontinuerlig jobbe med risiko styring og må minst gjennomføre en årlig Risiko- og Sårbarhetsanalyse.
• Virksomheter som lagrer sensitive personopplysninger er pålagt av personopplysningsloven å sikre informasjonen tilstrekkelig, med planlagte og systematiske tiltak.
• Alle virksomheter er pålagt å kjenne kravene som stilles i forhold til informasjonen man behandler. Og på generelt grunnlag bør man gjennomfører ROS årlig, samt jobbe kontinuerlig med risiko- vurdering og styring.

• Alle som behandler sensitiv informasjon, og som er lovpålagt gjennomføring av ROS. f.eks. alle virksomheter som behandler sensitive personopplysninger og/eller må følge «IKT forskriften»
• Alle som ønsker å etterleve ISO 27000 må gjennomføre kontinuerlig risikovurdering
• Virksomheter som ønsker en kvalifisert vurdering av eksisterende sikkerhetstiltak, og forslag til nye tiltak basert på en grundig ROS.