I PLAN-fasen udarbejdes og vedligeholdes de grundlæggende dokumenter for arbejdet med informationssikkerhed. Herunder risikovurdering.
Mindst en gang om året bør I planlægge aktiviteter, som øger opmærksomheden på informationssikkerheden. Med en risikovurdering identificerer I, hvilke fysiske og virtueller risici, der er på jeres område. Dernæst skal I via en risikohåndteringsrapport dokumentere, hvordan I håndterer de enkelte risici.
Første skridt på vejen til et lokalt ISMS er derfor, at I identificerer og dokumenterer risici.
Se mere om, hvordan du foretager en risikovurdering.
Arbejdet med informationssikkerhed kræver en tydelig rolle fordeling mellem
I skal foretage en klar afgrænsning af, hvad jeres ISMS skal omfatte. - Fx et fakultet, et institut eller en administrativ enhed.
Det er ikke nødvendigvis en fordel at behandle alle risici på én gang. Måske giver det mening at fokusere på udvalgte risici det første år og nogle andre de efterfølgende år.
Når I har skabet et overblik og identificeret risici på jeres område, skal jeres håndtering af disse dokumenteres i en risikohåndteringsrapport.
Der er nogle få formkrav til dokumentationen. Det gælder fx, at oprettelse og opdatering af dokumenter skal være styret.
Det indebærer, at der skal være: