En risikovurdering er en vurdering af cyber- og informationssikkerheden med det formål at undgå, at følsomme informationer falder i de forkerte hænder gennem uforudsete hændelser.
Med god informationssikkerhed beskytter vi informationer samt fortroligheden, integriteten og tilgængeligheden af informationer, hvor uforudsete hændelser kan ses som offentliggørelse, kompromitering eller tab af kritiske informationer. Kender man risici, kan man etablere passende sikkerhedsforanstaltninger, så man undgår hændelser.
En god risikovurdering er en struktureret fremgangsmåde til at identificere eventuelle risici, mulige konsekvenser såfremt en hændelse indtræffer samt sandsynligheden for at det sker. Risici skal analyseres med henblik på at afværge, kontrollere eller reducere risici, så opgaven, aktiviteten eller projektet kan gennemføres/udføres sikkerhedsmæssigt forsvarligt.
En risikovurdering forløber i tre faser:
Resultatet af en risikovurdering vil indikere, i hvilken grad der er behov for beskyttelse af informationer.
Et informationsaktiv kan defineres bredt som eksempelvis it-systemer, domæner, lyd- og videooptagelser, vævsprøver samt papirdokumenter eller andet, som indeholder informationer af kritisk eller sensitiv karakter med behov for beskyttelse - derfor skal der udabrejdes en risikovurdering af informationsaktiver, der behandler, opbevarer eller videregiver kritiske eller sensitive informationer.
Er der tale om et it-system foretages en systemklassifikation, der vil angive, om der skal foretages en risikovurdering.
Som systemejer eller såfremt du på anden måde er ansvarlig for et område/en opgave eller et projekt med fortrolige og/eller følsomme informationer, herunder personoplysninger, på Aarhus Universitet, er du forpligtet til at foretage en risikovurdering. Det gælder også for personoplysninger, som er offentligt tilgængelige.
Risikovurderingen skal foretages FØR et system sættes i drift eller FØR enhver behandling af personoplysninger, fortrolige og/eller følsomme informationer.
Det er dit ansvar at beskytte informationers fortrolighed, integritet og troværdighed med passende sikkerhedsforanstaltninger på et oplyst grundlag.
Det er jeres opgave, da I er bekendt med, hvordan systemet eller behandlingen af informationer skal foregå og bedst kan vurdere eventuelle risici.
Vær opmærksom på, at hvis du skal behandle personoplysninger skal du også lave en databeskyttelsesretlig risikovurdering.
En risikovurdering omhandler fx en vurdering af systemer, adgang til bygninger, forskningmateriale og meget mere.
Er der tale om behandling af personoplysninger skal der foretages en særskilt risikovurdering. Det er en databeskyttelsesretlig risikovurdering.
Den dataansvarlige skal sætte sig i den registreredes sted og overveje, hvilke risici, som vedkommende udsættes for ved de(n) påtænkte behandlingsaktivitet(er), som den dataansvarlige vil udføre.